Unbound unter OpenVPN

[trixter]

Clients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.

Sowas würde ich schon aus Prinzip nicht machen - Lan-Traffic hat am Management-Interface per se nichts zu suchen!
Da könnte ich mir das seperate Interface ja gleich sparen.

Und ich bleibe dabei, dass man Produkte stetig verbessern sollte.

Du meinst ernsthaft, OPNsense mit dieser Einstellung besser zu machen? Tatsächlich bringt es so gut wie nichts, könnte auf der anderen Seite aber Probleme bereiten.

Wenn man das sauber dokumentiert, sehe ich da ehrlich gesagt mehr Nutzen als Schaden - das ist natürlich subjektiv.

Warum sollte ich etwas per ACL oder auch FW Regel beschränken, was ich auch einem Interface nicht anbieten und daher auch komplett ausschalten kann?
Worin nun der Vorteil besteht etwas komplizierter und damit fehleranfälliger zu machen als nötig, erschließt sich mir nicht.

Systeme verständlicher für alle zu machen sehe ich halt als Verbesserung des Produkts.
 

[Patrick M. Hausen]

Warum sollte ich etwas per ACL oder auch FW Regel beschränken, was ich auch einem Interface nicht anbieten und daher auch komplett ausschalten kann?

Weil deine Vorstellung von "auf einem Interface anbieten oder nicht" nicht der Realität entspricht.

Wenn du von z.B. LAN aus DNS-Requests an "any" oder "this firewall" erlaubst, dann kannst du von LAN aus jede IP-Adresse der Firewall ansprechen und dort deine Requests hin schicken. Die sind alle lokal aus Sicht der Firewall und werden in der Hinsicht identisch behandelt. Die Firewall interessiert, zu was für einem Interface die Anfrage hereinkommt, nicht, welche IP-Adresse verwendet wird.

Deshalb ist der Vorschlag die Management-IP-Adresse zu benutzen auch nicht abwegig. Damit kommt man nicht ins Managagement-Netz. Damit kann man genau vom LAN eine DNS-Anfrage an die Firewall schicken und sonst nichts. Die IP-Adresse ist wie gesagt völlig wurst, so lange sie eine lokale der Firewall ist.

So funktioniert das nunmal.

[viragomann]

Clients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.

Sowas würde ich schon aus Prinzip nicht machen - Lan-Traffic hat am Management-Interface per se nichts zu suchen!

Aufs Manangement-Interface würde der Traffic auch nicht kommen, davon war nicht die Rede.
Aber ein Gerät im LAN spricht einen Service-Port der Management-IP an. Erlauben die Firewall am LAN den Zugriff, so wird er auch erfolgreich sein.
Dazu muss das Paket gar nicht das Management-Interface passieren. Und eben darum kommen die Regeln auf diesem für den Zugriff aus dem LAN auch nicht zum Tragen. Dass du da bspw. den Zugriff auf die Quelle MM Netz eingeschränkt hat, hilft also nicht, wenn der Zugriff über ein anderes Interface reinkommt.

D.h. die den Interfaces zugewiesenen IPs sind allem voran der OPNsense zugewiesen und die darauf betriebenen Services lauschen auf all diesen und scheren sich normalerweise nicht, durch welches Interface ein Zugriff rein kommt. Das gilt auch für Unbound.

Also nochmals:
Wenn eine Regel, die auf einem Interface definiert ist, den Zugriff auf eine IP der OPNsense erlaubt, so ist von dem jeweiligen Interface Zugriff auch möglich.

Deshalb solltest du dir deine Regeln genau ansehen, anstatt dich auf Service-IPs zu verlassen. Da wiegst du dich in falscher Sicherheit.
Hast du eine Pass-Regel mit Ziel "any", so erlaubt sie den Zugriff auf alle Interface-IPs. Ist das Ziel "RFC 1918", ist der Zugriff wahrscheinlich auf die meisten deiner IPs erlaubt.

Grundsätzlich lauschen Services auf allen IPs, die der OPNsense zugewiesen sind, egal welchem Interface, es sei denn, der Service ist explizit für bestimmte IPs konfiguriert. Letzteres ist das, was du mit der Interface-Auswahl in Unbound machst.
Ist hier WAN nicht dabei, wäre dennoch ein Zugriff aus dem WAN auf bspw. die DMZ-IP möglich, wenn es die Regeln erlauben.

Die Management-IP war als Extrem-Beispiel gedacht, weil diese oft als heilige Kuh angesehen wird und man diese streng schützen möchte. Im Grunde ist sie nichts weiter als jede beliebige andere IP, die OPNsense zugewiesen ist. Zur heiligen Kuh machen sie erst die Firewall-Regeln, jedoch alle zusammen, auch jene auf anderen Interfaces.

Ebenso kann die OPNsense GUI nur mit Firewall-Regeln vor unerwünschten Zugriffen geschützt werden. Was du in System: Settings: Administration: Listen Interfaces an Interfaces auswählst, sind lediglich die IPs, auf denen sie erreichbar ist.
Hier hast du wahrscheinlich Management ausgewählt. Hast du auf einem anderen Interface eine Regel die alles auf any oder RFC 1918 erlaubt, und keine entsprechende Block-Regel davor gesetzt, kann man von da aus auch auf die Weboberfläche zugreifen. Das könntest du rasch testen.

[trixter]

Clients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.

Sowas würde ich schon aus Prinzip nicht machen - Lan-Traffic hat am Management-Interface per se nichts zu suchen!

Aufs Manangement-Interface würde der Traffic auch nicht kommen, davon war nicht die Rede.

Sorry, ich finde Du wiedersprichst Dir immer wieder.

Regeln machen hier keinen Sinn, weil ich den Port 53 für Adguard nutzen will, da wäre mir unbound schlicht im Weg!
Da hilft auich das werfen mit RFCs wenig, es sei denn man wolle sich hinter einem Ausdruck davon verstecken?

Eine Lösung ist gefunden und damit sollten wir das vielleicht auch abschließen!

[trixter]

So funktioniert das nunmal.

Lieber Patrick, das mag für die Sense zutreffen, aber hier sollte man doch etwas lernen - im Idealfall wie man das richtig macht?
Sonst haben wir bald da draußen nur noch Pfusch und Leute die daran verzweifeln, wenn sie dann doch mal eine Palo-Alto/Fortigate/Firepower etc konfigurieren sollen.
Wenn du damit auf eine Firewall triffst die saubere Stages hat, greifst du mit "ich lang da mal eben quer durch die Firewall" sowas von ins Leere - da wird der Begriff Firewall dann harte Realität.

[Patrick M. Hausen]

Das trifft auf jede Firewall zu, die auf einem Standard BSD oder Linux aufsetzt und keine FIB pro Interface verwendet. Damit sind best practices vielleicht nicht immer 1:1 übertragbar?