sirhc4022
Goto Top

Pf- bzw. OPNSense - Warum DNS separat angeben, wenn "Scheunentor-Regel" definiert wurde

Hallo Firewall-Gurus,

ich habe seit einiger Zeit mal wieder ein wenig mit OPNSense gespielt. Einfach aus Interesse für mich daheim. Dabei habe ich folgenden Versuchsaufbau in einer VM:
OPNSense mit WAN, OFFICE-LAN, GAST-LAN
Mehr nicht. Ganz simpel.
Jetzt mein Verständnisproblem: Ich weiß, dass die Regel, die als erstes zutrifft Anwendung findet und alles Weitere vernachlässigt wird. Mach ich zu Testzwecken im GAST-LAN eine "Scheunentor-Regel", also sowas wie "IP4 von GAST-LAN nach *; allow all", dann bin ich davon ausgegangen, dass alle Datenpakete auf alle Ports zugreifen können; die Firewall alles durch lässt, was ankommt. Aber nee. Nix da. Vor der "Scheunentor-Regel" muss ich erst noch den Zugriff auf DNS erlauben. Wieso geht das nicht so schon, ohne dass man das explizit noch mal mit angibt?

Grüße

Chris

Content-ID: 338218

Url: https://administrator.de/contentid/338218

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

ashnod
ashnod 18.05.2017 um 13:20:30 Uhr
Goto Top
Moin ...

du hast aber beachtet das DNS auf Port 53 UDP liegt und auf der FW nicht nur TCP freigegeben?
VG
Ashnod
sirhc4022
sirhc4022 18.05.2017 um 13:32:15 Uhr
Goto Top
Moin Ashnod,

jap. Hab ich. Ich packe mal hier noch ein Bild der "Lass-Alles-Durch-Regel" rein.
Danke für deine Idee.

LG
Chris
ohne titel.
sirhc4022
sirhc4022 18.05.2017 um 14:02:26 Uhr
Goto Top
Ähhh. Mal wieder typisch. Gestern Abend habe ich damit die ganze Zeit rumprobiert, heute den ganzen Vormittag. Habe sowohl die Firewall als auch den Testrechner im GAST-LAN hoch und runter gefahren, mehrmals.
Jetzt komme ich grad von einer Kaffeepause wieder und mit mal hat der Testrechner erfolgreich Namen und IPs auflösen können.
Was habe ich also daraus gelernt?

= Man sollte öfter Kaffeepausen machen. Dann lösen sich so manche Probleme ganz von allein. =
aqui
aqui 18.05.2017 aktualisiert um 15:03:38 Uhr
Goto Top
Nee, anderes Fazit: Nimm immer pfSense dann ersparst du dir solche Kinkerlitzchen. Die Firmware scheint noch ziemlich buggy zu sein. Andere Filter Optionen funktionieren da auch schlecht bis gar nicht.
VLAN mit Devolo DLAN 500 pro Wireless+ und OPNsense

Richtiges Fazit also: Keine Kaffeepause und besser pfSense Firmware flashen.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
sirhc4022
sirhc4022 18.05.2017 um 15:24:12 Uhr
Goto Top
Hey Aqui,

danke für dein Feedback. Schau einer an. So hätte ich nicht gedacht. Dann werde ich mal deinen Rat befolgen und das gleiche Szenario mit pfSense nachstellen. Geht ja dank VM-Labor fix. Da bin ich jetzt echt gespannt.
aqui
aqui 19.05.2017 um 10:11:00 Uhr
Goto Top
In etwas anspruchsvolleren Umgebungen sollte man erstmal von OpenSense die Finger lassen. Zu neu und zu buggy...
sirhc4022
sirhc4022 19.05.2017 um 10:17:54 Uhr
Goto Top
Jap, ich hab das gleiche Szenario jetzt mit pfSense durchprobiert und da ging alles ohne Probleme. Selbst das CP, dass unter OPNSense Zicken gemacht hatte, funktioniert hier aalglatt. Da bin ich ja von OPNSense mächtig enttäuscht. Mehr als schönes Blendwerk (GUI) scheinen die wohl nicht zu können. Gibt es aus fachlicher Sicht einen Grund, OPNSense pfSense vorzuziehen?
IceAge
IceAge 19.05.2017 aktualisiert um 11:00:34 Uhr
Goto Top
Mahlzeit Liebe Administratoren,

ich habe im HomeOffice seit ca. 6 Monaten eine apu2c4 mit OPNsense (Fork aus pfsense) im Einsatz (WAN, LAN, GästeWLAN, DMZ)... Dieses lief soweit sehr stabil, die Regeln liefen im Bereich der Grundfunktionen problemlos. Im Laufe der Zeit kamen einige weitere Anforderungen (Squid, CP, VLAN) dazu und hier begannen dann die Probleme mit OPNsense. Letztendlich bestellte ich mir ein 2.tes apu-board und installierte pfsense, welches nun brav mit allen neuen Anforderungen seinen Dienst tut. Warum ich hier bei OPNsense an die Grenzen gestossen bin, weiß ich noch nicht... Vielleicht der ein oder andere Bug, vielleicht hab ich mich aber auch zu dusselig angestellt.

Ich habe mir anfangs pfsense und opnsense angeschaut, für mich als Einsteiger war OPNsense deutlich leichter zu verstehen und man bekommt einen einfachen Einstieg. Sobald die Umgebungen komplizierter werden bzw. die Anforderungen wachsen, ist pfsense wohl die bessere Wahl. Durch den seichten Einstieg mit OPNsense habe ich dann den Wechsel auf pfsense in ner knappen Stunde problemlos vollzogen, da beide Systeme nachwievor sehr ähnlich aufgebaut sind.

Von daher haben beide Systeme durchaus ihren Vorteil, OPNsense bietet einen leichten Einstieg in die Thematik Firewall und pfsense scheint derzeit einfach das stabilere bzw. ausgereiftere System zu sein (meine persönliche Meinung).

Grüße I.
sirhc4022
sirhc4022 19.05.2017 um 10:57:39 Uhr
Goto Top
Hallo IceAge,

da hast du wohl recht. Der Einstieg in OPNSense ist wesentlich leichter, da die GUI übersichtlicher ist. Die Erfahrung hatte ich vor einiger Zeit auch gemacht. Wenn man dann aber in der Config an scheinbar an seine eigenen Grenzen stößt, weil das Ding total verbuggt ist... baaaah.
Danke für dein Feedback dazu!
aqui
aqui 19.05.2017 aktualisiert um 14:49:25 Uhr
Goto Top
für mich als Einsteiger war OPNsense deutlich leichter zu verstehen und man bekommt einen einfachen Einstieg
Das ist aber nicht wirklich nachzuvollziehen. Die grundlegenden Schritte sind auf beide Distros identisch und das Regelwerk auch.
Um einfach und schnell damit zu starten sind die Hürden identisch.
Das Finetunig bzw. die Menüs dazu kann man ja schlicht ignorieren als Anfänger sofern man diese erstmal nicht braucht.
Außerdem gibt für Anfänger auch ein Buch vom Hersteller:
https://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
Wenn man Anfänger ist sollte das Pflichtleküre sein. Ein Nachschlagewerk ist es allemal.
sirhc4022
sirhc4022 19.05.2017 um 17:25:33 Uhr
Goto Top
So. Prompt bestellt. Danke dafür aqui!
Ich denke, dass man als Newbie den Einstieg mit OPNSense "einfacher" findet, weil es gefühlt übersichtlicher ist. So war mein subjektiver erster Eindruck. Dass das GUI auf (teilweise) auf deutsch ist, ist für so manchen vielleicht auch im ersten Augenblick angenehmer. Wobei ja englisch kein Problem darstellen sollte, gell? face-wink
aqui
aqui 19.05.2017 um 22:44:51 Uhr
Goto Top
Aber deutsche Bananen isst du noch nicht, oder ? face-wink
Die Lingua franca in der IT ist ja nun mal Englisch. Das Buch ist aber ne sehr gute Investition. Kommt ja vom Entwickler selber....
Den Rest findest du hier im Tutorial bzw.. der dortigen Linksammlung in den weiterführenden Links. face-wink