Firewall-Regeln: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 41: | Zeile 41: | ||
Soll der Ping auch vom WAN (z. B. vom Host-PC) funktionieren, muss dort ebenfalls eine ICMP-Erlaubnisregel erstellt werden. Dies wird aus Sicherheitsgründen jedoch nicht empfohlen. | Soll der Ping auch vom WAN (z. B. vom Host-PC) funktionieren, muss dort ebenfalls eine ICMP-Erlaubnisregel erstellt werden. Dies wird aus Sicherheitsgründen jedoch nicht empfohlen. | ||
== Firewallregel für ausgehenden Internetzugriff (LAN → WAN) == | |||
Damit die internen Server im LAN (z. B. Debian-Server 10.0.0.10 und 10.0.0.20) Softwarepakete installieren und Systemupdates durchführen können, muss eine Firewallregel erstellt werden, die ausgehenden Verkehr ins Internet erlaubt. | |||
=== Problem === | |||
Ohne passende Firewallregel blockiert OPNsense ausgehenden Netzwerkverkehr standardmäßig. Dies führt z. B. zu Fehlern bei folgenden Befehlen: | |||
<syntaxhighlight lang="bash"> | |||
apt update | |||
apt install -y corosync pacemaker pcs | |||
</syntaxhighlight> | |||
=== Lösung: Regel „LAN → any“ erstellen === | |||
# Anmeldung an der OPNsense Weboberfläche (z. B. https://10.0.0.1) | |||
# Navigieren zu '''Firewall → Rules → LAN''' | |||
# Klicke auf '''+ Add''' (Regel hinzufügen) | |||
# Einstellungen wie folgt setzen: | |||
{| class="wikitable" | |||
! Feld !! Wert | |||
|- | |||
| Action || Pass | |||
|- | |||
| Interface || LAN | |||
|- | |||
| Protocol || any | |||
|- | |||
| Source || LAN net | |||
|- | |||
| Destination || any | |||
|- | |||
| Description || Allow LAN to Internet | |||
|} | |||
# Regel speichern und '''Apply changes''' anklicken | |||
=== Wirkung === | |||
Diese Regel erlaubt allen Geräten im LAN uneingeschränkten ausgehenden Zugriff auf das Internet, z. B. für: | |||
* Systemupdates (APT) | |||
* Paketinstallationen | |||
* DNS-Auflösung | |||
* Zeitabgleich (NTP) | |||
* Ping/ICMP | |||
=== Sicherheitshinweis === | |||
Für Homelab-Zwecke ist diese Regel akzeptabel. In produktiven Umgebungen empfiehlt sich eine restriktivere Regelung nach Ziel und Port (z. B. nur HTTP/HTTPS). | |||
=== Optional: Nur HTTP/HTTPS erlauben === | |||
Wer ausgehenden Zugriff nur für Paketquellen zulassen möchte, kann folgende Ports beschränken: | |||
{| class="wikitable" | |||
! Feld !! Wert | |||
|- | |||
| Protocol || TCP | |||
|- | |||
| Destination Port Range || 80 - 443 | |||
|} | |||
=== Testbefehle === | |||
Auf einem Debian-Client im LAN kann die Internetverbindung mit folgenden Befehlen getestet werden: | |||
<syntaxhighlight lang="bash"> | |||
ping 8.8.8.8 | |||
apt update | |||
apt install -y corosync pacemaker pcs | |||
</syntaxhighlight> | |||
Aktuelle Version vom 9. Juli 2025, 14:27 Uhr
Problem: OPNsense nicht per Ping erreichbar
Nach der Grundinstallation von OPNsense ist es möglich, dass die Firewall über das LAN-Interface nicht per Ping (ICMP) erreichbar ist. Dies ist **standardmäßig durch die Firewall-Regeln blockiert**.
Ursache
OPNsense erlaubt ICMP (Ping) nicht automatisch auf dem LAN-Interface. Ohne entsprechende Regel wird der Zugriff auf die Firewall-IP (z. B. 10.0.0.1) geblockt.
Lösung: ICMP auf dem LAN-Interface erlauben
Folgende Schritte ermöglichen Ping-Anfragen an die LAN-IP der Firewall:
- Anmeldung an der OPNsense Weboberfläche (z. B. https://10.0.0.1)
- Navigieren zu Firewall → Rules → LAN
- Klicke auf + Add (Regel hinzufügen)
- Einstellungen wie folgt:
- Action: Pass
- Interface: LAN
- Protocol: ICMP
- Source: LAN net
- Destination: This Firewall (oder LAN address)
- Description: ICMP / Ping zur Firewall erlauben
- Regel speichern und auf Apply changes klicken
Nach dem Anwenden dieser Regel ist die OPNsense-Firewall über das LAN-Interface z. B. von einer Debian-VM im selben Subnetz aus pingbar.
Beispielkonfiguration Client
Ein Client (z. B. Debian-VM) sollte folgende Netzwerkeinstellungen haben:
- IP-Adresse: 10.0.0.101
- Gateway: 10.0.0.1
- Subnetzmaske: 255.255.255.0 (bzw. /24)
Mit diesen Einstellungen sollte folgender Befehl erfolgreich sein:
ping 10.0.0.1
Hinweis
Soll der Ping auch vom WAN (z. B. vom Host-PC) funktionieren, muss dort ebenfalls eine ICMP-Erlaubnisregel erstellt werden. Dies wird aus Sicherheitsgründen jedoch nicht empfohlen.
Firewallregel für ausgehenden Internetzugriff (LAN → WAN)
Damit die internen Server im LAN (z. B. Debian-Server 10.0.0.10 und 10.0.0.20) Softwarepakete installieren und Systemupdates durchführen können, muss eine Firewallregel erstellt werden, die ausgehenden Verkehr ins Internet erlaubt.
Problem
Ohne passende Firewallregel blockiert OPNsense ausgehenden Netzwerkverkehr standardmäßig. Dies führt z. B. zu Fehlern bei folgenden Befehlen:
apt update
apt install -y corosync pacemaker pcs
Lösung: Regel „LAN → any“ erstellen
- Anmeldung an der OPNsense Weboberfläche (z. B. https://10.0.0.1)
- Navigieren zu Firewall → Rules → LAN
- Klicke auf + Add (Regel hinzufügen)
- Einstellungen wie folgt setzen:
| Feld | Wert |
|---|---|
| Action | Pass |
| Interface | LAN |
| Protocol | any |
| Source | LAN net |
| Destination | any |
| Description | Allow LAN to Internet |
- Regel speichern und Apply changes anklicken
Wirkung
Diese Regel erlaubt allen Geräten im LAN uneingeschränkten ausgehenden Zugriff auf das Internet, z. B. für:
- Systemupdates (APT)
- Paketinstallationen
- DNS-Auflösung
- Zeitabgleich (NTP)
- Ping/ICMP
Sicherheitshinweis
Für Homelab-Zwecke ist diese Regel akzeptabel. In produktiven Umgebungen empfiehlt sich eine restriktivere Regelung nach Ziel und Port (z. B. nur HTTP/HTTPS).
Optional: Nur HTTP/HTTPS erlauben
Wer ausgehenden Zugriff nur für Paketquellen zulassen möchte, kann folgende Ports beschränken:
| Feld | Wert |
|---|---|
| Protocol | TCP |
| Destination Port Range | 80 - 443 |
Testbefehle
Auf einem Debian-Client im LAN kann die Internetverbindung mit folgenden Befehlen getestet werden:
ping 8.8.8.8
apt update
apt install -y corosync pacemaker pcs