12
OPNsense WAN Internetzugang
Hallo,
Ich habe folgendes Problem.
Ich habe einen Mini PC welchen ich mit meinem OPNsense Gerät angeschlossen habe.
LAN und WAN sind an meinem Netzwerk angeschlossen und beziehe für beide jeweils eine IP-Adresse vom OPNsense DHCP-Server.
OPNsense Gerät Schnittstellen:
WAN - igc0
LAN - igc1
OPT1 - igc2
OPT2 - igc3
Mein Mini PC ist an der igc2 Schnittstelle Verbunden.
Mein Ziel:
Ich möchte mit meinem Mini PC über das WAN ins Internet gelangen können.
Ich kann mit dem Mini PC die WAN Adresse anpingen, jedoch nicht z.B. 8.8.8.8 oder im Browser Google öffnen.
Vielen Dank
it797979
Ich habe folgendes Problem.
Ich habe einen Mini PC welchen ich mit meinem OPNsense Gerät angeschlossen habe.
LAN und WAN sind an meinem Netzwerk angeschlossen und beziehe für beide jeweils eine IP-Adresse vom OPNsense DHCP-Server.
OPNsense Gerät Schnittstellen:
WAN - igc0
LAN - igc1
OPT1 - igc2
OPT2 - igc3
Mein Mini PC ist an der igc2 Schnittstelle Verbunden.
Mein Ziel:
Ich möchte mit meinem Mini PC über das WAN ins Internet gelangen können.
Ich kann mit dem Mini PC die WAN Adresse anpingen, jedoch nicht z.B. 8.8.8.8 oder im Browser Google öffnen.
Vielen Dank
it797979
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669686
Url: https://administrator.de/forum/opnsense-wan-internetzugang-669686.html
Ausgedruckt am: 26.12.2024 um 21:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
was steht in deinem Regelwerk fürs OPT1?
Verteilst du im DHCP auch DNS und Standard-Gateway korrekt?
VG
Tezzla
was steht in deinem Regelwerk fürs OPT1?
Verteilst du im DHCP auch DNS und Standard-Gateway korrekt?
VG
Tezzla
1
Hallo Tezzla,
bei OPT1 habe ich keine Regeln, jedoch bei Floating die besagt:
Was genau meinst du mit DNS und Standart-Gateway korrekt verteilen?
grüße
bei OPT1 habe ich keine Regeln, jedoch bei Floating die besagt:
Was genau meinst du mit DNS und Standart-Gateway korrekt verteilen?
grüße
Zitat von @IT797979:
Hallo Tezzla,
bei OPT1 habe ich keine Regeln, jedoch bei Floating die besagt:
Was genau meinst du mit DNS und Standart-Gateway korrekt verteilen?
grüße
Hallo Tezzla,
bei OPT1 habe ich keine Regeln, jedoch bei Floating die besagt:
Was genau meinst du mit DNS und Standart-Gateway korrekt verteilen?
grüße
Den Regeln nach darfst du von OPT1 zu OPT2 und umgekehrt - und von OPT1 an die WAN Adresse der Firewall.
Also funktioniert es so, wie du es eingestellt hast.
Damit du ins Internet darfst, brauchst du eine Regel, die dies auch erlaubt. Das lässt sich mit einer Nicht-RFC1918 Regel (vorher als Alias definieren) oder einer Kombination aus Deny- und Allow-All Regeln am Einfachsten lösen, z.B.:
Verbiete alles das, was du nicht möchtest und erlaube dann alles, was du möchtest.
Da die Firewall die Regeln von oben nach unten abarbeitet, kannst du danach surfen, aber nicht auf deine verbotenen Inhalte zugreifen.
VG
1
Ich möchte mit meinem Mini PC über das WAN ins Internet gelangen können.
Ich kann mit dem Mini PC die WAN Adresse anpingen, jedoch nicht z.B. 8.8.8.8 oder im Browser Google öffnen.
Ich kann mit dem Mini PC die WAN Adresse anpingen, jedoch nicht z.B. 8.8.8.8 oder im Browser Google öffnen.
Per default dürfen die OPT-Netze nirgendwo hin. Es müssen also erst einmal Regeln erstellt werden.
Angenommen der Client in OPT1 soll Richtung Internet alles dürfen, dann sollte das mit einer Regel wie etwa
- Action: pass
- Interface: OPT1
- Direction: In
- Protocol: Any
- Source: OPT1 net
- Destination: any
- Destination Port: any
Manuel
Schonmal geprüft ob, zufällig noch das Netz auf dem Default /32 Präfix steht?
Genau das ist mein Problem, ich möchte eigentlich nicht das OPT1 Richtung Internet alles darf bzw. "Destination: Any".
Ich habe die Regel wie bei dir mal erstellt und sie funktioniert, ich habe Internet Zugang. Jedoch wie du schon sagst, es ist wenig sinnvoll und sollte auf den Anwendungsfall angepasst werden.
Mit der Regel:
- Action: Pass
- Interface: OPT1
- Direction: In
- Protocol: Any
- Soruce: OPT1 net
- Destination: WAN net (oder WAN address)
funktioniert es jedoch nicht.
Oder muss ich die "Destination: Any" - Regel anwenden und so den Rest den ich blocken möchte, blockieren? Aber das ist ja eigentlich auch nicht der Sinn einer Firewall.
Grüße
Ich habe die Regel wie bei dir mal erstellt und sie funktioniert, ich habe Internet Zugang. Jedoch wie du schon sagst, es ist wenig sinnvoll und sollte auf den Anwendungsfall angepasst werden.
Mit der Regel:
- Action: Pass
- Interface: OPT1
- Direction: In
- Protocol: Any
- Soruce: OPT1 net
- Destination: WAN net (oder WAN address)
funktioniert es jedoch nicht.
Oder muss ich die "Destination: Any" - Regel anwenden und so den Rest den ich blocken möchte, blockieren? Aber das ist ja eigentlich auch nicht der Sinn einer Firewall.
Grüße
Oder muss ich die "Destination: Any" - Regel anwenden und so den Rest den ich blocken möchte, blockieren? Aber das ist ja eigentlich auch nicht der Sinn einer Firewall.
Destination Any meint bei der OpnSense "gesamtes Internet".
Das könntest du bspw. auf eine bestimmte IP beschränken (oder auch mehrere). Oder per GeoIP auf Ziele in Deutschland. In den meisten Fällen will man aber eher auf bestimmte Dienste/Ports beschränken. Das würde dann etwa mit Destination Port HTTPS gemacht.
Meiner Meinung nach am sinnvollsten ist es an der Stelle mit Aliasen zu arbeiten. Dazu erstellst du einen Alias OPT1ErlaubtePorts und gibst unter Content die einzelnen Ports an. Danach kannst du in der Regel unter Destination Port diesen Alias auswählen und damit das erlauben was im Alias angegeben wurde. Ansonsten müsste nämlich für jeden einzelnen Port eine Regel erstellt werden.
Mit Aliasen kannst du auch mehrere IPs zusammenfassen. Wenn also die Clients aus OPT1 nur mit drei IPs kommunizieren sollen, erstellst du einen Alias mit diesen drei IPs. Dieser Alias wird dann bei Destination angegeben.
Manuel
1
Kurze Info - Ich bin ein "Frischling" im Bereich Netzwerke...
Ich hab da auch was versuchst mit den Ports, jedoch hab ich das nicht so ganz hinbekommen.
Ich habe auch das Gefühl das ich einfach ein Routing Problem habe. Könnte ich das mit einer Bridge beheben und wie müsste ich diese Konfigurieren?
Grüße
Ich hab da auch was versuchst mit den Ports, jedoch hab ich das nicht so ganz hinbekommen.
Ich habe auch das Gefühl das ich einfach ein Routing Problem habe. Könnte ich das mit einer Bridge beheben und wie müsste ich diese Konfigurieren?
Grüße
Ich habe auch das Gefühl das ich einfach ein Routing Problem habe.
Wieso sollte es ein Routing-Problem geben? Die OpnSense kennt ihre eigenen Netzwerke und das WAN und kümmert sich damit hervorragend um das Routing in dieser einfachen Konstellation. Zumindest wenn die Clients ihre IP per DHCP bekommen. Sollte die IP statisch vergeben sein, dann müssen halt Gateway und DNS-Einträge passen.
Manuel
Dann fang doch mal bei den Basics an und mach eine "Alles erlauben" Regel in deinen Interfaces mit Ziel Any.
Damit darfst du dann von deinen Subnetz auf alles. Wenn du dann surfen kannst, taste dich mal ran.
- Destination: WAN net (oder WAN address)
Das wird dir nicht helfen, da das WAN net nicht gleichbedeutend mit "Ich kann surfen" ist.
VG
Dann fang doch mal bei den Basics an und mach eine "Alles erlauben" Regel in deinen Interfaces mit Ziel Any.
Damit darfst du dann von deinen Subnetz auf alles. Wenn du dann surfen kannst, taste dich mal ran.
Damit darfst du dann von deinen Subnetz auf alles. Wenn du dann surfen kannst, taste dich mal ran.
Mit den Basics bin ich schon durch und habe ein bestimmtes Ziel, indem die alles Any Regel keinen Sinn macht. Ich muss den Internetzugriff beschränken und habe es denke mal hinbekommen...
In den meisten Fällen will man aber eher auf bestimmte Dienste/Ports beschränken. Das würde dann etwa mit Destination Port HTTPS gemacht.
Ich habe nun eine Regel, bzw. drei Regeln erstellt.
Protocol: TCP/UDP
Source: OPT1 Subnetz
Destination: Any
Port: 443 (https) ; 80 (http) ; 53 (dns)
Ich habe für jeden Port so eine Regel erstellt und komme nun ins Internet.
Danke für eure Hilfe.
Viele Grüße
Ebenfalls hatte ich eine Regel im NAT erstellt - ist diese notwendig?
Erst habe ich den Modus auf "Hybrid outbound NAT rule generation" gesetzt. Dann die Regel:
Interface: OPT1
TCP/IP Version: IPv4
Protocol: TCP/UDP
Source address: OPT1 net
Source port: Any
Destination address: Eine DNS von mir
Destination port: DNS
Translation / target: LAN address (benutze nun den LAN statt WAN)
Log: Häkchen
Pool Options: Default
Ich habe diese Regel mal ausgeschaltet und getestet und hatte noch immer Internetzugriff, jedoch bin ich mir nicht so ganz sicher und wollte einfach nochmal nachfragen.
Grüße
Erst habe ich den Modus auf "Hybrid outbound NAT rule generation" gesetzt. Dann die Regel:
Interface: OPT1
TCP/IP Version: IPv4
Protocol: TCP/UDP
Source address: OPT1 net
Source port: Any
Destination address: Eine DNS von mir
Destination port: DNS
Translation / target: LAN address (benutze nun den LAN statt WAN)
Log: Häkchen
Pool Options: Default
Ich habe diese Regel mal ausgeschaltet und getestet und hatte noch immer Internetzugriff, jedoch bin ich mir nicht so ganz sicher und wollte einfach nochmal nachfragen.
Grüße
