wissens-hunger
Goto Top

OPNsense Vigor Modem Firewall, kein Internet

Abend zusammen,

brauche mal wieder eure Hilfe im Bezug auf Firewall bei der Opnsense in Verbindung mit einem Vigor Modem.

Ist Zustand:

- WAN Interface zum Vigor Modem
- LAN Interface als Backup für auf die Opnsense
- Uplink mit mehreren VLANs
- DNS Server in anderen VLAN
- Opnsense ist der DNS Server des ISP eingetragen
- Pihole ist der DNS Server des ISP eintragen
- Pihole kann ich vm PC aus erreichen
- Opnsense kann 8.8.8.8 pingen
- Opensens kann DNS anfragen versenden und bekommt Antworten.

1

Habe das Problem das wenn ich bei der Opnsense in den Firewall Regeln Quelle „VLAN24 PC“das Ziel „WAN Netzwerk“ oder „WAN Adresse“ auswähle bekomme ich keine Verbindung ins Internet.

Ersetzte ich diese Ziel Regel mit „jede“ komme ich ohne Probleme ins Internet.
Ziel ist es das dieses „PC VLAN“ nur ins Interner spricht aber in sonst keine anderen VLANS.
DNS und Routing scheinen zu funktionieren aber, leider sehe ich meinen Fehler nicht.

Hoffe auf Hilfe.

Grüße

Content-ID: 6841513029

Url: https://administrator.de/forum/opnsense-vigor-modem-firewall-kein-internet-6841513029.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
Lösung aqui 19.04.2023 aktualisiert um 19:59:32 Uhr
Goto Top
das Ziel „WAN Netzwerk“ oder „WAN Adresse“ auswähle bekomme ich keine Verbindung ins Internet.
Was willst du denn mit dieser Regel genau erreichen?? Den Internet Zugang?
Diese Regel lässt dann ja vom VLAN 24 PC einzig nur noch den Zugriff auf das PPPoE Zugangsnetz des Providers bzw. nur die IP Adresse des WAN Ports zu. Nichts anderes...!
Im PPPoE Zugangsnetz des Providers und an der WAN IP der Firewall selber befinden sich bekanntlich keinerlei Server oder erreichbare Endgeräte geschweige denn Webserver usw..
Fragt sich also was der tiefere Sinn dieser Regel sein soll die den Zugang nur zu einem einzigen völlig isolierten Provider eigenen Zielnetz erlaubt?
Das Internet besteht aus Milliarden von IP Netzen und ist nicht nur das PPPoE Zugangsnetz deines spezifischen Providers.
Vermutlich machst du hier einen fatalen Denkfehler was das Regelwerk für den VLAN 24 PC anbetrifft, kann das sein?

Wenn der PC in keine anderen VLANs soll und nur ins Internet erzeugst du einen ALIAS in dem du alle privaten RFC 1918 IP Netze definierst und erstellst dann ein Regelwerk:
BLOCK: IP Source: VLAN24net, Destination: <RFC-Alias>
PASS: IP Source: VLAN24net, Destination: any

Fertisch.
Hast du z.B. nur alle anderen VLANs im 192.168.0.0 /26er Bereich geht es auch ohne Alias und dann reicht es im Blocking nur diesen Bereich anzugeben. Der Alias würde dir 3 extra Einträge im Regelwerk ersparen.
BLOCK: IP Source: VLAN24net, Destination: 192.168.0.0 /16
PASS: IP Source: VLAN24net, Destination: any

Der Alias ist sicherer und blockt dir generell alle privaten RFC 1918er Netze auch wenn du sie ggf. erst später einmal benutzt.
wissens-hunger
wissens-hunger 19.04.2023 um 19:52:05 Uhr
Goto Top
Hallo aqui,

Um es vereinfacht zu sagen. Ich möchte einfach vom VLAN 24 auf das Internet zugreifen ohne in ein anderes vlan zu kommen.

Gruß
aqui
aqui 19.04.2023 aktualisiert um 19:57:44 Uhr
Goto Top
Ist doch eine einfache Regel Logik auf die man doch auch selber kommt... face-wink
Beispiel siehe oben!
wissens-hunger
wissens-hunger 19.04.2023 aktualisiert um 20:13:05 Uhr
Goto Top
Danke für die Info.

rfc

So funktoniert es. Sollte ja auch so passen. Oder ?
aqui
aqui 19.04.2023 aktualisiert um 20:24:21 Uhr
Goto Top
Na ja, das ist ja bis jetzt erstmal nur der Alias. Ohne das du den in die o.a. Regel einarbeitest ist das natürlich erstmal wirkungslos.
Leider hast du keinen Screenshot der korrigierten VLAN24 Regel gepostet, deshalb kann man nicht sicher sagen ob es so passt oder nicht, denn nur die Regel ist relevant. Der Alias ist, wie der Name ja schon sagt, erstmal nur ein einfacher Platzhalter aber keine Regel. face-wink

Nebenbei ist der Alias Name etwas irreführend. Sinnvoller wäre gewesen "RFC1918_Netze"
Damit hättest du dann auch nach 3 Wochen sofort gewusst was sich hinter dem Alias verbirgt. 😉
wissens-hunger
wissens-hunger 19.04.2023, aktualisiert am 20.04.2023 um 09:53:17 Uhr
Goto Top
So versuch zwei. face-smile

Das ich das in die Firewall einbinden muss war mir klar.

Hier das Bild:

tempsnip

Und noch eine Frage:
Müsste man nicht jedes Protokoll in der Firewall freigeben? Wie z.B. bei deiner Cisco Firewall ?
aqui
aqui 20.04.2023 aktualisiert um 10:02:45 Uhr
Goto Top
Perfekt gelöst mit der Negierung des Alias! 👍😉

Die Frage ist leider nicht ganz eindeutig? Was genau meinst du damit und auf was ist sie bezogen? 🤔
Du hast in der o.a. Regel ja "IP" als Basisprotokoll angegeben. Das inkludiert dann alles an Protokollen was auf IP aufbaut wie TCP, UDP, ICMP usw. Also quasi alle Protokolle wenn man dich jetzt richtig versteht?!
Wenn du nur bestimmte Protokolle passieren lassen willst musst du das dedizierter mit "TCP" oder "UDP" oder dem entsprechenden Protokoll definieren im Regelwerk.
wissens-hunger
wissens-hunger 21.04.2023 um 11:43:11 Uhr
Goto Top
Ich meinte das so wie bei einer Cisco Firewall die einzelnen Protokolle anzugeben.
Cisco Anleitung
Hier ein Beispiel:
class-map type inspect most-traffic
match protocol icmp
match protocol dns
match protocol http
match protocol https
match protocol ftp
match protocol tcp
match protocol udp
usw.
Und ich ja in meinem Beispiel ja nur IPv4 any habe.
aqui
aqui 21.04.2023 aktualisiert um 12:44:11 Uhr
Goto Top
Das machen die pfSense und OPNsense als SPI Firewalls von Haus aus. Kannst du in den Diagnostics unter States selber sehen. face-wink
in meinem Beispiel ja nur IPv4 any habe.
Bedeutet dann ja nur das IPv6 bei dir dann vollständig geblockt ist an dem Segment durch das FW Regelwerk. v6 spielt dann keine Rolle mehr.
wissens-hunger
wissens-hunger 21.04.2023 um 13:37:05 Uhr
Goto Top
Okay, alles klar.
Heist im umkehrschluss für mich das ich mit einer pfSense oder OPNsense "weniger" Konfigurieren brauche als bei einer Cisco Firewall, aber genau so sicher bin.
aqui
aqui 21.04.2023 um 15:07:27 Uhr
Goto Top
Etwas laienhaft gesagt könnte man es so sagen....
Richtig ist aber das der Router ein Router ist bei dem im Gegensatz zur FW kein Regelwerk aktiv ist und die Firewall ad on ist.
Router arbeiten bekanntlich generell immer nach einem Blacklist Prinzip (alles erlaubt) während Firewalls immer nach einem Whitelist Prinzip (alles verboten) arbeiten.
Wenn du also eine dedizierte Cisco Firewall hast wie eine ASA oder eine Firepower musst du das dort auch nicht separat customizen. Ist also etwas Äpfel mit Birnen bei so einer vereinfachten Aussage ohne die Plattform zu betrachten. 😉
wissens-hunger
wissens-hunger 21.04.2023 um 19:26:40 Uhr
Goto Top
Meinte z.B. die Cisco 900er Reihe. Da ist es ja ähnlich wie bei der OPNsense.
Bei der OPNsense ist ja alles verboten wenn es nicht erlaubt wird.
aqui
aqui 21.04.2023 um 20:34:42 Uhr
Goto Top
900er sind Router. Cisco Firewalls sind ASA und Firepower Modelle. OPNsense eine Firewall. Soviel zur oben beschrieben Logik und den Äpfeln und Birnen. face-wink
wissens-hunger
wissens-hunger 22.04.2023 um 13:02:35 Uhr
Goto Top
Schon klar aber, man kann doch eine Firewall aktivieren.
Das hatte ich gemeint. face-smile

Und da hatte ich den „Vergleich“ gezogen.
aqui
aqui 22.04.2023 um 14:45:53 Uhr
Goto Top
Da hast du natürlich Recht. Sobald man die ZFW Firewall im Cisco auf die Interfaces loslässt wir der Router dann zur Firewall. Die protokollspezifische TCP Inspection macht eine FW automatisch. Beim Cisco kann man das etwas granularer customizen.
wissens-hunger
wissens-hunger 22.04.2023 um 17:06:36 Uhr
Goto Top
Und was ist "sicherer" oder "besser" deiner Meinung nach?
aqui
aqui 22.04.2023 um 17:20:25 Uhr
Goto Top
Ist beides gleichwertig gut. Bzw. auf dem Cisco sollte man natürlich für die gängigen Protokolle die man nutzt auch immer die spezifische Protokollinspection aktivieren sofern vorhanden.
Die Cisco ZFW geht der Konfig Reihenfolge nach. Am Ende steht dann meist die generelle TCP, UDP und ICMP Inspection für die Protokolle die nicht spezifisch überwacht werden.