International Forums > German - Deutsch

DHCP über das WAN Interface und automatisch erzeugte Firewall-Regeln

(1/5) > >>

MenschAergereDichNicht:
Hallo,

ich versuche gerade zu verstehen, ob ich einen Denkfehler bei der DHCP-Anbindung des WAN-Interfaces habe.

Demnächst bekomme ich einen Glasfaseranschluss von der "Deutschen Glasfaser". Wenn ich das richtig verstanden habe, erfolgt die Anbindung auf meiner Seite über DHCPv6. D.h. ich würde gerne anstelle z.B. einer Fritzbox eine APU mit OPNSense als Router verwenden.
Bei meiner aktuellen Konfiguration (DSL) befindet sich die APU *hinter* der Fritzbox. Wenn ich mir dort die automatisch angelegten Regeln des WAN-Interfaces anschaue, sehe ich, dass die Firewall für DHCP generell durchgängig ist. Das ist in dieser Konfiguration (Firewall hinter Fritzbox) auch kein Problem. Wenn allerdings nach der Umstellung auf Glasfaser die Fritzbox wegfällt und die OPNSense direkt am Provider-WAN hängt, würde ich eigentlich nicht so gerne den Netzwerkverkehr von jedermann in diese UDP -Ports reinlassen.

Übersehe ich irgendetwas Offensichtliches? Wird DHCP-Traffic bereits durch den Provider gefiltert?


Danke im Voraus.

micneu:
ich habe ja keine ahnung welchen tarif du bei deinem provider gebucht hast, ist es mehr als 100mbit/s ersetze lieber die apu mit was mehr leistung hat.
anregung findest du genug hier im forum.
meine empfehlung entweder die original opnsense hardware kisten oder schau dir die systeme bei nrg-systems an (IPU8xx)

Gesendet von iPad mit Tapatalk Pro

MenschAergereDichNicht:
Mir geht es erstmal weniger um den Durchsatz als vielmehr um den Sicherheits-Aspekt.
Das oben beschriebene Problem(?) gibt es ja auch bei einem schnelleren Router.
Wenn ich merke, dass die APU (die ich bereits besitze) mit den 250 Mbit nicht zurecht kommt, schaue ich mich weiter um.

Patrick M. Hausen:
DHCP ist generell nicht routebar, d.h. ohne ein spezielles Relay kommt das gar nie nicht über Interfaces hinweg, selbst wenn alle Regeln auf "offen" stehen sollten.

Und Deine Firewall wird Deinen Provider mit DHCP-Anfragen bewerfen, die dieser beantwortet. Da kommt garantiert kein DHCP aus dem Internet bis vor Deine Tür.

Grüße
Patrick

MenschAergereDichNicht:
Super. Danke für die Antwort. Ich habe mir schon gedacht, dass ich irgendwo einen Denkfehler habe.

Navigation

[0] Message Index

[#] Next page

Go to full version