OPNsense Forum

Hallo @all,

betreibe seit einigen Monaten OPNsense (17.1.4) auf einer APU2C4. Alles läuft stabil und zuverlässig. Nun habe ich eine seperates GästeLAN auf der OPT1 eingerichtet und diverse Regeln formuliert.

Leider funktionieren diese nicht so wie sie sollen... Ich möchte den Zugriff auf das LAN Netzwerk verhinden, trotz der dazugehörigen Regel kann ich aus dem GästeNetzwerk auf LAN-Geräte zugreifen. Könnte mal jemand nen Blick drauf werfen, wo der Fehler liegen könnte? Steh grad bissl auf dem Schlauch... Danke

Grüße M.

Was sein könnte, ist, dass du über den Proxy rüber kommst.

Mhmm, ich dachte immer die Regeln werden von oben -> unten abgearbeitet?

Hättest du zufällig ne Idee, wie ich das trotz WebProxy lösen könnte?

Grüße M.

Würde in den NAT-Regeln einfach keine Ziele nach RFC1918 umleiten. Die Regeln werden ja von oben nach unten abgearbeitet aber das Ziel ist ja 127.0.0.1 und nicht das LAN da du ja ein DNAT hast.

Danke für den Tipp bzgl. RFC1918. Kannst du mir verraten, wo ich die Option finde? :-) werd es dann testen und berichten.

Grüße M.

Fabian? Kannst du mir sagen, wo/wie ich die von dir angesprochene NAT Regel anlegen kann?

Ich habe heut noch noch etwas rumprobiert. An der OPT1 Schnittstelle hängt per PowerLAN WLAN Adapter (dlan pro wireless+) ein kleiner raspberry (per LAN direkt am Adapter angebunden). Wenn ich mich per SSH auf dem pi anmelde kann ich die Regeln per Ping prüfen und generell scheinen Sie hier zu funktionieren. Dieser PowerLAN WLAN Adapter bietet gleichzeitig den Zugang per GästeWLAN. Und komischerweise greifen die Regeln für alle hier angemeldeten Clients nicht. Jemand eine Idee?

Danke und Grüße M.

Hallo Micky,
ich habe mein Gäste-WLAN wie folgt eingeschränkt (siehe Screenshots)
1. Alias für RFC1918 Netzwerke eingerichtet
2. FW Regel, die den Zugriff auf  RFC1918-Netzwerke blockt im Gäste-WLAN eingerichtet

Scheint soweit auch Alles zu funktionieren.

Gruß
Dirk

ja, mit transparentem proxy brauchst du aber noch eine no-rdr Regel in den Portweiterleitungen für RFC1918 Adressen

@dirk: vielen Dank, habe die Aliases und die Regel angelegt, Symptom bleibt das Gleiche wie vorher...
@fabian: wie müsste denn die Regel ausschauen?

Grüße M.

Nachtrag:

habe folgende Regel erstellt:
Kein-RDR aktiviert, OPT-Schnittstelle -> Source OPT Schnittstelle Netzwerk -> Target RFC1918 Aliases (Ports+Protokolle = any)

Ergebnis: scheint zu funktionieren... Passt die Regel?

Grüße M.

ja, die regel passt - wenn du noch die ports einstellst, hat das Ganze weniger Nebenwirkungen ;)

was meinst du mit "Nebenwirkungen"?

das du NAT für Dinge deaktivierst, die du ursprünglich nicht wolltest.
Wenn unter dieser Regel eine kommt eine andere Regel kommt, die dadurch nie zum Zug kommt aber eigentlich gewollt ist.

ok, danke für die Info.

Leider zu früh gefreut. Irgendwo ist hier noch der Wurm drin, könnt bitte jemand nochmal nen Blick auf die NAT Regeln und die Regeln der OPT1 werfen?

Sollte an sich funktionieren - wobei ich unter RFC1918 folgendes verstehe: 172.16.0.0/12, 10.0.0.0/8 und 192.168.0.0/16

Guten Abend  :)

Kurze Störung :D  Da ich zum Anfang auch so meine Probleme mit dem Privaten IP Range hatte,

hab ich die Hilfe dann auch unter Wikipedia gefunden. (Hilfestellung) https://de.wikipedia.org/wiki/Private_IP-Adresse

Gruß Michel

ok, hab die RFC Netze mal angepasst  ;D

Nabend @all,

ich muss den Thread nochmal aufgreifen... Trotz der RFC Regeln im NAT bzw. auch bei den Rules habe ich ein Problem mit dem Transparenten Proxy. Sobald ich den Proxy (nur HTTP) aktiviere, habe ich Zugriff auf lokale Ressourcen obwohl ich Block-Regeln definiert habe. Wenn der Proxy hingegen deaktiviert wird, funktionieren die Block-Regeln problemlos. Der Proxy scheint diese also aufzuheben... die von fabian angesprochene NAT-Regel habe ich unter NAT->Portweiterleitung angelegt:

Kein-Rdr (aktiviert) -> OPT-Schnittstelle -> Source=OPNNetzwerk -> Target=RFC1918 -> Target-Port=HTTP

Leider habe ich noch immer das gleiche Problem. Entweder funktioniert der Proxy und ich habe Zugriff auf geblockte Ressourcen oder ich deaktiviere den Proxy und die Blockregeln funktionieren. Hätte gern beides ;-) wer kann helfen?

push  ;D

Kann leider auch nicht helfen, hab aber ein Problem, dass in die gleiche Richtung geht!
Ich habe mein WLAN und mein LAN per OPNsense per Bridge verbunden. Die Bridge ist so konfiguriert, dass alle Geräte die am LAN/WLAN hängen untereinander kommunizieren können. das funktioniert auch, außer für Port 80 (transp. Proxy)!
Ich wollte vom LAN auf einen embeded Webserver (Port 80) eines Devices zugreifen das im WLAN hängt. Das funktioniert aber nur dann, wenn ich die Proxy NAT-Regel auf der OPNsense deaktiviere!
So Bald die Proxy NAT-Regel aktiviert ist kann ich nicht mehr auf Port 80 des Devices zugreifen.

Ich würde ich daher auch sehr dafür interessieren, wie man es hinbekommt, dass ich intern auf der Bridge alle Ports erreiche und die NAT-Regel nur greift, wenn der Traffic auf Port 80 nach extern geht.