NAS hinter Fritzbox und OPNsense per Wireguard auf Photos-App zugreifen.

[blurrrr]

Regel A besagt du darfst überall hin, nur nicht ins Lan- Netzwerk.

Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren

 

[KeinPlan]

Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren

Also die Firewall Einstellunegen der OPNsense sehen so aus wie auf den Bildern.
Habe jetzt einmal als Ziel das LAN Netzwerk und dann die Regel umgekehrt, so ist der Zugriff auf LAN-Netzwerk verboten.
Und dann habe ich als Ziel einzelner Host erlaubt und da die IP der NAS angegeben.
Das Ganze für jeden Client (als Quelle), immer 2 Regeln pro Client.

 

[blurrrr]

Naja, kann man machen, wie man möchte, ich finde es halt einfacher, wenn direkt alle privaten Netzbereiche mit einer Regel abgedeckt sind. Hier noch ein Netz, da noch ein Netz und schon rennt man von den Regeln schon wieder hinterher. Falls nix dazu kommt, passt das so sicherlich auch

 

[the other]

Moinsen,
ich habe hier zwar "nur" ein paar VLANs laufen, habe die aber auch unter einem Alias RFC1918 zusammengefasst. Damit finde ich es ähnlich praktisch, weil dass eben auf einen Schlag alle privaten Netze rausnimmt. Zusätzlicher Vorteil: da ich intern auch mit IPv6 ULAs arbeite, habe ich die genutzten Bereiche (deren ULA-Präfixe, als fd:1234:dead:SUBNETZID::/64) da auch mit rein gelegt. Damit geht dann auch nix mehr auf der Ebene.
Ist sicherlich ne Frage des individuellen Settings, ich fand es aber auch irgendwann zu mühsam, da händisch hinterher zu jagen.

Somit reicht ein schnelles:
1. Regel erlaubt DNS aus dem Subnetz/LAN
2. erlaubte Zugriffe auf Dienste im VLANxy
3. zurückweisen von Zugriffen auf RFC1918(+ULAs)
4. Rest offen
Als Basisgerüst schnell gemacht. Feinjustieren kommt dann...

 

[KeinPlan]

Im Hinblick auf die Zukunft, wäre ggf. nicht verkehrt, wenn Du direkt eine Regel mit Verbot zu sämtlichen privaten IP-Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) anlegst. Ich weiss nicht, ob Du bei Dir auch Netze gruppieren kannst, aber falls dem so ist, mach Dir einfach eine Gruppe z.B. names RFC1918 und da packst Du die 3 Netzdefinitionen rein. Dann musst Du später auch nicht nacharbeiten, falls noch weitere interne Netze dazu kommen sollten.

Das würde dann vom Regelset so aussehen:

1) Ziel-Host (intern) erlauben
2) RFC1918 blockieren
3) Rest erlauben

Wenn es nur um den Zugriff auf einen bestimmten Host geht, ist es noch kürzer:

1) Ziel-Host (intern) erlauben
2) Rest blockieren

Habe mit Alias noch nicht wirklich was gemacht, auch RFC1918 sagt mir erstmal nix xD
Ebenso weiß ich nicht was genau unter die privaten Netzwerke fällt
Habe eben "Kein Plan" , aber werde mich da mal einlesen, dankeschön^^

Moinsen,
ich habe hier zwar "nur" ein paar VLANs laufen, habe die aber auch unter einem Alias RFC1918 zusammengefasst. Damit finde ich es ähnlich praktisch, weil dass eben auf einen Schlag alle privaten Netze rausnimmt. Zusätzlicher Vorteil: da ich intern auch mit IPv6 ULAs arbeite, habe ich die genutzten Bereiche (deren ULA-Präfixe, als fd:1234:dead:SUBNETZID::/64) da auch mit rein gelegt. Damit geht dann auch nix mehr auf der Ebene.
Ist sicherlich ne Frage des individuellen Settings, ich fand es aber auch irgendwann zu mühsam, da händisch hinterher zu jagen.

Somit reicht ein schnelles:
1. Regel erlaubt DNS aus dem Subnetz/LAN
2. erlaubte Zugriffe auf Dienste im VLANxy
3. zurückweisen von Zugriffen auf RFC1918(+ULAs)
4. Rest offen
Als Basisgerüst schnell gemacht. Feinjustieren kommt dann...

Wie schon gesagt da muss ich mich kurz mal einlesen, möchte es ja auch verstehen und nicht nur Nachmachen^^
Aber danke euch für die Beschreibung, sobald ich verstanden habe was ich da genau tue, werde ich mal versuchen das entsprechend umzustellen

Bleibt aber dennoch die Frage offen, kann ich meine mobile Datennutzung vom Smartphone mit der FW schützen indem ich irgendwie den kompletten Traffic durch die FW ziehe?^^

 

[the other]

Moinsen,
RFC1918 umfasst einfach die IP Adressen bzw Netzwerkadressbereiche, die nicht ins Internet geroutet werden. Diese sind als Private Adressbereiche definiert.
Unter pfsense kannst du ein Alias erstellen,eben auch für IPs. Legst du dann die definierten RFC1918 ins Alias, sind alle zugelassenen privaten IPv4 gesperrt oder erlaubt, je nach Regel (da fügst du das passende Alias dann als Ziel oder Quelle ein). Zu privaten Adressen auch hier https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/.

Bleibt aber dennoch die Frage offen, kann ich meine mobile Datennutzung vom Smartphone mit der FW schützen indem ich irgendwie den kompletten Traffic durch die FW ziehe?^^

Meinst du ein redirect gateway unter vpn? Damit du zb auch im Hotel WLAN den gesamten Traffic durch den Tunnel schickst?
Wo ist denn der Wireguard Server aktiv? Etwa auf der fritzbox??

 

[KeinPlan]

Moinsen,
RFC1918 umfasst einfach die IP Adressen bzw Netzwerkadressbereiche, die nicht ins Internet geroutet werden. Diese sind als Private Adressbereiche definiert.
Unter pfsense kannst du ein Alias erstellen,eben auch für IPs. Legst du dann die definierten RFC1918 ins Alias, sind alle zugelassenen privaten IPv4 gesperrt oder erlaubt, je nach Regel (da fügst du das passende Alias dann als Ziel oder Quelle ein). Zu privaten Adressen auch hier https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/.



Meinst du ein redirect gateway unter vpn? Damit du zb auch im Hotel WLAN den gesamten Traffic durch den Tunnel schickst?
Wo ist denn der Wireguard Server aktiv? Etwa auf der fritzbox??

Gucke ich mir gern morgen nach der Arbeit an^^

Danke für die kurze Erklärung und den Link.

Ne der Wireguard läuft auf der Sense mit.

So bin Arbeiten, GN8^^

 

[KeinPlan]

Moinsen,
RFC1918 umfasst einfach die IP Adressen bzw Netzwerkadressbereiche, die nicht ins Internet geroutet werden. Diese sind als Private Adressbereiche definiert.
Unter pfsense kannst du ein Alias erstellen,eben auch für IPs. Legst du dann die definierten RFC1918 ins Alias, sind alle zugelassenen privaten IPv4 gesperrt oder erlaubt, je nach Regel (da fügst du das passende Alias dann als Ziel oder Quelle ein). Zu privaten Adressen auch hier https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/.



Meinst du ein redirect gateway unter vpn? Damit du zb auch im Hotel WLAN den gesamten Traffic durch den Tunnel schickst?
Wo ist denn der Wireguard Server aktiv? Etwa auf der fritzbox??

So habs gelesen, bzw. teilweise überflogen^^
Also ja im Groben hatte ich das auch so auf dem Schirm, warum jetzt aber keine IPs vergeben die zum Beispiel 20.20.xx.xx oder 30.20.10.3 zum Beispiel, das wusste (weiß) ich nicht.
Aus dem Artikel geht ja hervor das die Netze 10.XX.XX.XX 172.XXX.XXX.XXX und 192.XXX.XXX.XXX frei für die Verwendung von privaten IPv4 sind, was ist aber im 20ger oder 30ger Netz vergeben das man die nicht nutzen kann?
Gibt es dazu irgendwo eine Übersicht oder so?^^
Und wenn wie bei mir das 20ger Netz genutzt wird, fällt das dann dennoch unter die RFC1918 weil es ja auch eine private IP ist, oder gilt das nicht als "zugelassene private IP" weil es nicht aus den 3 besagten Netzen kommt?^^

Und um auf die Frage von vorher einzugehen, ja ich meine es so, das ich mit mobilen Daten egal ob ich unterwegs bin oder auch in nem Hotel WLAN, immer den Traffic durch die Firewall schiebe und er dort wie im LAN zu Hause behandelt wird

 

[blurrrr]

Aus dem Artikel geht ja hervor das die Netze 10.XX.XX.XX 172.XXX.XXX.XXX und 192.XXX.XXX.XXX frei für die Verwendung von privaten IPv4 sind

Das ist "so" nicht ganz richtig, konkret sind es halt:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 17.31.255.255
192.168.0.0 - 192.168.255.255

Du kannst also nicht einfach 192.10.0.0 nehmen, das ist eine IP aus dem "öffentlichen" Raum.

was ist aber im 20ger oder 30ger Netz vergeben das man die nicht nutzen kann?

Das sind "öffentliche" IP-Adressen und die gehören auch irgendwem, kannste z.B. hier nachschauen: https://whois.domaintools.com/. "Machen" kann man das natürlich schon (solange es intern ist), nur können dann halt auch diverse "komische Effekte" auftreten, insbesondere dann, wenn ein internes Gerät z.B. einen Dienst ansprechen möchte, welcher über so eine öffentliche IP erreichbar ist. Dann knallt das Ding halt bei Dir vor die Wand und nix geht.

Und wenn wie bei mir das 20ger Netz genutzt wird, fällt das dann dennoch unter die RFC1918 weil es ja auch eine private IP ist, oder gilt das nicht als "zugelassene private IP" weil es nicht aus den 3 besagten Netzen kommt?^^

Keine Ahnung was Du meinst, aber theoretisch hast Du da ja div. Möglichkeiten, z.B.10.20.0.0, 10.0.20.0, 172.20.0.0, 192.168.20.0. Sowas kannst Du nutzen, wenn etwas mit einer 20 im ersten Oktett beginnt (20.x.x.x) dann eher nicht.... (20.0.0.0/11 wäre dann übrigens auch Microsoft ).

 

[KeinPlan]

Das ist "so" nicht ganz richtig, konkret sind es halt:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 17.31.255.255
192.168.0.0 - 192.168.255.255

Du kannst also nicht einfach 192.10.0.0 nehmen, das ist eine IP aus dem "öffentlichen" Raum.


Das sind "öffentliche" IP-Adressen und die gehören auch irgendwem, kannste z.B. hier nachschauen: https://whois.domaintools.com/. "Machen" kann man das natürlich schon (solange es intern ist), nur können dann halt auch diverse "komische Effekte" auftreten, insbesondere dann, wenn ein internes Gerät z.B. einen Dienst ansprechen möchte, welcher über so eine öffentliche IP erreichbar ist. Dann knallt das Ding halt bei Dir vor die Wand und nix geht.


Keine Ahnung was Du meinst, aber theoretisch hast Du da ja div. Möglichkeiten, z.B.10.20.0.0, 10.0.20.0, 172.20.0.0, 192.168.20.0. Sowas kannst Du nutzen, wenn etwas mit einer 20 im ersten Oktett beginnt (20.x.x.x) dann eher nicht.... (20.0.0.0/11 wäre dann übrigens auch Microsoft ).

Ich rede hier nur von meinen privaten LAN IPs nicht von irgendetwas das ich im öffentlichen Raum nutzen möchte^^
Vielleicht habe ich den Artikel etwas zu schnell überflogen, sorry wenn ich mich da doof ausgedrückt habe^^

 

[the other]

Moinsen,
naja, wenn du das "nur" im eigenen LAN nutzt kann das lange gutgehen, muss aber nicht.
Es ist eben von der Internetaufsicht (nicht ernst gemeint, aber die hier machen die offizielle Adresszuteilung) so festgelegt.
Soll bedeuten: besser nicht machen. Damit würdest du eben gegen den RFCs verstoßen...ich würde es direkt meiden und richtig machen, spart späteren Ärger und Fehlersuche. Genau so wie ich auch gleich die korrekten Domainnames vergeben würde (für intern am Besten yx.server.internal)...warum nicht gleich korrekt machen?

 

[the other]

Moinsen,
was macht der wireguard Zugang? Fehler schon gefunden?
Zeig doch auch gerne mal die client Konfiguration für wireguard, dann kann da auch mal geschaut werden...

Hast du dort ggf. extra einen DNS Server angegeben (deine opnsense auf dem wg Interface mit .1 vermutlich)? Das könnte ggf. schon helfen.

 

[KeinPlan]

..warum nicht gleich korrekt machen?

Weil ich "Keine Ahnung" hatte was ich da tat und in vielen Videos suggeriert wurde das du da was das LAN Netzwerk angeht relativ frei bist in der Wahl deiner IPs.
Heißt ich muss jetzt alle IPs neu vergeben, dem Adguard sagen er soll nen anderen IP Bereich verwenden usw.
Dachte bisher was im privaten LAN an IPs ist, gilt auch nur fürs private LAN und hat mit der externen IP die fürs www bestimmt ist nix zu tun und ist damit frei wählbar^^

 

[KeinPlan]

Moinsen,
was macht der wireguard Zugang? Fehler schon gefunden?
Zeig doch auch gerne mal die client Konfiguration für wireguard, dann kann da auch mal geschaut werden...

Hast du dort ggf. extra einen DNS Server angegeben (deine opnsense auf dem wg Interface mit .1 vermutlich)? Das könnte ggf. schon helfen.

Wireguard als solches läuft ja sauber, nur den mobilen Traffic durch die Firewall jagen bekomme ich noch nicht hin^^

 

[the other]

Moinsen,

Heißt ich muss jetzt alle IPs neu vergeben, dem Adguard sagen er soll nen anderen IP Bereich verwenden usw.
Dachte bisher was im privaten LAN an IPs ist, gilt auch nur fürs private LAN und hat mit der externen IP die fürs www bestimmt ist nix zu tun und ist damit frei wählbar^^

nach dem Motto: "what happens in Las Vegas, stays in Las Vegas"?
Nope, das funktioniert meist nicht verlässlich.
Ja, aber dank pf/opnsense geht das ja recht flott. Doof nur, falls du für internes https bereits zig ssl-Zertifikate angelegt hast...
Ich hatte das damals auch eher zufällig registriert (keine Ahnung gehabt bzw. noch weniger als heute) als ich weg von der typischen Fritzbox 192.168....wollte. Seitdem fährt das LAN (und die VLANs mit 172.16...., das VPN mit 10.0....und gut ist.) nach Vorgabe.

Dann zeig doch gerne mal die wg config für den client...
Ich selber nutze zwar kein wireguard, daher kurz gefragt: die Angaben zum genutzten DNS Server findest du in der Einstellung der wireguard App? Sonst kann das idR ja auch beim Erstellen der client Konfiguration angegeben werden, da dann eben die IP deiner opnsense angeben, idR für das Tunnelnetz Interface (also: IP für den VPN Tunnel zB 10.0.5.0/24, *sense sollte darin die 10.0.5.1/24 haben, diese der Konfiguration mitgeben)...dann noch im adguard schauen, ob der auf das wireguard Interface lauscht. Wären meine ersten noob-Gedanken dazu

 

[KeinPlan]

Bei der Config habe ich es mir tatsächlich sehr leicht gemacht^^
Habe diese Seite genutzt. https://www.wireguardconfig.com , das funktioniert extrem gut^^
Du gibst einfach deine Daten an und er erstellt dir Alles was du brauchst.
Die Clients kannst per QR Code einbinden indem du in der Wireguard APP einfach den QR Code scannst.
Viel bequemer geht es nicht^^
Kannst ja dir selbst zum Spaß mal ne Config erstellen lassen

Edit: Nameserver nutze ich derzeit Cloudflare und beim Netz habe ich auch mit dem 172.ger das "richtige" gewählt^^
Standard Listenport ist 51820 bei Wireguard.

 

[the other]

Moinsen,
auch da...
kannste machen...musste aber auch nicht (kannste doch viel schöner und für den Aha-Effekt nachhaltiger an der *sense GUI selber basteln, die pfsense bringt da sogar einen netten "Wizard" zum Einrichten mit.
Falls du das aber eben über das verlinkte Tool gemacht hast...
...hast du dort den (optionalen) Eintrag für DNS angegeben? Vermutlich nicht...und dann nutzt WG eben einen anderen Server (ggf. nicht den gewünschten). Wäre meine Vermutung jedenfalls...

Edit: upsie, eben mal geschaut, nein auch die *sense bietet für wg keinen Assistenten zum Einrichten. Lediglich die Konfig für server, Tunnelinterface und peers...nehme alles zurück und behaupte fortan das Gegenteil.

 

[KeinPlan]

Habs in etwas so gemacht, gucke gleich mal das ich meine Config raus suche^^

 

[the other]

Moinsen,
nun, aber warum die doofe cloudflare DNS IP?
Nimm da doch deine eigene, du hast doch daheim eine IP (vermute ich), unter der der adguard sitzt und auf alles lauscht, und so die Werbung filtert. DAS willst du doch, oder? Wenn du da jetzt einen externen DNS einträgst, dann ist ja klar, dass die DNS Anfragen auch DAHIN gehen, nicht über deinen adguard (und je nach Konfiguration) über deinen eigenen DNS Resolver / Forwarder der *sense...

 

[the other]

Moinsen,
bei den Anleitungen hier mal geschaut?
https://www.heimnetz.de/anleitungen...se-dns-anfragen-an-eigenen-resolver-umleiten/ für die opnsense und vielleicht ergänzend für die pfsense: https://www.heimnetz.de/anleitungen/firewall/pfsense/pfsense-dns-resolver-unbound-einrichten/

So als Idee...