Moin!
Ich komme irgendwie nicht dahinter, warum sich meine opnSense nicht so verhält, wie ich das gern hätte...
Hier mal der Aufbau:
opnSENSE Switch Endgeräte
============================== =============== ==============================
Port 1 192.168.10.1/24 => Port 1 (Trunk)
10.10.0.1/16 (VLAN 10)
Port 9 (default) => PC1 (192.168.10.5/24 per DHCP)
Port 10 (VLAN 10) => PC2 (10.10.10.5/16 per DHCP)
Firewall Regeln:
Floating IPv4 TCP/UDP * * This Firewall 53(DNS) * *
LAN IPv4 UDP * 68 255.255.255.255 67 * * allow access to DHCP server
IPv4+6 UDP * 68 (self) 67 * * allow access to DHCP server
IPv4+6 UDP (self) 67 * 68 * * allow access to DHCP server
IPv4+6 TCP * * (self) 22 80 443 * * anti-lockout rule
IPv4 * LAN net * * * WAN_LTE_GWv4 *
LAN_Internal IPv4 UDP * 68 255.255.255.255 67 * * allow access to DHCP server
(VLAN 10) IPv4+6 UDP * 68 (self) 67 * * allow access to DHCP server
IPv4+6 UDP (self) 67 * 68 * * allow access to DHCP server
IPv4 * LAN_Internal net* * * WAN_LTE_GWv4 *
IPv4 * * * This Firewall * * *
Aktueller Zustand:
PC1 erhält korrekt IP, DNS und Gateway für das default LAN. Es funktioniert der Zugriff auf die GUI mit beiden oben genannten IPs. PC2 erhält korrekt IP, DNS und Gateway, wie für das VLAN 10 konfiguriert, kann aber über keine der genannten opnSense IPs auf die GUI zugreifen.
Sollzustand:
Beide PCs sollen auf die GUI nur über die IP Adresse Zugriff haben, die in ihrem jeweiligen Netz liegt. Später soll das Standard-LAN lediglich noch zum Konfigurieren neuer Endgeräte dienen, die dann bei Konfiguration in ein extra VLAN für die Infrastruktur wechseln. Ferner soll es möglich sein, aus dem internen VLAN 10 auf Geräte im Standard VLAN zuzugreifen, um diese zu konfigurieren.
Momentan verstehe ich nicht, warum man vom Standard-LAN auf die Firewall kommt, vom VLAN 10 aus aber überhaupt nicht - obwohl die letzte Firewall-Regel im Block das doch eigentlich erlauben müsste? In den Logs sehe ich nicht mal, dass irgendwas blockiert würde.
Ferner wundert es mich, dass aus dem Standard-LAN der Zugriff mit beiden IPs möglich ist. Sollte ja eigentlich nicht so sein, oder routet die opnSense per Default unter allen VLANs ohne extra Regel dafür?
QuoteIPv4 * LAN_Internal net* * * WAN_LTE_GWv4 *
Kann es sein, dass Du hier den gesamten Traffic vom LAN_Internal_net durch einen anderen Gateway zwingst?
Da die Regel vor der hier kommt:
QuoteIPv4 * * * This Firewall * * *
Kommen die Pakete vermutlich nicht am Ziel (der GUI von OPNsense) an. Nur eine Vermutung
Baah... du hast so Recht. Danke.
Hab die Regeln getauscht. Jetzt komme ich von beiden VLANs auf die FW - mit beiden IPs. Schon mal EIN Problem gelöst.
Grundsätzlich hätte ich die Regel:
QuoteIPv4 * LAN_Internal net* * * WAN_LTE_GWv4 *
Mit einem Alias in der Destination versehen (der Alias enthält alle lokalen Netze) und dann die Box bei Destination invert setzen. Dann wird nur jedweder Traffic ins Internet durch dieses Gateway geroutet.
Ja, auch da hast du Recht. Sowas ist für später angedacht. Ich wollte erstmal sehen, ob und wie das mit den VLANs klappt und brauchte eine "schnelle Lösung" wie ich mir beim Experimentieren nicht ständig das Internet an den Rechnern abdrehe.
Das WAN Interface ist im Endeffekt aktuell auch nur ne Verbindung zu meinem bestheenden LAN in dem es einen funktionierenden Internetzugang gibt. So kann ich entwickeln und bin gleichzeitig nicht ständig off.