OPNsense Forum

International Forums => German - Deutsch => Topic started by: freesbie on March 21, 2015, 09:21:39 am

Title: [GELÖST] Layer2FW Howto?
Post by: freesbie on March 21, 2015, 09:21:39 am

Hallo zusammen,

ich würde gerne OPNSense als Layer2-Firewall einsetzen und teste das in einer VirtualBox um es dann später produktiv einzusetzen. Doch irgendwie will das nicht so recht klappen und hoffe auf eure Hilfe.
Ich beschreib mal was ich bisher gemacht habe. Vielleicht liege ich ja auch mit der Vorgehensweise komplett falsch.

1.) Eine neue virtuelle Maschine aufgesetzt. FreeBSD 64, 8Gig HDD, 3 x Netzwerk davon 1x Netzwerkbrücke(WAN) und 2x (LAN, Opt1) internes Netz
2.) Von der ISO gebootet und installiert. Restart.
3.) WAN mittels DHCP (FritzBox) eine IP geben lassen um auf die WebConsole zu kommen.
4.) LAN und Opt1 die restlichen Schnittstellen zuweisen und Opt1 eine IP (10.0.0.1) zuweisen.
5.) FWRule für Opt1 erstellen. IPv4 alles erlauben.
6.) WAN die IP wieder wegnehmen.
7.) Bridge erstellen mit WAN + LAN erstellen.
8.) NAT ausschalten.
9.) Tunable: Bridge Filter auf 1 setzen
10.) FWrule für WAN und LAN erstellen. Alles erlaubt in alle Richtungen.

Ein Ping von einer anderen VM die ebenfalls im internet Netz hängt klappt nicht. Firewall Log zeigt mir auch nur die WAN  und Bridge Schnittstellen und keine LAN.
Was habe ich vergessen / übersehen?

Danke fürs lesen ;)

Title: Re: Layer2FW Howto?
Post by: ristridin on March 21, 2015, 08:38:51 pm

Hi,

erst einmal herzlichen Willkommen hier im Forum und bei OPNsense! :)
Aus einigen Punkten werde ich nicht ganz schlau, muss daher erst mal nachfragen:
Wie genau soll Dein endgültiges Setup aussehen?
Warum bridged Du WAN und LAN?
Nach einer Installation solltest Du die Schnittstellen direkt per Console zuweisen und eine IP hinterlegen, dies erspart Dir den Umweg über DHCP via Fritzbox.

Bis später,
Boris

Title: Re: Layer2FW Howto?
Post by: freesbie on March 21, 2015, 09:52:36 pm

Hi,

folgendes Testszenario ist gegeben:

[FirtzBox 192.168.1.1]----- |                                      |--[Server1 192.168.1.4]
           [PC1 192.168.1.2]--|----[en0 OPNsense en1]--|
           [PC2 192.168.1.3]--|                      |              |--[Server2 192.168.1.5]
                                                             [en2]
                                                                |----------[PC3]

WAN und LAN waren hierbei nur die Aliase für en0 und en1. en2 (Opt1) ist für das Management gedacht und ist nur über PC3 erreichbar. 
Im Grunde soll OPNsense mir als Switch dienen dessen Durchgang ich regeln kann.
Z.B. darf PC1 nur auf Dienste von Server1 zugreifen. Und PC2 nur auf Dienste von Server2. Aber alle dürfen sich Pingen.
Darum dachte ich eine Lösung mittels Bridge gefunden zu haben. Aber irgendwie will das nicht klappen.
So ist also der Plan. Die Zuweisung der IPAdressen mittels DHCP war im ersten Post nur meine Faulheit statische Adressen zu vergeben ;).
 

Title: Re: Layer2FW Howto?
Post by: chol on March 22, 2015, 02:00:19 am

Schau mal  hier (https://forum.pfsense.org/index.php/topic,48947.msg269592.html#msg269592) - und viel Erfolg!

Title: Re: Layer2FW Howto?
Post by: freesbie on March 22, 2015, 08:53:04 pm

So, hab es nun danke dem Link hinbekommen. em0 und em1 sind Teil von Bridge0. Opt1 hat einzig eine IP und dient rein als Management. Der Datenfluss klappt. Eine Rule auf Bridge0 erlaubt ipv4 any to any.

Mir ist nur noch nicht ganz klar wo ich spezielle Rules platziere.
Zum Beispiel darf kein Client auf der em0-Seite Geräte auf der em1-Seite anpingen. Anders herum jedoch schon.
 :o

Danke für eure Hilfe!