Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Pf- bzw. OPNSense - Warum DNS separat angeben, wenn "Scheunentor-Regel" definiert wurde

Mitglied: sirhc4022

sirhc4022 (Level 1) - Jetzt verbinden

18.05.2017 um 13:10 Uhr, 2276 Aufrufe, 12 Kommentare

Hallo Firewall-Gurus,

ich habe seit einiger Zeit mal wieder ein wenig mit OPNSense gespielt. Einfach aus Interesse für mich daheim. Dabei habe ich folgenden Versuchsaufbau in einer VM:
OPNSense mit WAN, OFFICE-LAN, GAST-LAN
Mehr nicht. Ganz simpel.
Jetzt mein Verständnisproblem: Ich weiß, dass die Regel, die als erstes zutrifft Anwendung findet und alles Weitere vernachlässigt wird. Mach ich zu Testzwecken im GAST-LAN eine "Scheunentor-Regel", also sowas wie "IP4 von GAST-LAN nach *; allow all", dann bin ich davon ausgegangen, dass alle Datenpakete auf alle Ports zugreifen können; die Firewall alles durch lässt, was ankommt. Aber nee. Nix da. Vor der "Scheunentor-Regel" muss ich erst noch den Zugriff auf DNS erlauben. Wieso geht das nicht so schon, ohne dass man das explizit noch mal mit angibt?

Grüße

Chris
Mitglied: ashnod
18.05.2017 um 13:20 Uhr
Moin ...

du hast aber beachtet das DNS auf Port 53 UDP liegt und auf der FW nicht nur TCP freigegeben?
VG
Ashnod
Bitte warten ..
Mitglied: sirhc4022
18.05.2017 um 13:32 Uhr
Moin Ashnod,

jap. Hab ich. Ich packe mal hier noch ein Bild der "Lass-Alles-Durch-Regel" rein.
Danke für deine Idee.

LG
Chris
ohne titel. - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: sirhc4022
18.05.2017 um 14:02 Uhr
Ähhh. Mal wieder typisch. Gestern Abend habe ich damit die ganze Zeit rumprobiert, heute den ganzen Vormittag. Habe sowohl die Firewall als auch den Testrechner im GAST-LAN hoch und runter gefahren, mehrmals.
Jetzt komme ich grad von einer Kaffeepause wieder und mit mal hat der Testrechner erfolgreich Namen und IPs auflösen können.
Was habe ich also daraus gelernt?

= Man sollte öfter Kaffeepausen machen. Dann lösen sich so manche Probleme ganz von allein. =
Bitte warten ..
Mitglied: aqui
18.05.2017, aktualisiert um 15:03 Uhr
Nee, anderes Fazit: Nimm immer pfSense dann ersparst du dir solche Kinkerlitzchen. Die Firmware scheint noch ziemlich buggy zu sein. Andere Filter Optionen funktionieren da auch schlecht bis gar nicht.
https://www.administrator.de/forum/vlan-devolo-dlan-500-wireless-opnsens ...

Richtiges Fazit also: Keine Kaffeepause und besser pfSense Firmware flashen.
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: sirhc4022
18.05.2017 um 15:24 Uhr
Hey Aqui,

danke für dein Feedback. Schau einer an. So hätte ich nicht gedacht. Dann werde ich mal deinen Rat befolgen und das gleiche Szenario mit pfSense nachstellen. Geht ja dank VM-Labor fix. Da bin ich jetzt echt gespannt.
Bitte warten ..
Mitglied: aqui
19.05.2017 um 10:11 Uhr
In etwas anspruchsvolleren Umgebungen sollte man erstmal von OpenSense die Finger lassen. Zu neu und zu buggy...
Bitte warten ..
Mitglied: sirhc4022
19.05.2017 um 10:17 Uhr
Jap, ich hab das gleiche Szenario jetzt mit pfSense durchprobiert und da ging alles ohne Probleme. Selbst das CP, dass unter OPNSense Zicken gemacht hatte, funktioniert hier aalglatt. Da bin ich ja von OPNSense mächtig enttäuscht. Mehr als schönes Blendwerk (GUI) scheinen die wohl nicht zu können. Gibt es aus fachlicher Sicht einen Grund, OPNSense pfSense vorzuziehen?
Bitte warten ..
Mitglied: IceAge
19.05.2017, aktualisiert um 11:00 Uhr
Mahlzeit Liebe Administratoren,

ich habe im HomeOffice seit ca. 6 Monaten eine apu2c4 mit OPNsense (Fork aus pfsense) im Einsatz (WAN, LAN, GästeWLAN, DMZ)... Dieses lief soweit sehr stabil, die Regeln liefen im Bereich der Grundfunktionen problemlos. Im Laufe der Zeit kamen einige weitere Anforderungen (Squid, CP, VLAN) dazu und hier begannen dann die Probleme mit OPNsense. Letztendlich bestellte ich mir ein 2.tes apu-board und installierte pfsense, welches nun brav mit allen neuen Anforderungen seinen Dienst tut. Warum ich hier bei OPNsense an die Grenzen gestossen bin, weiß ich noch nicht... Vielleicht der ein oder andere Bug, vielleicht hab ich mich aber auch zu dusselig angestellt.

Ich habe mir anfangs pfsense und opnsense angeschaut, für mich als Einsteiger war OPNsense deutlich leichter zu verstehen und man bekommt einen einfachen Einstieg. Sobald die Umgebungen komplizierter werden bzw. die Anforderungen wachsen, ist pfsense wohl die bessere Wahl. Durch den seichten Einstieg mit OPNsense habe ich dann den Wechsel auf pfsense in ner knappen Stunde problemlos vollzogen, da beide Systeme nachwievor sehr ähnlich aufgebaut sind.

Von daher haben beide Systeme durchaus ihren Vorteil, OPNsense bietet einen leichten Einstieg in die Thematik Firewall und pfsense scheint derzeit einfach das stabilere bzw. ausgereiftere System zu sein (meine persönliche Meinung).

Grüße I.
Bitte warten ..
Mitglied: sirhc4022
19.05.2017 um 10:57 Uhr
Hallo IceAge,

da hast du wohl recht. Der Einstieg in OPNSense ist wesentlich leichter, da die GUI übersichtlicher ist. Die Erfahrung hatte ich vor einiger Zeit auch gemacht. Wenn man dann aber in der Config an scheinbar an seine eigenen Grenzen stößt, weil das Ding total verbuggt ist... baaaah.
Danke für dein Feedback dazu!
Bitte warten ..
Mitglied: aqui
19.05.2017, aktualisiert um 14:49 Uhr
für mich als Einsteiger war OPNsense deutlich leichter zu verstehen und man bekommt einen einfachen Einstieg
Das ist aber nicht wirklich nachzuvollziehen. Die grundlegenden Schritte sind auf beide Distros identisch und das Regelwerk auch.
Um einfach und schnell damit zu starten sind die Hürden identisch.
Das Finetunig bzw. die Menüs dazu kann man ja schlicht ignorieren als Anfänger sofern man diese erstmal nicht braucht.
Außerdem gibt für Anfänger auch ein Buch vom Hersteller:
https://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
Wenn man Anfänger ist sollte das Pflichtleküre sein. Ein Nachschlagewerk ist es allemal.
Bitte warten ..
Mitglied: sirhc4022
19.05.2017 um 17:25 Uhr
So. Prompt bestellt. Danke dafür aqui!
Ich denke, dass man als Newbie den Einstieg mit OPNSense "einfacher" findet, weil es gefühlt übersichtlicher ist. So war mein subjektiver erster Eindruck. Dass das GUI auf (teilweise) auf deutsch ist, ist für so manchen vielleicht auch im ersten Augenblick angenehmer. Wobei ja englisch kein Problem darstellen sollte, gell?
Bitte warten ..
Mitglied: aqui
19.05.2017 um 22:44 Uhr
Aber deutsche Bananen isst du noch nicht, oder ?
Die Lingua franca in der IT ist ja nun mal Englisch. Das Buch ist aber ne sehr gute Investition. Kommt ja vom Entwickler selber....
Den Rest findest du hier im Tutorial bzw.. der dortigen Linksammlung in den weiterführenden Links.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
DNS bzw. Netzwerkproblem in Domäne
Frage von theoberlinWindows Netzwerk8 Kommentare

Hallo zusammen, ich habe seit eniger Zeit das Problem, dass die Anmeldung an Domänenclients Teilweise sehr lange dauert bzw. ...

Windows Server

WS2016 AD DNS, keine Internetverbindung mehr bzw. DNS-Problem

gelöst Frage von TheMannekenWindows Server5 Kommentare

Hallo! In meiner Testumgebung habe ich derzeit ein Problem, was nach meiner Vermutung auf den DNS zurückzuführen ist, aber ...

Debian

DNS bzw. Einstellungsfehler E-Mail-Versand

gelöst Frage von netmatzeDebian4 Kommentare

Liebe Admins, VORAB: Ich bin PHP Entwickler und meine Kenntnisse mit Linuxservern beschränken sich auf DEBIAN und vorrangig auf ...

DNS

DNS Weiterleitungs bzw. Einrichtungsfragen anderes Netz

Frage von NoctarDNS4 Kommentare

Guten Tag, sorry schonmal für die eventuellen noobfragen, aber ich bin noch nicht lange in der Umgebung und nicht ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 7 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 10 StundenSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 2 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless21 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Windows Server
Mac Rechner im Windows Netzwerk - was jetzt?
Frage von Kopfg3ldWindows Server16 Kommentare

Hallo zusammen, ich habe folgende Herausforderungen. Aber erst mal was kurz zum Netzwerk - Windows Server (ältester ist ein ...

Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office13 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...