Lokale Subnetze für VLANs unterbinden

Mitglied: fnbalu

fnbalu (Level 1) - Jetzt verbinden

13.04.2021 um 15:37 Uhr, 790 Aufrufe, 14 Kommentare

Hallo zusammen,

die letzten Tage hatte ich vor mein Netzwerk über die pfSense weiter abzusichern, indem ich die "Gäste" gegenüber den anderen Subnetzen sperre, bin dabei aber über das Ziel hinaus geschossen und musste die Regel erstmal deaktivieren, da nun auch kein Internet mehr ging.


Zur Firewall:
192.168.1.0/24 Standard privates Subnet
192.168.10.0/24 Freundenetzwerk
192.168.20.0/24 Gastnetzwerk
192.168.30.0/24 Freundenetzwerk erweitert
192.168.40.0/24 IoT

192.168.100.1 vorgelagerter Speedportmüll (geht leider aktuell nicht anders durch Hybrid)


Das private Netzwerk darf überall hin und die anderen Subnetze sollen gegeneinder und zum Heimnetz abgeschottet sein.

Bisher hatte ich dort beispielsweise ganz oben in den Regeln jeweils beispielshaft "Deny; Source VLAN 10 net; Destination VLAN 30 net; Port any; Protocol any
Das als Beispiel und jeweils in den Subnetzen 4 Regeln. 192.168.10.0 war damit auf 1.0, 20.0, 30.0, 40.0 gesperrt. Die anderen Subnetze analog dazu.

Im lokalen Netz hatte ich die Router Netzwerke verboten indem 100.0/24 verboten habe, dies davor jedoch für 2 Admin Clients erlaubt habe.



Nun ist mir mal aufgefallen, bzw hätte es auch klar sein müssen, dass aus den anderen ich nenne sie mal Gästenetzwerken immer die GUI des vorgelagerten Routers sichtbar ist.
Bei mir eigentlich weniger interessant, da die weniger Nutzer mit Sicherheit nicht Subnetübergreifend scannen würden, wenn überhaupt.
Mir geht es da aber um die Sache an sich und dem Lerneffekt.

Also war mein letzter gescheiterter Versuch, dass ich die Einzelregeln gegeneinander entfernt habe.
Stattdesse habe ich ein Alias erstellt indem ich die privaten Subnetze definiert habe 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
Dann um beim Beispiel Vlan 10 zu bleiben: Deny, Source VLAN 10 net; Destination (Alias Subnets), any, any

Das Ende vom Lied war es gab auch kein Internet mehr.

Ziel war ja die Subnetze gegeneinander abzuschotten und mögliche Erweiterungen nicht jeweils einzeln editieren zu müssen, sondern jeweils schon abgeschaltet zu haben.

Hätte da jetzt vor der Regel jeweils eine Pass Regel zu der pfsense selbst stehen müssen, da ich mir so auch den Zugriff zur pfSense als Router verwehre?
Mitglied: Spirit-of-Eli
13.04.2021 um 16:43 Uhr
Moin,

du kannst einen Alias für dir RFC1918er Netze anlegen und diese Blocken. Dann geht das nicht mehr.

Gruß
Spirit
Bitte warten ..
Mitglied: Tezzla
13.04.2021 um 16:45 Uhr
Zitat von @fnbalu:
Stattdesse habe ich ein Alias erstellt indem ich die privaten Subnetze definiert habe 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

Hätte da jetzt vor der Regel jeweils eine Pass Regel zu der pfsense selbst stehen müssen, da ich mir so auch den Zugriff zur pfSense als Router verwehre?

Wie du schon selbst vermutest, bewirkt das Deny auf die RFC1918 Adressen das Aussperren. Dein Speedport kommt ja auch aus dem Bereich, ebenso die Firewall.

Die Lösung dazu hast du ja auch schon vorgeschlagen :-) face-smile
Bitte warten ..
Mitglied: fnbalu
13.04.2021 um 18:45 Uhr
Aber nur eine Pass Regel zur pf Sense, sprich Router IP?
Und die lässt dann, da es durch die Firewall muss die RFC1918 doch wieder zu?

Ansonsten würden man ja immer noch an die GUI des Speedport kommen und ich wäre genauso weit.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.04.2021 um 21:31 Uhr
Du musst halt zusätzlich auch Dienste, welche von der Sense selbst bereitgestellt werden, freigeben. Das passiert über eine allow Regel vor der block Regel.
Z.b. DNS.
Bitte warten ..
Mitglied: fnbalu
13.04.2021 um 22:33 Uhr
Also wie die Lockout Regel im Hauptnetz?
Bitte warten ..
Mitglied: Spirit-of-Eli
14.04.2021 um 08:10 Uhr
Ja. Dein Ziel lässt sich nicht vollständig mit einer Regel erreichen.
Bitte warten ..
Mitglied: aqui
14.04.2021, aktualisiert um 13:17 Uhr
Das Ende vom Lied war es gab auch kein Internet mehr.
Klassischer Anfängerfehler und auch nicht nachgedacht das das laienhafte "kein Internet" in Wahrheit nur kein DNS bedeutet, denn mit der Regel hast du auch den DNS Server Zugang deinen Clients in den VLANs gekappt über die pfSense so das du keine Namen mehr auflösen kannst.
Wenn du etwas intelligent nachgedacht hättest und im Diagnostics menü der pfSense einmal einben Ping auf eine Internet IP wie die 8.8.8.8 mit Absender IP WAN und lokale Interfaces gemacht hättest, hättest du gesehen das "das Internet" sehr wohl noch rennt du nur keine Hostnamen auflösen kannst.
Solche Banalitäten sollte man aber als Netzwerk Profi wie du es bist leicht erkennen können !
Fazit:
Es gilt immer "First match wins !" Reihenfolge zählt also !
Zuerst lässt du dann also immer UDP/TCP 53 zu aus dem jeweiligen Netz auf deine DNS Server IP, DANN kannst du deine Schrotschuss ACL drauf loslassen.
Es gibt viele Möglichkeiten mit dem Regelwerk sparsam umzugehen.
1.)
Intelligent subnetten ! Z.B.
Private Netze in den Bereich 192.168.0.0 bis 192.168.63.0 legen und alle Freundes- und öffentlichen Netze in die Netze: 192.168.64.0 bis 192.168.127.0
Dann reicht ein Filter der alle Netze 192.168.64.0 mit einer 18 Bit Maske 255.255.192.0 blockiert. Mit intelligentem Subnetting kann man sich zig unnütze Blocking Regeln ersparen.
2.)
Aliase erstellen wie du es auch schon gemacht hast. Die Speedport IP .100.1 ebenso dort mit aufnehmen, dann können Gäste, Freunde das GUI auch nicht erreichen
3.)
Kein DNS kappen ! Dann kann "dein Internet" natürlich nicht klappen und zum Troubleshooting immer primär das Ping, Traceroute und DNS Diagnostic Menü der pfSense nutzen !! Klappt es da weisst du sicher das der rest immer ein reines Client Problem ist.
Fazit: Strukturiert und strategisch vorgehen beim Troubleshooting !
Bitte warten ..
Mitglied: fnbalu
14.04.2021 um 16:34 Uhr
Der DNS ist ja in erster Linie die pfSense selbst.
So könnte man die Clients ja auch darauf festnageln und alles zwingend über pfblocker e.t.c. leiten und entsprechend filtern.

Bei 2 erwähnst Du, die Speedport IP mit ins Alias aufnehmen.
Wenn ich mit der Gieskanne 100.0/24 mit erschlagen habe, braucht es das doch nicht, oder?

Ich verstehe es so, dass meine Deny all Regel funktioniert hätte, wenn ich vorweg Port 53 zur pfSense durchgelassen hätte.
Auch wenn beispielsweise der DNS vom Provider genutzt worden wäre, ginge das.
Der Client selbst darf nicht anfragen, da geblockt. Läuft es aber über die pfSense, ist es erlaubt.


Netzwerk Profi 🙈
Dass ich das nicht bin, weiß ich selbst. Gehobenes Laienwissen ist es vielleicht.
Das ist ja sogar ein Lehrberuf. Das ist schwer auf eine Ebene zu kommen.

Was ich mir unbedingt ansehen muss ist das Diagnostic Menü.
Das hatte ich bisher nie genutzt.
In dem Fall verband ich mich ins andere W-Lan. Handy zeigte kurz das Ausrufezeichen wegen fehlendem Internet, aber dann ging es.
In Wahrheit tat es das wohl nicht und es wurde LTE genutzt.
Aus Fehlern sollte man lernen.
Bitte warten ..
Mitglied: aqui
15.04.2021 um 15:49 Uhr
So könnte man die Clients ja auch darauf festnageln
Richtig. Noch besser AdGuard Home auf RasPi: https://github.com/AdguardTeam/AdGuardHome 😉
Wenn ich mit der Gieskanne 100.0/24 mit erschlagen habe, braucht es das doch nicht, oder?
Absolut richtig !
dass meine Deny all Regel funktioniert hätte, wenn ich vorweg Port 53 zur pfSense durchgelassen hätte.
Davon ist auszugehen !
Viele verwechseln leider "das Internet" immer auch mit einem nicht funktionierenden DNS. Deshalb ist es immer sinnvoll eine nackte Internet IP wie z.B. die 8.8.8.8 mal zu pingen BEVOR man sagt "das Internet" geht nicht. 😉
Was ich mir unbedingt ansehen muss ist das Diagnostic Menü.
Absolut !!!
Immer die allererste Adresse wenn es ums Troubleshooting geht !!!
Das hatte ich bisher nie genutzt.
Ein großer Fehler wie du siehst ! Genau deshalb gibt es dieses sehr sinnvolle Menü !
Aus Fehlern sollte man lernen.
Weise Worte die immer wieder gültig sind....! 😉
Bitte warten ..
Mitglied: fnbalu
16.04.2021 um 06:23 Uhr
Adguard Home habe ich noch gar nicht gehört.
Pi-Hole schon.

Bisher habe ich solch ein schauen noch gar nicht.
Jedoch wollte ich das zusätzliche System vermeiden.

Bevor ein Pi, würde ich es virtualisieren.

Lieber jedoch direkt auf der pfSense.

Ist davon eher abzuraten?
Bitte warten ..
Mitglied: aqui
16.04.2021 um 12:42 Uhr
Nein, beides ist OK.
Bitte warten ..
Mitglied: fnbalu
16.04.2021 um 15:15 Uhr
Wobei man natürlich Adguard virtualisieren kann und als zweiten DNS direkt google e.t.c.
Sollte System 2 mit dem Blocker ausfallen, geht's immerhin noch weiter
Bitte warten ..
Mitglied: Spirit-of-Eli
16.04.2021 um 15:23 Uhr
Zitat von @fnbalu:

Wobei man natürlich Adguard virtualisieren kann und als zweiten DNS direkt google e.t.c.
Sollte System 2 mit dem Blocker ausfallen, geht's immerhin noch weiter

Naja, Windows wird dann random mal den ersten und mal den zweiten DNS Server fragen.
Bitte warten ..
Mitglied: fnbalu
16.04.2021 um 16:28 Uhr
Der zweite wird auch über die pfSense für die Clients mitgeliefert. Würde der interne der pfSense, der auf den Blocker zeigt ausfallen, würde ja ein Standard DNS weiter helfen
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 1 TagFrageLinux Netzwerk53 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 23 StundenFrageNetzwerke10 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 16 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 11 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Drucker und Scanner
Erfahrungen mit Triumph-Adler
gelöst IT-SpitzbubeVor 6 StundenFrageDrucker und Scanner16 Kommentare

Hi, hat jemand von Euch bereits Erfahrungen mit Triumph-Adler im Zusammenhang mit MFPs gemacht. Wenn ja schaut Ihr hierauf positiv oder negativ zurück. Lieben ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 1 TagFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...