hell.wien
Goto Top

Netzwerksicherheit pfSense

Ich habe jetzt seit Monaten ohne Probleme meine pfSense am laufen.
Habe einige VLANs angelegt um gewisse Geräte und Dienste zu trennen, so weit so gut.

Aber immer häufiger stell ich mir die frage wie kann ich das Routing zwischen den VLANs SICHER gestallten.

Teilweise habe ich wieder zb: Das VLAN (WIFI-Privat) wieder komplett öffnen müssen weil ich auf ein NAS oder irgend ein Gerät zugreifen muss...

Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
So das ich unter Rules mein Handy auswählen kann und nich ganze Netzwerke aufmachen muss?

Und Generell was haltet ihr am sichersten:

Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?

Content-Key: 1355259864

Url: https://administrator.de/contentid/1355259864

Printed on: March 2, 2024 at 17:03 o'clock

Mitglied: 90948
90948 Oct 07, 2021 updated at 05:59:26 (UTC)
Goto Top
Hi,

Generell bei Firewall Regeln gilt: Nur zulassen was nötig ist. Heißt in deinem Fall Zugriff nur auf die notwendigen Ports zu lassen (TCP 80,443 usw.) Welcher Port genutzt wird kannst du im Internet und/oder im Handbuch deines NAS raussuchen, ggf. auch in den Verbindungsdetails in der pfSense nachlesen.

Externen Zugriff würde ich wenn es möglich ist nur über VPN machen egal ob OpenVPN oder Wireguard. Sollte es notwendig sein, deine Dienste ohne VPN erreichbar zu machen, dann unbedingt in eine DMZ und wieder die FW-Regeln expliziert auf die Ports beschränken, welche du brauchst. Ebenso ein ReverseProxy wie nginx und ggf. ein IDS/IPS System einrichten. Alles bietet die pfSense. @aqui hat da sehr gute und detaillierte Anleitungen.

SSL auf den Webdiensten ist sowieso ein muss. Ansonsten kann jeder ohne große Kenntnisse ganz leicht deine Zugangsdaten zu den Servern rausfinden.

Gruß
Member: BirdyB
BirdyB Oct 07, 2021 at 06:02:47 (UTC)
Goto Top
Moin,

das erste was dir scheinbar fehlt ist ein Mindestmaß an Höflichkeit... Für ein einfaches "Hallo", "Moin", "Tach" sollte es schon reichen.
Zitat von @hell.wien:

Ich habe jetzt seit Monaten ohne Probleme meine pfSense am laufen.
Habe einige VLANs angelegt um gewisse Geräte und Dienste zu trennen, so weit so gut.
Ok
Aber immer häufiger stell ich mir die frage wie kann ich das Routing zwischen den VLANs SICHER gestallten.
Was ist denn für dich sicher? Was möchtest du erreichen?
Teilweise habe ich wieder zb: Das VLAN (WIFI-Privat) wieder komplett öffnen müssen weil ich auf ein NAS oder irgend ein Gerät zugreifen muss...
Das spricht für eklatante Fehler in deinem Konzept
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
So das ich unter Rules mein Handy auswählen kann und nich ganze Netzwerke aufmachen muss?
Allein diese Frage spricht auch wieder gegen ein klares Konzept. Dafür gibt es dann eigentlich ein VLAN wo nur die Clients reinkommen, die auch auf das NAS dürfen. Aber wenn du unbedingt die Chaoslösung bevorzugst:
DHCP-Reservierung ist dein Stichwort
Und Generell was haltet ihr am sichersten:

Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
https über VPN wäre meine Wahl.

VG
Member: commodity
commodity Oct 07, 2021 at 09:45:14 (UTC)
Goto Top
Zitat von @BirdyB:
das erste was dir scheinbar fehlt ist ein Mindestmaß an Höflichkeit...
+1

Ansonsten: Steht alles wirklich prima dokumentiert bei Netgate. Nimm Dir Zeit. Du musst es verstehen, sonst ist die pfsense im günstigsten Fall nutzlos, in ungünstigen Fällen eine Gefahr.
Zumindest ist ja der Zustand Deines Netzes mit ein paar intern offenen VLANs nicht schlechter als mit nem Consumer-Router face-wink

Zitat von @hell.wien:
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
ja
Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
Du meinst Admin-Zugriff, oder? Ansonsten steht der Dienst natürlich offen in der DMZ. Das ist ja der Sinn sowohl eines Webdienstes als auch einer DMZ.
Admin-Zugang (Konsole) über SSH mit Zertifikat oder (grafisch) über VPN. Ich mache auch SSH über VPN, weil ich es sowieso habe.

Viele Grüße, commodity
Member: hell.wien
hell.wien Oct 07, 2021 at 12:41:51 (UTC)
Goto Top
Hallo face-smile Sorry war gestern sehr gefrustet! Tut mir leid.
Zitat von @90948:

Hi,

Generell bei Firewall Regeln gilt: Nur zulassen was nötig ist. Heißt in deinem Fall Zugriff nur auf die notwendigen Ports zu lassen (TCP 80,443 usw.) Welcher Port genutzt wird kannst du im Internet und/oder im Handbuch deines NAS raussuchen, ggf. auch in den Verbindungsdetails in der pfSense nachlesen.

Ok muss ich mich einlesen welcher Dienst welchen Port benutzt.
Was meinst du mit Verbindungsdetails in der pfSense? Wo find ich die?
Wenn ich irgendwo sehen würde welche Ports versuchen zwischen den Hosts zu Connecten würde mir das schon sehr helfen das ganze zu Verstehen. Im moment ist es mehr so trial & error Prinzip.
Externen Zugriff würde ich wenn es möglich ist nur über VPN machen egal ob OpenVPN oder Wireguard. Sollte es notwendig sein, deine Dienste ohne VPN erreichbar zu machen, dann unbedingt in eine DMZ und wieder die FW-Regeln expliziert auf die Ports beschränken, welche du brauchst. Ebenso ein ReverseProxy wie nginx und ggf. ein IDS/IPS System einrichten. Alles bietet die pfSense. @aqui hat da sehr gute und detaillierte Anleitungen.

So habe ich es im moment.
In einer DMZ läuft eine VM mit Debian-Core, Portainer, NGINX Proxy Manager um eine Vaultwarden Instanz laufen zu lassen. Funktioniert echt gut,.... Trotz 2-FA hab ich so ein mulmiges Gefühl.
Am liebsten würde ich es nur Intern laufen lassen und von extern via WireGuard erreichen, aber ich will keine SelfSigned Zertifikate verwenden.
Gibt es hier eine möglichkeit?
SSL auf den Webdiensten ist sowieso ein muss. Ansonsten kann jeder ohne große Kenntnisse ganz leicht deine Zugangsdaten zu den Servern rausfinden.

Hab ich auch so umgesetzt.
Gruß



Zitat von @commodity:

Zitat von @BirdyB:
das erste was dir scheinbar fehlt ist ein Mindestmaß an Höflichkeit...
+1
Nochmals Sorry! Hallo face-smile

Ansonsten: Steht alles wirklich prima dokumentiert bei Netgate. Nimm Dir Zeit. Du musst es verstehen, sonst ist die pfsense im günstigsten Fall nutzlos, in ungünstigen Fällen eine Gefahr.
Zumindest ist ja der Zustand Deines Netzes mit ein paar intern offenen VLANs nicht schlechter als mit nem Consumer-Router face-wink

Thats right, bei Gäste WLAN und Cloud basierten IOT-Geräten (Kühlschrank etc..) habe ich das auch mit Regeln sehr gut umsetzen können.
Aber meine Problemkinder:
Ich habe ein ioBroker Instant laufen (VLAN20) und mein Privates Wlan (VLAN200).
  • Versteh nicht wie ich die Netzwerkübergreifende Kommunikation anstellen soll
  • Hab mal was von Avahi mDNS aufgeschnappt? Ist das der richtige weg?
Sowie ein NAS in VLAN40 (Openmediavault, wobei ich gerade am Überlegen bin nicht auf Nextcloud zu wechseln, stellt auch einen Passwort Manager zu Verfügung.
  • Wenn ich zuhause bin greife ich von WLAN (VLAN200) auf SMB NFS Freigaben zu. Also soll ich nur die Ports (ich glaube: 139, 445) zwischen den beiden VLANs freigeben? <- Nur ein Beispiel face-smile
Zitat von @hell.wien:
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
ja
Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
Du meinst Admin-Zugriff, oder? Ansonsten steht der Dienst natürlich offen in der DMZ. Das ist ja der Sinn sowohl eines Webdienstes als auch einer DMZ.
Admin-Zugang (Konsole) über SSH mit Zertifikat oder (grafisch) über VPN. Ich mache auch SSH über VPN, weil ich es sowieso habe.

Mein Proxmox Host, und andere Geräte Admin GUIs sind in einem extra Admin VLAN und nur Lokal zu erreichen.
SSH habe ich nur Intern.
Viele Grüße, commodity



Zitat von @BirdyB:

Moin,

das erste was dir scheinbar fehlt ist ein Mindestmaß an Höflichkeit... Für ein einfaches "Hallo", "Moin", "Tach" sollte es schon reichen.
Zitat von @hell.wien:

Ich habe jetzt seit Monaten ohne Probleme meine pfSense am laufen.
Habe einige VLANs angelegt um gewisse Geräte und Dienste zu trennen, so weit so gut.
Ok
Aber immer häufiger stell ich mir die frage wie kann ich das Routing zwischen den VLANs SICHER gestallten.
Was ist denn für dich sicher? Was möchtest du erreichen?
Teilweise habe ich wieder zb: Das VLAN (WIFI-Privat) wieder komplett öffnen müssen weil ich auf ein NAS oder irgend ein Gerät zugreifen muss...
Das spricht für eklatante Fehler in deinem Konzept
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
So das ich unter Rules mein Handy auswählen kann und nich ganze Netzwerke aufmachen muss?
Allein diese Frage spricht auch wieder gegen ein klares Konzept. Dafür gibt es dann eigentlich ein VLAN wo nur die Clients reinkommen, die auch auf das NAS dürfen. Aber wenn du unbedingt die Chaoslösung bevorzugst:
DHCP-Reservierung ist dein Stichwort
Ich will zwischen den VLANs eh mit Regeln arbeiten, aber nicht für ganze Netzwerke sondern für 2-4 Geräte zusätzlich beschränken. Sollte mal das WLAN kompromittiert sein, das NUR meine Geräte (MAC-Addr?) zugriff auf andere Dienste haben.
Und Generell was haltet ihr am sichersten:

Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
https über VPN wäre meine Wahl.

Das geht? Das klingt nach der Perfekten Lösung face-smile Oder meinst du mit SelfSigned Zertifikaten die ich überall hinterlegen muss?
VG
Member: BirdyB
BirdyB Oct 07, 2021 at 12:57:15 (UTC)
Goto Top
Zitat von @hell.wien:

Hallo face-smile Sorry war gestern sehr gefrustet! Tut mir leid.
Alles gut... Ich freue mich nur einfach wenn es ein kleines Grußwort zu Anfang gibt.
Ich habe jetzt seit Monaten ohne Probleme meine pfSense am laufen.
Habe einige VLANs angelegt um gewisse Geräte und Dienste zu trennen, so weit so gut.
Ok
Aber immer häufiger stell ich mir die frage wie kann ich das Routing zwischen den VLANs SICHER gestallten.
Was ist denn für dich sicher? Was möchtest du erreichen?
Teilweise habe ich wieder zb: Das VLAN (WIFI-Privat) wieder komplett öffnen müssen weil ich auf ein NAS oder irgend ein Gerät zugreifen muss...
Das spricht für eklatante Fehler in deinem Konzept
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
So das ich unter Rules mein Handy auswählen kann und nich ganze Netzwerke aufmachen muss?
Allein diese Frage spricht auch wieder gegen ein klares Konzept. Dafür gibt es dann eigentlich ein VLAN wo nur die Clients reinkommen, die auch auf das NAS dürfen. Aber wenn du unbedingt die Chaoslösung bevorzugst:
DHCP-Reservierung ist dein Stichwort
Ich will zwischen den VLANs eh mit Regeln arbeiten, aber nicht für ganze Netzwerke sondern für 2-4 Geräte zusätzlich beschränken. Sollte mal das WLAN kompromittiert sein, das NUR meine Geräte (MAC-Addr?) zugriff auf andere Dienste haben.
Dass dein WLAN kompromittiert wird ist eher unwahrscheinlich und das Einschränken auf MAC-Adressen lässt sich mit einem Handstreich umgehen. Das wird dir so nichts bringen. Erstell dir am besten eine SSID für deine vertrauenswürdigen Geräte, die in das entsprechende VLAN kommen, welches auf dein NAS, etc. zugreifen kann und eine SSID für alle anderen.
Mal abgesehen davon hat dein NAS ja auch noch eine Benutzeranmeldung, etc.
Bist du wirklich in einer so exponierten Situation, dass du mit Angreifern rechnest, die einen solch massiven Aufwand betreiben würden?
Du kannst natürlich auch im WLAN noch eine VPN-Verbindung zu deiner lokalen pfSense aufbauen und dann nur aus diesem VPN die Verbindung zum NAS erlauben. Auch das geht... Aber für mich klingt es doch eher nach Paranoia und ich würde diesen Wartungsaufwand nicht betreiben wollen.
Und Generell was haltet ihr am sichersten:

Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
https über VPN wäre meine Wahl.

Das geht? Das klingt nach der Perfekten Lösung face-smile Oder meinst du mit SelfSigned Zertifikaten die ich überall hinterlegen muss?
Ob self-signed oder offizielles Zertifikat ist dabei egal... Klar geht das.
VG
VG
Member: hell.wien
hell.wien Oct 07, 2021 at 13:22:14 (UTC)
Goto Top
Zitat von @BirdyB:

Zitat von @hell.wien:

Hallo face-smile Sorry war gestern sehr gefrustet! Tut mir leid.
Alles gut... Ich freue mich nur einfach wenn es ein kleines Grußwort zu Anfang gibt.
Ich habe jetzt seit Monaten ohne Probleme meine pfSense am laufen.
Habe einige VLANs angelegt um gewisse Geräte und Dienste zu trennen, so weit so gut.
Ok
Aber immer häufiger stell ich mir die frage wie kann ich das Routing zwischen den VLANs SICHER gestallten.
Was ist denn für dich sicher? Was möchtest du erreichen?
Teilweise habe ich wieder zb: Das VLAN (WIFI-Privat) wieder komplett öffnen müssen weil ich auf ein NAS oder irgend ein Gerät zugreifen muss...
Das spricht für eklatante Fehler in deinem Konzept
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
So das ich unter Rules mein Handy auswählen kann und nich ganze Netzwerke aufmachen muss?
Allein diese Frage spricht auch wieder gegen ein klares Konzept. Dafür gibt es dann eigentlich ein VLAN wo nur die Clients reinkommen, die auch auf das NAS dürfen. Aber wenn du unbedingt die Chaoslösung bevorzugst:
DHCP-Reservierung ist dein Stichwort
Ich will zwischen den VLANs eh mit Regeln arbeiten, aber nicht für ganze Netzwerke sondern für 2-4 Geräte zusätzlich beschränken. Sollte mal das WLAN kompromittiert sein, das NUR meine Geräte (MAC-Addr?) zugriff auf andere Dienste haben.
Dass dein WLAN kompromittiert wird ist eher unwahrscheinlich und das Einschränken auf MAC-Adressen lässt sich mit einem Handstreich umgehen. Das wird dir so nichts bringen. Erstell dir am besten eine SSID für deine vertrauenswürdigen Geräte, die in das entsprechende VLAN kommen, welches auf dein NAS, etc. zugreifen kann und eine SSID für alle anderen.
Mal abgesehen davon hat dein NAS ja auch noch eine Benutzeranmeldung, etc.
Bist du wirklich in einer so exponierten Situation, dass du mit Angreifern rechnest, die einen solch massiven Aufwand betreiben würden?
Du kannst natürlich auch im WLAN noch eine VPN-Verbindung zu deiner lokalen pfSense aufbauen und dann nur aus diesem VPN die Verbindung zum NAS erlauben. Auch das geht... Aber für mich klingt es doch eher nach Paranoia und ich würde diesen Wartungsaufwand nicht betreiben wollen.
Aus Erfahrung weiß ich das ich mal vergesse (Debian, NGINX, Portainer, Vaultwarden) Up2 Date zu halten. Deswegen überlege ich das ganze nur via VPN von Extern zu erreichen. Intern brauch ich halt ein SSL Zertifikat sonst Funktioniert Vaultwarden gar nicht. (AUCH GUT SO xD) Es ist beruhigender wenn ein "Grünes" Schloss im Browser ist als etwas Rotes durchgestrichenes...
Und Generell was haltet ihr am sichersten:

Zugriff auf einen Webdienst in einer DMZ (Vaultwarden, Nextcloud,..) von extern via SSL Zertifikat oder Wireguard?
https über VPN wäre meine Wahl.

Das geht? Das klingt nach der Perfekten Lösung face-smile Oder meinst du mit SelfSigned Zertifikaten die ich überall hinterlegen muss?
Ob self-signed oder offizielles Zertifikat ist dabei egal... Klar geht das.
Für das Layer8Problem:
[Handy]>[WireGuard]>[pfSense]>[VM:Vaultwarden mit Self Signed LE]? so meinst du das?
VG
VG
Member: aqui
aqui Oct 07, 2021 updated at 13:28:13 (UTC)
Goto Top
Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
Ja, denn wozu hast du eine Firewall im Einsatz mit einem umfassenden Regelwerk ?? Es wäre ja völlig absurd alle Regeln freizuschalten. Das führt ja ein Firewall Konzept per se ad absurdum und du wärst dann besser beraten einen dummen Switch dort hinzustellen und alles in ein doofes Layer 2 Netz zu packen.
Wo ist denn jetzt dein wirkliches Problem ?
Deinem Handy vergibts du im DHCP Server aufgrund seiner Mac Adresse immer eine feste IP. Dann kannst du mit dieser festen, Mac basierten IP auch ein entsprechendes und dediziertes IP Regelwerk nur für dein Handy erstellen.
Alle anderen die eine dynmaische Pool IP bekommen haben dann ein anderes ggf. strikteres Regelwerk. Das kann man doch alles sehr fein und granular einstellen. Entweder pro Endgerät oder auch für Gruppen von Endgeräten oder ganze Netze.
Ohne genau zu kennen WAS du WIE steuern willst ist das alles aber wieder Kristallkugel... face-sad
Member: hell.wien
hell.wien Oct 07, 2021 at 13:46:34 (UTC)
Goto Top
Zitat von @aqui:

Gibt es die möglichkeit mein Handy ohne Statischer IPv4 Config in Regeln zu übernehmen.
Ja, denn wozu hast du eine Firewall im Einsatz mit einem umfassenden Regelwerk ?? Es wäre ja völlig absurd alle Regeln freizuschalten. Das führt ja ein Firewall Konzept per se ad absurdum und du wärst dann besser beraten einen dummen Switch dort hinzustellen und alles in ein doofes Layer 2 Netz zu packen.
Wo ist denn jetzt dein wirkliches Problem ?
Deinem Handy vergibts du im DHCP Server aufgrund seiner Mac Adresse immer eine feste IP. Dann kannst du mit dieser festen, Mac basierten IP auch ein entsprechendes und dediziertes IP Regelwerk nur für dein Handy erstellen.
Alle anderen die eine dynmaische Pool IP bekommen haben dann ein anderes ggf. strikteres Regelwerk. Das kann man doch alles sehr fein und granular einstellen. Entweder pro Endgerät oder auch für Gruppen von Endgeräten oder ganze Netze.
Ohne genau zu kennen WAS du WIE steuern willst ist das alles aber wieder Kristallkugel... face-sad

Hi @aqui face-smile

Ich will von WLAN-Privat (VLANxx) auf meine VM ioBroker (VLANyy) zugreifen:
Aber nicht alle Teilnehmer im WLAN-Privat sollen das können, also würde ich das so angehen?
  • Regelwerk mit den Ports welche gebraucht werden erstellen, und bei Source würde ich gern nur mein zb. iPhone auswählen.
  • Aber wie mache ich das? Mit einem Alias?
Member: commodity
commodity Oct 07, 2021 at 14:11:50 (UTC)
Goto Top
Zitat von @hell.wien:
  • Aber wie mache ich das? Mit einem Alias?
lesen, lesen, lesen und am Besten in einem Lab testen. Nimm Dir Zeit. Erst kommt das Lesen, dann das Begreifen. Das Dauert, also keine Eile. Eine pfsense ist kein Klickbunti, das man durch bloßes drauf rumdrücken versteht.

https://docs.netgate.com/pfsense/en/latest/firewall/index.html#managing- ...

Viele Grüße, commodity
Member: aqui
aqui Oct 07, 2021 updated at 16:09:20 (UTC)
Goto Top
also würde ich das so angehen?
Kinderleicht...
  • Feste Mac basierte IP anlegen im DHCP Server fürs Handy
dhcp
  • Regel 1 an WLAN Privat = IP Handy darf auf VLAN yy oder nur IP Adresse Broker
  • Regel 2: Rest der WLAN Privat Geräte block auf VLAN yy oder nur IP Adresse Broker
  • Regel 3: Rest der WLAN Privat erlaubt nach any (Internet)
  • Fertisch
3 Mausklicks und das ist erledigt.
Wo ist da denn jetzt dein wirkliches Problem ? face-wink
Member: hell.wien
hell.wien Oct 07, 2021 updated at 18:17:02 (UTC)
Goto Top
* Regel 1 an WLAN Privat = IP Handy darf auf VLAN yy oder nur IP Adresse Broker
Pass, IPv4, Any, Source: Single Host or Alias (iPhone), Destination VLANyy net
* Regel 2: Rest der WLAN Privat Geräte block auf VLAN yy oder nur IP Adresse Broker
Reject, IPv4 Any, Source: WLAN Privat net, Destination: VLAN yy
* Regel 3: Rest der WLAN Privat erlaubt nach any (Internet)
Pass, IPv4, Source: Any, Destination: Any
Diese Regel erlaubt dann aber zugriff auf alle anderen VLANs (Multimedia, MGMT, etc...)
Ist es eigentlich möglich ohne Alias und Invert Match zu sagen:
Pass IPv4, Any, Source WLAN Privat, Destination: INTERNET
Weil wenn das Netzwerk sich verändert oder ein VLAN dazu kommt, und man es vergisst in die Alias Liste einzutragen... dann hab ich Zugriff? Richtig?
* Fertisch
3 Mausklicks und das ist erledigt.
Wo ist da denn jetzt dein wirkliches Problem ? face-wink

Bin heute zufällig draufgekommen....
Sofort die Regeln deaktiviert und dann mit einer Invert Match meine RFC1918 (außer WLAN Gäste) ausgenommen...
Muss ich jetzt für jedes Protocol/Port die Regeln so anlegen
firefox_csf3jfsugy
qiqdsyfzxo
Member: aqui
aqui Oct 07, 2021 updated at 19:03:57 (UTC)
Goto Top
Diese Regel erlaubt dann aber zugriff auf alle anderen VLANs
Ääähh, ja außer dem iOT VLAN natürlich. Das hast du uns ja auch nicht gesagt ! face-sad
Mal ein Beispiel wie wichtig es ist VORHER festzulegen was gehen soll und was nicht.
Willst du das unterbinden richtest du für diese IP VLAN Netze dann ebenfalls eine Blocking Regel ein wie für das IoT VLAN.
Wenn das mehrere Netze sind dann pfelgst du eine Alias Liste dafür und brauchst dann nur einene inzigen Blocking Eintrag anlegen mit dieser Alias Liste wie du es oben auch schon sehr gut gemacht hast !
Muss ich jetzt für jedes Protocol/Port die Regeln so anlegen
WIE sollen wir dir zielführend diese Frage beantworten. Wir können ja (noch) keine Gedanken lesen WAS du an Protokollen blocken oder zulassen musst.
Auch hier erstellt man sich auch wieder eine Alias Liste der Protokollports und arbeitet im Regelwerk damit damit es schlank und übersichtlich bleibt und du einzig nur die Aliase pfelgen musst.
Eigentlich doch ganz simpel... face-wink

Nur mal nebenbei was oben unsinnig und gefährlich ist !
  • Wozu soll die UDP Freigabe im Gästenetz auf die Firewall IP sinnvoll sein ? Falls du denkst das das für DHCP ist ist das Unsinn, denn DHCP ist durch eine Default Rule frei. Mal abgesehen davon das DHCP als Absender IP 0.0.0.0 hat so das diese Rule dann eh unnütz ist.
  • TCP WLAN Gäste auf WLAN Gäste klingt auch wirr und unsinnig
  • Ports die Gäste dürfen einzeln einzugeben macht wenisg Sinn. Auch hier ist es sinnvoller einen Port Alias zu erzeigen.
Member: hell.wien
hell.wien Oct 07, 2021 at 19:22:32 (UTC)
Goto Top
Zitat von @aqui:

Diese Regel erlaubt dann aber zugriff auf alle anderen VLANs
Ääähh, ja außer dem iOT VLAN natürlich. Das hast du uns ja auch nicht gesagt ! face-sad
Wieso nur IOT VLAN?
Mal ein Beispiel wie wichtig es ist VORHER festzulegen was gehen soll und was nicht.
Willst du das unterbinden richtest du für diese IP VLAN Netze dann ebenfalls eine Blocking Regel ein wie für das IoT VLAN.
Wenn das mehrere Netze sind dann pfelgst du eine Alias Liste dafür und brauchst dann nur einene inzigen Blocking Eintrag anlegen mit dieser Alias Liste wie du es oben auch schon sehr gut gemacht hast !
Ergo pro VLAN Netz eine Alias Liste wo alle RFC1918 angeführt sind, exklusive das Netz welches raus soll.
Sprich 11 Alias Listen?
Muss ich jetzt für jedes Protocol/Port die Regeln so anlegen
WIE sollen wir dir zielführend diese Frage beantworten. Wir können ja (noch) keine Gedanken lesen WAS du an Protokollen blocken oder zulassen musst.
Auch hier erstellt man sich auch wieder eine Alias Liste der Protokollports und arbeitet im Regelwerk damit damit es schlank und übersichtlich bleibt und du einzig nur die Aliase pfelgen musst.
Sind je Netzwerk unterschiedliche Ports, Dienste... (OK für SMTP, HTTP, HTTPS, NTP mach es Sinn)
Eigentlich doch ganz simpel... face-wink

Nur mal nebenbei was oben unsinnig und gefährlich ist !
  • Wozu soll die UDP Freigabe im Gästenetz auf die Firewall IP sinnvoll sein ?
Für DNS (pfSense: Hab unter Gerneral Setup zwei DNS Server eingetragen und: [Allow DNS server list to be overridden by DHCP/PPP on WAN] deaktiviert.) Falls du denkst das das für DHCP ist ist das Unsinn, denn DHCP ist durch eine Default Rule frei. Mal abgesehen davon das DHCP als Absender IP 0.0.0.0 hat so das diese Rule dann eh unnütz ist.
* TCP WLAN Gäste auf WLAN Gäste klingt auch wirr und unsinnig
Davor war ANY drinnen... so wie bei der Regel darunter. Was ich ja nicht will sonst kann ich ja auf alle 444, 80 GUI's zugreifen...
Was ich nicht verstehe bei der Sense ist: warum kann man nicht einfach WAN ("Ins Internet") angeben?
Dann brauch ich nicht Zick Listen anlegen sondern...
Du machst nix außer 80,443,465 NUR ins Internet
* Ports die Gäste dürfen einzeln einzugeben macht wenisg Sinn. Auch hier ist es sinnvoller einen Port Alias zu erzeigen.
Member: aqui
aqui Oct 08, 2021 at 08:02:02 (UTC)
Goto Top
Wieso nur IOT VLAN?
Weil du ja oben einzig nur von diesem VLAN Segment sprichst bzw. dein Thread nur davon handelte ! face-wink
Ergo pro VLAN Netz eine Alias Liste
Kann man machen ist aber ineffizeint. Die Alias Liste für immer wiederkehrende Einträge die für alle Ports gleich ist. Dann ergämzen mit den Interface spezifischen Regeln.
Sowas ist aber immer kosmetisch und jeder muss sich da das Schönste für sich selbst raussuchen wie er das am besten managen kann.
Für DNS (pfSense: Hab unter Gerneral Setup zwei DNS Server eingetragen
Dafür ist nur UDP aber fehlerhaft, denn DNS nutzt UDP und TCP. Sinnvoll ist also wenn man ein Whitelist Konzept fährt UDP/TCP Port 53 auf die FW IP freizugeben.
Was ich nicht verstehe bei der Sense ist: warum kann man nicht einfach WAN ("Ins Internet") angeben?
Weil das Quatsch ist. Leuchtet dir auch sofort ein wenn du selber mal nachdenkst. Das WAN Netz oder die WAN IP Adresse ist ja nicht "das Internet" bzw. Zieladressen liegen ja nicht am WAN Port oder am IP Netz in dem der WAN Port liegt. Logisch also das Internet IPs nie die WAN Port IPs sind.
Nimm dir einen Wireshark oder die Capture Funktion der Firewall und sieh dir die Ziel IP Adressen der Pakete an ! Administrator.de hat z.B. 82.149.225.19 das ist ja ganz sicher nicht dein WAN IP Netz, oder ? Regeln sind doch immer IP basiert.
Du machst nix außer 80,443,465 NUR ins Internet
Das ist ja kinderleicht... Dann machst du eine PASS Regel die als Source das lokale LAN hat als Destination ANY und als Destination Zielports TCP 80, 443 und 465. Alles andere BLOCK nach any. Fertisch....
Eine Zeile mit einem Mausklick... face-wink
Member: hell.wien
hell.wien Oct 12, 2021 at 23:55:21 (UTC)
Goto Top
Um sämtliche DNS anfragen von allen Netzwerken zu erzwingen (Nur meine 2 DNS Server sollen funktionieren) reicht die Config so aus?
Kann ich die oben angeführte Regel mit UDP/53 löschen? Ist die für mein Vorhaben notwendig?
firefox_rgaw4jrq3l
Mitglied: 90948
90948 Oct 13, 2021 at 06:10:12 (UTC)
Goto Top
Du brauchst eine Regel TCP/UDP auf Port 53 welche als Quelle die deine DNS-Server und als Ziel "Diese Firewall" hat muss vorhanden sein. Um WLAN-Telefonie nutzen zu können musst du bestimmte Seiten auf Deutsche DNS-Server umleiten. Eine Liste ist unter

www.wlan-blog.com/erfahrungen/liste-mit-epdg-zugangspunkten-fuer-vowifi-wlan-call-und-wifi-calling-bei-vodafone-telekom-o2-und-co/

Ansonsten funktioniert dein WIFI-Calling nicht.
Member: BirdyB
BirdyB Oct 13, 2021 at 06:25:24 (UTC)
Goto Top
Zitat von @hell.wien:

Um sämtliche DNS anfragen von allen Netzwerken zu erzwingen (Nur meine 2 DNS Server sollen funktionieren) reicht die Config so aus?
Nö, lies dir den Beschreibungstext unter der Option durch und dann sollte dir klar werden, wofür der Haken gut ist.
Spoiler: Er sorgt nur dafür, dass die pfSense nicht die DNS-Server übernimmt, die dein Provider per DHCP zuweist. Ausserdem gilt das erstmal nur für die DNS-Anfragen durch die pfSense. Die Clients haben damit nichts zu tun.
Kann ich die oben angeführte Regel mit UDP/53 löschen? Ist die für mein Vorhaben notwendig?
Port 53 nur zur pfSense erlauben, sonst nirgendwohin -> Dann kann kein anderer DNS genutzt werden. Alternativ noch alle Anfragen an Port 53 zur pfSense umleiten...
firefox_rgaw4jrq3l
Member: aqui
Solution aqui Oct 13, 2021 updated at 09:49:33 (UTC)
Goto Top
Nur meine 2 DNS Server sollen funktionieren) reicht die Config so aus?
Nein, das reicht so nicht !
DAS_hier musst du ebenso entsprechend anpassen sonst werden deine Server nicht genutzt. Im Default fragt die FW immer direkt die Root Server.

In den lokalen LAN Segmenten muss dann als Regel der DNS Zugriff auf die lokale FW IP Adresse erlaubt sein. Die FW arbeitet ja als DNS Proxy/Cache und nutzt als Upstream dann die 2 definierten DNS Server. Sprich also:
PASS, Protocoll: UDP/TCP, Source: LANx_net, Destination: <lok.FW_IP_Addr>, Port: DNS (53)

Viel sinnvoller (und sicherer) als deine US basierten DNS ist aber immer mit pf_Blocker-NG zu arbeiten oder einen PiHole oder Adguard Home als Werbe und Malware Blocker einzusetzen.
Member: hell.wien
hell.wien Oct 13, 2021 at 23:37:20 (UTC)
Goto Top
Danke konnte ich so umsetzen face-smile
Zitat von @aqui:

Nur meine 2 DNS Server sollen funktionieren) reicht die Config so aus?
Nein, das reicht so nicht !
DAS_hier musst du ebenso entsprechend anpassen sonst werden deine Server nicht genutzt. Im Default fragt die FW immer direkt die Root Server.

Hab ich jetzt mal so umgesetzt face-smile
cmd_cyv9jup7vu
'
In den lokalen LAN Segmenten muss dann als Regel der DNS Zugriff auf die lokale FW IP Adresse erlaubt sein. Die FW arbeitet ja als DNS Proxy/Cache und nutzt als Upstream dann die 2 definierten DNS Server. Sprich also:
PASS, Protocoll: UDP/TCP, Source: LANx_net, Destination: <lok.FW_IP_Addr>, Port: DNS (53)

Viel sinnvoller (und sicherer) als deine US basierten DNS ist aber immer mit pf_Blocker-NG zu arbeiten oder einen PiHole oder Adguard Home als Werbe und Malware Blocker einzusetzen.

Hab pf-Blocker NG mit der Standard Installation laufen, hab es jetzt wie oben etwas angepasst.
Die von mir ausgewählten DNS Server waren die "schnellsten" laut namebench, deswegen diese Lösung.
Member: aqui
aqui Oct 14, 2021 updated at 07:08:30 (UTC)
Goto Top
Technisch am "schnellsten" können immer nur die lokalen DNS vom Provider sein die man so oder so immer automatisch per PPPoE oder DHCP am Router oder Firewall mitgegeben bekommt... face-wink

Wenn's dann denn nun war bitte nicht vergessen den Thread als gelöst zu markieren !
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
Member: hell.wien
hell.wien Oct 14, 2021 at 09:46:01 (UTC)
Goto Top
Laut Namebench nicht 😅 versteh aber deine Aussage 🤪