Gastnetzwerk mit OPNSense

[CoMo]

Hallo,

ich hätte gerne ein Gastnetz auf einem Port meines Routers. Ich bin dabei so vorgegangen wie hier, ohne das ganze Captive Portal / Voucher Zeug.

Meine Firewall-Regeln auf dem GUEST Interface sehen so aus:

Trotzdem bleibt der gesamte Traffic in der Default deny / state violation rule hängen. Was muss ich hier noch machen?

 

[qiller]

Du hast doch das Logging für die Regeln aktiviert, guck doch da einfach rein?^^

Edit: Deine Default Policy scheint ja auf Blocken zu stehen, dann brauchste keine Blockregeln, nur die Allowregeln.

 

[CoMo]

Ja, wenn ich da reinschaue, sehe ich, dass sämtlicher Traffic durch Default deny / state violation rule blockiert wird. Das habe ich ja im ersten Post schon geschrieben. Aber wie hilft mir das jetzt weiter? Warum greifen die Allow-Regeln nicht?

 

[Bob.Dig]

Bei pfSense&OPNsense macht man Regeln fast ausschließlich eingehend, deine sind daher alle falsch. Hier hat jemand zwei Videos dazu gemacht. 😉

 

[CoMo]

Ich habe mich an die verlinkte Anleitung gehalten und das sind alles ausgehende Regeln. Dann ist die OPNSense Doku falsch?

 

[qiller]

Entscheidend ist, wie die Incoming und Outgoing Default Policy für dein Guest-NET aussieht. Danach richtet sich, ob man ein-/ausgehend und eher mit Block- oder Allowregeln arbeitet. Bin nicht bei OPNSense zu hause, aber beim IPFire gibts deswegen extra ne Übersicht dazu.

Edit: Was steht denn bei den "automatically generated rules" drin? Sind die vlt. von der Reihenfolge her vor deinen Custom Rules?

 

[Malaclypse17]

Wenn das Ziel ist das Gastnetz nur ins Internet zu lassen, wäre ein Alias mit allen RFC 1918 Netzen und ein Regel welche jeglichen verkehr erlaubt, außer in diese lokalen Netze:

Die Regel für DNS ist richtig und muss auch so an erster Stelle bleiben. Die Regel muss noch auf "This Firewall" geändert werden statt GUEST address auf Destination.

 

[Harrdy]

Alternativ könnte man natürlich auch einfach die bereits vorhandene bogons Liste nutzen. Da sind alle möglichen Privaten Adressen enthalten

 

[CoMo]

Es scheint so zu funktionieren, indem ich aus den Out-Regeln einfach In-Regeln mache. Jetzt komme ich aus dem Gastnetz nicht mehr in mein LAN-Netz, so wie das sein soll.

Dann ist die OPNSense Doku tatsächlich falsch? Ich hab beim Einrichten 20 mal hingeschaut, aber das da auf dem Screenshot sind alles Out-Regeln.

 

[qiller]

In deiner nachgefügten Blockliste sieht man auch den Pfeil nach rechts, d.h. wohl bei OPNSense "Incoming". Also hatte er bisher einkommende Verbindungen blockiert. Da helfen dann natürlich "Outgoing"-Allowregeln nix.

 

[CoMo]

Ok, dann sind es wohl IN Regeln auf dem Screenshot und ich habe den Knopf zum Verschieben der Regeln mit dem Symbol für OUT verwechselt, weil beide einen Pfeil nach Links zeigen. Wohl doch einmal zu wenig hingeschaut.

 

[GrillSgt]

Es scheint so zu funktionieren, indem ich aus den Out-Regeln einfach In-Regeln mache. Jetzt komme ich aus dem Gastnetz nicht mehr in mein LAN-Netz, so wie das sein soll.

Der Denkansatz ist ein anderer bei der OPNsense.

Du musst die Verbindung aus Sicht der OPNsense betrachten. Für sie ist das eine eingehende Verbindung (deshalb IN) aus dem Gastnetwerk die dann von ihr raus geht (OUT) - über das WAN-Interface.