5
OPNsense: LAN to WAN erlaubt keinen Internetzugriff
Guten Morgen zusammen
Ich habe hier eine OPNsense in Betrieb genommen und bis auf die Firewall Regeln läuft eigentlich alles.
Nun möchte ich auf die LAN to ANY Regel gerne verzichtet, ich scheitere aber nur schon beim Erlauben des Internetzugriffs.
Ich habe folgende Regel eingestellt:
Diese sollte doch meiner Meinung nach einen Zugriff auf das Internet erlauben, oder mache ich gerade einen Denkfehler?
- Ping zu 8.8.8.8 klappt mit der Regel nicht, mit der LAN to ANY klappt es jedoch.
- Surfen klappt mit der Regel auch nicht, mit der LAN to ANY jedoch schon.
DNS macht der DC im LAN, unbekannte Anfragen leitet der dann an die OPNsense weiter. Das sollte also auch nicht das Problem sein.
Sehe ich den Wald vor lauter Bäumen nicht mehr?
LG und Danke für jeglichen Input
MbGb
Ich habe hier eine OPNsense in Betrieb genommen und bis auf die Firewall Regeln läuft eigentlich alles.
Nun möchte ich auf die LAN to ANY Regel gerne verzichtet, ich scheitere aber nur schon beim Erlauben des Internetzugriffs.
Ich habe folgende Regel eingestellt:
Diese sollte doch meiner Meinung nach einen Zugriff auf das Internet erlauben, oder mache ich gerade einen Denkfehler?
- Ping zu 8.8.8.8 klappt mit der Regel nicht, mit der LAN to ANY klappt es jedoch.
- Surfen klappt mit der Regel auch nicht, mit der LAN to ANY jedoch schon.
DNS macht der DC im LAN, unbekannte Anfragen leitet der dann an die OPNsense weiter. Das sollte also auch nicht das Problem sein.
Sehe ich den Wald vor lauter Bäumen nicht mehr?
LG und Danke für jeglichen Input
MbGb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 633524
Url: https://administrator.de/contentid/633524
Printed on: April 26, 2024 at 10:04 o'clock
5 Comments
Latest comment
Moin,
du hast einen Denkfehler... WAN-net ist das Netz deiner externen IP und nicht das gesamte Internet.
wenn du also von deinem Provider z.B. die 90.12.23.41 mit einer Netzmaske 24 bekommen hättest, bedeutet das den Zugriff auf die IP-Range von 90.12.23.1-90.12.23.254.
VG
du hast einen Denkfehler... WAN-net ist das Netz deiner externen IP und nicht das gesamte Internet.
wenn du also von deinem Provider z.B. die 90.12.23.41 mit einer Netzmaske 24 bekommen hättest, bedeutet das den Zugriff auf die IP-Range von 90.12.23.1-90.12.23.254.
VG
WAN Net ist nur das Interface WAN und seine (Netz-)Adresse. LAN to Any ist schon korrekt. Wenn du noch andere lokale Netze an der opnsense hast, dann musst du sie vorher für LAN sperren.
*edit* BirdyB war schneller
*edit* BirdyB war schneller
Hallo ihr beiden
Daran habe ich gar nicht mehr gedacht. Bei Sophos war damit das komplette Internet eingeschlossen. Dies ist (leider) ein wenig mehr Endbenutzerorientiert.
Wenn ich zurückdenke an früher mit der pfsense, dann macht es aber klick.
Danke für den Denkanstoss!
Wäre es aber nicht so lösbar:
OPNsense hat ein Firewall Alias "bogon", diese umfasst wenn es mir Recht ist alle nach RFC1918 als private definierten Adressen. Wäre es damit nicht mögliche eine Regel zu erstellen von LAN zu NOT bogon? Sieht dann so aus:
Allow * from LAN to !BOGON
Fände das sieht sauberer aus als zuerst alle zu blockieren, die man nicht möchte und dann am Schluss noch die Allow * from LAN to ANY.
Weiss aber nicht ob etwas dagegen spricht.
LG
Daran habe ich gar nicht mehr gedacht. Bei Sophos war damit das komplette Internet eingeschlossen. Dies ist (leider) ein wenig mehr Endbenutzerorientiert.
Wenn ich zurückdenke an früher mit der pfsense, dann macht es aber klick.
Danke für den Denkanstoss!
Wäre es aber nicht so lösbar:
OPNsense hat ein Firewall Alias "bogon", diese umfasst wenn es mir Recht ist alle nach RFC1918 als private definierten Adressen. Wäre es damit nicht mögliche eine Regel zu erstellen von LAN zu NOT bogon? Sieht dann so aus:
Allow * from LAN to !BOGON
Fände das sieht sauberer aus als zuerst alle zu blockieren, die man nicht möchte und dann am Schluss noch die Allow * from LAN to ANY.
Weiss aber nicht ob etwas dagegen spricht.
LG
oder mache ich gerade einen Denkfehler?
Ja, denn deine Regel erlaubt ja einzig nur den Zugriff auf das alleinige IP Netz am WAN Port ! NICHT aber auf die Millionen anderer IP Netze im Internet. Logisch also das das scheitert... 
Das ist ein typischer Anfängerfehler weil diese denken das IP Netz am WAN Port wäre schon das gesamte Internet !
Setze die Destination also auf "ANY" und dann klappt das auch sofort wie es soll...
Case closed
How can I mark a post as solved?
Fast richtig.
Bei OPNsense ist der korrekte Alias "PrivateNetwork".
Und die Regel lautet NOT "PrivateNetwork"
Setzt Du es auf "Any" erlaubst Du die Regel auch auf interne, VLANs und VPNs zwischen denen keine Kommunikation erlaubt sein soll.
Und üblicherweise setzt Du als traffic erstmal nur HTTP und HTTPS ein und kein *. Und dann kommen weitere Regeln für Mailing und andere Dienste die Du brauchst.
Soll nen Ping ins Internet laufen, dann wählst Du icmp als Protokoll.
Mit dem * erlaubst Du jeden ausgehenden traffic, beschränkst Du es auf die nur benötigten Ports bekommst Du ein Gefühl was in Deinem Netzwerk wirklich läuft. Macht aber mehr Aufwand am Anfang.
Zum Alias BOGON:
Was ist Bogon-Filterung?
Bogon-Filterung ist die Entlassung von gefälschten IP-Adresskomponenten. Ein bogon ist eine Art von URL-Referenz, die sich bei bestimmten Arten von Denial of Service als typisch erwiesen hat Angriffe und atypische im legitimen Netzwerkverkehr.
Bogons werden im Internet oft als illegitim angesehenAdresse Präfixe oder Komponenten. Zu diesem Zweck ist die Bogon-Filterung eine Möglichkeit, Datenverkehr herauszufiltern, der illegitim oder sogar gefährlich sein kann.
Verschiedene Firewalls und andere Tools verwenden Sie die bogon-Filterung, um diese häufig schädlichen Adressen zu eliminieren, und Internetdienstanbieter können diese Art von Dienst für Benutzer anbieten. Der Name bogon hat seine Wurzeln in den Wörtern ‚bogus‘ und ‚bogosity‘ und ist ein allgemein akzeptierter Teil des IT-Slangs.
Configure WAN Interface
IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
Haken bei "Block RFC1918 Private Networks"
Haken bei "Block bogon networks"
Grüße
Bei OPNsense ist der korrekte Alias "PrivateNetwork".
Und die Regel lautet NOT "PrivateNetwork"
Setzt Du es auf "Any" erlaubst Du die Regel auch auf interne, VLANs und VPNs zwischen denen keine Kommunikation erlaubt sein soll.
Und üblicherweise setzt Du als traffic erstmal nur HTTP und HTTPS ein und kein *. Und dann kommen weitere Regeln für Mailing und andere Dienste die Du brauchst.
Soll nen Ping ins Internet laufen, dann wählst Du icmp als Protokoll.
Mit dem * erlaubst Du jeden ausgehenden traffic, beschränkst Du es auf die nur benötigten Ports bekommst Du ein Gefühl was in Deinem Netzwerk wirklich läuft. Macht aber mehr Aufwand am Anfang.
Zum Alias BOGON:
Was ist Bogon-Filterung?
Bogon-Filterung ist die Entlassung von gefälschten IP-Adresskomponenten. Ein bogon ist eine Art von URL-Referenz, die sich bei bestimmten Arten von Denial of Service als typisch erwiesen hat Angriffe und atypische im legitimen Netzwerkverkehr.
Bogons werden im Internet oft als illegitim angesehenAdresse Präfixe oder Komponenten. Zu diesem Zweck ist die Bogon-Filterung eine Möglichkeit, Datenverkehr herauszufiltern, der illegitim oder sogar gefährlich sein kann.
Verschiedene Firewalls und andere Tools verwenden Sie die bogon-Filterung, um diese häufig schädlichen Adressen zu eliminieren, und Internetdienstanbieter können diese Art von Dienst für Benutzer anbieten. Der Name bogon hat seine Wurzeln in den Wörtern ‚bogus‘ und ‚bogosity‘ und ist ein allgemein akzeptierter Teil des IT-Slangs.
Configure WAN Interface
IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
Haken bei "Block RFC1918 Private Networks"
Haken bei "Block bogon networks"
Grüße