csandbrink
03.10.2022
view2190
view8
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

OPNsense fw rule funktioniert nicht wie gedacht

gelöstFrageFirewall
Hallo zusammen,

ich bin seit einer ganzen Weile stiller Mitleser und habe von den vielen tollen Tutorials hier profitiert. Inzwischen habe ich meine FritzBox als Router durch einen alten Dell Optiplex mit OPNsense ersetzt. Als DSL Modem fungiert ein Draytek Vigor 130 und die Fritz!Box aktuell noch als WLAN AP und DECT Basis. Notwendig war das ganze sicher nicht, Langeweile habe ich auch nicht... Aber das Interesse hat dann doch überwogen.

Als VPN Zugang konnte ich erfolgreich Wireguard einrichten. Jetzt ist mir allerdings aufgefallen, dass OPNsense eine ganze Menge Verbindungen auf Basis meiner Firewall Rule zulässt, die eigentlich nur einen Port für WG öffnen sollte:

bildschirmfoto 2022-10-03 um 18.05.59

bildschirmfoto 2022-10-03 um 18.08.17

Nach meinem Verständnis sollte die FW Rule doch eigentlich nur Verbindungen zulassen, die auf der WAN Schnittstelle auf Port 51820 ankommen. Wieso werden dann Verbindungen mit Destination Port 443 und andere über diese Regel zugelassen? Es würde mich sehr freuen, wenn mir jemand erklären könnte, wo mein Fehler liegt.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 4139125558

Url: https://administrator.de/forum/opnsense-fw-rule-funktioniert-nicht-wie-gedacht-4139125558.html

Ausgedruckt am: 03.05.2025 um 03:05 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 03.10.2022 aktualisiert um 23:21:47 Uhr
Goto Top
Deine WAN Port Regel ist ja nicht die Einzige und es gilt immer "First match wins". Die Default und Floating Rules am WAN Port (Klick aufs Pulldown Menü) hast du auch auf dem Radar??
opnsreg
Sieht eher aus aus als ob dein Screenshot dort internen Traffic via NAT zeigt was ja als Absender die WAN Port IP nutzt und das Return Traffic ist mit gesetztem ACK Bit.
csandbrink
csandbrink 04.10.2022 um 08:56:25 Uhr
Goto Top
Danke erstmal für die schnelle Antwort. So ganz verstehen tue ich das allerdings nicht. Klar, es soll natürlich auch anderer Traffic geroutet werden. Aber wieso zeigt OPNsense denn meine "Allow WireGuard access" Rule als Grundlage für Traffic an, auf den diese gar nicht zutrifft? Meine Sorge ist halt, dass ich da mit meiner Regel irgendwie Mist gebaut und ein großes Loch in meine Firewall gestanzt habe.
csandbrink
csandbrink 09.10.2022 um 11:29:02 Uhr
Goto Top
Hat niemand eine Idee, wodurch dieses Verhalten der opnsense ausgelöst wird?
aqui
aqui 09.10.2022 um 11:59:06 Uhr
Goto Top
Die Regel auf dem virtuellen Wireguard Tunnel Interface wg0 ist ja im Default any any, sprich sie lässt alles durch. Damit ist natürlich dann auch jeglicher TCP und UDP Port erlaubt. Sieh dir doch einfach mal dei Regel mit dem Namen "Allow Wireguard access" an, da sollte es doch schwarz auf weiss stehen. face-wink
csandbrink
csandbrink 09.10.2022 um 14:21:38 Uhr
Goto Top
Die Regel "Allow wireguard access" ist die aus dem Screenshot oben. Die sollte eigentlich nur den Port 51820 auf dem WAN Interface öffnen, damit ich mich von außen verbinden kann. Kann es sein, dass es sich hier um einen Bug in der States Darstellung handelt. Habe so einen Fall auch im OPNsense Forum gefunden. Hier noch ein Beispiel:

bildschirmfoto 2022-10-09 um 14.07.14

WireGuardHome ist mein wg Interface und mit der obigen Regel lasse ich die Verbindung zu meinem internen LAN Netzwerk zu. Wenn ich auf Inspect klicke zeigt er mir an States 0 - ist ja auch richtig, da kein Gerät über Wireguard verbunden ist.

bildschirmfoto 2022-10-09 um 14.07.27

Wenn ich jetzt aber auf die 0 klicke, öffnet er die States Ansicht der "Allow WireGuard to LAN" Regel und zeigt hier drei Verbindungen aus meinem Gastnetz an, die mit der o.g. Regel gar nichts zu tun haben. Verstehe ich nicht.

bildschirmfoto 2022-10-09 um 14.07.46
aqui
Lösung aqui 09.10.2022 um 16:31:08 Uhr
Goto Top
Kann es sein, dass es sich hier um einen Bug in der States Darstellung handelt.
Das ist stark anzunehmen. Das ist ja alles noch Beta.
Besser und auch sinnvoller ist es ein VPN zu verwenden was die onboard VPN Clients in allen Betriebssystemen und Smartphones supportet. Da passiert sowas nicht...
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
csandbrink
csandbrink 09.10.2022 um 22:18:41 Uhr
Goto Top
Okay, dann vielen Dank für dein Feedback. Ich werde mal bei GitHub ein issue eröffnen.
heart1
aqui
aqui 10.10.2022 aktualisiert um 09:25:21 Uhr
Goto Top
👍
Feedback vom Issue wäre mal ganz interessant hier...! 😉
gelöstFrageFirewall
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 32 Kommentareopc123Kostenloser Hypervisoropc123 - 29 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 KommentareMysticFoxDEWindows Server - Hotpatching - bald verfügbar - jedoch nicht umsonstMysticFoxDE - 23 KommentareAssassinServer 2025 HCI S2D Cluster mit aktuellen AMD Epyc?Assassin - 23 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 22 KommentareAbstrackterSystemimperatorWindows Key vom Recyclinghof nutzbar?AbstrackterSystemimperator - 21 Kommentareb1nzy1NTP Problem - 0x800705B4 - funktioniert auf keinem Serverb1nzy1 - 17 KommentareRatzeburgFritzBox, pfSense und VLAN am Cisco SG200-08Ratzeburg - 15 KommentarejimmmyDer 100ste Versuch Fax mit VoIP zu vereinbarenjimmmy - 15 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 13 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentarekreuzbergerMB pro min und MB pro s umrechnenkreuzberger - 12 Kommentare