Hallo,
ich habe eins von 4 VLANs erstellt. Klappt auch super.
Ich blocke nun zuerst jedes einzelne andere Netzwerk mit einer Block Regel. So das nur die ANY ANY Aktiv ist damit das Netzwerk ins Internet kommt ( Http Https ... passe ich später genauer an ).
Jedoch finde ich die Lösung etwas Kompliziert. Kommt nun ein Netzwerk von mir hinzu und ich beachte nicht das Netzwerk anzupassen hat es zugriff auf mein Netz.
Gibt es hier eine bessere Lösung ? Kann man dem Netzwerk nicht sagen "GAST" oder wieso gibt es keine Spezielle Rule um in das Internet zu kommen ? WAN Adresse / WAN Netzwerk freigeben hilft nicht.
ich verstehe dein problem nicht.
das was nicht erlaubt ist geht auch nicht.
hast du ein lan/vlan angelegt hat es erstmal kein recht ins internet zu kommen.
yes ganz genau es kann gar nichts. Nun will ich NUR Internet Freigeben. Wie geht das genau. hab es bisher nur per any any Regel gemacht. Wenn ich hier aber z.b WAN Adresse oder WAN Netzwerk auswähle geht es nicht. Ich wollte ertsmal keine Speziellen Ports für http https Freigeben. Erstmal alles erlauben in das Internet.
Ich bekomme NUR Internet hin mit any any. Somit darf das Netz natürlich auch in meine anderen Netze
so habe ich es bei mir
Hallo, schau mal hier
https://forum.opnsense.org/index.php?topic=11323.msg51243#msg51243 (https://forum.opnsense.org/index.php?topic=11323.msg51243#msg51243)
lg
Habe ich das richtig verstanden, dass du aktuell vier Zonen hast, die jeweils nur "Internet dürfen sollen"? Das hieße ja, die dürfen grundsätzlich alles außer 10., 172.16...31 und 192.168. Und genau hier liegt die Lösung dafür. Denk einfach dran, dass automatisch alles verboten ist, was du nicht erlaubst ;)
Leg einen Network(s)-Alias an mit dem Inhalt 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24 (das kannste grad so rüberkopieren) und nem einschlägigen Namen, also "RFC1918" oder "PRIVATE". Dann kommst du mit einer Allow-Rule je Zone aus, mit Destination/invert angeklickt, Destination "RFC1918".
Oder halt mehrere Regeln, wenn du nur bestimmte Ports/Protokolle erlauben willst. Aber auch bei den Ports würde ich dann mit Aliassen arbeiten, da hast du es einfacher, wenn du hinterher Ports hinzufügen oder rausnehmen willst. So ein Port(s)-Alias namens "UDPstd" könnte dann beispielsweise den Inhalt 53,123,500,1194,3478,4500,5938,17500 haben.
Und wenn du bestimmte einzelne Zonenpärchen doch miteinander reden lassen willst, erlaubst du das entsprechend vor dieser Regel mit der Quick-Option bzw First match (wird dann ja immer alles von oben nach unten abgearbeitet). In diesem Fall natürlich ohne Invert. Da brauchst du dann keinen Alias, da kannst du die Destination direkt aus der Liste auswählen.
Für alle zukünftigen Zonen wird das dann ganz stumpf genauso angelegt. Simpel, aber herrlich übersichtlich. Grüße gehen an dieser Stelle raus an mimugmail für diesen sehr ästhetischen Tipp :)
Quote from: jeuler on January 02, 2021, 12:16:55 AM
Leg einen Network(s)-Alias an mit dem Inhalt 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24 (das kannste grad so rüberkopieren)
Bevor er das "grad so" rüberkopiert, sollte er aber 192.168.0.0/16 statt /24 nehmen :)
Stimmt, danke für den Hinweis @Gauss23
Da ich es gerade nicht schaffe, meinen Beitrag zu berichtigen, nochmal: 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16