csandbrink
Goto Top

OPNsense fw rule funktioniert nicht wie gedacht

Hallo zusammen,

ich bin seit einer ganzen Weile stiller Mitleser und habe von den vielen tollen Tutorials hier profitiert. Inzwischen habe ich meine FritzBox als Router durch einen alten Dell Optiplex mit OPNsense ersetzt. Als DSL Modem fungiert ein Draytek Vigor 130 und die Fritz!Box aktuell noch als WLAN AP und DECT Basis. Notwendig war das ganze sicher nicht, Langeweile habe ich auch nicht... Aber das Interesse hat dann doch überwogen.

Als VPN Zugang konnte ich erfolgreich Wireguard einrichten. Jetzt ist mir allerdings aufgefallen, dass OPNsense eine ganze Menge Verbindungen auf Basis meiner Firewall Rule zulässt, die eigentlich nur einen Port für WG öffnen sollte:

bildschirmfoto 2022-10-03 um 18.05.59

bildschirmfoto 2022-10-03 um 18.08.17

Nach meinem Verständnis sollte die FW Rule doch eigentlich nur Verbindungen zulassen, die auf der WAN Schnittstelle auf Port 51820 ankommen. Wieso werden dann Verbindungen mit Destination Port 443 und andere über diese Regel zugelassen? Es würde mich sehr freuen, wenn mir jemand erklären könnte, wo mein Fehler liegt.

Content-Key: 4139125558

Url: https://administrator.de/contentid/4139125558

Printed on: December 4, 2022 at 19:12 o'clock

Member: aqui
aqui Oct 03, 2022 updated at 21:21:47 (UTC)
Goto Top
Deine WAN Port Regel ist ja nicht die Einzige und es gilt immer "First match wins". Die Default und Floating Rules am WAN Port (Klick aufs Pulldown Menü) hast du auch auf dem Radar??
opnsreg
Sieht eher aus aus als ob dein Screenshot dort internen Traffic via NAT zeigt was ja als Absender die WAN Port IP nutzt und das Return Traffic ist mit gesetztem ACK Bit.
Member: csandbrink
csandbrink Oct 04, 2022 at 06:56:25 (UTC)
Goto Top
Danke erstmal für die schnelle Antwort. So ganz verstehen tue ich das allerdings nicht. Klar, es soll natürlich auch anderer Traffic geroutet werden. Aber wieso zeigt OPNsense denn meine "Allow WireGuard access" Rule als Grundlage für Traffic an, auf den diese gar nicht zutrifft? Meine Sorge ist halt, dass ich da mit meiner Regel irgendwie Mist gebaut und ein großes Loch in meine Firewall gestanzt habe.
Member: csandbrink
csandbrink Oct 09, 2022 at 09:29:02 (UTC)
Goto Top
Hat niemand eine Idee, wodurch dieses Verhalten der opnsense ausgelöst wird?
Member: aqui
aqui Oct 09, 2022 at 09:59:06 (UTC)
Goto Top
Die Regel auf dem virtuellen Wireguard Tunnel Interface wg0 ist ja im Default any any, sprich sie lässt alles durch. Damit ist natürlich dann auch jeglicher TCP und UDP Port erlaubt. Sieh dir doch einfach mal dei Regel mit dem Namen "Allow Wireguard access" an, da sollte es doch schwarz auf weiss stehen. face-wink
Member: csandbrink
csandbrink Oct 09, 2022 at 12:21:38 (UTC)
Goto Top
Die Regel "Allow wireguard access" ist die aus dem Screenshot oben. Die sollte eigentlich nur den Port 51820 auf dem WAN Interface öffnen, damit ich mich von außen verbinden kann. Kann es sein, dass es sich hier um einen Bug in der States Darstellung handelt. Habe so einen Fall auch im OPNsense Forum gefunden. Hier noch ein Beispiel:

bildschirmfoto 2022-10-09 um 14.07.14

WireGuardHome ist mein wg Interface und mit der obigen Regel lasse ich die Verbindung zu meinem internen LAN Netzwerk zu. Wenn ich auf Inspect klicke zeigt er mir an States 0 - ist ja auch richtig, da kein Gerät über Wireguard verbunden ist.

bildschirmfoto 2022-10-09 um 14.07.27

Wenn ich jetzt aber auf die 0 klicke, öffnet er die States Ansicht der "Allow WireGuard to LAN" Regel und zeigt hier drei Verbindungen aus meinem Gastnetz an, die mit der o.g. Regel gar nichts zu tun haben. Verstehe ich nicht.

bildschirmfoto 2022-10-09 um 14.07.46
Member: aqui
Solution aqui Oct 09, 2022 at 14:31:08 (UTC)
Goto Top
Kann es sein, dass es sich hier um einen Bug in der States Darstellung handelt.
Das ist stark anzunehmen. Das ist ja alles noch Beta.
Besser und auch sinnvoller ist es ein VPN zu verwenden was die onboard VPN Clients in allen Betriebssystemen und Smartphones supportet. Da passiert sowas nicht...
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Member: csandbrink
csandbrink Oct 09, 2022 at 20:18:41 (UTC)
Goto Top
Okay, dann vielen Dank für dein Feedback. Ich werde mal bei GitHub ein issue eröffnen.
Member: aqui
aqui Oct 10, 2022 updated at 07:25:21 (UTC)
Goto Top
­čĹŹ
Feedback vom Issue wäre mal ganz interessant hier...! ­čśë