[UPDATE#3] OPNSense hinter FB 6490 Cable

[NilsS]

Naja was heißt denn übel, es ist ja keine Firmeninstallation sondern es scheint sich um zu Hause zu handeln (Kinder).

Wenn du dann ganz viel langeweile hasst, dann kannst du natürlich das alles erstmal zumachen und das gejammer der Kinder ertragen (die die nicht Erreichbarkeit von irgendwelchen Spielen dann warscheinlich von ihrer verfügbaren Onlinezeit wieder abziehen wollen)
Was ansonsten auf welchen Ports läuft ist eigentlich völlig egal, da root Rechte oder nicht ja bei Systemen im Internet die nicht unter meiner Verwaltung sind ja überhaupt keine Rolle spielen. Eigentlich will ich ja nur Anwendungen die ich blockieren will ihren Standardport nehmen.
SMTP 25 / SMB/CIFS 137,138,139,445
Der Rest ist zu Hause eigentlich egal.

bzgl. sslh sprachen wir doch auch über das eingehende zur Fernwartung von System und Hausautomation.
Da ist es doch völlig irrelevant ob ich in ssh/openvpn/https noch die echte IP sehe. Das blockieren von ganz ungewollten mache ich schon beim Zugriff  mittels GEOIP, und den Rest erledigen Zertifikate/priv key o.ä. bei der dahinterliegenden Anwendung.

Bei Firmennutzung stimme ich dir zu, da hat man ja eigentlich auch nicht den Hintergedanken das man irgendwie durch Firewalls durchkommen muss wo es nicht dafür gedacht ist.

[Thargor]

Hi Jungs

das Thema scheint euch ja zu interessieren. Ich finds gut. Und Danke an euch das ihr mir da unter die Arme greift.

Ich bin da erstmal voll der N00b und muss mich da durchackern. Aber Gut Ding will Weile haben.
Wenn man mir das alles ruhig und sachlich erklärt, komm auch ich da hinter...  ;D

Ja es handelt sich um ein "normales" Haus mit einer kleiner S7 1200 Steuerung drin  ;D :P. Und ja Kinder haben wir auch die jetzt im vor pubertären Alter sind und eines schon ein Handy hat.

Also langsam wirds Zeit da bissl "Hand" ans Netzwerk zu legen um "Safe" zu sein von welcher Seite auch immer.

Regel LAN:



Regel WLAN



Mehr hab ich da jetzt nicht eingestellt...


Die andere Frage stellt sich mir, ob die FB auch die Anfrage weiterleitet an die OPNSense via OPNVPN.
Ich weiß nicht ob die Einstellung für exposed Host reicht und die FB das eifnach durchreicht.

[fabian]

Die andere Frage stellt sich mir, ob die FB auch die Anfrage weiterleitet an die OPNSense via OPNVPN.
Ich weiß nicht ob die Einstellung für exposed Host reicht und die FB das eifnach durchreicht.

Das lässt sich relativ einfach testen: Handy ist nicht im WLAN und dann probierst du eine VPN-Verbindung aufzubauen. Verbessern lässt sich das ganze noch, wenn du unter Paketaufzeichnung aktivierst und schaust, ob was ankommt. Damit klärst du beide Fragen auf einmal.

[NilsS]

Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.

Auf dem WAN Interface legst du deine Freigabe für dein OpenVPN an SOURCE würde ich (sofern du nicht in weiteren Ländern Urlaub machst) auf einen GEOIP Alias DACH (Deutschland/Östereich/Schweiz begrenzen) SOURCEPORT HIGHPORTS DESTINATION THIS FIREWALL OPENVPN. Du kannst auch einen weiteren ALIAS anlegen PUB_SERVICEPORTS
in den du OPENVPN/HTTPS/SSH legst. Dann brauchst du nur eine Regel für eingehenden Traffic.

Für den Zugriff ins Internet legst du auf dem jeweiligen Interface (WLAN/LAN) je eine Regel an wie ich zuvor schrieb HIGHPORTS auf ALLOWEDPORTS an. Nur IPV4 TCP/UDP.
Wenn du Hosts im Internet Pingen musst, kannst du eine weitere Regel anlgegen IPv4 ICMP ECHO REQUEST.

Diese Regel kannst du jetzt noch weiter eingrenzen, indem du einen weiteren ALIASE anlegst KINDERTyp Hosts.
Weiter legst du ein Sunter Firewall -> Settings Shedule ein Zeitfenster an
Die IPs der Kinder legst du in den ALIAS KINDER, und jetzt klickst du bei der Regel TCP/UDP auf clone und änderst bei der OBEREN Regel den Source auf KINDER und trägst unten bei Shedule dein Zeitfenster ein.

Pingen dürfen die Kinder immer ;-)

Ich werde wenn ein paar Screenshots posten wenn ich mit meiner Umstellung durch bin.

Ich hab jedoch zusätzlich den Traffic über ein VPN ausgehend gerouted, da ich jetzt schon Sorgen hab wenn "Kumpels" Tablets/Laptops mitbringen das sie mir nicht irgendwelche Torrents o.ä. über die Leitung saugen und damit rechtliche Probleme ins Haus holen. Das fängt ja heute schon bei Streamingportalen an.

Aber das führt jetzt wohl zu weit.

Dein Aufbau ist wie gesagt das gleiche wie bei mir, und auch die Kinder scheinen in ähnlichem Alter zu sein.

[fabian]

Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.

Also ich habe bei mir alle Regeln auf IPv4+IPv6 - so funktioniert mein Netzwerk zumindest noch wenn ich IPv6 hab. Solange es im WAN kein IPv6 gibt, geht ohnehin nichts über IPv6 raus.

Auf dem WAN Interface legst du deine Freigabe für dein OpenVPN an SOURCE würde ich (sofern du nicht in weiteren Ländern Urlaub machst) auf einen GEOIP Alias DACH (Deutschland/Östereich/Schweiz begrenzen) SOURCEPORT HIGHPORTS DESTINATION THIS FIREWALL OPENVPN. Du kannst auch einen weiteren ALIAS anlegen PUB_SERVICEPORTS
in den du OPENVPN/HTTPS/SSH legst. Dann brauchst du nur eine Regel für eingehenden Traffic.

Das könnte eine gute Idee sein - außer wenn da wer aus den USA drauf muss (zum Beispiel weil man ne große Datei nicht per Mail verschicken will). Muss man halt selber wissen was man braucht.

Für den Zugriff ins Internet legst du auf dem jeweiligen Interface (WLAN/LAN) je eine Regel an wie ich zuvor schrieb HIGHPORTS auf ALLOWEDPORTS an. Nur IPV4 TCP/UDP.
Wenn du Hosts im Internet Pingen musst, kannst du eine weitere Regel anlgegen IPv4 ICMP ECHO REQUEST.

Bei allem außer ICMP: IPv4+IPv6.
Bei ICMP: 2 separate Regeln für IPv4 und IPv6 oder vorerst nur IPv4

Pingen dürfen die Kinder immer ;-)

Da gibts schon theoretisch schon einen VPN an der Firewall vorbei

Ich hab jedoch zusätzlich den Traffic über ein VPN ausgehend gerouted, da ich jetzt schon Sorgen hab wenn "Kumpels" Tablets/Laptops mitbringen das sie mir nicht irgendwelche Torrents o.ä. über die Leitung saugen und damit rechtliche Probleme ins Haus holen. Das fängt ja heute schon bei Streamingportalen an.

* Nicht vertrauenswürdige Geräte kommen nicht is (W-)LAN
* Der Zwangsproxy sollte das verhindern - notfalls mit Whitelist-Ansatz wenn man nur 80,443 raus lässt und das auch nur gefiltert.
* Es gibt bald ein Tor-Plugin von mir

[Thargor]

Wieso legst du die Regeln als Floating an?
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.

Moin

ich habe in den Floating  Regeln nichts aktiviert. Sieht vielleicht auf dem Bild etwas anders aus, Floating ist grau hinterlegt, das sind bis jetzt die reinen LAN bzw. WLAN Regeln.

Ansonsten werde ich mir mal deine Vorschläge in Ruhe anschauen und auch versuchen umzusetzen.
Das sieht auch schon so aus wie ich das auf Dauer haben will.

Kämen dann "nur" noch die VLANs hinzu.

Aber erstmal einen Schritt nach dem anderen.

Was mich überrascht hat ist, das der Unbound DNS viele Werbung auf dem LAN und WLAN wegblockt. Hab das nach dem Anleitungsvorschlag von fabian gemacht!

Das lässt sich relativ einfach testen: Handy ist nicht im WLAN und dann probierst du eine VPN-Verbindung aufzubauen. Verbessern lässt sich das ganze noch, wenn du unter Paketaufzeichnung aktivierst und schaust, ob was ankommt. Damit klärst du beide Fragen auf einmal.

D.h. das ich z.b über das Handy Netz (LTE what ever) eine OpenVPN Verbindung aufbauen muss.

Einen OpenVPN Client müsste ich dann auf dem Handy einrichten, den Server auf der OPNSense, richtig?

Die Siemens S7 braucht glaub ich Port 102



Und Vielen Dank an euch beiden! Ihr helft mir da echt weiter :) :)

[fabian]

D.h. das ich z.b über das Handy Netz (LTE what ever) eine OpenVPN Verbindung aufbauen muss.

Einen OpenVPN Client müsste ich dann auf dem Handy einrichten, den Server auf der OPNSense, richtig?

Ja, das ist richtig.

[NilsS]

@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

das mit dem Tunnel über ICMP ist richtig, macht aber auch keinen unterschied, denn es geht ja auch über Tor/SSL VPN weiter nach draußen. Erfüllt dann auch den gleichen Zweck. Wenn meine Kinder so weit sind (Hut ab)
Ich tippe mal darauf das du keine Kinder hast, denn sonst wirst du schnell merken das das ich blocke mal alles was nicht whitelisted ist, schnell regelmäßig zu Familienkrisen führen wird.
Dein Ratschlag am Ende, das ein Tor Plugin von dir bald kommt, kann ich in diesem Zusammenhang fast nur als Ratschlag an seine Kinder sehen ;-)
[OT] Du bist dir hoffentlich bei der Implementierung des Tor Plugins auch über die Konsequenzen bewusst. Ein System was sich Zwecks Anonymisierung auf Tor verlässt (sprich klick mal schnell und anonym) ist da schnell für Leute in unterdrückten Regime ein Todesurteil. Wenn ein System Tor verwendet sollte es auch dafür sorgen das kein Traffic der den Nutzer verraten kann das normale Netzwerk verlässt.

@Thargor
das mit den Floating Regeln hab ich wie du schon erkannt hast falsch interpretiert. Ich habe mehr Interfaces (Aufgrund der VLANs) sodass ich zur Auswahl ein Dropdown Feld anstelle der Tabs habe.

Schränke die Kinder nicht zu sehr ein, sonst bist du da ständig am rumbasteln und wird die Kinder (wenn sie ein gewisses Alter erreicht haben) dazu bringen sich damit auseinander zu setzen wie sie das umgehen können.

Ich filtere lediglich die IP Blocks von AS32934 (Facebook) mit einer reject Regel, weil ich diese Facebook Ausspioniererei hasse.
Auf der pfSense hatte ich mal eine Adblock IP List, die habe ich dann aber auch wieder rausgenommen, weil einfach diverse Dinge nicht funktionieren.

Als Firma oder wenn sich zu Hause darüber alle einer Meinung sind, dann kann man so restrictive Regeln setzen. Aber bei oben genannten Regeln wird es Probleme mit Onlinespielen,Skype und auch diversen anderen Dingen geben.
Das könnte dann auch deine Frau nicht so akzeptabel finden.

bzgl. OpenVPN auf dem Handy.
Wie hattest du denn vor den Fernzugriff zu nutzen?
Hat die S7 auch eine Visualisierung oder willst du nur die Fernwartung mit einem Programm nutzen.
Trotzdem kannst du mit dem Handy erstmal die OpenVPN Funktionalität prüfen.

Ich würde dir empfehlen den OpenVPN Server zertifikatsbasiert aufzubauen. Nutze für Remotezugriffe wenn möglich niemals Passworte.

Anschließend musst du auf dem OpenVPN Interface noch Regeln für den Zugriff auf die S7 und gegebenenfalls auch für den Zugriff aufs Internet erstellen.

Letzere sind eine recht gute Möglichkeit z.B. ein ungeschüztes offenes WLAN zu nutzen und deinen Traffic des Handys verschlüsselt über deinen Internet Zugang zu schicken.

Das Stichwort dafür heißt im OpenVPN Server Redirect Gateway.
Wenn du Telekom Kunde bist, willst du vielleicht in den erweiterten Einstellungen dann noch
push "route 109.237.176.33 255.255.255.255 net_gateway";
eintragen. Dann kannst du auf pass.telekom.de zugreifen um deinen Traffic weiterhin einzusehen oder nachzubuchen.

Das waren jetzt warscheinlich ein bisschen viele Infos auf einmal, aber wie gesagt. Ich werde meine Konfig nachher gerne ein wenig teilen, wenn du bis dahin Geduld hast.

[fabian]

@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.

Ist noch gar nicht so lange her, dass ich eine größere Bilddatei an einen Forenuser dort so verschickt habe.

IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

Wenn privacy extensions aktiv sind, wird eine zufällige IP-Adresse aus IPv6-Netz gewählt.
Die kann sich durchaus ein einer Session ändern.
Wenn die auf Basis der IP tracken, wird denen vermutlich der Storage in die Knie gehen und wenn auf Subnetzbasis getrackt wird, dann hast du den gleichen Fall wie IPv4 (Netzwerk hinter NAT). Unter Windows (derzeit dominierendes Desktopsystem) sind die privacy extensions standardmäßig aktiv, unter Linux ist es in der Regel auch nicht schwer, die einzuschalten.
Ohne privacy extensions sieht das so aus, das der hintere Teil aus der Hardware-Adresse abgeleitet wird - also im Ethernet die MAC-Adresse. Anhand der könnte man ja über Netzwerke getrackt werden - und genau das war der Grund, warum IPv6 privacy extensions hat. Fürs tracking werden in der Regel andere Dinge als die IP verwendet, da sich diese Nicht mit dem mobilen Markt vertägt (Handys sind hinter CGN + regelmäßige IP-Änderungen): https://panopticlick.eff.org/

das mit dem Tunnel über ICMP ist richtig, macht aber auch keinen unterschied, denn es geht ja auch über Tor/SSL VPN weiter nach draußen. Erfüllt dann auch den gleichen Zweck. Wenn meine Kinder so weit sind (Hut ab)

Doch das macht einen Unterschied: Deine Firewall wird so umgangen - die Regeln können nicht mehr durchgesetzt werden und es lässt sich zum Beispiel jede Webseite öffnen - auch wenn du sie eigentlich blockierst.

Ich tippe mal darauf das du keine Kinder hast, denn sonst wirst du schnell merken das das ich blocke mal alles was nicht whitelisted ist, schnell regelmäßig zu Familienkrisen führen wird.

Gut geraten - ich hab Informationssicherheit studiert - entsprechend sehen meine Empfehlungen aus - ob du sie Umsetzt bleibt natürlich dir überlassen.

Dein Ratschlag am Ende, das ein Tor Plugin von dir bald kommt, kann ich in diesem Zusammenhang fast nur als Ratschlag an seine Kinder sehen ;-)
[OT] Du bist dir hoffentlich bei der Implementierung des Tor Plugins auch über die Konsequenzen bewusst. Ein System was sich Zwecks Anonymisierung auf Tor verlässt (sprich klick mal schnell und anonym) ist da schnell für Leute in unterdrückten Regime ein Todesurteil. Wenn ein System Tor verwendet sollte es auch dafür sorgen das kein Traffic der den Nutzer verraten kann das normale Netzwerk verlässt.

Das sollte sich sogar einrichten lassen (Tor als transparenter Proxy - ist eine advanced Option). Macht aber Probleme mit UDP-Datenverkehr weil dieser mit Ausnahme von DNS nicht über Tor geleitet werden kann. Ist alles eine Sache der Firewallkonfiguration.
BTW: In solchen Ländern ist übrigens auch die Nutzung von Tor in der Regel illegal - da reicht es schon den Service zu starten.

[NilsS]

[OT]für das UDP Problem kann man ein free VPN über Tor nutzen und den Traffic darüber lenken

aber auch da wirst du mit IPv6 dann wieder auf besagtes Problem stoßen.

[Thargor]

@fabian
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund

@Thargor
das mit den Floating Regeln hab ich wie du schon erkannt hast falsch interpretiert. Ich habe mehr Interfaces (Aufgrund der VLANs) sodass ich zur Auswahl ein Dropdown Feld anstelle der Tabs habe.

Schränke die Kinder nicht zu sehr ein, sonst bist du da ständig am rumbasteln und wird die Kinder (wenn sie ein gewisses Alter erreicht haben) dazu bringen sich damit auseinander zu setzen wie sie das umgehen können.


Ich filtere lediglich die IP Blocks von AS32934 (Facebook) mit einer reject Regel, weil ich diese Facebook Ausspioniererei hasse.
Auf der pfSense hatte ich mal eine Adblock IP List, die habe ich dann aber auch wieder rausgenommen, weil einfach diverse Dinge nicht funktionieren.
Als Firma oder wenn sich zu Hause darüber alle einer Meinung sind, dann kann man so restrictive Regeln setzen. Aber bei oben genannten Regeln wird es Probleme mit Onlinespielen,Skype und auch diversen anderen Dingen geben.
Das könnte dann auch deine Frau nicht so akzeptabel finden.

Noch habe ich gar nichts blockiert bis auf das was oben angegeben sind. Ich bereite mich erstmal nur darauf vor :-)
Facebook ist für mich und meine Frau eh kein Thema, und bis meine Große soweit ist, dauert es noch bissl. Trotzdem ein wichtiges Thema, das nicht außer Acht gelassen werden sollte.
Online Spiele kommen derzeit auch nur für mich in Frage  :P

bzgl. OpenVPN auf dem Handy.
Wie hattest du denn vor den Fernzugriff zu nutzen?
Hat die S7 auch eine Visualisierung oder willst du nur die Fernwartung mit einem Programm nutzen.
Trotzdem kannst du mit dem Handy erstmal die OpenVPN Funktionalität prüfen.

Ich würde dir empfehlen den OpenVPN Server zertifikatsbasiert aufzubauen. Nutze für Remotezugriffe wenn möglich niemals Passworte.

Anschließend musst du auf dem OpenVPN Interface noch Regeln für den Zugriff auf die S7 und gegebenenfalls auch für den Zugriff aufs Internet erstellen.

Letzere sind eine recht gute Möglichkeit z.B. ein ungeschüztes offenes WLAN zu nutzen und deinen Traffic des Handys verschlüsselt über deinen Internet Zugang zu schicken.

Das Stichwort dafür heißt im OpenVPN Server Redirect Gateway.
Wenn du Telekom Kunde bist, willst du vielleicht in den erweiterten Einstellungen dann noch
push "route 109.237.176.33 255.255.255.255 net_gateway";
eintragen. Dann kannst du auf pass.telekom.de zugreifen um deinen Traffic weiterhin einzusehen oder nachzubuchen.

Das waren jetzt warscheinlich ein bisschen viele Infos auf einmal, aber wie gesagt. Ich werde meine Konfig nachher gerne ein wenig teilen, wenn du bis dahin Geduld hast.

Es derzeit keine Visu für die S7 vorhanden, was aber nicht ist, kann ja noch werden.
Geplant ist ein Fernzugriff a] über einen Laptop mit TIA Portal installiert, sowie b) ein kleines HMI Tool für Android, nennt sich HMI Droid, was auf meinem Samsung S7 laufen soll.

[NilsS]

Facebook ist für mich und meine Frau eh kein Thema,

Ich meine nicht den aktiven Zugriff darauf, sondern die Like Buttons die überall umherschwirren und auch ohne das du Mitglied bei FB bist dafür sorgen das dein Profil sich füllt.


bzgl Visu. openhab könnte da evtl. was sein. kenn mich nicht mit S7 aus aber ein Binding gibt es dafür anscheinend.

[fabian]

Ich meine nicht den aktiven Zugriff darauf, sondern die Like Buttons die überall umherschwirren und auch ohne das du Mitglied bei FB bist dafür sorgen das dein Profil sich füllt.

Du kannst via Proxy auch nur die social plugins blockieren. Dann kanst du die Seite noch regular verwenden. Braucht dann aber schon relativ viel Wissen im Web-Bereich - zudem müsstest du HTTPS aufbrechen was nicht allen hier gefällt (absolutes Streitthema).

[NilsS]

zudem müsstest du HTTPS aufbrechen was nicht allen hier gefällt (absolutes Streitthema).

yep, genau das würde ich auf jeden Fall vermeiden wollen. Macht das ohnehin schon ein wenig kaputte PKI Model noch ein wenig kaputter. Außerdem Probleme bei Cert Pinning was dann bei Facebook auch schon in den meisten Browsern zum Problem werden sollte.
EDIT: wir schweifen ein klein wenig vom Thema ab ;-)

[Thargor]

Hi

genau nicht am Thema vorbei reden...  :P

Frage zu den Regeln weiter oben:

- was soll/muss da noch rein
- reicht das so vorerst aus?

Wenn ich dann einen Webproxy einrichte, mit White/Blacklist, muss ich ja an jedem Handy und PC die Proxyadresse einstellen.

Was ist mit diversen andren LAN Teilnehmer, wie eine GigaBlue SAT Receiver, mein Yamaha AVR, mein NAS System etc.

Den müsste ich das ebenfalls mitteilen korrekt?