ludaku
Goto Top

OPNsense: LAN to WAN erlaubt keinen Internetzugriff

Guten Morgen zusammen

Ich habe hier eine OPNsense in Betrieb genommen und bis auf die Firewall Regeln läuft eigentlich alles.

Nun möchte ich auf die LAN to ANY Regel gerne verzichtet, ich scheitere aber nur schon beim Erlauben des Internetzugriffs.
Ich habe folgende Regel eingestellt:
v48975h93847h5v

Diese sollte doch meiner Meinung nach einen Zugriff auf das Internet erlauben, oder mache ich gerade einen Denkfehler?

- Ping zu 8.8.8.8 klappt mit der Regel nicht, mit der LAN to ANY klappt es jedoch.
- Surfen klappt mit der Regel auch nicht, mit der LAN to ANY jedoch schon.

DNS macht der DC im LAN, unbekannte Anfragen leitet der dann an die OPNsense weiter. Das sollte also auch nicht das Problem sein.

Sehe ich den Wald vor lauter Bäumen nicht mehr?

LG und Danke für jeglichen Input
MbGb

Content-ID: 633524

Url: https://administrator.de/forum/opnsense-lan-to-wan-erlaubt-keinen-internetzugriff-633524.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

BirdyB
Lösung BirdyB 19.12.2020 um 09:25:19 Uhr
Goto Top
Moin,

du hast einen Denkfehler... WAN-net ist das Netz deiner externen IP und nicht das gesamte Internet.
wenn du also von deinem Provider z.B. die 90.12.23.41 mit einer Netzmaske 24 bekommen hättest, bedeutet das den Zugriff auf die IP-Range von 90.12.23.1-90.12.23.254.

VG
Inf1d3l
Lösung Inf1d3l 19.12.2020 aktualisiert um 09:32:03 Uhr
Goto Top
WAN Net ist nur das Interface WAN und seine (Netz-)Adresse. LAN to Any ist schon korrekt. Wenn du noch andere lokale Netze an der opnsense hast, dann musst du sie vorher für LAN sperren.

*edit* BirdyB war schneller face-smile
ludaku
ludaku 19.12.2020 aktualisiert um 09:39:01 Uhr
Goto Top
Hallo ihr beiden

Daran habe ich gar nicht mehr gedacht. Bei Sophos war damit das komplette Internet eingeschlossen. Dies ist (leider) ein wenig mehr Endbenutzerorientiert.
Wenn ich zurückdenke an früher mit der pfsense, dann macht es aber klick.
Danke für den Denkanstoss!

Wäre es aber nicht so lösbar:
OPNsense hat ein Firewall Alias "bogon", diese umfasst wenn es mir Recht ist alle nach RFC1918 als private definierten Adressen. Wäre es damit nicht mögliche eine Regel zu erstellen von LAN zu NOT bogon? Sieht dann so aus:
Allow * from LAN to !BOGON

Fände das sieht sauberer aus als zuerst alle zu blockieren, die man nicht möchte und dann am Schluss noch die Allow * from LAN to ANY.
Weiss aber nicht ob etwas dagegen spricht.

LG
aqui
aqui 19.12.2020 aktualisiert um 11:02:33 Uhr
Goto Top
oder mache ich gerade einen Denkfehler?
Ja, denn deine Regel erlaubt ja einzig nur den Zugriff auf das alleinige IP Netz am WAN Port ! NICHT aber auf die Millionen anderer IP Netze im Internet. Logisch also das das scheitert... face-wink
Das ist ein typischer Anfängerfehler weil diese denken das IP Netz am WAN Port wäre schon das gesamte Internet !
Setze die Destination also auf "ANY" und dann klappt das auch sofort wie es soll...

Case closed
Wie kann ich einen Beitrag als gelöst markieren?
AmaTeuer
AmaTeuer 19.12.2020 aktualisiert um 14:16:18 Uhr
Goto Top
Fast richtig.

Bei OPNsense ist der korrekte Alias "PrivateNetwork".
Und die Regel lautet NOT "PrivateNetwork"

Setzt Du es auf "Any" erlaubst Du die Regel auch auf interne, VLANs und VPNs zwischen denen keine Kommunikation erlaubt sein soll.

Und üblicherweise setzt Du als traffic erstmal nur HTTP und HTTPS ein und kein *. Und dann kommen weitere Regeln für Mailing und andere Dienste die Du brauchst.
Soll nen Ping ins Internet laufen, dann wählst Du icmp als Protokoll.

Mit dem * erlaubst Du jeden ausgehenden traffic, beschränkst Du es auf die nur benötigten Ports bekommst Du ein Gefühl was in Deinem Netzwerk wirklich läuft. Macht aber mehr Aufwand am Anfang.


Zum Alias BOGON:
Was ist Bogon-Filterung?
Bogon-Filterung ist die Entlassung von gefälschten IP-Adresskomponenten. Ein bogon ist eine Art von URL-Referenz, die sich bei bestimmten Arten von Denial of Service als typisch erwiesen hat Angriffe und atypische im legitimen Netzwerkverkehr.

Bogons werden im Internet oft als illegitim angesehenAdresse Präfixe oder Komponenten. Zu diesem Zweck ist die Bogon-Filterung eine Möglichkeit, Datenverkehr herauszufiltern, der illegitim oder sogar gefährlich sein kann.
Verschiedene Firewalls und andere Tools verwenden Sie die bogon-Filterung, um diese häufig schädlichen Adressen zu eliminieren, und Internetdienstanbieter können diese Art von Dienst für Benutzer anbieten. Der Name bogon hat seine Wurzeln in den Wörtern ‚bogus‘ und ‚bogosity‘ und ist ein allgemein akzeptierter Teil des IT-Slangs.

Configure WAN Interface

IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
Haken bei "Block RFC1918 Private Networks"
Haken bei "Block bogon networks"


Grüße