itsed99
Goto Top

Opnsense Firewall ergibt keinen Sinn

Hallo liebe Gemeinde,
seit Tagen schlage ich mich mit OPNsense firewall regeln rum. Leider ergeben Sie für mich überhaupt keinen Sinn und erstellte Regeln funktionieren eher nach dem Zufallsprinzip. Wie bekomme ich die Ports 16100 - 16200 und 30000 - 39999 direction IN vom VPN für meine Clients im vlan2 frei? (UPNP)
Erstelle Regeln werden nicht beachtet.
bildschirmfoto 2022-08-01 um 09.19.06

Hier sind die Regeln
bildschirmfoto 2022-08-01 um 09.19.31
bildschirmfoto 2022-08-01 um 09.19.26
bildschirmfoto 2022-08-01 um 09.19.37


Jemand eine Idee was ich falsch mache?

Vielen Dank

Content-ID: 3511180304

Url: https://administrator.de/contentid/3511180304

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

ottinho
Lösung ottinho 01.08.2022 aktualisiert um 09:33:11 Uhr
Goto Top
Hi,

vlan2 address ist die Firewall selbst. Stell source auf vlan2 net um und die wg Regeln auch entsprechend.

Davon ab ist die WAN Regel äußerst gefährlich... Dann brauchst du auch keine Firewall mehr.

Viele Grüße
ottinho
BirdyB
Lösung BirdyB 01.08.2022 um 09:33:25 Uhr
Goto Top
Moin,

du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

VG
radiogugu
radiogugu 01.08.2022 um 10:30:14 Uhr
Goto Top
Zitat von @BirdyB:
du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

Das wird das Problem sein.

Um die Verwaltung etwas zu verbessern, solltest du dir einen Port Alias einrichten, welche die benötigten Ports beinhaltet.
Dann musst du immer nur eine Firewall Regel auf jedem Interface anpassen und nicht drei.

Außerdem muss dringend die any-to-any Regel auf dem WAN Interface weg, wie @ottinho richtig schrieb.

Gruß
Marc
148523
148523 01.08.2022 aktualisiert um 10:52:49 Uhr
Goto Top
Der TO hat grundsätzlich nicht verstanden das die Absenderadressen die seiner Clients sind und NICHT die der Firewall. Bei solchen fatalen Denkfehlern ist es dann normal das die Regeln vermeintlich keinerlei Sinn ergeben.
Einfach nur einmal einen Wireshark auf einem der Clients starten oder die Paket Capture Funktion der Firewall im Diagnostic Menü und in Ruhe einmal zusehen wer welche IP Adresse mit welchem Port benutzt.
Das erweitert ungemein den Horizont über IP Absender und Zieladressen und Ports und mit einmal erscheint die Sinnhaftigkeit von Firewall Regeln in einem völlig anderen Licht... face-wink
itsed99
itsed99 01.08.2022 um 11:20:51 Uhr
Goto Top
Super! Vielen Dank
itsed99
itsed99 01.08.2022 um 13:18:15 Uhr
Goto Top
Irgendwie funktioniert es doch noch nicht. Was habe ich übersehen? Insbesondere Port 16125
bildschirmfoto 2022-08-01 um 13.17.20
bildschirmfoto 2022-08-01 um 13.17.33
radiogugu
Lösung radiogugu 01.08.2022 aktualisiert um 16:07:42 Uhr
Goto Top
Nur zum Test, kannst du mal das "wg_vpn_server_net" in ein "any" ändern.

Gehen dann die Pakete durch?

Wie sind denn die Regeln auf den internen Netzwerken?

Es sollte ja idealerweise so aussehen aus deinem VLAN2 in Richtung des Wireguard Tunnels:

Protocol        Source       Port      Destination                      Port

IPv4 TCP/UDP    vlan2_net    *         IP-Adresse im Remote Netzwerk    16100-16200

Gruß
Marc
itsed99
itsed99 01.08.2022 um 16:50:50 Uhr
Goto Top
Danke hat funktioniert face-smile