itsed99
Aug 01, 2022
view3285
view8
0
Goto Top

Opnsense Firewall ergibt keinen Sinn

GermansolvedQuestionRouters, RoutingNetworks
Hallo liebe Gemeinde,
seit Tagen schlage ich mich mit OPNsense firewall regeln rum. Leider ergeben Sie für mich überhaupt keinen Sinn und erstellte Regeln funktionieren eher nach dem Zufallsprinzip. Wie bekomme ich die Ports 16100 - 16200 und 30000 - 39999 direction IN vom VPN für meine Clients im vlan2 frei? (UPNP)
Erstelle Regeln werden nicht beachtet.
bildschirmfoto 2022-08-01 um 09.19.06

Hier sind die Regeln
bildschirmfoto 2022-08-01 um 09.19.31
bildschirmfoto 2022-08-01 um 09.19.26
bildschirmfoto 2022-08-01 um 09.19.37


Jemand eine Idee was ich falsch mache?

Vielen Dank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 3511180304

Url: https://administrator.de/contentid/3511180304

Printed on: April 24, 2024 at 11:04 o'clock

8 Comments
Latest comment
Goto Top
Member: ottinho
Solution ottinho Aug 01, 2022 updated at 07:33:11 (UTC)
Goto Top
Hi,

vlan2 address ist die Firewall selbst. Stell source auf vlan2 net um und die wg Regeln auch entsprechend.

Davon ab ist die WAN Regel äußerst gefährlich... Dann brauchst du auch keine Firewall mehr.

Viele Grüße
ottinho
Member: BirdyB
Solution BirdyB Aug 01, 2022 at 07:33:25 (UTC)
Goto Top
Moin,

du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

VG
Member: radiogugu
radiogugu Aug 01, 2022 at 08:30:14 (UTC)
Goto Top
Zitat von @BirdyB:
du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

Das wird das Problem sein.

Um die Verwaltung etwas zu verbessern, solltest du dir einen Port Alias einrichten, welche die benötigten Ports beinhaltet.
Dann musst du immer nur eine Firewall Regel auf jedem Interface anpassen und nicht drei.

Außerdem muss dringend die any-to-any Regel auf dem WAN Interface weg, wie @ottinho richtig schrieb.

Gruß
Marc
Mitglied: 148523
148523 Aug 01, 2022 updated at 08:52:49 (UTC)
Goto Top
Der TO hat grundsätzlich nicht verstanden das die Absenderadressen die seiner Clients sind und NICHT die der Firewall. Bei solchen fatalen Denkfehlern ist es dann normal das die Regeln vermeintlich keinerlei Sinn ergeben.
Einfach nur einmal einen Wireshark auf einem der Clients starten oder die Paket Capture Funktion der Firewall im Diagnostic Menü und in Ruhe einmal zusehen wer welche IP Adresse mit welchem Port benutzt.
Das erweitert ungemein den Horizont über IP Absender und Zieladressen und Ports und mit einmal erscheint die Sinnhaftigkeit von Firewall Regeln in einem völlig anderen Licht... face-wink
Member: itsed99
itsed99 Aug 01, 2022 at 09:20:51 (UTC)
Goto Top
Super! Vielen Dank
Member: itsed99
itsed99 Aug 01, 2022 at 11:18:15 (UTC)
Goto Top
Irgendwie funktioniert es doch noch nicht. Was habe ich übersehen? Insbesondere Port 16125
bildschirmfoto 2022-08-01 um 13.17.20
bildschirmfoto 2022-08-01 um 13.17.33
Member: radiogugu
Solution radiogugu Aug 01, 2022 updated at 14:07:42 (UTC)
Goto Top
Nur zum Test, kannst du mal das "wg_vpn_server_net" in ein "any" ändern.

Gehen dann die Pakete durch?

Wie sind denn die Regeln auf den internen Netzwerken?

Es sollte ja idealerweise so aussehen aus deinem VLAN2 in Richtung des Wireguard Tunnels:

Protocol        Source       Port      Destination                      Port

IPv4 TCP/UDP    vlan2_net    *         IP-Adresse im Remote Netzwerk    16100-16200

Gruß
Marc
heart1
Member: itsed99
itsed99 Aug 01, 2022 at 14:50:50 (UTC)
Goto Top
Danke hat funktioniert face-smile
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments