OPNsense Forum
International Forums => German - Deutsch => Topic started by: jumperid on May 01, 2017, 09:59:03 am
-
Hallo,
ich habe mich hier Angemeldet da ich nach Tagen nicht mehr weiterkomme.
Hoffe ihr könnt mir helfen.
Meine OPNSense läuft auf einen ESXi Server und funktioniert soweit, außer bei den Regeln komme ich nicht mehr weiter.
Ich habe insgesamt 8 echte Nic´s.
NIC1: WAN Hier bekomme ich von meiner Fritzbox DMZ
WAN ist als Statische IP Konfiguriert. Gateway ist natürlich die IP der Fritzbox.
WAN ( firewall ) 10.10.1.1
WAN Gateway 10.10.1.254
Fritzbox 10.10.1.254 ( DHCP AUS )
Subnetz 24
NIC2: Managed
LAN ( 192.168.116.1 / 24 )
DHCP AUS
Regel: Pass
Protokoll: IPv4*
Quelle: LAN Netzwerk
Port: *
Ziel: *
Port: *
Gateway: *
Beschreibung: Freigabe @all
Trage ich nun im meinem PC Manuell eine
Statische IP ( 192.168.116.10 / 24 )
Gateway 192.168.116.1
DNS 192.168.116.1
ein, so bekomme ich Internet sowie Zugang auch auf die anderen Netze.
Eben Managed Netzwerk.
NIC3: Kinder Netz
192.168.100.1 /24
DHCP EIN
So werden auch die IP Adressen schon bei den Kindern vergeben.
Stelle ich eine Regel auf wie bei Managed Netzwerk, so bekommen auch diese kompletten Zugang zum internet und auf das Lokale Netz.
Nic4 Gaerete Netz
10.10.1.1 / 24
DHCP AUS
Hier sind alle meine Geräte mit einer Statischen IP ausgestattet.
Beispiel: Drucker1
10.10.1.100 / 24
Gateway 10.10.1.1
DNS 10.10.1.1
Drucker2 10.10.1.101
usw.
Zum Problem:
Wie müsste meine Regel aussehen damit:
Kinder-Netz nur Drucker 2 Freigeben.
Kinder-Netz Internetfreigabe.
-
Hi,
wenn ich es richtig verstanden habe, dann müsste ja folgendes reichen:
Kinder-Netz nur Drucker 2 Freigeben.
PASS 192.168.100.0 /24 -> 10.10.1.101/32
Protocol: TCP
Port müsstest Du Dir mal raussuchen bzw, es testen, ich vermute es liegt auch am jeweiligen Druckerhersteller, ob die da ihre eigene Ports nutzen. Aber prinzipiell könnte Port 515 LPDP nötig sein für ein einzelnes Gerät. Ich würde das im Log der Firewall nachschauen, welche Ports er da braucht.
Kinder-Netz Internetfreigabe.
PASS 192.168.100.0 /24 -> any
Protocol: TCP/UDP
Ports: je nachdem was Du freigeben möchtest, also 80 (HTTP), 443 (HTTPS), evtl. 993 (IMAP) und 995 (POP3).
Die IP's, die Du da drin hast, sind aber nicht aus deinen Firewall Regeln, sondern aus den Konfigurationsmasken deines Rechners bzw. der Interfaces selbst, oder? Sonst wären z.B. Angaben wie
Trage ich nun im meinem PC Manuell eine
Statische IP ( 192.168.116.10 / 24 )
falsch, da ein Client ja die 32er Maske bekommt. Aber ich glaube, ich verstehe das nur gerade anders, im Kontext deines Beitrages.
Gruß
-
Hi,
wenn ich es richtig verstanden habe, dann müsste ja folgendes reichen:
Kinder-Netz nur Drucker 2 Freigeben.
PASS 192.168.100.0 /24 -> 10.10.1.101/32
Protocol: TCP
Das funktioniert, aber wieso 32 Subnetz ?
Ich habe alles in 24.
Kannst du mir das bitte näher erklären.
Gebe ich 10.10.1.101/24 ein, so bekommt das Kinder-Netz auf alle Drucker Zugang.
-
Hi,
die /24 ist ja dein Suffix deiner Subnetzmaske, also die Maske ausgeschrieben: 255.255.255.0.
Bedeutet, Du hast Platz für 254 Hosts im Subnetz (.0 ist das Netz selbst, .255 ist Broadcast, die beiden werden nicht vergeben, darum 256 -2 = 254 Hosts).
Wenn Du in den Firewall Regeln einen Client einträgst und kein Netz, dann musst Du das /32 Suffix nehmen, das wäre die Maske ausgeschrieben 255.255.255.255, also genau 1 Host.
-
Ahhh..........
Jetzt verstehe ich es :-)
Also wird demnach mit Regeln nur mit 32 Masken für einzelne IP´s gearbeitet.
Dachte immer das nur die ipadresse ausschlaggebend wäre.
-
Ja, genau.
Das Suffix der Subnetzmaske ist schon wichtig, sonst landen deine Datenpakete in einem anderen Subnetz, kommen also evtl. nie bei dem gewünschten Host an.
-
Danke für deine Hilfe @ne0h