Opnsense Firewall und Co.

  • Hallo zusammen,


    Ich wollte mich erstmal vorstellen da es anstand ist sich im Forum wenn man neu ist so gemacht wird.



    Also ich heiß Alex und bin über YouTube auch The Geek Freaks gestoßen, komme aus dem schönen Allgäu, hab aktuell 2 Server am Laufen (Anfänger mäßig), 1 mit Unraid und einer für Opnsense.



    So da ich mich vorgestellt 😊 habe komme ich zu meinem Problem und ja ich habe mit Suche, Google und Co. verwendet, aber egal

    Ich versuche mit Opnsense in der Firewall Regel für Lan eine Regel zu erstellen wo ich nur einzelne IP Adressen über Aliase bestimmet Webseiten und Dienste sperren kann,

    Hier mein Beispiel


    4owESPSK.PNG">




    wenn ich die oberste Regel anwende werden alle Lan Clients gesperrt, Ich vermute das es nur ein Verständnis Problem ist aber eventuell kann mir das jemand erklären.


    nur zur Info

    Aufbau (nicht Final)

    Router (AVM 7490 nur zum aufbau Inet) – Opnsense – LAN Clients


    Mfg


    Alex

  • Naja, bei deiner ersten Regel sperrst du ja auch den gesamten IPv4 traffic deines Subnetzes.

    Wenn deine Quelle ein Netzwerk ist, was es ist, da CIDR 24 und dein Ziel (*) alles ist, bleibt der Firewall nicht viel anderes über, als alles zu blocken.


    Allgemein, gilt für fast alle Firewalls.

    Ich möchte den Zugriff von was (Protocol/Port/Application), von wo (Source) zum Ziel (Destination) unterbinden/zulassen.

    Wenn deine zu sperrenden Dienste per IP/Port zu sperren sind, geht das. Wenn du Dienste ansich sperren willst, geht das nicht, bzw. nur bedingt, da Opnsense ganz weit weg von einer Application Firewall weg ist.

    ______________________________________

    Nun sind die Städte tot ... eine blau schimmernde Wüste und irgendwo, um einen kleinen, gelben, namenlosen Stern kreist, sinnlos, immerzu, die radioaktive Erde.

  • Danke für die Info,


    aber offensichtlich hab ich knoten im Kopf, nur mal so als Beispiel, ich möchte die ip Adresse von einem Client den Zugang zur eine Webseite Sperren z.B. Web.de (ist ja eine Https)den Rest aber offen lassen, wie soll das dann aufgebaut werden, ja es ist eine dumme frage aber ab und zu sehe ich den Wald vor lauter Bäumen nicht. ich muss zugeben die Angabe Dienste ist falsch gewählt ich meine Apps die aber durch Sperrung von Web Adressen nicht funktionieren.

    Ich hab auch schon Quelle und Ziel getauscht ohne Erfolg nur das keine Client gesperrt ist.


    Mfg


    Alex

  • Hallo Bytesinner (oder Alex, weiß nicht was dir lieber ist),

    erstmal Willkommen bei den Geekfreaks und schön das Du hierhergefunden hast.


    Ich kann mich gunschbox nur anschließen das Du hier wohl einfach einen Denkfehler hast (ist aber nicht schlimm) und die Regel nochmal überarbeiten musst.


    Das wir dein Beispiel aus dem Foto einfach nochmal hernehmen und zerlegen damit es vielleicht etwas klarer ist:


    ✖️ = Blockieren (alles was diese Regel betrifft)

    ➡️ = Traffic der eingehend ist (normal für Interface Regeln)

    🗲 = erste Zuordnung (Regel wird sofort angewendet, interessant für Regelreihenfolgen)

    Das i ist für Logs und somit erstmal uninteressant.


    Protokoll: IPv4 (da ich schätze das Du kein IPv6 nutzt betrifft das allen Traffic)


    Source: 192.168.1.32/24 von wo der Traffic kommt, da Du hier /24 angegeben hast wird die 32 ignoriert und durch 192.168.1.* ersetzt. (somit das komplette Klasse-C netzt was Du wohl zu Hause hast)

    Das betrifft dann natürlich auch den OPNsense Gateway was für den Traffic innerhalb des Netzwerks gebraucht wird.


    Port: Hier mit * somit alle Ports, hier kannst Du Dienste steuern die auf der selben IP laufen würden. z.B. 80 & 442 für Internet offen lassen aber 32400 (Port von Plex) verbieten und das "HomeMedia" sperren


    Destination: Alias "Kinder", heißt wenn das Ziel vom Traffic auf diese Geräte gerichtet ist.

    z.B. Youtube will zum Gerät "Kind1" eine Verbindung aufbauen.

    (Hier kurz zum Alias: Im Alias werden alle IPs oder Hostnames hinterlegt und man kann somit mehrere Geräte gleichzeitig in eine Regel nehmen.)


    Ziel-Port: siehe Port


    Gateway: Interessant solltest Du ein größeres Netzwerk mit Multi-WAN, VPNs oder ähnliches haben damit der Traffic weiß über welches Gateway er nach draußen darf


    Schedule: Eine Art Planer für Regeln wenn der Traffic z.B. "von - bis Uhrzeit" offen oder geblockt werden soll. (Toll für Kinder wenn 22 Uhr Schlafenszeit und ab dann halt einfach das Internet weg ist ohne das man was machen muss)


    Description: Hier kannst Du eine Beschreibung für leichte Zuordnung hinterlegen.



    Bonus: Man kann Neben "Alias" auch Gruppen und Kategorien anlegen.


    Gruppen: Sind Regeln die gleich sind aber auf mehrere Anschlüsse zählen.

    z.B. mein LAN1 und mein WLAN1 haben beide komplett offenen Zugriff zum Internet. Anstatt LAN1 mit der "von LAN1 zu überall" und "von WLAN1 zu überall" Regel zu bestücken gibt es die Regel "Gruppe1 zu überall" und in dieser Gruppe sind dann LAN1 und WLAN1 mit easy Dropdown Menü gewählt.


    Kategorien: Haben viele versteckte Funktionen und werden gerne unterschätzt.

    Man kann Kategorien setzen und an anderen Stellen wieder laden um so eine "Verknüpfung" herzustellen.

    In kleinen Netzwerken die ohne das Verknüpfen auskommen werden sie aber auch verdammt gerne (ja ich mach das selbst) zum farblichen kennzeichnen von Regeln benutzt.

    Bringt bissl Farbe ins Spiel und wenn man sich dran gewöhnt kann man viel schneller arbeiten.

    (Das ganze: Mensch dumm, Farbe einfach)



    Ich hoffe das hilft dir weiter.

    Nochmal, Willkommen in der Community und sollte was unklar sein einfach nochmal schreiben oder auch gerne aufs Discord kommen.

    Da hängen viele rum und man kann direkte hilfe im Voice-Chat bekommen (sollte es mal schneller gehen müssen als aufs Forum zu warten)

  • Kleiner Zusatz für das gezielte Blocken.

    Hierzu kannst du einen Alias "Böse Webseiten" erstellen der "Web.de" als Hostname beinhaltet.


    in diesem Beispiel:


    Source: Alias "Kinder"

    Destination: Alias "Böse Webseiten"


    Dann ist der Traffic von den Kids-PC zu Web.de gesperrt

  • Hallo,


    so hab mein Fehler gefunden ja Source: 192.168.1.32/24 es sollte 32 sein mein Fehler :unamused_face: aber duch die eklärung war alles klar, nun komme ich weiter und hab mal ein paar Webseiten gesperrt und es klappt

    jetzt hab ich nur noch das Problem (was eigenlich keins ist ) noch ein Paar Ports freizugeben wie Zoom und Skype wegen Nachhilfe,

    ob woll ich die Ports freigegeben hab baut Skype kein Telefonat auf, Zoom schon komisch :thinking_face:

    egal das bekomme ich auch noch hin


    Mfg


    Alex

  • Schön das nun alles klappt und die Denkanstöße geholfen haben.


    Ich wünsch dir viel Erfolg auch noch die letzten Problemchen der Firewall auszutreiben.

    Da Skype inzwischen teil von Windows selbst ist kann es etwas tricky sein das ganze sauber zum laufen zu bekommen.

  • Jop das mit Skype hab ich gemerkt, hab laut WWW alle relefanten Ports für Skype freigegeben und sogar Default allow LAN to any rule wieder aktiviert als Test ohne erfolg :unamused_face:


    eventuell über sehe ich da was, oder ist es das MS unerlaubte anfragen extern über WAN macht die von haus aus geblockt werden

  • so wie ich es sehe ist gerade alles was MS angeht nicht möglich, eigenlich ganz nett so sehe ich das alles geblockt wird, aber halt auch etwas problematisch, ich werde mich woll damit befassen müssen, sonst gibt´s auch kein Windows updates mehr

  • OK ich hab das problem und ja ist der vor dem Bildschirm :face_with_rolling_eyes:


    Da ich ein paar Geräte ip Adressen zuweisen will wegen der Übersicht hab ich vergessen den DNS und Gateway ein zutragen, das kommt davon wenn man alles noch schnell vor der Arbeit oder vor dem zu Bett gehen macht

  • Wie sieht den deine Konfiguration aus? Skype braucht schon einige in- und outbound routings.

    Die liste ist nicht auf dem aktuellsten Stand, aber als Anhaltspunkt durchaus brauchbar.

    Wenn du Skype nutzen willst, muss folgendes mindestens durch gehen:



    Ich gehe aber mal davon aus, das dass ganze an eine schiefen Konfiguration liegt.


    Zum Thema Windowsupdate, hier muss von Portseite folgendes frei sein:


    TCP 80, 443 und 49152-65535


    und mindestens folgende Adressen erreichbar sein in wie out:


    ______________________________________

    Nun sind die Städte tot ... eine blau schimmernde Wüste und irgendwo, um einen kleinen, gelben, namenlosen Stern kreist, sinnlos, immerzu, die radioaktive Erde.

  • Hallo


    Skype läuft jetzt die Freigaben sind gemacht, und zum test wegen Windows Update hab ich die allow Regel wieder aktiviert, sprich nichts Blocken natürlich nur als Test, ohne erfolg ich vermute das Problem liegt wo anders.


    Die Webseiten hab ich als Alias auch freigegeben, genauso wie bei Skype aber da hab ich nur Ports angegeben wo laut Skype seite frei sein müssen.


    Mich stört eigentlich nicht das Windows so blockiert wird, mich interessiert eigentlich das warum.


    Mfg


    Alex

  • Du könntest mit einem Trafficanalyzer (Wireshark z.B. oder bedingt geht auch der Netzwerkresourcen-Monitor unter Win10) schauen, was vom Computer Richtung Firewall geht. Und parallel in die log LiveView von Opnsense schauen, dann müsstest du eigentlich relativ schnell dahinter kommen, was durchgeht und was geblockt wird.

    ______________________________________

    Nun sind die Städte tot ... eine blau schimmernde Wüste und irgendwo, um einen kleinen, gelben, namenlosen Stern kreist, sinnlos, immerzu, die radioaktive Erde.

  • Hallo


    Ich kamm bis her nicht drauf was das Problem ist, ich hab jetzt Opnsense neu Installiert, da ich im zugzwang war wegen meiner Kinder da die Teams benötigen wegen Schule, nach neu installation funktioniert alles und ab jetzt wird nach und nach alles angepasst und mal sehen was rauskommt, eventuell hab ich irgendwo den berümten Hacken gesetzt der mir Probleme bereitet, ich hätte schon gerne gewust wo das Problem ist aber wie schon geschieben geht nun mal die Schule vor Rumprobiern. :loudly_crying_face:

  • Teams, ok da musst du auf jeden Fall ein paar mehr Routings machen. Hier kannst du für Skype, Teams, Exchange und allgemein Office nach Ports und Adressen schauen, die alle frei sein müssen oder nur optional sind, damit du keine Probleme bekommst.

    klick mich ...


    Also, so für den nächsten versuch. So zum basteln, könntest doch das ganze in ner zusätzilchen VM laufen lassen oder halt zur not auf nem Pi. Seperates Netz zum testen.

    ______________________________________

    Nun sind die Städte tot ... eine blau schimmernde Wüste und irgendwo, um einen kleinen, gelben, namenlosen Stern kreist, sinnlos, immerzu, die radioaktive Erde.

  • Danke für die Info


    ja das mit der VM ist mir auch schon gekommen werde ich vermutlich auch noch machen, aber bis jetzt steht alles wieder inklusive Firewallregeln, meine Vermutung nach dem ich die Einstellungen alle durchgelaufen bin, kann sein das unter Unbound DNS in der Schwaze Lliste die Windows Spyblocker drin waren und eventuell Probleme gemacht haben.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!