OpnSense Firewall für blau richtig konfigurieren

#1

Hallo zusammen

ich würde gerne die FW auf dem blauen Interface (für WLAN) sinnvoll konfigurieren.
Dazu eine Verständnisfrage:
Um den Verkehr von Blau ins Internet zu erlauben muss man beim Erstellen einer Regel 3 wesentliche Angaben machen:
1.) Richtung: IN oder OUT; Out ist richtig oder ? (aber braucht man nicht beides?)
2.) Quelle: blaues Netz
3.) Ziel: WAN-Netz? WAN-Adresse (IP des Routers?) oder ?

Jetzt ist die FW im blauen Netz aber auch für DHCP zuständig (auch DNS ?) Also brauche ich auch Zugriff auf die FW oder ?

Für Lichtblicke im Nebel wäre ich dankbar.

Grüße Rainer

#2

Hallo Rainer,

hier mal meine gerade laufende Einstellung von OPT1 (Blau) in der Schule.
Die ersten beiden Regeln waren mal drin: erwiesen sich aber als unnötig -> deswegen deaktiviert.
Die dritte Regel hat Dominik so, weil er Probleme hatte: bei mir gab es die Regel nicht.
Ich hab sie gerade nur testweise drin: sie wird wohl nächste Woche nach weiteren Tests wieder gelöscht werden.
Alles was du brauchst, sind die letzten zwei: Traffic nach überall hin erlauben und DNS von überall (auf dem Device OPT1, also über diese Netzwerkkarte ankommend) direkt an den opnsense erlauben (UDP 53).

OPT1-holger
OPT1-holger.png993×296 22.3 KB

LG

Holger

#3

Hallo Holger

2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske. Warum hast du das explizit angegeben und nicht den Namen des Netzes („blau“ o.ä.) ausgewählt.

Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS explizit erlauben?

Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch noch pauschal auf grün …

Grüße Rainer

#4

Hallo Rainer,

2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske.
Warum hast du das explizit angegeben und nicht den Namen des Netzes
(„blau“ o.ä.) ausgewählt.

das hatte ich vorher: weil bei mir aber die Windwosclients im WLAN
rumspinnen, bin ich da gerade am rumschrauben: da versucht man schon mal
komisches Zeug, wenn sowas irrationales passiert wie: alle könenn
(MacOS; iOS, Android, Ubuntu Phone, Linux) nur Windwos nicht …

Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS
explizit erlauben?

DNS soll ja die opnsense sein: und die ist mit dem Ende, das in OPT1
ist, nicht im grünen Netz…
… wahrscheinlich ist die Regel nicht nötig …

Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch
noch pauschal auf grün …

zu der Einschränkung komme ich auch noch … mach ich am MOntag:
vielelicht kommt es ja daher, dass Windwos plötzlich mit seiner IP aus
BLAU am Grünen Netzwerkionterface der opnsense ankommt (und deswegen
geblockt wird …).
Mal sehen.

LG

Holger