ComputerBase Menü
Aktuelles

OPNsense - Gerät blockieren - aber wie zum Teufel?

Harsiesis

Harsiesis

Lt. Commander
Registriert
Feb. 2017
Beiträge
1.534
Entweder bin ich einfach zu dumm um OPNsense zu begreifen, oder es funktioniert einfach nicht.

Wie zum teufek blockiere ich den Internetzugriff eines Gerätes, aber so dass es weiterhin im LAN erreichbar ist? Auf dem ASUS Router gab es die Option "Parental Control", da hatte ich das Gerät eingetragen und dann hatte es kein Inet mehr. Aber auf der OPNsense bekomme ich das nicht hin..... das muss doch aber möglich sein?

Mein Verständnis sagt, Regel für LAN, Gerät 192.168.2.90 wird für WAN Net blockiert....

1688223885264.png


Aber google DNS ist weiter fröhlich pingbar und webseiten sind aufrufbar.

1688223936732.png


EDIT

Auch mit einem ALIAS und MAC Adresse klappt das nicht...


1688224340065.png
 

Anhänge

  • 1688223799546.png
    1688223799546.png
    40,9 KB · Aufrufe: 128
Zuletzt bearbeitet:
Die Regeln werden von oben nach unten abgearbeitet, wenn erst alles erlaubt wird dann ist die Block Regel nutzlos. Verschiebe diese an die erste Stelle.
 
Die Regeln werden in der Reihenfolge ihrer Eintragung abgearbeitet. In deinem Fall kommt also zuerst die Regel, die den LAN Zugriff generell erlaubt, und erst dann die Regel, die den Rechner sperrt - also erst, wenn alles zu spät ist.

Übrigens halte ich die /24 für falsch, damit sperrst du vermutlich dein komplettes LAN aus. Da sollte /32 hin, wenn es um einen Host geht.
 
riversource schrieb:
Da sollte /32 hin, wenn es um einen Host geht.
Zum Vergrößern anklicken....
So ist es.

Das Ziel "WAN net" ist auch falsch, da muss any rein. "WAN net" ist nicht das Internet sondern der Netzbereich deiner öffentlichen IP-Adresse.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: eigsi124 und Redundanz
Das funktioniert auch nicht.... jetzte ist alles any und /32 aber... nö.

Und die Regel kann ich nicht hochschieben. Dazu gibt es keine Option

1688224954664.png
 
Bei der pfSense kann man eine Regel festhalten und verschieben. Wenn das nicht geht dann gibt es dafür das kleine Kästchen. ;) Haken rein und die Stelle anklicken wo die Regel hin soll.
 
Harsiesis schrieb:
Und die Regel kann ich nicht hochschieben. Dazu gibt es keine Option
Zum Vergrößern anklicken....
Regel markieren (vorne das Kästchen) und dann bei der Regel vor die sie gesetzt werden soll rechts den Pfeil anklicken. Steht auch als Tooltip dran. Ist nicht sonderlich intuitiv, das stimmt ;)

Für die Block-Regel: Bei Destination "LAN net" benutzen und invertieren.
Falls du mehrere LAN-Interfaces und/oder VLans hast, dann die alle in ein Alias zusammenfassen und das dann für die Regel benutzen.

Ist generell ne schicke Sache, alle lokalen Netze und Hosts jeweils in ein Alias zu gießen und dann jeweils das Alias zu nutzen, wo es geht. Man kann auch Aliasse in Aliassen verwenden.
 
Zuletzt bearbeitet:
nach oben schieben machst du mit dem pfeil der HINTER der beschreibung kommt.

die default routen hast du eingerichtet korrekt? du machst also ein allow all und alles was du blocken willst musst du drüber schieben.
alternativ und auch "better practice" wäre wenn du ips(-bereiche) whitelistest und dann ein block all ans ende der liste.
 
Geht nicht.....

1688225596879.png



Ich will doch nur gewisse VM die auf dem ESXi laufen blocken. Die VMs die nicht ins Internet sollen, haben einen dedizierten vmnic bzw. einen eigenen vSwitch. und auch wenn ich in einem Alias sowohl die physische, wie auch die virtuelle MAC eintrage und als source auswähle, kann ich den Zugriff nicht blocken.

Ich muss die VMs unbedingt blockieren

Wieso ist das so verdammt schwer zu relaisieren?
 
also so müsste es jetzt schon stimmen. vielleicht mal testweise eine "block all" rule erstellen mit logging enabled und dann im log schauen wie die vm nach draußen spricht, nicht dass das via host ip läuft.
 
Es könnte jetzt ein State-table-Problem sein. Sprich, die firewall wendet die neuen Regeln nicht an, weil sie noch eine alte Verbindung in der state-table hat.
Unter Firewall -> Diagnostics -> states kannst du die anschauen und via "Actions" auch einmal komplett resetten.

Wäre aber wirklich spannend, ob die VM wirklich mit dieser IP bei der Firewall ankommt.
 
Redundanz schrieb:
also so müsste es jetzt schon stimmen. vielleicht mal testweise eine "block all" rule erstellen mit logging enabled und dann im log schauen wie die vm nach draußen spricht, nicht dass das via host ip läuft.
Zum Vergrößern anklicken....

Ändere ich die beiden Default Rules, die im Screenshot zu sehen sind, und setzte die auf "Block", dann kommt mein Rechner mehr ins Netz - die VM jedoch schon.
Ergänzung ()

KillerCow schrieb:
Unter Firewall -> Diagnostics -> states kannst du die anschauen und via "Actions" auch einmal komplett resetten.
Zum Vergrößern anklicken....
Habe alle gedropt. VM kommt weiterhin ins Netz, trotz der Block Regel.


Heute habe ich eine Portweiterleitung des Ports 9987 auf den TS der in einer anderen VM läuft versucht einzurichten. Auch da bin ich gescheitert :/
Ergänzung ()

KillerCow schrieb:
Wäre aber wirklich spannend, ob die VM wirklich mit dieser IP bei der Firewall ankommt.
Zum Vergrößern anklicken....

Warum sollte die VM nicht mit der IP ankommen? Bzw. was im Netzwerk könnte die IP denn ändern?
 
Zuletzt bearbeitet:
Harsiesis schrieb:
Ändere ich die beiden Default Rules, die im Screenshot zu sehen sind, und setzte die auf "Block", dann kommt mein Rechner mehr ins Netz - die VM jedoch schon.
Zum Vergrößern anklicken....

das ist dann natürlich äußerst interessant. mal gaaaaaaaaaaaanz blöd gefragt, der rechner mit der vm hat - physikalisch sozusagen - ausschließlich via opnsense einen weg nach draußen ?
ist denn 192.168.2.90 überhaupt teil des "lan net" am lan interface der opnsense? oder hast du da ein separates subnetz für die vm(s)?
 
Wenn die VM wirklich die falsche IP hat, sollte das doch einfach im pfSense Log zu sehen sein.
Ich mein generell sollte doch alles Problemlos im Log nachvollziehbar sein.

Taucht von dem Client der nicht geblockt wird nichts im Log auf, dann hat er scheinbar eine andere Möglichkeit ins Internet zu kommen.
 
Dein Post #9 liest sich so, als ob der ESXi die 192.168.2.90 hat. Oder liege ich da falsch?
Liste doch mal alle IPs auf, Host, VM1, VM2 ..., jeweils mit Subnetmaske.
 
  • Gefällt mir
Reaktionen: Pilatesjünger
Harsiesis schrieb:
Ändere ich die beiden Default Rules, die im Screenshot zu sehen sind, und setzte die auf "Block", dann kommt mein Rechner mehr ins Netz - die VM jedoch schon.
Zum Vergrößern anklicken....
Dann nimmt die VM wohl nen anderen Weg. Erster Schritt jetzt ist zu prüfen, welchen Weg die VM nimmt. Offenbar nicht über die OPNsense, wie es scheint.
 
Pilatesjünger schrieb:
Welche ip hat denn das Gateway?
Zum Vergrößern anklicken....
192.168.2.1 - auch die IP der OPNsense

ms007 schrieb:
Dein Post #9 liest sich so, als ob der ESXi die 192.168.2.90 hat. Oder liege ich da falsch?
Liste doch mal alle IPs auf, Host, VM1, VM2 ..., jeweils mit Subnetmaske.
Zum Vergrößern anklicken....
Das ist korrekt. .90

DHCP Range: 192.168.2.25 - 192.168.2.89

VMs:
OPNsense192.168.2.1/24255.255.255.0Static
Server1192.168.2.111/24255.255.255.0Static
Server1192.168.2.23/24255.255.255.0Static
Test Windows 11192.168.2.70/24255.255.255.0DHCP

PC:
PC192.168.2.22/24255.255.255.0Static

ESXi:
ESXi192.168.2.90/24255.255.255.0
Static


OPNsense hat für LAN und WAN jeweils einen dedizierten NIC im ESXi. Ebenso haben die Server einen dedizierten NIC, sowie das Management. (Total 4x NICs).

1688234207909.png

1688234233498.png


1688234290554.png
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
IPv6 Gerät blockieren ohne Firewall?
2
Antworten
22
Aufrufe
3.382
hildefeuer
H
Scheinweltname
[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren
8 9 10
Antworten
194
Aufrufe
94.805
malbe007
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz