NAS hinter Fritzbox und OPNsense per Wireguard auf Photos-App zugreifen.

Regel A besagt du darfst überall hin, nur nicht ins Lan- Netzwerk.
Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren
 
Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren
Also die Firewall Einstellunegen der OPNsense sehen so aus wie auf den Bildern.
Habe jetzt einmal als Ziel das LAN Netzwerk und dann die Regel umgekehrt, so ist der Zugriff auf LAN-Netzwerk verboten.
Und dann habe ich als Ziel einzelner Host erlaubt und da die IP der NAS angegeben.
Das Ganze für jeden Client (als Quelle), immer 2 Regeln pro Client.
 

Anhänge

  • Einstellungen Firewall Regeln.jpg
    Einstellungen Firewall Regeln.jpg
    622,7 KB · Aufrufe: 3
  • Quelle FW Regeln.jpg
    Quelle FW Regeln.jpg
    299,1 KB · Aufrufe: 3
Naja, kann man machen, wie man möchte, ich finde es halt einfacher, wenn direkt alle privaten Netzbereiche mit einer Regel abgedeckt sind. Hier noch ein Netz, da noch ein Netz und schon rennt man von den Regeln schon wieder hinterher. Falls nix dazu kommt, passt das so sicherlich auch 🙃
 
Moinsen,
ich habe hier zwar "nur" ein paar VLANs laufen, habe die aber auch unter einem Alias RFC1918 zusammengefasst. Damit finde ich es ähnlich praktisch, weil dass eben auf einen Schlag alle privaten Netze rausnimmt. Zusätzlicher Vorteil: da ich intern auch mit IPv6 ULAs arbeite, habe ich die genutzten Bereiche (deren ULA-Präfixe, als fd:1234:dead:SUBNETZID::/64) da auch mit rein gelegt. Damit geht dann auch nix mehr auf der Ebene.
Ist sicherlich ne Frage des individuellen Settings, ich fand es aber auch irgendwann zu mühsam, da händisch hinterher zu jagen.

Somit reicht ein schnelles:
1. Regel erlaubt DNS aus dem Subnetz/LAN
2. erlaubte Zugriffe auf Dienste im VLANxy
3. zurückweisen von Zugriffen auf RFC1918(+ULAs)
4. Rest offen
Als Basisgerüst schnell gemacht. Feinjustieren kommt dann...
:)
 
Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren
Habe mit Alias noch nicht wirklich was gemacht, auch RFC1918 sagt mir erstmal nix xD
Ebenso weiß ich nicht was genau unter die privaten Netzwerke fällt :p
Habe eben "Kein Plan" , aber werde mich da mal einlesen, dankeschön^^
Moinsen,
ich habe hier zwar "nur" ein paar VLANs laufen, habe die aber auch unter einem Alias RFC1918 zusammengefasst. Damit finde ich es ähnlich praktisch, weil dass eben auf einen Schlag alle privaten Netze rausnimmt. Zusätzlicher Vorteil: da ich intern auch mit IPv6 ULAs arbeite, habe ich die genutzten Bereiche (deren ULA-Präfixe, als fd:1234:dead:SUBNETZID::/64) da auch mit rein gelegt. Damit geht dann auch nix mehr auf der Ebene.
Ist sicherlich ne Frage des individuellen Settings, ich fand es aber auch irgendwann zu mühsam, da händisch hinterher zu jagen.

Somit reicht ein schnelles:
1. Regel erlaubt DNS aus dem Subnetz/LAN
2. erlaubte Zugriffe auf Dienste im VLANxy
3. zurückweisen von Zugriffen auf RFC1918(+ULAs)
4. Rest offen
Als Basisgerüst schnell gemacht. Feinjustieren kommt dann...
:)
Wie schon gesagt da muss ich mich kurz mal einlesen, möchte es ja auch verstehen und nicht nur Nachmachen^^
Aber danke euch für die Beschreibung, sobald ich verstanden habe was ich da genau tue, werde ich mal versuchen das entsprechend umzustellen :)

Bleibt aber dennoch die Frage offen, kann ich meine mobile Datennutzung vom Smartphone mit der FW schützen indem ich irgendwie den kompletten Traffic durch die FW ziehe?^^
 
Moinsen,
RFC1918 umfasst einfach die IP Adressen bzw Netzwerkadressbereiche, die nicht ins Internet geroutet werden. Diese sind als Private Adressbereiche definiert.
Unter pfsense kannst du ein Alias erstellen,eben auch für IPs. Legst du dann die definierten RFC1918 ins Alias, sind alle zugelassenen privaten IPv4 gesperrt oder erlaubt, je nach Regel (da fügst du das passende Alias dann als Ziel oder Quelle ein). Zu privaten Adressen auch hier https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/.


Bleibt aber dennoch die Frage offen, kann ich meine mobile Datennutzung vom Smartphone mit der FW schützen indem ich irgendwie den kompletten Traffic durch die FW ziehe?^^
Meinst du ein redirect gateway unter vpn? Damit du zb auch im Hotel WLAN den gesamten Traffic durch den Tunnel schickst?
Wo ist denn der Wireguard Server aktiv? Etwa auf der fritzbox??
 
Zuletzt bearbeitet:
Moinsen,
RFC1918 umfasst einfach die IP Adressen bzw Netzwerkadressbereiche, die nicht ins Internet geroutet werden. Diese sind als Private Adressbereiche definiert.
Unter pfsense kannst du ein Alias erstellen,eben auch für IPs. Legst du dann die definierten RFC1918 ins Alias, sind alle zugelassenen privaten IPv4 gesperrt oder erlaubt, je nach Regel (da fügst du das passende Alias dann als Ziel oder Quelle ein). Zu privaten Adressen auch hier https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/.



Meinst du ein redirect gateway unter vpn? Damit du zb auch im Hotel WLAN den gesamten Traffic durch den Tunnel schickst?
Wo ist denn der Wireguard Server aktiv? Etwa auf der fritzbox??
Gucke ich mir gern morgen nach der Arbeit an^^

Danke für die kurze Erklärung und den Link.

Ne der Wireguard läuft auf der Sense mit.

So bin Arbeiten, GN8^^
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
6.500
Beiträge
62.476
Mitglieder
6.703
Neuestes Mitglied
Katermoritz
Zurück
Oben