itsed99
01.08.2022
view3514
view8
0
Goto Top

Opnsense Firewall ergibt keinen Sinn

gelöstFrageNetzwerkeRouter, Routing
Hallo liebe Gemeinde,
seit Tagen schlage ich mich mit OPNsense firewall regeln rum. Leider ergeben Sie für mich überhaupt keinen Sinn und erstellte Regeln funktionieren eher nach dem Zufallsprinzip. Wie bekomme ich die Ports 16100 - 16200 und 30000 - 39999 direction IN vom VPN für meine Clients im vlan2 frei? (UPNP)
Erstelle Regeln werden nicht beachtet.
bildschirmfoto 2022-08-01 um 09.19.06

Hier sind die Regeln
bildschirmfoto 2022-08-01 um 09.19.31
bildschirmfoto 2022-08-01 um 09.19.26
bildschirmfoto 2022-08-01 um 09.19.37


Jemand eine Idee was ich falsch mache?

Vielen Dank
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3511180304

Url: https://administrator.de/contentid/3511180304

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
ottinho
Lösung ottinho 01.08.2022 aktualisiert um 09:33:11 Uhr
Goto Top
Hi,

vlan2 address ist die Firewall selbst. Stell source auf vlan2 net um und die wg Regeln auch entsprechend.

Davon ab ist die WAN Regel äußerst gefährlich... Dann brauchst du auch keine Firewall mehr.

Viele Grüße
ottinho
BirdyB
Lösung BirdyB 01.08.2022 um 09:33:25 Uhr
Goto Top
Moin,

du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

VG
radiogugu
radiogugu 01.08.2022 um 10:30:14 Uhr
Goto Top
Zitat von @BirdyB:
du hast als Quelle vlan2-adress angegeben. Das ist die Adresse der Opnsense am vlan2-interface und nicht das Netz…
Damit greift die Regel nur für Pakete die von der OPNsense kommen.

Das wird das Problem sein.

Um die Verwaltung etwas zu verbessern, solltest du dir einen Port Alias einrichten, welche die benötigten Ports beinhaltet.
Dann musst du immer nur eine Firewall Regel auf jedem Interface anpassen und nicht drei.

Außerdem muss dringend die any-to-any Regel auf dem WAN Interface weg, wie @ottinho richtig schrieb.

Gruß
Marc
148523
148523 01.08.2022 aktualisiert um 10:52:49 Uhr
Goto Top
Der TO hat grundsätzlich nicht verstanden das die Absenderadressen die seiner Clients sind und NICHT die der Firewall. Bei solchen fatalen Denkfehlern ist es dann normal das die Regeln vermeintlich keinerlei Sinn ergeben.
Einfach nur einmal einen Wireshark auf einem der Clients starten oder die Paket Capture Funktion der Firewall im Diagnostic Menü und in Ruhe einmal zusehen wer welche IP Adresse mit welchem Port benutzt.
Das erweitert ungemein den Horizont über IP Absender und Zieladressen und Ports und mit einmal erscheint die Sinnhaftigkeit von Firewall Regeln in einem völlig anderen Licht... face-wink
itsed99
itsed99 01.08.2022 um 11:20:51 Uhr
Goto Top
Super! Vielen Dank
itsed99
itsed99 01.08.2022 um 13:18:15 Uhr
Goto Top
Irgendwie funktioniert es doch noch nicht. Was habe ich übersehen? Insbesondere Port 16125
bildschirmfoto 2022-08-01 um 13.17.20
bildschirmfoto 2022-08-01 um 13.17.33
radiogugu
Lösung radiogugu 01.08.2022 aktualisiert um 16:07:42 Uhr
Goto Top
Nur zum Test, kannst du mal das "wg_vpn_server_net" in ein "any" ändern.

Gehen dann die Pakete durch?

Wie sind denn die Regeln auf den internen Netzwerken?

Es sollte ja idealerweise so aussehen aus deinem VLAN2 in Richtung des Wireguard Tunnels:

Protocol        Source       Port      Destination                      Port

IPv4 TCP/UDP    vlan2_net    *         IP-Adresse im Remote Netzwerk    16100-16200

Gruß
Marc
heart1
itsed99
itsed99 01.08.2022 um 16:50:50 Uhr
Goto Top
Danke hat funktioniert face-smile
gelöstFrageNetzwerkeRouter, Routing
Mehr von itsed99itsed99UPnP funktioniert nicht opnsenseitsed99 - 7 Kommentareitsed99UPnP bei OPNSense funktioniert nichtitsed99 - 3 Kommentareitsed99Langsamer Upload opnsense wireguard zu Ubuntu Server 20.04 (0,26 mb s)itsed99 - 36 Kommentareitsed99Pfsense MULTIWAN + OVPN + UPNP !!! 50 Flux rewarditsed99 - 8 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare