OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on December 23, 2015, 06:20:12 pm
-
Hi,
mal ne Frage
bei der Übersicht Interfaces erscheint mir genau ein Interface als WAN - dieses ist auch WAN
aber über den selben Port kommen bei mir noch 5 ver. VLANS - alle auch WAN für meine Firewall
Also ist das nicht so ganz ideal.... kann man der Firewall das beibringen quasi beim definieren der Interfaces das es auch WAN ist oder so? Bzw. sonst die Bezeichnungen evtl. anpassbar machen (z.B. OPT9 etc.)
Danke
-
Öh.. hö? Hab ich das richtig verstanden, daß auf einem physikalischen Interface neben WAN auch 5 weitere VLANs anliegen?
Wenn ja, wäre das.. etwas ungewöhnlich.
-
Hi
Auf diesem WAN Interface sind 6 VLANS drauf
Alle WAN für mich
andreas
-
Ich denke der "WAN", "LAN", "OPTX" Ansatz kommt aus einer frühen und einfachen zeit in der es nur wenige Netzwerkkarten gab (2 Stück). "WAN" und "LAN" lieferten hier einfach definierte Stützpunkte für automatische Konfiguration wie es heute noch der Fall ist (insbesondere Regeln/NAT). Der Einsatz der "OPTX" netze ist durchweg verschieden.
Man könnte nun zwar sagen alle "OPTX" netze lassen sich manuell in WAN oder LAN Kategorien integrieren, aber da dahinter keine automatische Konfiguration sitzt, bringt die neue Funktionalität keine funktionalen Vorteile.
Nun müssten hier genau solche funktionalen Vorteile herausgearbeitet werden, damit so eine Änderung auch wirklich eingesetzt werden könnte und auch um zu wissen wie lange diese Umsetzung dauert, was dann die Idee auch wieder in Frage stellen könnte bei zu hohem Aufwand oder limitierter Scope.
Anders herum wäre es vielleicht nützlich die "WAN", "LAN", "OPTX" Kategorisierung komplett aufzugeben und den Nutzer entscheiden zu lassen welches Netzwerk welche Standard-Eigenschaften besitzt. Ein bisschen so wie Windows Netzwerke.... privat oder öffentlich. Da gibt es nun eher die Einteilung "public", "private(trusted)", "private(untrusted)".
Das würde vermeiden weitere Schlüsse zu ziehen über die Anbindung des Netzwerkes zu machen, größtenteils um NAT in die Entsprechende Richtung zu veranlassen. Und dann kommt die Frage was man damit noch alles automatisch konfigurieren kann was in die selbe Schublade passt. :)
-
Naja, im Alltag sieht es doch eher so aus:
1-2 WAN
1-x LAN
1-x OPT als DMZ oder Gäste-WLAN usw.
Da ist es schon sinnvoll, fertige Einstellungen anzubieten, die man dann "nur" noch nachbessern resp. anpassen muss. Eine DMZ soll z.B. in aller Regel zwar ins WAN, aber nicht ins LAN kommen, während LAN überall hin darf usw. Klar, das deckt nicht alle Fälle ab, so ca. 90%?
Ich finde da solche Grundregeln wie z.B. bei IPCop einfach praktisch und anschaulich:
http://www.ipcop.org/2.0.0/de/admin/html/firewall-traffic.html
Das geht soweit, daß ich diese Farben inzwischen auch in Netzwerkschränken auf die Verkabelung übertrage.. ^^
-
Eine flexiblere Benennung und vielleicht Markierung mit Farben oder Symbolen fände ich auch toll
Anpassbar ist ja quasi nur eine Beschreibung
Das eigentliche Interface bleibt kryptisch
Das ist ja auch in der Health Übersicht ein Problem
andreas