OPNsense Forum
International Forums => German - Deutsch => Topic started by: ziegler on November 27, 2021, 06:46:21 pm
-
Hallo,
ich habe ein APU Board mit 3 Nics.
WAN --> DHCP (Vodafon Station im Bridge Mode)
LAN --> 192.168.100.2 --> 1 Client PC mit statischer IP (192.168.100.10)
WLAN --> 192.168.200.2 --> DHCP Bereich (192.168.200.10 bis 192.168.200.20) --> der angeschlossene AP hat 192.168.200.3
So klappt das auch alles. Die WLAN Geräte bekommen die IP aus dem Bereich 192.168.200.10 bis 192.168.200.20.
Jetzt kann ich aber vom LAN aufs WLAN zugreifen und umgekehrt.
Ich möchte gerne den Zugriff vom WLAN auf das LAN blockieren.
In diesem Thread wurde genau das angesprochen, aber leider die Lösung nicht genannt.
https://forum.opnsense.org/index.php?topic=1561.0 (https://forum.opnsense.org/index.php?topic=1561.0)
Kann mir hjemand sagen wie ich das umsetzen kann?
-
du musst entsprechende firewall regel erstellen.
(im forum sind unzählige ähnliche beispiele, schon mal mit der forum suche probiert?)
PS: die original doku ist auch noch da:
https://docs.opnsense.org/firewall.html
Gesendet von iPad mit Tapatalk Pro
-
Natürlich habe ich das schon probiert und mir war auch klar das es über eine FW-Regel zu lösen ist.
Vielleicht stelle ich mich da einfach zu "dämlich" an.
Ich gehe auf Firewall --> Regeln --> LAN für eine neue Regel.
Aber ich irgendwie komme ich da durcheinander.
Als Beispiel, ich will jetzt verbiten das vom WLAN auf das LAN zugegriffen wird.
Nehme ich das WLAN oder LAN als FW-Regel?
LAN, oder?
Also LAN neue Regel --> Aktion Ablehnen
Schnittstelle "Lan"
Richtung "in"
TCP/IP "IPv4"
Protokoll "any"
Quelle "WLAN Netzwerk"
Ziel "LAN Netzwerk"
Aber es klappt leider nicht. Ich kann immer noch von LAN (192.168.100.10 auf 192.168.200.10) pingen
Habe ich da einen Denkfehler?
-
So, habe diese Regeln unter WLAN und LAN eingestellt:
So klappt es, ich kann jedenfalls kein ping mehr vom WLAN aufs LAN oder umgekehrt machen.
Aber mal ne ganz dumme Frage. Wenn ich einen Ping am laufen habe und ich aktiviere die Regel, dann müsste doch der Ping unterbrochen werden, oder? Das passiert nämlich nicht, der ping antwortet weiter. Nur ein neuer Ping aufs gleiche Ziel funktioniert dann nicht mehr. Ist das so richtig?
-
OPNsense ist eine stateful Firewall. Eine Verbindung, die schon läuft, hat einen Status und der bleibt erhalten solange die Verbindung läuft. Das gilt mit timeouts dann auch für eigentlich verbindungslose Dinge wie Ping oder UDP.
-
Das war mein Fehler.... habe die FW-Regel bei laufendem ping getestet und bin dann daran verzweifelt.
Der ping ging immer durch, egal was ich eingestellt hatte. Aber jetzt weiss ich ja woran es lag.
Dann hat es auch geklappt :-)
Aber bei einer anderen Sache komme ich nicht weiter.
Ich habe ein Client im WLAN der "nur" ins Internet funken soll. Es ist ein Saugroboter.
Der soll keinen Zugriff auf die anderen Clients im WLAN haben. LAN habe ich ja schon unterbunden.
Ich bekomme es aber nicht hin das in der FW einzustellen.
Alle Clients im WLAN sind per MAC Filterung am DHCP angemeldet. Ich habe einen Alias "Client" für diese Clients angelegt,
den Saugroboter ausgeschlossen.
Ich muss das doch auf dem WLAN Interface einstellen das der Zugriff auf den Alias "Client" nicht erlaubt ist, oder?
-
Innerhalb eines WLAN geht der Verkehr nicht durch die Firewall, also kann die da auch nichts filtern. Bei manchen Accesspoints kann man einstellen, dass Clients untereinander nicht miteinander reden dürfen. Manche können auch mehrere SSIDs und ein VLAN pro SSID - damit könnte man so ein IoT-Dingens in einen eigenen Bereich packen.
Gruß
Patrick
-
stimmt, die Clients sind ja am AccessPoint angemeldet.
Der DHCP auf der opnsense vergibt "nur" die IPs und macht die MAC-Filterung.
Ich könnte also nur in der opnsense filtern das ein Client nicht ins Internet darf oder nicht auf das LAN zugreifen darf.
Ich habe "nur" so einen günstigen ASUS RP-AC51, der kann das glaube ich nicht, also einstellen das Clients nicht untereinander reden dürfen. Muss ich mir aber mal anschauen.
Wenn ich aber noch einen weiteren AP z.B. direkt in die opnesens einbauen würde, habe so ein APu Board, dann könnte ich
dem Saugroboter theoretisch nur den Zugriff aus WAN bzw. Internet erlauben? Habe nämlich noch ne 2.4GHZ WLAN Karte von Intel über.
-
Das müsste gehen. Der WLAN-Support in FreeBSD ist generell nicht so prall, aber für den einen Staubsauger würde ich es auch mit der vorhandenen Karte probieren. Mehr als schief gehen kann es ja nicht und dann kannst Du immer noch einen AP kaufen. Oder einen gebrauchten irgendwo schießen. Ich find die Apple-Teile ganz nett, im Ernst jetzt. Airport Express würde für den Staubsauger ja reichen ...
-
sorry für OT, aber wenn mir vor 10 jahren einer gesagt hätte, sein staubsauger braucht internet, nunja...
-
Mein 30 € Access Point von Asus hat sogar die Funktion "Client Isolation". Damit kann ich den Staubsauger von allen Clients trennen. Jetzt sind alle WLAN Clients autark.
Noch mal eine Verständnisfrage: Der AccessPoint hat die IP 192.168.200.3
In der opnsense habe ich eingestellt das ich vom LAN-Client (192.168.100.10) auf den Access-Point zugreifen kann.
Ist es auch über eine Regel möglich den Zugriff für die WLAN-Clients auf diesen AccessPoint zu verbieten oder geht das nicht weil das über den AccessPoint "gemanaget" wird?
@chemlud
Hätte auch nie gedacht das ich sowas mal brauchen werde. Aber der saugt wirklich gut. Einziger Nachteil ist er funkt dazu in eine Chinacloud. Deshalb ollte ich die Trennung im Netz.