45
PfSense Port-Freigabe für bestimmte Anwendungen bzw.Programme
Hallo Zusammen,
ich möchte gerne in der pfSense eine Regel erstelle mit der ich für ein bestimmtes Programm/Anwendung zusätzlich zum Port 80 und 443 noch zwei weitere Ports freigebe.
Wie macht man sowas?
Habe ein Alias für die HTTP Ports erstellt und möchte eigentlich nicht hier die beiden Ports hinzufügen.
Wie gebe ich denn ein Programm an?
Es geht um:
zwiftapp.exe
zwiftlauncher.exe
Wäre super wenn mir jemand weiterhelfen könnte.
Danke und Gruß
Hans
ich möchte gerne in der pfSense eine Regel erstelle mit der ich für ein bestimmtes Programm/Anwendung zusätzlich zum Port 80 und 443 noch zwei weitere Ports freigebe.
Wie macht man sowas?
Habe ein Alias für die HTTP Ports erstellt und möchte eigentlich nicht hier die beiden Ports hinzufügen.
Wie gebe ich denn ein Programm an?
Es geht um:
zwiftapp.exe
zwiftlauncher.exe
Wäre super wenn mir jemand weiterhelfen könnte.
Danke und Gruß
Hans
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 637399
Url: https://administrator.de/contentid/637399
Printed on: April 25, 2024 at 07:04 o'clock
45 Comments
Latest comment
Moin,
Garnicht. Woher soll denn die pfSense wissen, von welchem Prozess auf dem Rechner der Traffic kommt?
Da musst du dir schon eine Lösung auf Basis der vorhandenen Informationen einfallen lassen(i.d.R. Ziel-Host, Ziel-Port, etc.)
VG
Garnicht. Woher soll denn die pfSense wissen, von welchem Prozess auf dem Rechner der Traffic kommt?
Da musst du dir schon eine Lösung auf Basis der vorhandenen Informationen einfallen lassen(i.d.R. Ziel-Host, Ziel-Port, etc.)
VG
https://sysadms.de/2019/04/openapp-id-in-pfsense-paket-snort-konfigurier ...
- unterstützt nicht alle Apps
- cpu-intenstiv
- unterstützt nicht alle Apps
- cpu-intenstiv
Hallo,
dann erstelle doch eine neue Regel und setze sie hinter deine "Zugriff aufs Internet" Regel.
Wenn du nicht genau weißt was in die Regel reinkommt (Typ/Ports/Quelle/Ziel):
Erstelle eine Regel: deny any from an to any und enable logging und werte dann die logs aus.
hier kannst du dann schnell genauer werden: wenn du den PC mit zwiftapp.exe gefunden hast, setzt du als Quelle diese IP ein.
usw.
btw: bei der vorhandenen "Zugriff aufs Internet" Regel muß IPv4 TCP und nicht TCP/UDP sein).
CH
dann erstelle doch eine neue Regel und setze sie hinter deine "Zugriff aufs Internet" Regel.
Wenn du nicht genau weißt was in die Regel reinkommt (Typ/Ports/Quelle/Ziel):
Erstelle eine Regel: deny any from an to any und enable logging und werte dann die logs aus.
hier kannst du dann schnell genauer werden: wenn du den PC mit zwiftapp.exe gefunden hast, setzt du als Quelle diese IP ein.
usw.
btw: bei der vorhandenen "Zugriff aufs Internet" Regel muß IPv4 TCP und nicht TCP/UDP sein).
CH
Wie macht man sowas?
Hier definierst du das Interface (vermutlich WAN) deine Destination Port Range (da kommt dann dein Port Alias rein) und unter Redirect Target IP trägst du die Ziel IP Adresse des Rechners ein auf den dieser Forward gehen soll.
Fertisch !
In den WAN Port Firewall Regeln musst du dann natürlich auch noch eine Regel hinzufügen das diese Port Aliase Zugriff auf die WAN IP bekommen.
Das wars... Ist in nichtmal 5 Minuten eingerichtet.
P.S.: Dein Regelwerk hat oben noch einen Fehler !!
HTTP und HTTPS Ports arbeiten niemals mit UDP sondern nur mit TCP !! Wenn du also ein sicheres Regelwerk anstrebst solltest du schon wissen oder ergoogeln welche Ports und Protokolle Anwendungen wirklich nutzen !
Hallo,
Hättest Du mal den Betreff und die Frage gelesen...
Es geht darum, dass die Pakete nur dann weitergeleitet werden, wenn diese auf dem Zielhost von einem bestimmten Binary weiterverarbeitet werden:
Da das Paket zu dem Zeitpunkt, wo es einem Prozess zugeordnet wird, die pfSense verlassen hat ist eine entsprechende Regelung auf der Firewall natürlich unmöglich. Oder, um es mit deinen Worten zu sagen: Das lernt man schon in der ersten Klasse Grundschule in den ersten zwei Minuten, noch vor der namentlichen Begrüßung
In Teilen wäre das über Deep Package Inspection möglich, allerdings:
Gruß,
Jörg
Zitat von @aqui:
Im Menü Firewall -> NAT klickst du den Menüpunkt Port Forward. Mit Klick auf den "Add" Button fügst du eine neue Regel hinzu.
Im Menü Firewall -> NAT klickst du den Menüpunkt Port Forward. Mit Klick auf den "Add" Button fügst du eine neue Regel hinzu.
Hättest Du mal den Betreff und die Frage gelesen...
Es geht darum, dass die Pakete nur dann weitergeleitet werden, wenn diese auf dem Zielhost von einem bestimmten Binary weiterverarbeitet werden:
- zwiftapp.exe
- zwiftlauncher.exe
Da das Paket zu dem Zeitpunkt, wo es einem Prozess zugeordnet wird, die pfSense verlassen hat ist eine entsprechende Regelung auf der Firewall natürlich unmöglich. Oder, um es mit deinen Worten zu sagen: Das lernt man schon in der ersten Klasse Grundschule in den ersten zwei Minuten, noch vor der namentlichen Begrüßung
In Teilen wäre das über Deep Package Inspection möglich, allerdings:
- die pfSense-Spielzeuge können das von Haus aus nicht (oder?)
- müsste die Firewall dafür die Verschlüsselung aufbrechen, was mit Sicherheits- und Datenschutzbedenken verbunden ist
- kann der Zielhost mit dem Paket dennoch machen, was er will
Gruß,
Jörg
Es geht darum, dass die Pakete nur dann weitergeleitet werden
Uhhh, shame on me. Wer lesen... 🧐 OK, Thread vergessen dann...!
Zitat von @117471:
Hättest Du mal den Betreff und die Frage gelesen...
Es geht darum, dass die Pakete nur dann weitergeleitet werden, wenn diese auf dem Zielhost von einem bestimmten Binary weiterverarbeitet werden:
Hättest Du mal den Betreff und die Frage gelesen...
Es geht darum, dass die Pakete nur dann weitergeleitet werden, wenn diese auf dem Zielhost von einem bestimmten Binary weiterverarbeitet werden:
Hilf mir mal eben, wo steht das? Irgendwie lese ich das so, daß er schlicht die Ports an die Programme weiterleiten will. Das geht wohl eher nicht. Wenn dann nur an den Rechner.
🖖
Hallo,
Im Betreff...
...und in der Frage:
Doch, das geht. Die Pakete werden schon dem Prozess zugeordnet. Das findet nur nicht in der pfSense, sondern auf dem Windows-Host statt.
Die Prozesse öffnen auf den entsprechenden Ports quasi eine Art "Listener". Der Kernel leitet die einkommenden Pakete dann - diesem Listener folgend - an den Prozess.
Welcher Port an welchen Prozess geleitet wird, sollte "netstat -ano" anzeigen.
Sprich: Wenn er sicherstellen möchte, dass die Pakete nur an die zwift-Binaries geleitet werden, sollte er halt die Windows-Firewall bemühen. Ganz früher gab es auch noch einen Rotz a 'la "Zonealarm"...
Achja: Wenn das Programm Ports aufknipst, dann fragt Windows m.W. nach, ob diese Freigabe nur für private und nicht zusätzlich auch noch für öffentliche Netze erfolgen soll. "Privat" ist dabei angehakt und "Öffentlich" muss ggf. zusätzlich angehakt werden. Die Entscheidung, die hier getroffen wurde, dürfte in diesem Fall auch nicht ganz unerheblich sein
Gruß,
Jörg
Im Betreff...
PfSense Port-Freigabe für bestimmte Anwendungen bzw.Programme
...und in der Frage:
Wie gebe ich denn ein Programm an?
Das geht wohl eher nicht.
Doch, das geht. Die Pakete werden schon dem Prozess zugeordnet. Das findet nur nicht in der pfSense, sondern auf dem Windows-Host statt.
Die Prozesse öffnen auf den entsprechenden Ports quasi eine Art "Listener". Der Kernel leitet die einkommenden Pakete dann - diesem Listener folgend - an den Prozess.
Welcher Port an welchen Prozess geleitet wird, sollte "netstat -ano" anzeigen.
Sprich: Wenn er sicherstellen möchte, dass die Pakete nur an die zwift-Binaries geleitet werden, sollte er halt die Windows-Firewall bemühen. Ganz früher gab es auch noch einen Rotz a 'la "Zonealarm"...
Achja: Wenn das Programm Ports aufknipst, dann fragt Windows m.W. nach, ob diese Freigabe nur für private und nicht zusätzlich auch noch für öffentliche Netze erfolgen soll. "Privat" ist dabei angehakt und "Öffentlich" muss ggf. zusätzlich angehakt werden. Die Entscheidung, die hier getroffen wurde, dürfte in diesem Fall auch nicht ganz unerheblich sein
Gruß,
Jörg
Zitat von @117471:
Hallo,
Im Betreff...
...und in der Frage:
Hallo,
Im Betreff...
PfSense Port-Freigabe für bestimmte Anwendungen bzw.Programme
...und in der Frage:
Äh, nee. Da steht explizit nichts davon, daß die Ports nur dann weitergelitet werden sollen. Kann man, zugegebener Maßen, aber so interpretieren.
Wie gebe ich denn ein Programm an?
Das geht wohl eher nicht.
Doch, das geht. Die Pakete werden schon dem Prozess zugeordnet. Das findet nur nicht in der pfSense, sondern auf dem Windows-Host statt.
Dann ist es aber schon durch die Firewall durch und hat nichts mehr mir einer Portweiterleitung bzw. Programmzuordnung zu tun.
Die Prozesse öffnen auf den entsprechenden Ports quasi eine Art "Listener". Der Kernel leitet die einkommenden Pakete dann - diesem Listener folgend - an den Prozess.
Das ist aber grundsätzlich so. Irgendeiner muß ja Antworten, und das macht nunmal ein Programm. Welches auch immer. Wenn da jetzt ein anderes Programm zufällig auf den gleichen Port lauscht, dann könnte auch Dieses antworten.
Welcher Port an welchen Prozess geleitet wird, sollte "netstat -ano" anzeigen.
Sprich: Wenn er sicherstellen möchte, dass die Pakete nur an die zwift-Binaries geleitet werden, sollte er halt die Windows-Firewall bemühen. Ganz früher gab es auch noch einen Rotz a 'la "Zonealarm"...
Sprich: Wenn er sicherstellen möchte, dass die Pakete nur an die zwift-Binaries geleitet werden, sollte er halt die Windows-Firewall bemühen. Ganz früher gab es auch noch einen Rotz a 'la "Zonealarm"...
So sehe ich das auch.
snah0815 wollte aber wissen, wo er denn das Programm auf der Firewall einrichtet. Und das geht eben nicht.
🖖
Hallo Zusammen,
danke für die ganzen Antworten.
Die Frage war ob es möglich ist, dass ich die Freigabe der für das Programm Zwift erforderlichen zusätzlichen Ports eben auf nur dieses Programm beschränken kann, d.h. in der Regel sind in diesem Netzwerk nur die Ports 80 und 443 freigegeben (da darin eigentlich nur TV-Geräte, Receiver usw. befinden). Zusätzlich benötige ich für das Programm Zwift noch die Ports 3022 TCP und 3023 UDP (deshalb auf TCP und UDP, dach ich zum Testen den Alias einfach die beiden Ports hinzugefügt habe).
Vielleicht mal zum Verständnis was dieses Zwift überhaupt ist.
Zwift ist sozusagen eine virtuelle Welt in der man auf dem Ergometer (Heimtrainer) Radfahren kann und das auf verschiedenen Strecken und Online mit und gegen (Rennen) auf der ganzen Welt.
Zwift funktioniert grundsätzlich mit den Ports 80 und 443, allerdings musste ich feststellen, dass ich dann alleine unterwegs bin.
Sehe dann keine Leute und kann somit auch keine virtuellen Rennen usw. fahren. Dafür dann anscheinend die anderen Ports.
Ich hab mir bei mir zu Haus verschiedenste Netze angelegt und wenn ich im Fitnessraum Radfahre stecke ich also mein Notebook via LAN an dem Netz an, in dem in der Regel nur Multimedia-Geräte drinnen sind (hier ist eigentlich nur das Internet freigegeben). Ich starte also meinen Rechner, darauf die Zwift Software und dann soll es losgehen.
Hoffe es ist jetzt etwas klarer?
danke für die ganzen Antworten.
Die Frage war ob es möglich ist, dass ich die Freigabe der für das Programm Zwift erforderlichen zusätzlichen Ports eben auf nur dieses Programm beschränken kann, d.h. in der Regel sind in diesem Netzwerk nur die Ports 80 und 443 freigegeben (da darin eigentlich nur TV-Geräte, Receiver usw. befinden). Zusätzlich benötige ich für das Programm Zwift noch die Ports 3022 TCP und 3023 UDP (deshalb auf TCP und UDP, dach ich zum Testen den Alias einfach die beiden Ports hinzugefügt habe).
Vielleicht mal zum Verständnis was dieses Zwift überhaupt ist.
Zwift ist sozusagen eine virtuelle Welt in der man auf dem Ergometer (Heimtrainer) Radfahren kann und das auf verschiedenen Strecken und Online mit und gegen (Rennen) auf der ganzen Welt.
Zwift funktioniert grundsätzlich mit den Ports 80 und 443, allerdings musste ich feststellen, dass ich dann alleine unterwegs bin.
Sehe dann keine Leute und kann somit auch keine virtuellen Rennen usw. fahren. Dafür dann anscheinend die anderen Ports.
Ich hab mir bei mir zu Haus verschiedenste Netze angelegt und wenn ich im Fitnessraum Radfahre stecke ich also mein Notebook via LAN an dem Netz an, in dem in der Regel nur Multimedia-Geräte drinnen sind (hier ist eigentlich nur das Internet freigegeben). Ich starte also meinen Rechner, darauf die Zwift Software und dann soll es losgehen.
Hoffe es ist jetzt etwas klarer?
Application Control nennt sich das. Siehe Link oben oder https://docs.netgate.com/pfsense/en/latest/packages/snort/setup.html
Wie Anwendungen erkannt werden können, steht hier https://snort-org-site.s3.amazonaws.com/production/document_files/files/ ...
Wie Anwendungen erkannt werden können, steht hier https://snort-org-site.s3.amazonaws.com/production/document_files/files/ ...
Hätte grundsätzlich nochmal eine Frage zu der ganzen Portfreigabe Thematik:
Wenn ich bestimmte Ports (z.B. Port 80 und 443) vom jeweiligen VLAN für das Internet freigebe oder auch mal einen Port für ein anderes VLAN um auf irgendwelche anderen Geräte (Türsprechanlage etc.) zugreifen zu können, bleiben diese dann permanent geöffnet oder nur wenn ein Host in dem jeweiligen Netz auf z.B. eine Website im Internet zugreift?
Wie gefährlich ist denn so eine Portfreigabe überhaupt? Oder gibt man am besten alle Ports für vom jeweiligen VLAN frei und über das WAN ist eh alles geblockt. Firewall am Rechner hab ich natürlich auch noch am laufen.
Da kenn ich mich einfach zu wenig aus.
Vielleicht noch zur Info:
Hintergrund der ganzen pfSense Geschichte ist, dass ich ein Einfamilienhaus gebaut habe, mich aufgrund meines Berufs (Elektrotechniker) mit der Elektroinstallation etwas gespielt habe (Hausautomatisierung) und mich aus diesem Grund gerne etwas besser schützen möchte.
Außerdem wurde dies vom Steuerungshersteller empfohlen, vor allem im Hinblick auf evtl. mal das Öffnen eines VPN-Tunnels.
Ansonsten bin ich aber ein ganz normaler Heimanwender, mit den üblichen Geräten die man so hat, bin Familienvater (deshalb separates Kindernetz) und habe eben die ganze Haustechnik die ich besonders schützen möchte.
Habe vor der pfSense auch noch eine Fritzbox 7590 vom Provider am Laufen, die ich für die ich als Telefonanlage und Basissicherheit nutze.
Wie macht den eine Fritzbox das mit den Ports?
Bin für jeden Tipp, Ratschlag oder Erklärung dankbar.
Gruß Hans
Wenn ich bestimmte Ports (z.B. Port 80 und 443) vom jeweiligen VLAN für das Internet freigebe oder auch mal einen Port für ein anderes VLAN um auf irgendwelche anderen Geräte (Türsprechanlage etc.) zugreifen zu können, bleiben diese dann permanent geöffnet oder nur wenn ein Host in dem jeweiligen Netz auf z.B. eine Website im Internet zugreift?
Wie gefährlich ist denn so eine Portfreigabe überhaupt? Oder gibt man am besten alle Ports für vom jeweiligen VLAN frei und über das WAN ist eh alles geblockt. Firewall am Rechner hab ich natürlich auch noch am laufen.
Da kenn ich mich einfach zu wenig aus.
Vielleicht noch zur Info:
Hintergrund der ganzen pfSense Geschichte ist, dass ich ein Einfamilienhaus gebaut habe, mich aufgrund meines Berufs (Elektrotechniker) mit der Elektroinstallation etwas gespielt habe (Hausautomatisierung) und mich aus diesem Grund gerne etwas besser schützen möchte.
Außerdem wurde dies vom Steuerungshersteller empfohlen, vor allem im Hinblick auf evtl. mal das Öffnen eines VPN-Tunnels.
Ansonsten bin ich aber ein ganz normaler Heimanwender, mit den üblichen Geräten die man so hat, bin Familienvater (deshalb separates Kindernetz) und habe eben die ganze Haustechnik die ich besonders schützen möchte.
Habe vor der pfSense auch noch eine Fritzbox 7590 vom Provider am Laufen, die ich für die ich als Telefonanlage und Basissicherheit nutze.
Wie macht den eine Fritzbox das mit den Ports?
Bin für jeden Tipp, Ratschlag oder Erklärung dankbar.
Gruß Hans
Hallo,
ich finde es ziemlich ungewöhnlich, dass die Software diese gebräuchlichen Ports abgreift ohne UPnP zu nutzen und ohne die Möglichkeit, den Port zu ändern (wobei UPnP mit der aktuellen pfSense aufgrund eines Bugs nicht geht).
Vielleicht liegt es ja auch an der Windows-Firewall...?!? Kommen denn da überhaupt Datenpakete an?
Gruß,
Jörg
Edit: Die FRITZ!Box muss die Ports natürlich auch zur pfSense forwarden...
ich finde es ziemlich ungewöhnlich, dass die Software diese gebräuchlichen Ports abgreift ohne UPnP zu nutzen und ohne die Möglichkeit, den Port zu ändern (wobei UPnP mit der aktuellen pfSense aufgrund eines Bugs nicht geht).
Vielleicht liegt es ja auch an der Windows-Firewall...?!? Kommen denn da überhaupt Datenpakete an?
Gruß,
Jörg
Edit: Die FRITZ!Box muss die Ports natürlich auch zur pfSense forwarden...
Ich finde es eher ungewöhnlich und auch äußerst bedenklich, daß eine Portweiterleitung eingerichtet werden muß, um ein Trainingsspiel zu spielen. Kann es sein, daß einfach nur Portweiterleitung und Portöffnung durcheinander gebracht werden? Eine Portöffnung gilt für´s gesamte LAN. Die Portweiterleitung nur für eine bestimmte IP-Adresse. z.B. Port 80 und 443. Wenn die einfach nur geöffnet sind, kann das gesamte LAN über diese Ports raus. Ich denke mal, das es so gemeint ist. Dann brauchst Du die gewünschten Ports nur öffnen, genau wie 80 und 443. Ich behaupte mal: Dann läuft´s.
🖖
🖖
Hallo,
naja - die X-Box Live Services greifen da auch gerne mal zu. Ich habe das Problem wie folgt gelöst:
Dass UPnP per se "unsicher" ist, ist übrigens eine urbane Legende aus dem letzten Jahrtausend und ich finde es erschreckend, dass sogar die c't immer noch die Legende von der Spinne in der Yucca-Palme reitet.
Mit den ACLs ist das deutlich entspannter als statische Freigaben: Die Forwardings existieren nur solange, wie sie gebraucht werden und so ist sichergestellt, dass ein "vergessenes" Forwarding irgendwann mal an einem anderen Host weitergeleitet wird.
Der Grund, warum ich mich hier jetzt etwas zurückhalte ist, weil ich schlichtweg keine Ahnung von VLANs habe und mich ehrlich gesagt auch nicht damit beschäftigen möchte. Ein guter Administrator weiß, was er nicht weiß
Gruß,
Jörg
naja - die X-Box Live Services greifen da auch gerne mal zu. Ich habe das Problem wie folgt gelöst:
- pfSense als Exposed Host hinter FRITZ!Box
- UPnP-Binary der pfSense gegen ältere, funktionierende Version ausgetauscht
- X-Box und Windows-PCs bekommen IP-Adressen aus einem /29 Subnetz
- dieses Subnetz für die ACL vom UPnP freigeschaltet
Dass UPnP per se "unsicher" ist, ist übrigens eine urbane Legende aus dem letzten Jahrtausend und ich finde es erschreckend, dass sogar die c't immer noch die Legende von der Spinne in der Yucca-Palme reitet.
Mit den ACLs ist das deutlich entspannter als statische Freigaben: Die Forwardings existieren nur solange, wie sie gebraucht werden und so ist sichergestellt, dass ein "vergessenes" Forwarding irgendwann mal an einem anderen Host weitergeleitet wird.
Der Grund, warum ich mich hier jetzt etwas zurückhalte ist, weil ich schlichtweg keine Ahnung von VLANs habe und mich ehrlich gesagt auch nicht damit beschäftigen möchte. Ein guter Administrator weiß, was er nicht weiß
Gruß,
Jörg
Hallo,
Dies sagt der Hersteller: Deine Router-Firewall sollte den gesamten eingehenden/ausgehenden Zwift-TCP-Verkehr an den Ports 80 und 443 sowie den gesamten eingehenden Zwift-UDP-Verkehr an Port 3022 zulassen. Also nur UDP 3022. Gelesen hier https://support.zwift.com/de/check-your-internet-connection-error-SJtFv6 ... Und da Port80 und 443 ausgehend fast immer frei ist, sonst kannst du z.B. nicht Surfen... wird nur eine Portweiterleitung für Eingehend UDP 3022 benötigt.
Gruß,
Peter
Zitat von @Dr.Bit:
Ich finde es eher ungewöhnlich und auch äußerst bedenklich, daß eine Portweiterleitung eingerichtet werden muß, um ein Trainingsspiel zu spielen.
Auch an @@snah0815:Ich finde es eher ungewöhnlich und auch äußerst bedenklich, daß eine Portweiterleitung eingerichtet werden muß, um ein Trainingsspiel zu spielen.
Dies sagt der Hersteller: Deine Router-Firewall sollte den gesamten eingehenden/ausgehenden Zwift-TCP-Verkehr an den Ports 80 und 443 sowie den gesamten eingehenden Zwift-UDP-Verkehr an Port 3022 zulassen. Also nur UDP 3022. Gelesen hier https://support.zwift.com/de/check-your-internet-connection-error-SJtFv6 ... Und da Port80 und 443 ausgehend fast immer frei ist, sonst kannst du z.B. nicht Surfen... wird nur eine Portweiterleitung für Eingehend UDP 3022 benötigt.
Gruß,
Peter
Hallo,
ich tippe auf das doppelte Portforwarding (scheint 'ne Kaskade zwischen 'ner pfSense und 'ner FRITZ!Box zu sein) oder auf die Windows-Firewall. Vermutlich hat er die Zwift-Software nur für "private" Netzwerke freigeschaltet - das ist die Standardeinstellung und passiert immer dann, wenn man auf "OK" klickt ohne sich durchzulesen, was man da absegnet. Ich hab' da auch so 'n paar Pappenheimer
Gruß,
Jörg
(...der so eine Software auch nicht unbedingt in seinem Netz haben wollen würde)
ich tippe auf das doppelte Portforwarding (scheint 'ne Kaskade zwischen 'ner pfSense und 'ner FRITZ!Box zu sein) oder auf die Windows-Firewall. Vermutlich hat er die Zwift-Software nur für "private" Netzwerke freigeschaltet - das ist die Standardeinstellung und passiert immer dann, wenn man auf "OK" klickt ohne sich durchzulesen, was man da absegnet. Ich hab' da auch so 'n paar Pappenheimer
Gruß,
Jörg
(...der so eine Software auch nicht unbedingt in seinem Netz haben wollen würde)
Genau so ist es, ich habe zusätzlich zum Port 80 und 443 noch die genannten Ports freigegeben und dann ging es. Ist das jetzt eine Sicherheitslücke oder werden die dann eh nur für das Programm geöffnet?
Port Forwardings sind immer Sicherheitslücken. Logisch, denn du bohrst ja dediziert ein Loch in deine Firewall über das immer ungeschützter Internet Traffic dann ins interne LAN gelangt. Das ist ja nun mal Prinzipien bedingt so weshalb man immer ein VPN nutzen sollte stattdessen.
Solches Forwarding lässt man wenn man es denn unbedingt benötigt und VPN keine Alternative ist, bei gutem FW Design, deshalb besser immer in einem DMZ Segment enden.
Solches Forwarding lässt man wenn man es denn unbedingt benötigt und VPN keine Alternative ist, bei gutem FW Design, deshalb besser immer in einem DMZ Segment enden.
Was ist jetzt der Unterschied von Portweiterleitung und Portöffnung? Ist Portweiterleitung ist von außen rein oder?
Hab ich jedenfalls nicht gemacht, wüsste jetzt auch nicht wie das geht?
Hab nur die Ports bei der Regel bei den HTTP_Ports hinzugefügt (siehe ganz oben im Verlauf).
Hab ich jedenfalls nicht gemacht, wüsste jetzt auch nicht wie das geht?
Hab nur die Ports bei der Regel bei den HTTP_Ports hinzugefügt (siehe ganz oben im Verlauf).
Dann muss ich fast die Ports für das gesamte Netz, in dem ich den Rechner betreibe wenn ich über Zwift trainiere, öffnen oder?
Oder was hat Luci0815 da gemeint?
Da stellt sich mir die Frage sind die Ports dann immer offen oder halt nur auf "Anfrage" (weiß nicht ob das das richtige Wort ist) der Software bzw. des Hosts? Ansonsten ist ja von außen alles dicht oder?
Selbst wenn ich alle Ports freigeben würde, dann bin ich ja immer noch sicherer unterwegs als mit der Fritzbox alleine oder?
Oder was hat Luci0815 da gemeint?
Da stellt sich mir die Frage sind die Ports dann immer offen oder halt nur auf "Anfrage" (weiß nicht ob das das richtige Wort ist) der Software bzw. des Hosts? Ansonsten ist ja von außen alles dicht oder?
Selbst wenn ich alle Ports freigeben würde, dann bin ich ja immer noch sicherer unterwegs als mit der Fritzbox alleine oder?
Hallo,
Du musst selbst entscheiden ob du Spielen/trainieren willst oder ob du ein Sicheres Netzwerk richtung/vom Internet willst.
Gruß,
Peter
Zitat von @snah0815:
Genau so ist es, ich habe zusätzlich zum Port 80 und 443 noch die genannten Ports freigegeben und dann ging es. Ist das jetzt eine Sicherheitslücke oder werden die dann eh nur für das Programm geöffnet?
Da es nur EIN 1 Port ist (UDP 3022) kann von Ports nicht geredet werden. Und ja, Löcher bzw. Durchgänge in deiner PFSense (oder andere Lösung) einzubauen ist immer ein Sicherheitsrisiko. uPNP könnte da helfen, aber solange du keine Kontrolle darüber hast, wer oder was dort per uPNP agiert, ist es auch keine gute Idee. Eine Yucca Palme kann, muss aber nicht, eine Spinne beheimaten.Genau so ist es, ich habe zusätzlich zum Port 80 und 443 noch die genannten Ports freigegeben und dann ging es. Ist das jetzt eine Sicherheitslücke oder werden die dann eh nur für das Programm geöffnet?
Du musst selbst entscheiden ob du Spielen/trainieren willst oder ob du ein Sicheres Netzwerk richtung/vom Internet willst.Gruß,
Peter
Kann man eigentlich auch pfSense intern eine VPN-Verbindung machen um bei Bedarf via Handy Zugriff auf das Webinterface der Hausvisualisierung zu erhalten? Normal ist das Netzwerk mit der Hausautomation komplett getrennt inkl. eigenen WLAN aber teilweise wäre es schon schön die Loxone App vom Handy aus öffnen zu können. Standardmäßig läuft dies über einen Netzinternes Tablet, welches nur dafür da ist.
Vielleicht hat auch noch jemand eine Erklärung ob Ports eigentlich dauerhaft geöffnet sind oder nur wenn ein Host eine Anfrage rausschickt.
Danke und Gruß
Hans
Vielleicht hat auch noch jemand eine Erklärung ob Ports eigentlich dauerhaft geöffnet sind oder nur wenn ein Host eine Anfrage rausschickt.
Danke und Gruß
Hans
Hallo,
Intern? Bitte genau Erklären was du mit Intern meinst.
https://de.wikipedia.org/wiki/Firewall
https://de.wikipedia.org/wiki/Personal_Firewall
https://www.security-insider.de/was-ist-eine-firewall-a-602870/
https://www.computerweekly.com/de/feature/Die-fuenf-verschiedenen-Arten- ...
Gruß,
Peter
Intern? Bitte genau Erklären was du mit Intern meinst.
um bei Bedarf via Handy Zugriff auf das Webinterface der Hausvisualisierung zu erhalten?
Wenn deine PFSense auch mit diesem Netzwerk zu tun hat, dann ja.Vielleicht hat auch noch jemand eine Erklärung ob Ports eigentlich dauerhaft geöffnet sind oder nur wenn ein Host eine Anfrage rausschickt.
Augehender Verkehr ist im Heimnetzwerk eher Keine Firewall im Einsatz. Eingehender Verkehr ist bei einer Firewall eher alles Gesperrt was nicht durch Regeln Erlaubt bzw. gewünscht ist. Eine FritzBox arbeitet so, Eine Enterprise Firewall arbeitet auch im Ausgehenden Verkehr und da geht erstmal auch nichts raus, da muss explizeit erst Erlaubt werden. Würde man auch so eine Heimnetzfirewall machen, käme keiner ins Internet ohne Konfiguratiuonen erstmal vorzunehmen.Ist wie mit Autos. Ein Auto hat Sprit im Tabk wenn du es kaufst, ein Rennwagen hat einen leeren Tank wenn du ihn kaufst. Privat ungleich Firma (Enterprise).https://de.wikipedia.org/wiki/Firewall
https://de.wikipedia.org/wiki/Personal_Firewall
https://www.security-insider.de/was-ist-eine-firewall-a-602870/
https://www.computerweekly.com/de/feature/Die-fuenf-verschiedenen-Arten- ...
Gruß,
Peter
Hallo,
das macht man mit Split DNS.
Bei mir hat das entsprechende Netz eine eigene DNS-Zone: dmz.zuhause
Die pfSense hat eine Route und kennt die Zone, so dass ich vom WLAN aus immer reinkomme.
Von extern sieht das iPhone am Hostnamen, dass es einen VPN Tunnel aufbauen muss. Der wird gestartet und danach wird nur für diese Domain und nur für dieses Netz die pfSense befragt.
Nach ein paar Minuten ohne Traffic fällt der Tunnel zu. Ebenso, wenn das WLAN mit meiner SSID verbindet.
War 'ne ziemliche Tüddelei
Gruß,
Jörg
das macht man mit Split DNS.
Bei mir hat das entsprechende Netz eine eigene DNS-Zone: dmz.zuhause
Die pfSense hat eine Route und kennt die Zone, so dass ich vom WLAN aus immer reinkomme.
Von extern sieht das iPhone am Hostnamen, dass es einen VPN Tunnel aufbauen muss. Der wird gestartet und danach wird nur für diese Domain und nur für dieses Netz die pfSense befragt.
Nach ein paar Minuten ohne Traffic fällt der Tunnel zu. Ebenso, wenn das WLAN mit meiner SSID verbindet.
War 'ne ziemliche Tüddelei
Gruß,
Jörg
Hier mal ein Schema wie es in etwa aufgebaut ist.
VLAN 8 ist in der Regel komplett abgeriegelt vom Rest, braucht nur sporadisch Zugriff aufs Internet um sich Wetterdaten etc. zu holen.
Ich befinde mich mit dem Handy normal im WLAN dass zum VLAN 7 gehört und möchte nun bei Bedarf auch mal mit der Visualisierungsapp bestimmte Dinge vom Haus via Handy bedienen können. In diesem Fall brauch ich Zugriff auf eine im VLAN8 befindlichen SPS.
Hab jetzt irgendwie Bedenken, dass wenn ich mir auf dem Handy mal was einfangen würde (Virus, etc.) und ich dem Handy aus dem WLAN standardmäßig Zugriff auf die SPS gebe, ich den Virus auch auf der Steuerung habe.
Ist dies realistisch oder völliger Blödsinn?
Gruß Hans
Ich befinde mich mit dem Handy normal im WLAN dass zum VLAN 7 gehört und möchte nun bei Bedarf auch mal mit der Visualisierungsapp bestimmte Dinge vom Haus via Handy bedienen können. In diesem Fall brauch ich Zugriff auf eine im VLAN8 befindlichen SPS.
Hab jetzt irgendwie Bedenken, dass wenn ich mir auf dem Handy mal was einfangen würde (Virus, etc.) und ich dem Handy aus dem WLAN standardmäßig Zugriff auf die SPS gebe, ich den Virus auch auf der Steuerung habe.
Ist dies realistisch oder völliger Blödsinn?
Gruß Hans
Von Loxon gibt´s eine APP für Dein Handy. Mit den entsprechenden Zugangsdaten (die bekommst Du im Zweifel vom Errichter der Anlage) kannst Du Dein Haus steuern und konfigurieren.
Der Unterschied zwischen Portöffnung und Portweiterleitung: Um einen Port weiterzuleiten, muß Dieser auch geöffnet werden, klar, ich kann ja nichts weiterleiten, was nicht offen ist. Bei einer Weiterleitung sprichst du ein bestimmtes Gerät an, und nur eins. Bei Öffnung ohne Weiterleitung ist der Port einfach nur offen. Eine Weiterleitung ergibt bei Deinem Fall nur Sinn, wenn Dein Gerät immer die gleiche IP hat. Wie @Pjordorf durch seine recherche ja herausgefunden hat, brauchst Du den Port nur öffnen und nicht weiterleiten. Hätte mich auch gewundert. wenn Du z.B. zwei von den Geräten hättest, könnte immer einer zur Zeit auf seinem Garät trainieren und man müßte dann auch noch jedes mal die IP anpassen.
Also Port 3022 UDP öffnen und fertig.
🖖
Der Unterschied zwischen Portöffnung und Portweiterleitung: Um einen Port weiterzuleiten, muß Dieser auch geöffnet werden, klar, ich kann ja nichts weiterleiten, was nicht offen ist. Bei einer Weiterleitung sprichst du ein bestimmtes Gerät an, und nur eins. Bei Öffnung ohne Weiterleitung ist der Port einfach nur offen. Eine Weiterleitung ergibt bei Deinem Fall nur Sinn, wenn Dein Gerät immer die gleiche IP hat. Wie @Pjordorf durch seine recherche ja herausgefunden hat, brauchst Du den Port nur öffnen und nicht weiterleiten. Hätte mich auch gewundert. wenn Du z.B. zwei von den Geräten hättest, könnte immer einer zur Zeit auf seinem Garät trainieren und man müßte dann auch noch jedes mal die IP anpassen.
Also Port 3022 UDP öffnen und fertig.
🖖
Das mit der Loxone und das mit Zwift sind 2 verschiedene Themen, hoffe das wurde auch so verstanden?
1) Loxone Zugriff via App auf einen im VLAN 7 befindlichen Handy
Die App kenne ich und habe ich auf meiner Hausvisualisierung (=Android Tablet mit dieser App) laufen
Die Haus-Visu ist aber ohnehin im selben VLAN8.
Das Handy allerdings im VLAN 7. Wenn ich den Port öffne, dann ist er ja für das ganze Netzwerk offen richtig? Und wenn ich den Port weiterleite, dann für das Handy dauerhaft? Und wenn das Handy infiziert ist, dann ist ja die Loxone Steuerung immer gefährdet oder nicht?
Darum die Frage ob man auch eine sichere Verbindung für definierte Geräte von VLAN 7 nach 8 für die erforderlichen Ports der App machen kann?
2) Die Geschichte mit Zwift.
Hier geht es nur um das VLAN 7 und den Zugriff ins Internet. Wenn ich den Port 3022 UDP öffne dann ist dieser für das Netz ja immer offen?
Bzw. wenn ein Dienst eine Anfrage und wird darauf geantwortet, kann dann aber auch durch eine Schadsoftware passieren?
Das Gerät bei Zwift ist einfach mein Notebook das ich eigentlich für alles verwende (in diesem Fall eingewählt in ein relativ beschränktes Netzwerk), dieses ist dann über einen ANT+ Dongle mit dem Fahrrad verbunden und darüber fährt man dann.
Gruß Hans
1) Loxone Zugriff via App auf einen im VLAN 7 befindlichen Handy
Die App kenne ich und habe ich auf meiner Hausvisualisierung (=Android Tablet mit dieser App) laufen
Die Haus-Visu ist aber ohnehin im selben VLAN8.
Das Handy allerdings im VLAN 7. Wenn ich den Port öffne, dann ist er ja für das ganze Netzwerk offen richtig? Und wenn ich den Port weiterleite, dann für das Handy dauerhaft? Und wenn das Handy infiziert ist, dann ist ja die Loxone Steuerung immer gefährdet oder nicht?
Darum die Frage ob man auch eine sichere Verbindung für definierte Geräte von VLAN 7 nach 8 für die erforderlichen Ports der App machen kann?
2) Die Geschichte mit Zwift.
Hier geht es nur um das VLAN 7 und den Zugriff ins Internet. Wenn ich den Port 3022 UDP öffne dann ist dieser für das Netz ja immer offen?
Bzw. wenn ein Dienst eine Anfrage und wird darauf geantwortet, kann dann aber auch durch eine Schadsoftware passieren?
Das Gerät bei Zwift ist einfach mein Notebook das ich eigentlich für alles verwende (in diesem Fall eingewählt in ein relativ beschränktes Netzwerk), dieses ist dann über einen ANT+ Dongle mit dem Fahrrad verbunden und darüber fährt man dann.
Gruß Hans
Zitat von @snah0815:
2) Die Geschichte mit Zwift.
Hier geht es nur um das VLAN 7 und den Zugriff ins Internet. Wenn ich den Port 3022 UDP öffne dann ist dieser für das Netz ja immer offen?
Bzw. wenn ein Dienst eine Anfrage und wird darauf geantwortet, kann dann aber auch durch eine Schadsoftware passieren?
2) Die Geschichte mit Zwift.
Hier geht es nur um das VLAN 7 und den Zugriff ins Internet. Wenn ich den Port 3022 UDP öffne dann ist dieser für das Netz ja immer offen?
Bzw. wenn ein Dienst eine Anfrage und wird darauf geantwortet, kann dann aber auch durch eine Schadsoftware passieren?
Richtig. Wenn Du aber das Gerät nutzen willst, so wie es Dir vorschwebt, kommst Du da nicht rum.
🖖
OK, könnte dann aber über die Personal Firewall (Bitdefender) das Ganze dann noch auf die eine Software einschränken und ggf. durch eine Regel noch für den einen Rechner (wenn dieser eine fixe IP-Adresse hat)?
Gruß Hans
Gruß Hans
Zitat von @snah0815:
OK, könnte dann aber über die Personal Firewall (Bitdefender) das Ganze dann noch auf die eine Software einschränken und ggf. durch eine Regel noch für den einen Rechner (wenn dieser eine fixe IP-Adresse hat)?
Gruß Hans
Bitdefender weiß ich nicht, aber wenn der Rechner eine fixe IP hat, kannst Du den Port natürlich dahin weiterleiten.OK, könnte dann aber über die Personal Firewall (Bitdefender) das Ganze dann noch auf die eine Software einschränken und ggf. durch eine Regel noch für den einen Rechner (wenn dieser eine fixe IP-Adresse hat)?
Gruß Hans
🖖
Hallo Zusammen,
ist eine Portweiterleitung für eine bestimmte IP eigentlich das gleich wie wenn ich eine Regel erstelle und hier als Ziel die IP-Adresse eines Netzwerkes angebe, bzw. was ist hier der Unterschied. Alles von VLAN nach VLAN gesehen?
Hat jemand noch einen Tipp bezüglich Zugriff von VLAN7 auf VLAN8 mittels der Loxone App auf dem Handy (paar Kommentare oberhalb).
Noch eine Frage zum Forum:
Bekommen Antworten immer alle mit oder nur den dem ich antworte?
Gruß Hans
ist eine Portweiterleitung für eine bestimmte IP eigentlich das gleich wie wenn ich eine Regel erstelle und hier als Ziel die IP-Adresse eines Netzwerkes angebe, bzw. was ist hier der Unterschied. Alles von VLAN nach VLAN gesehen?
Hat jemand noch einen Tipp bezüglich Zugriff von VLAN7 auf VLAN8 mittels der Loxone App auf dem Handy (paar Kommentare oberhalb).
Noch eine Frage zum Forum:
Bekommen Antworten immer alle mit oder nur den dem ich antworte?
Gruß Hans
Nein, natürlich nicht. Eine Port Weiterleitung macht man logischerweise nur wenn man eine NAT (Adress Translation) Firewall überwinden muss. Bei dir ja zwischen zwei normal, transparent gerouteten Interfaces nicht der Fall. Da greifen dann also rein die FW Regeln.
Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Kommunikation der App mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Kommt man eigentlich auch leicht von selber drauf wenn man einmal etwas nachdenkt...
von VLAN7 auf VLAN8 mittels der Loxone App auf dem Handy
Mit welchen TCP oder UDP Port und vor allem Protokollen kommuniziert diese App denn mit den Endgeräten ?? Das wäre im ersten Schritt ja das Mindeste was du wissen musst um eine sinnvolle Regel zu erstellen.Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Kommunikation der App mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Kommt man eigentlich auch leicht von selber drauf wenn man einmal etwas nachdenkt...
Zitat von @aqui:
Mit welchen TCP oder UDP Port und vor allem Protokollen kommuniziert diese App denn mit den Endgeräten ??
Mit welchen TCP oder UDP Port und vor allem Protokollen kommuniziert diese App denn mit den Endgeräten ??
Port 80, 443 und UDP 3022, steht weiter oben.
@snah0815
Ein Netzwerk hat keine IP-Adresse lediglich einen Adressraum. Du kannst eine Portweiterleitung nur auf eine einzelne IP-Adresse bzw. dem zur IP-Adresse zugehörigem Gerät weiterleiten. Wenn Du einen IP-Adressbereich freigeben willst, ist das eine schlichte Portöffnung.
Grundsätzlich sehen alle die Antworten. Wäre auch schlecht wenn nicht, dann könnte man ja keinen Bezug auf andere Antworten nehmen. Aber Du kannst auch einen privaten Chat nur mit einem Einzelnen einleiten.
Wie dem auch sei, für Dich ist es das Einfachste einfach nur den Port 3022 (eingehend und ausgehend) zusätzlich zu 80 und 443 zu öffnen. Den Rest erledigt dann Dein Laptop. Also keine Portweiterleitung einrichten.
🖖
Port 80 (default) wird für die Visualisierung benötigt, kann aber auch verändert werden.
Sorry dass ich das ganze Thema noch nicht so richtig verstehe, bin hier leider noch absoluter Anfänger (bin kein IT'ler).
Das ich nicht nachdenke kann man jetzt so nicht sagen, zerbreche mir seit Tagen den Kopf über das ganze Thema.
Meine VLAN's liegen auf 2 physikalischen Schnittstellen des pfSense Firewall (hat 4 Stück, 1xWAN, 1xLAN und noch 2). Auf LAN liegen dann noch weitere VLAN's.
Verstehe das jetzt so, dass eine Portweiterleitung wirklich nur gebraucht wird, wenn ich über das WAN oder vom WAN was weiterleiten will.
Intern zwischen den LAN's oder VLAN' dann rein über die Regeln.
Wie schaut denn dann so eine wasserdichte Regel aus für die Freigabe des einen Ports von VLAN7 auf VLAN8 aus? Wenn ich den Port einfach freigebe ist er ja nicht so wirklich wasserdicht oder (da kann dann ja z.B. auch was drüber was ich evtl. nicht will, z.B. irgend eine Schadsoftware)?
Gruß Hans
Sorry dass ich das ganze Thema noch nicht so richtig verstehe, bin hier leider noch absoluter Anfänger (bin kein IT'ler).
Das ich nicht nachdenke kann man jetzt so nicht sagen, zerbreche mir seit Tagen den Kopf über das ganze Thema.
Meine VLAN's liegen auf 2 physikalischen Schnittstellen des pfSense Firewall (hat 4 Stück, 1xWAN, 1xLAN und noch 2). Auf LAN liegen dann noch weitere VLAN's.
Verstehe das jetzt so, dass eine Portweiterleitung wirklich nur gebraucht wird, wenn ich über das WAN oder vom WAN was weiterleiten will.
Intern zwischen den LAN's oder VLAN' dann rein über die Regeln.
Wie schaut denn dann so eine wasserdichte Regel aus für die Freigabe des einen Ports von VLAN7 auf VLAN8 aus? Wenn ich den Port einfach freigebe ist er ja nicht so wirklich wasserdicht oder (da kann dann ja z.B. auch was drüber was ich evtl. nicht will, z.B. irgend eine Schadsoftware)?
Gruß Hans
Danke Aqui, das zum Zwift Thema hab ich verstanden und werde ich so handhaben.
Das mit VLAN 7 und 8 betrifft die Trennung meines gesamten Heimnetzwerk von der Hausautomation und hier der gelegentliche Zugriff mit dem Handy aus dem Standard WLAN mit der Loxone APP auf den Loxone Miniserver über Port 80 oder frei definiert ohne dass ich große Gefahr laufe mir auf der Steuerung was zu holen. Könnte mich natürlich dann aber in das andere Netzwerk einwählen, aber ob das soviel besser ist.
Sorry, hätte hier besser einen anderen Beitrag erstellen sollen.
Gruß Hans
Das mit VLAN 7 und 8 betrifft die Trennung meines gesamten Heimnetzwerk von der Hausautomation und hier der gelegentliche Zugriff mit dem Handy aus dem Standard WLAN mit der Loxone APP auf den Loxone Miniserver über Port 80 oder frei definiert ohne dass ich große Gefahr laufe mir auf der Steuerung was zu holen. Könnte mich natürlich dann aber in das andere Netzwerk einwählen, aber ob das soviel besser ist.
Sorry, hätte hier besser einen anderen Beitrag erstellen sollen.
Gruß Hans
Hallo,
Ich bin ehrlich. Das, was Du hier beschreibst ist dermaßen komplex, dass ich mich wirklich ehrführchtig zurückhalte (obwohl ich seit ca. 1995 Firewalls entwickle).
Was ich sagen will: Ein "einfacher Elektriker" kommt normalerweise mit 'ner FRITZ!Box vom Provider raus. Das, was Du dir da bastelst (Routerkaskade, VLANs usw.) ist schon 'ne ziemliche Hausnummer.
Respekt, dass Du so groß einsteigst.
Gruß,
Jörg
Zitat von @snah0815:
Sorry dass ich das ganze Thema noch nicht so richtig verstehe, bin hier leider noch absoluter Anfänger (bin kein IT'ler).
Sorry dass ich das ganze Thema noch nicht so richtig verstehe, bin hier leider noch absoluter Anfänger (bin kein IT'ler).
Ich bin ehrlich. Das, was Du hier beschreibst ist dermaßen komplex, dass ich mich wirklich ehrführchtig zurückhalte (obwohl ich seit ca. 1995 Firewalls entwickle).
Was ich sagen will: Ein "einfacher Elektriker" kommt normalerweise mit 'ner FRITZ!Box vom Provider raus. Das, was Du dir da bastelst (Routerkaskade, VLANs usw.) ist schon 'ne ziemliche Hausnummer.
Respekt, dass Du so groß einsteigst.
Gruß,
Jörg
OK, vielleicht schieße ich auch etwas über das Ziel hinaus.
Wie groß die Gefahren sind, kann ich nicht wirklich einschätzen.
Will vor allem meine Steuerung schützen und für den Rest eine vernünftige Struktur/Lösung haben.
VLANs gefallen mir ganz gut, da ich so nur einen Switch brauche und auf der pfSense nicht so viele Schnittstellen.
Fritzbox habe ich zwecks der Telefonanlage drinnen und damit ich einen gewissen Grundschutz habe, eben zwecks der geringen pfSense Kenntnisse. Wenn die mehr Netzwerke könnte, wäre mir das schon lieber gewesen.
Aber ist das wirklich so was Besonderes, wenn man VLAN grundsätzlich trennt und dann für bestimmte Geräte manche Dinge freigeben will?
PS: Bissl Netzwerktechnik hab ich in der Technikerschule schon mal gehabt und ansonsten viel mit SPS-Programmierung zu tun.
Gruß Hans
Wie groß die Gefahren sind, kann ich nicht wirklich einschätzen.
Will vor allem meine Steuerung schützen und für den Rest eine vernünftige Struktur/Lösung haben.
VLANs gefallen mir ganz gut, da ich so nur einen Switch brauche und auf der pfSense nicht so viele Schnittstellen.
Fritzbox habe ich zwecks der Telefonanlage drinnen und damit ich einen gewissen Grundschutz habe, eben zwecks der geringen pfSense Kenntnisse. Wenn die mehr Netzwerke könnte, wäre mir das schon lieber gewesen.
Aber ist das wirklich so was Besonderes, wenn man VLAN grundsätzlich trennt und dann für bestimmte Geräte manche Dinge freigeben will?
PS: Bissl Netzwerktechnik hab ich in der Technikerschule schon mal gehabt und ansonsten viel mit SPS-Programmierung zu tun.
Gruß Hans
Zitat von @Pjordorf:
Hallo,
Dies sagt der Hersteller: Deine Router-Firewall sollte den gesamten eingehenden/ausgehenden Zwift-TCP-Verkehr an den Ports 80 und 443 sowie den gesamten eingehenden Zwift-UDP-Verkehr an Port 3022 zulassen. Also nur UDP 3022. Gelesen hier https://support.zwift.com/de/check-your-internet-connection-error-SJtFv6 ... Und da Port80 und 443 ausgehend fast immer frei ist, sonst kannst du z.B. nicht Surfen... wird nur eine Portweiterleitung für Eingehend UDP 3022 benötigt.
Gruß,
Peter
Hallo,
Zitat von @Dr.Bit:
Ich finde es eher ungewöhnlich und auch äußerst bedenklich, daß eine Portweiterleitung eingerichtet werden muß, um ein Trainingsspiel zu spielen.
Auch an @@snah0815:Ich finde es eher ungewöhnlich und auch äußerst bedenklich, daß eine Portweiterleitung eingerichtet werden muß, um ein Trainingsspiel zu spielen.
Dies sagt der Hersteller: Deine Router-Firewall sollte den gesamten eingehenden/ausgehenden Zwift-TCP-Verkehr an den Ports 80 und 443 sowie den gesamten eingehenden Zwift-UDP-Verkehr an Port 3022 zulassen. Also nur UDP 3022. Gelesen hier https://support.zwift.com/de/check-your-internet-connection-error-SJtFv6 ... Und da Port80 und 443 ausgehend fast immer frei ist, sonst kannst du z.B. nicht Surfen... wird nur eine Portweiterleitung für Eingehend UDP 3022 benötigt.
Gruß,
Peter
Hallo Zusammen,
jetzt muss ich das Thema doch nochmal aufgreifen, da mir vorkommt das etwas bei Zwift nicht so funktioniert (gibt normalerweise eine Gruppenunterhaltung und das geht nicht).
Wie ist das eigentlich gemeint mit eingehenden UDP-Verkehr an Port 3022 zulassen?
Da erstelle ich doch auf der WAN Schnittstelle eine Regel oder (erstes Bild)?
Und der gesamte ein-und ausgehende Verkehr an den HTTP Ports... Brauch ich da auch auf der WAN was?
Hab ich das richtig verstanden?
Oder muss ich auf der "LAN_Standard" (zweites Bild) dann was mit Quelle WAN erstellen?
Gruß Hans
Hallo,
braucht man da nicht noch eine NAT Regel? Soweit ich weiß, erstellt die dann auch gleich eine passende verknüpfte Firewall-Regel...
Gruß,
Jörg
braucht man da nicht noch eine NAT Regel? Soweit ich weiß, erstellt die dann auch gleich eine passende verknüpfte Firewall-Regel...
Gruß,
Jörg
Guten Morgen,
also ich hab das jetzt so verstanden:
Wenn ich jetzt eine Regel auf meiner "LAN_Standard" Schnittstelle erstelle wie im Bild vorher, d.h.
Protokoll: TCP
Quelle: LAN_Standard
Ziel: Alle (also Internet)
Ports: Alias für die LAN Ports
Dann werden Anfragen vom Host auf diesen Ports ins Internet weitergeleitet und die Antworten kommen auch zurück.
Für eine Portfreigabe, für z.B. den Port UDP 3022 für diesen Host, müsste ich eine NAT-Regel aufstellen und dann wird jetzt automatisch auch auf dem WAN eine Regel erstellt. Wenn ich den Port jetzt von außen, also Internet für das ganze Netz "LAN_Standard" zulassen möchte, dann muss ich auf dem WAN eine Regel wie oben erstellen (Quelle: Alle; Ziel: LAN_Standard_Net)
Soweit richtig?
Was mir nicht ganz klar ist, ob ich bei der eingehenden Regel den wirklich Quelle: Alle auswählen soll oder WAN?
Ich hab das so verstanden, dass wenn Internet immer "Alle", da nach WAN ja nur das Netz zwischen Fritzbox und pfSense ist.
Und muss ich private IP zulassen auf der WAN, wenn es ja nur um Anfragen aus dem Internet geht. Zu beachten wieder die Fritzbox - pfSense Kaskade.
Und wie handhabt das eigentlich die Fritzbox? Die lässt ja auch nur Antworten auf Hostanfragen durch, wenn der Port UDP 3022 wirklich von außen offen sein muss, dann muss ich auch auf der Fritz den Port öffnen oder?
Hoffe ihr versteht wie ich das meine.
Gruß Hans
also ich hab das jetzt so verstanden:
Wenn ich jetzt eine Regel auf meiner "LAN_Standard" Schnittstelle erstelle wie im Bild vorher, d.h.
Protokoll: TCP
Quelle: LAN_Standard
Ziel: Alle (also Internet)
Ports: Alias für die LAN Ports
Dann werden Anfragen vom Host auf diesen Ports ins Internet weitergeleitet und die Antworten kommen auch zurück.
Für eine Portfreigabe, für z.B. den Port UDP 3022 für diesen Host, müsste ich eine NAT-Regel aufstellen und dann wird jetzt automatisch auch auf dem WAN eine Regel erstellt. Wenn ich den Port jetzt von außen, also Internet für das ganze Netz "LAN_Standard" zulassen möchte, dann muss ich auf dem WAN eine Regel wie oben erstellen (Quelle: Alle; Ziel: LAN_Standard_Net)
Soweit richtig?
Was mir nicht ganz klar ist, ob ich bei der eingehenden Regel den wirklich Quelle: Alle auswählen soll oder WAN?
Ich hab das so verstanden, dass wenn Internet immer "Alle", da nach WAN ja nur das Netz zwischen Fritzbox und pfSense ist.
Und muss ich private IP zulassen auf der WAN, wenn es ja nur um Anfragen aus dem Internet geht. Zu beachten wieder die Fritzbox - pfSense Kaskade.
Und wie handhabt das eigentlich die Fritzbox? Die lässt ja auch nur Antworten auf Hostanfragen durch, wenn der Port UDP 3022 wirklich von außen offen sein muss, dann muss ich auch auf der Fritz den Port öffnen oder?
Hoffe ihr versteht wie ich das meine.
Gruß Hans
Hallo,
mal angenommen, ein Paket kommt auf Port 80 WAN an. Woher sollte die pfSense wissen, an welche interne IP das geschickt werden soll?
Die Firewallregel ist ja nur die Erlaubnis, das Paket zuzustellen.
Zumal ja auch mehrere Regeln parallel existieren könn(t)en, die Port 80 auf verschiedene interne IPs freischalten.
Gruß,
Jörg
mal angenommen, ein Paket kommt auf Port 80 WAN an. Woher sollte die pfSense wissen, an welche interne IP das geschickt werden soll?
Die Firewallregel ist ja nur die Erlaubnis, das Paket zuzustellen.
Zumal ja auch mehrere Regeln parallel existieren könn(t)en, die Port 80 auf verschiedene interne IPs freischalten.
Gruß,
Jörg
Zitat von @117471:
Hallo,
mal angenommen, ein Paket kommt auf Port 80 WAN an. Woher sollte die pfSense wissen, an welche interne IP das geschickt werden soll?
Die Firewallregel ist ja nur die Erlaubnis, das Paket zuzustellen.
Zumal ja auch mehrere Regeln parallel existieren könn(t)en, die Port 80 auf verschiedene interne IPs freischalten.
Gruß,
Jörg
Hallo,
mal angenommen, ein Paket kommt auf Port 80 WAN an. Woher sollte die pfSense wissen, an welche interne IP das geschickt werden soll?
Die Firewallregel ist ja nur die Erlaubnis, das Paket zuzustellen.
Zumal ja auch mehrere Regeln parallel existieren könn(t)en, die Port 80 auf verschiedene interne IPs freischalten.
Gruß,
Jörg
Also brauch ich da dann NAT!?
Den Rest richtig verstanden? Und die privaten Netze in diesem Fall freigeben erforderlich?
Gruß Hans
Hallo,
Naja, was sollte NAT denn sonst sein? Ich meine - "Network adress translation" ist ja eigentlich schon vom Begriff her selbsterklärend, oder?
Network Adress Translation
Das, was Du möchtest, wird gleich im Abschnitt "Port Forwards" beschrieben und dort findest Du auch einen Bereich "Risks of Port Forwarding", in dem z.B. auf deine angesprochenen Risiken eingegangen wird.
Gruß,
Jörg
Naja, was sollte NAT denn sonst sein? Ich meine - "Network adress translation" ist ja eigentlich schon vom Begriff her selbsterklärend, oder?
Network Adress Translation
Das, was Du möchtest, wird gleich im Abschnitt "Port Forwards" beschrieben und dort findest Du auch einen Bereich "Risks of Port Forwarding", in dem z.B. auf deine angesprochenen Risiken eingegangen wird.
Gruß,
Jörg
