# OPNsense GeoIP: Geografische Härtung des Netzwerks
TL;DR / Management Summary Die meisten automatisierten Angriffe (Bots, Brute-Force) stammen aus spezifischen Regionen. Mit GeoIP Blocking können wir den Zugriff auf unsere Dienste (z.B. VPN, Webserver) auf Länder einschränken, in denen wir tatsächlich operieren (z.B. nur DACH-Region). Ein Senior Admin nutzt dafür den MaxMind GeoLite2 Dienst, um IP-Bereiche tagesaktuell zu halten und so das “Rauschen” in den Firewall-Logs um bis zu 90% zu reduzieren.
# 1. Einführung & Architektur
Warum Geografie eine Rolle spielt.
GeoIP ordnet IP-Adressen einem geografischen Ort (Land, Stadt) zu. OPNsense nutzt diese Daten, um dynamische Aliase (Artikel 555) zu befüllen.
# Anwendungsfälle
- Incoming (Management): Erlaube SSH/GUI-Zugriff nur aus Deutschland.
- Outgoing (Botnet-Schutz): Blockiere ausgehende Verbindungen in bekannte Hacker-Regionen, um Datenabfluss zu verhindern.
- Port-Forwarding: Schütze den internen Webserver vor Scannern aus Übersee.
# 2. Einrichtung in der Praxis
In 4 Schritten zur Länder-Firewall.
# Schritt 1: MaxMind Account & Key
Da die Geo-Datenbanken lizenziert sind, benötigen Sie einen (kostenlosen) Key von MaxMind.
# Schritt 2: Download-URL konfigurieren
Firewall -> Aliases -> GeoIP Settings.
- Tragen Sie die URL mit Ihrem License-Key ein.
- Klicken Sie auf Apply, um den ersten Download zu starten.
# Schritt 3: Alias erstellen
Firewall -> Aliases.
- Name:
GEO_BLOCK_LIST. - Typ:
GeoIP. - Länder wählen: (z.B. China, Russland, Nordkorea).
# Schritt 4: Regel anlegen
Erstellen Sie eine Floating Rule (Artikel 556) oder eine WAN-Regel:
- Action:
Block. - Source:
GEO_BLOCK_LIST. - Log: Aktivieren (um den Erfolg zu sehen).
# 3. Deep Dive: Whitelisting vs. Blacklisting
Die Strategie wählen.
# 1. Blacklisting (Verteidigung)
Blockiere spezifische Länder.
- Vorteil: Geringes Risiko für Fehlblockaden.
- Nachteil: Man muss die Liste ständig erweitern.
# 2. Whitelisting (Festung) - Empfohlen für Management
Erlaube nur Deutschland und blockiere den Rest (Source: !Germany).
- Vorteil: Maximale Sicherheit für kritische Ports.
- Gefahr: Mitarbeiter im Urlaub können nicht mehr aufs VPN zugreifen.
# 4. Day-2 Operations: Datenbank-Updates
Aktualität sicherstellen.
IP-Adressbereiche ändern sich täglich.
- Aktion: Stellen Sie das Update-Intervall in den GeoIP-Settings auf Täglich.
- Check: Prüfen Sie unter
Diagnostics -> Network -> Aliases, ob der AliasGEO_BLOCK_LISTeine große Anzahl an Subnetzen enthält.
# 5. Troubleshooting & “War Stories”
Wenn die Grenze zu eng ist.
# Top 3 Fehlerbilder
-
Symptom: Erlaubte User werden geblockt.
- Ursache: Veraltete Datenbank oder ungenaues Mapping bei Mobilfunk-Anbietern (Roaming).
- Lösung: Den User seine aktuelle IP auf WhatIsMyIP prüfen lassen und manuell im Alias validieren.
-
Symptom: GeoIP-Alias ist leer.
- Ursache: Download-Fehler oder License-Key ungültig.
- Lösung: Log-File
System -> Log-Files -> Generalnach “GeoIP” durchsuchen.
-
Symptom: Cloud-Dienste (Microsoft 365, AWS) funktionieren nicht mehr.
- Ursache: Die Server dieser Dienste stehen oft in den USA oder Irland, wurden aber geblockt.
- Lösung: Whitelist für bekannte Cloud-Provider-IPs erstellen.
# “War Story”: Der “Urlaubs-Lockout” des Admins
Ein Admin setzte die VPN-Regel auf Source: Germany und flog kurz darauf in den Urlaub in die USA. Dort angekommen, wollte er einen kritischen Fehler fixen – kam aber selbst nicht mehr ins VPN.
Die Lösung: Ein zweiter Admin (noch in Deutschland) musste die Regel temporär erweitern.
Lehre: Haben Sie immer einen administrativen “Backdoor”-Zugang (z.B. einen spezifischen IP-Alias für Ihr Handy oder eine Bastion-VM in Proxmox), der nicht von Geo-Regeln abhängig ist.
# 6. Monitoring & Reporting
Angriffsmuster erkennen.
# Dashboard Analyse
Nutzen Sie den Filter Summary im Reporting.
- KPI: Welches Land verursacht die meisten Drops am WAN?
- Visualisierung: Exportieren Sie die Logs an ein SIEM mit Weltkarten-Plugin.
# 7. Fazit & Empfehlung
GeoIP Blocking ist einer der effektivsten “Low Hanging Fruits” der IT-Sicherheit.
- Empfehlung: Blockieren Sie am WAN alle Länder, mit denen Sie keine Geschäftsbeziehung haben.
- Wichtig: Kombinieren Sie GeoIP immer mit Suricata (IDS/IPS) (Artikel 589) für einen mehrschichtigen Schutz.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| MaxMind URL | https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=YOUR_KEY&suffix=zip |
| Alias Test | Diagnostics -> Network -> Aliases |
| Log Filter | Filter auf Alias-Namen in der Live View |