Unbound unter OpenVPN

Started by trixter, May 15, 2026, 09:16:38 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 03, 2026, 11:06:51 AM #15
Quote from: viragomann on May 29, 2026, 12:06:56 PMClients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.

Sowas würde ich schon aus Prinzip nicht machen - Lan-Traffic hat am Management-Interface per se nichts zu suchen!
Da könnte ich mir das seperate Interface ja gleich sparen.

Und ich bleibe dabei, dass man Produkte stetig verbessern sollte.

Quote from: viragomann on May 29, 2026, 12:06:56 PMDu meinst ernsthaft, OPNsense mit dieser Einstellung besser zu machen? Tatsächlich bringt es so gut wie nichts, könnte auf der anderen Seite aber Probleme bereiten.

Wenn man das sauber dokumentiert, sehe ich da ehrlich gesagt mehr Nutzen als Schaden - das ist natürlich subjektiv.

Warum sollte ich etwas per ACL oder auch FW Regel beschränken, was ich auch einem Interface nicht anbieten und daher auch komplett ausschalten kann?
Worin nun der Vorteil besteht etwas komplizierter und damit fehleranfälliger zu machen als nötig, erschließt sich mir nicht.

Systeme verständlicher für alle zu machen sehe ich halt als Verbesserung des Produkts.
 
VMW / PMX / PFS / OPS
June 03, 2026, 11:34:11 AM #16
Quote from: trixter on June 03, 2026, 11:06:51 AMWarum sollte ich etwas per ACL oder auch FW Regel beschränken, was ich auch einem Interface nicht anbieten und daher auch komplett ausschalten kann?

Weil deine Vorstellung von "auf einem Interface anbieten oder nicht" nicht der Realität entspricht.

Wenn du von z.B. LAN aus DNS-Requests an "any" oder "this firewall" erlaubst, dann kannst du von LAN aus jede IP-Adresse der Firewall ansprechen und dort deine Requests hin schicken. Die sind alle lokal aus Sicht der Firewall und werden in der Hinsicht identisch behandelt. Die Firewall interessiert, zu was für einem Interface die Anfrage hereinkommt, nicht, welche IP-Adresse verwendet wird.

Deshalb ist der Vorschlag die Management-IP-Adresse zu benutzen auch nicht abwegig. Damit kommt man nicht ins Managagement-Netz. Damit kann man genau vom LAN eine DNS-Anfrage an die Firewall schicken und sonst nichts. Die IP-Adresse ist wie gesagt völlig wurst, so lange sie eine lokale der Firewall ist.

So funktioniert das nunmal.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 03, 2026, 08:26:19 PM #17
Quote from: trixter on June 03, 2026, 11:06:51 AM
QuoteClients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.

Sowas würde ich schon aus Prinzip nicht machen - Lan-Traffic hat am Management-Interface per se nichts zu suchen!
Aufs Manangement-Interface würde der Traffic auch nicht kommen, davon war nicht die Rede.
Aber ein Gerät im LAN spricht einen Service-Port der Management-IP an. Erlauben die Firewall am LAN den Zugriff, so wird er auch erfolgreich sein.
Dazu muss das Paket gar nicht das Management-Interface passieren. Und eben darum kommen die Regeln auf diesem für den Zugriff aus dem LAN auch nicht zum Tragen. Dass du da bspw. den Zugriff auf die Quelle MM Netz eingeschränkt hat, hilft also nicht, wenn der Zugriff über ein anderes Interface reinkommt.

D.h. die den Interfaces zugewiesenen IPs sind allem voran der OPNsense zugewiesen und die darauf betriebenen Services lauschen auf all diesen und scheren sich normalerweise nicht, durch welches Interface ein Zugriff rein kommt. Das gilt auch für Unbound.

Also nochmals:
Wenn eine Regel, die auf einem Interface definiert ist, den Zugriff auf eine IP der OPNsense erlaubt, so ist von dem jeweiligen Interface Zugriff auch möglich.

Deshalb solltest du dir deine Regeln genau ansehen, anstatt dich auf Service-IPs zu verlassen. Da wiegst du dich in falscher Sicherheit.
Hast du eine Pass-Regel mit Ziel "any", so erlaubt sie den Zugriff auf alle Interface-IPs. Ist das Ziel "RFC 1918", ist der Zugriff wahrscheinlich auf die meisten deiner IPs erlaubt.

Grundsätzlich lauschen Services auf allen IPs, die der OPNsense zugewiesen sind, egal welchem Interface, es sei denn, der Service ist explizit für bestimmte IPs konfiguriert. Letzteres ist das, was du mit der Interface-Auswahl in Unbound machst.
Ist hier WAN nicht dabei, wäre dennoch ein Zugriff aus dem WAN auf bspw. die DMZ-IP möglich, wenn es die Regeln erlauben.

Die Management-IP war als Extrem-Beispiel gedacht, weil diese oft als heilige Kuh angesehen wird und man diese streng schützen möchte. Im Grunde ist sie nichts weiter als jede beliebige andere IP, die OPNsense zugewiesen ist. Zur heiligen Kuh machen sie erst die Firewall-Regeln, jedoch alle zusammen, auch jene auf anderen Interfaces.

Ebenso kann die OPNsense GUI nur mit Firewall-Regeln vor unerwünschten Zugriffen geschützt werden. Was du in System: Settings: Administration: Listen Interfaces an Interfaces auswählst, sind lediglich die IPs, auf denen sie erreichbar ist.
Hier hast du wahrscheinlich Management ausgewählt. Hast du auf einem anderen Interface eine Regel die alles auf any oder RFC 1918 erlaubt, und keine entsprechende Block-Regel davor gesetzt, kann man von da aus auch auf die Weboberfläche zugreifen. Das könntest du rasch testen.
Print
Go Up Pages 1 2
User actions