[UPDATE#3] OPNSense hinter FB 6490 Cable

[Thargor]

Hallo

bin schon seit einiger Zeit hier im Forum unterwegs und lese auch hin und wieder mal mit.

Zur Zeit nutze ich noch einen IPCop v2.1.9, aber aufgrund mangelnder Weiterentwicklung habe ich mich nach einer  anderen Hardware FW umgeschaut.

Gefunden habe ich OPNSense  :)  Das hatte ich vor einiger Zeit auch erfolgreich auf einem PC Engine APU 1D4 installiert. Hab die FW dann lange Zeit einfach nicht weiter betrieben.
Nun hab ich das Teil erstmal wieder hervorgeholt und die ganzen Updates durchgezogen, was auch alles perfekt geklappt hat! Bin nun Uptodate :-)

Hab in der FW auch noch einen WLAN AP installiert


Da ich daheim aber nun einen UM Business Anschluß bekommen habe und ich im gleich Zug meine Haussteuerung von Mitsubishi auf Siemens S7-1200 umstellen will, ist die OPNSene FW wieder sehr interessant für mich geworden.

IST Zustand:

UM Business ----> FB 6490 Cable ----> LAN 4 der FB -----> IPCop -----> Netgear Switch GS716T
                                                   |
                                                   |--> LAN 3 (exposed Host)der FB -----> OPNSense3 als Testebene z.Zt. über WLAN erreichbar


SOLL Zustand:

UM Business ----> FB 6490 Cable ----> LAN 4 (exposed Host) der FB -----> OPNSense-----> Netgear Switch GS716T               
                           |                                                                                |                             |     
                           | ---> Gast WLAN                                                        |----> Heim WLAN    |---> VLAN 1 Heim
                                                                                                                                           |---> VLAN 2 Siemens S7


Der Netgear Switch kann VLAN untagged und tagged, aber hab da überhaupt noch keinen Plan wie ich das anstellen soll?!

Wichtig wäre das ich vom WLAN aus ins VLAN1 und VLAN 2 kann sowie über LAN von VLAN1 ins VLAN2 zwecks Programmierung der S7

Sowie das ganze auch über VPN und/oder IPsec von "außen" aus auch auf die Siemens und ins Heimnetz  zugreifen kann.

Momentan sind der IPCop sowie die OPNsense via DHCP am LAN4 bzw. LAN3 der FB angeschlossen und bekommen nicht die öffentliche IP, sondern die interne 192.168.178.xxx  der FB zugewiesen.

Softwarestand der FB ist 6.50 und man kann nur den LAN Ports 2-4 Portfreigaben wie exposed Host geben.

Macht es dann Sinn sich eine feste IP zuzulegen? Oder kann man das erstmal so belassen?
Gibt es womöglich jetzt Probleme so auf die FW und die Geräte dahinter zuzugreifen?

Es gibt ein ähnliches Thema bei administrator.de und pfsense.org https://forum.pfsense.org/index.php?topic=136190.0

Dort hat der User aber eine andere FW auf der FB und kann sich den Bridge bzw. RIP Modus einstellen.
Das geht bei meiner FB (noch) nicht. Komm aus NRW...


Frage an die Experten:

-macht das so erstmal Sinn?
-gibt es Verbesserungsvorschläge?
- wie stell ich was am Besten ein, ohne das ich mich komplett selber aussperre  :o


Danke und Gruß

[NilsS]

Moin Thargor,

vielleicht interessiert dich ja folgendes Konzept.
https://forum.opnsense.org/index.php?topic=5965.0
Bei mir ist es nicht S7 sondern KNX aber vom Prinzip läuft es aufs gleiche hinaus.

Ich habe das derzeit in der VM laufen das ich üebr die VLAN Interfaces den Zugriff steuern kann, aber trotzdem in einem IP Subnetz bleiben kann, das erspart große Umstellungen bei den Geräten und sollte auch sonst nicht routingfähige Dinge erleichtern.

Bridgemodus des Kabelanschlusses ist immer schöner, aber dann gibts auch kein GAST LAN/WLAN an der FB mehr. Bei mir war die Umstellung dazu nicht im Modem sondern über (ex)KD Webseite.

[Thargor]

Hi NilsS

warum sollte im BridgeModus kein WLAN mehr geben? Das betrifft doch dann nur die LAN Ports?!

Das WLAN der FB ist doch da nicht von betroffen?!

Einen wichtigen Punkt habe ich aber noch vergessen, das ist mir gerade aufgefallen als ich deinen Beitrage gelesen habe.

- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

[fabian]

- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

Das kommt jetzt auf dein vorhaben an, aber da gibts mehrere Möglichkeiten:
* Proxy: https://docs.opnsense.org/manual/proxy.html - Sperrlisten für URLs und Dateiformate, ICAP (Content Filter)
* Zeitpläne in den Firewallregeln (Port ist nur von 8:00 - 22:00 offen etc.)
* DNS-Basierte Sperrlisten (Stichwort OpenDNS, https://devinstechblog.com/block-ads-with-dns-in-opnsense/ )
* Externer Firewallalias
* ...

[Thargor]

- Kindersicherung! Das möchte ich ebenfalls einrichten: Handy und PC passend konfigurieren

Das kommt jetzt auf dein vorhaben an, aber da gibts mehrere Möglichkeiten:
* Proxy: https://docs.opnsense.org/manual/proxy.html - Sperrlisten für URLs und Dateiformate, ICAP (Content Filter)
* Zeitpläne in den Firewallregeln (Port ist nur von 8:00 - 22:00 offen etc.)

Hi

ja dieses würde mir schon erstmal reichen um zu ärgern  8) :P

[NilsS]

Der Bridgemodus der von UM über die Fritzbox angeboten wird scheint ein anderen zu sein als KD das mit reinen Kabelmodems macht. Die Fritzbox scheint dabei die öffentliche IP zu behalten und nur eine weitere an einen bestimmten LAN Port weiter zu reichen. Beim Kabelmodem wird die eine öffentliche IP direkt vom DOCSIS Modem an das dahinter angeschlossene Gerät weiter gereicht. Das Kabelmodem erhält nur eine private IP.
Durch die weitere IP scheint UM das wohl auch nur bei Businessanschlüssen zu machen.

[Thargor]

Hi

aufgrund des jetzigen SW Stands der FB (6.50 für NRW?!) kann man nur für die LAN Ports 2-4 den Exposed Host einstellen. Es gibt keinen "offiziellen" Bridge Mode.

Man kann  anscheinend mit dem FBEditor die Sicherungsdatei der FB bearbeiten und sich das selber freischalten.
KA ob das wirklich funktioniert...

[Stephan]

Hi,

wie ist den nun Dein Stand? ^^
Welche Infos benötigst Du?

Cheers,

Stephan

[Thargor]

Hi Stephan

also nachdem ich Probleme mit dem UM Anschluss hatte, und zweimal ein Techniker vom UM anwesend war, läuft mein Internet jetzt wieder.
Einen reinen "Bridge" Mode gibt es nicht bei meiner Provider FB.

Bin immer noch in der der Testphase, wobei ich mein LAN und WLAN auch schon über OPNSense laufen lassen.

Aber alles erstmal in den Standardeinstellungen.

Habe mich gestern nochmal mit diesem Unbound DNS Resolver herumgequält, aber das scheint jetzt auch zu laufen.
Nach einigem hin und her hab ich dann herausgefunden das man unter System -> Einstellung-> Allgemein dort die entsprechenden DNS Server eintragen muss :o ;)

Was mich noch interessiert:

- Webproxy zusätzlich zum DNS Unbound nutzen oder ist das doppelt gemoppelt?
- richtige FW Einstellungen für LAN und WLAN, also musst have
- VLAN Einstellungen sowie wie weiter oben angefragt
- Zeitplan für bestimmte IPs im LAN und WLAN
- Zugriff von außerhalb auf die OPNsense und die S7 Steuerung

[NilsS]

Moin Thargor,

was meinst du mit

System -> Einstellung-> Allgemein DNS Server eintragen

Das musst du nicht unbedingt. Es ist eine Frage wie du dein DNS nutzen möchtest.

Wenn du jedoch den Forward Mode nutzen willst, dann ist das richtig was du schreibst, sonst wüsste der unbound ja nicht wohin er forwarden soll.

Du kannst unter Einstellungen -> Allgemein jedoch auch die Provider DNS eintragen (oder 8.8.8.8 oder opendns) da du ja nicht per DHCP die Provider DNS bekommst, da die Fritzbox dazwischen hängt und du die Fritzbox wohl eher nicht als DNS nutzen willst.

Der unbound hat jetzt jedoch nichts mit dem webproxy zu tun. Den Webproxy kannst du später für die Kindersicherung später konfigurieren (als zwangsproxy für die IPs der Kinder) dort kannst du dann Blacklists etc pflegen.

Was meinst du mit "richtige" FW Einstellungen. Du hast derzeit alles auf Durchzug gestellt?

Du solltest viel mit den Aliases arbeiten.
lege dir erstmal für die unterschiedlichen Hosts und Ports Aliasgruppen ein (z.B. ADMINPC/KINDERPC/SERVER/S7PORTS ...)
Dann lege Firewall regeln darauf basierend an.
Damit die Kinder dann zeitlich begrenztes Internet haben brauchst du lediglich die Regel für den Alias KINDERPC anpassen mit Shedule.

Steuerung von außerhalb willst du wie realiseren? openVPN/IPsec?

[fabian]

- Webproxy zusätzlich zum DNS Unbound nutzen oder ist das doppelt gemoppelt?

Nein, der Proxy kann ja die Inhalte prüfen bzw. prüfen lassen (ICAP).
Du kannst zum Beispiel downloads blockieren oder bestimmte URLs (nicht den ganzen Host) sperren.

Ein paar offizielle Tutorials:
* https://docs.opnsense.org/manual/how-tos/proxywebfilter.html
* https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html

- richtige FW Einstellungen für LAN und WLAN, also musst have

da würde ich einfach mal die Einstellung alles aucher HTTP(S), SSH und DNS blockieren verwenden und dann nach und nach freigeben, was benötigt wird.

- Zeitplan für bestimmte IPs im LAN und WLAN

Ist im Reiter Firewall angesiedelt. Du kannst das bei einer Firewallregel angeben - außerhalb dieser Zeit trifft die Regel nicht zu.

- Zugriff von außerhalb auf die OPNsense und die S7 Steuerung

Würde die nur über VPN erlauben - es gibt OpenVPN und Mobile IPsec out of the Box, weitere können über plugins hinzugefügt werden. OpenVPN ist sehr vorteilhaft gegenüber IPsec, weil es keine Probleme mit NAT macht (TCP oder UDP). Ohne VPN sollte kein Gerät von außen erreichbar sein, außer es soll für JEDEN zugänglich sein. Falls du den Port nicht für HTTPS brauchst, würde ich dir OpenVPN via TCP auf 443 empfehlen.

[Oxygen61]

Hey Fabian,

Falls du den Port nicht für HTTPS brauchst, würde ich dir OpenVPN via TCP auf 443 empfehlen.

Kannst du das vielleicht nochmal etwas näher erläutern? Welcher Vorteil entsteht hierbei im Gegensatz zu anderen Ports, wenn man keinen Webserver für JEDEN anbietet und daher Port 443 nutzen kann?

Schöne Grüße
Oxy

[fabian]

Der Vorteil ist, dass der HTTPS-Port in der Regel in Firewalls auf der anderen Seite der Verbindung freigeschaltet ist und oftmals nicht analysiert wird ("Das ist eh verschlüsselt"). Dadurch kommt man mit dem Client einfach leichter durch. Ist zum Beispiel interessant, wenn die Firewall auf Clientseite nur 80 und 443 für TCP und DNS freigibt. In diesem Szenario ist der Fall, dass auf dem HTTP-Port ein transparenter Proxy hängt, einfach viel wahrscheinlicher.

[NilsS]

Oder man verwendet sslh, ist im repo mit drin. (pkg install sslh)
Könnte man auch als plugin erstellen.
Ermöglicht openvpn ssh und webserver auf einem Port.

Am besten den openVPN auf localhost auf dem Standartport lauschen lassen und dann mit sslh oder portforwarding den Zugriff von den anderen Ports auf dem WAN Interface.
Um da wirklich alles rein zu lassen wäre.
SSH und OPENVPN/TCP mittels sslh auf Port 22 und 443
OPENVPN/UDP auf Port 53,123,443 und Standart

So kommst du eigentlich immer mittels SSH oder OpenVPN rein.

bzgl. Firewall Einstellungen
mach zwei Aliase
HIGHPORTS 1024:65535
ALLOWED_PORTS 21,22,23,43,80,110,123,143,443,465,554,563,587,993,995,HIGHPORTS

Dann machst du die PASS Regel mit Source HIGHPORTS Destination ALLOWED_PORTS
Damit hast du so eigentlich alles wichtige abgedeckt. DNS kannst du da auch noch hinzufügen, aber ich bevorzuge das nur auf den lokalen Server zu erlauben.

[fabian]

Oder man verwendet sslh, ist im repo mit drin. (pkg install sslh)

Das ist ne Proxy software und gerade sowas will ich nicht drin hängen haben, weil ich im Webserverprotokoll die reale Quell-IP verliere. HTTPS und OpenVPN geht so übrigens auch ohne sslh - das braucht man nur, wenn SSH dazu kommt. Die Option heißt "port-share".

bzgl. Firewall Einstellungen
mach zwei Aliase
HIGHPORTS 1024:65535
ALLOWED_PORTS 21,22,23,43,80,110,123,143,443,465,554,563,587,993,995,HIGHPORTS

"High Ports" ist ziemlich Übel, weil jede Anwendung dort Ports binden kann - Die well known ports brauchen zumindest root-Rechte und sind damit zumindest mit hoher wahrscheinlichkeit vom Admin zur verwendung vorgesehen. Eine hohe Portnummer kann auch von einem User geöffnet werden und damit wahrscheinlicher von Malware.