Hallo zusammen,
ich habe folgende Konstellation.
- WAN Router (AVM) mit IP 192.168.252.1
- Server mit HYPER-V-Core 2016
- Virtuelle Maschine mit installierter OPNsense 21.7.6-amd64
- 5 NICs am Server
- NIC1 (192.168.252.2, Opnsense zugewiesen) + NIC2(192.168.252.2) mit Router verbunden, wobei NIC2 nichts mit der Firewall zu tun hat und Management Zwecke übernimmt. NIC1 ist als external VM Switch konfiguriert und keinen gemeinsame Verwendung
- NIC3 ist Opnsense zugewiesen, keine gemeinsame Verwendung
- NIC4 ist Opnsense zugewiesen, keine gemeinsame Verwendung
- NIC5 ist Opnsense zugewiesen, keine gemeinsame Verwendung
DHCP ist auf allen Interfaces entsprechend eingerichtet.
Nach der Installation und Grundkonfiguration komme ich von jedem LAN ins Internet.
Mein Problem ist, das ich von jedem Netzwerk auch jedes andere Netzwerk erreichen kann und dies ist nicht gewünscht.
Ich habe bereits ein Alias definiert für RFC1918 Netzwerke und dies den entsprechenden Interfaces als Block-Regel hinzugefügt, trotzdem ist immer ein Zugriff möglich. Auch eine direkte Block Regel für die unterschiedlichen Subnets hat keinen Erfolg gebracht.
Wenn ich den Live-View der Firewall betrachte habe ich immer folgende Meldungen:
BUERO Dec 8 22:03:13 192.168.1.30 192.168.2.30 icmp let out anything from firewall host itself
Die Regel ist eine Floating Regel aber ich verstehe nicht warum diese zu tragen kommt an dieser Stelle.
NAT-Outbound Regeln sind automatisch generiert.
Könnt ihr mir diesbezüglich helfen, was an dieser Stelle falsch ist? Eventuell liegt es auch am Hypervisor?
Danke für eure Unterstützung
MfG
Galu
Link zu den Bildern
https://postimg.cc/gallery/bJy8MZd
Hallo,
Floating Regeln greifen vor den Interface Regel
https://docs.opnsense.org/manual/firewall.html#processing-order (https://docs.opnsense.org/manual/firewall.html#processing-order)
manuelle Floating Regel 'Zulassen von WAN nach Interfaces' ?
QuoteWenn ich den Live-View der Firewall betrachte habe ich immer folgende Meldungen:
BUERO Dec 8 22:03:13 192.168.1.30 192.168.2.30 icmp let out anything from firewall host itself
Die Regel ist eine Floating Regel aber ich verstehe nicht warum diese zu tragen kommt an dieser Stelle.
Für deine manuelle Floating Regel ist auch kein logging aktiviert deshalb taucht 'Zulassen von WAN nach Interface' im Live-View auch nicht auf die wird vermutlich aber dein Problem sein, 'let out anything from firewall host itself ' ausgehende Pakete treffen halt zu.
Hallo und vielen Dank für deine Antwort.
Ich hatte diese Regel schon deaktiviert aber ohne Erfolg.
Nun habe ich die Regel nochmals deaktiviert und die States zurückgesetzt. Nun ist das verhalten wie geplant.
Ich danke für die schnelle Hilfe.
MfG