OPNsense Forum
International Forums => German - Deutsch => Topic started by: NilsS on September 14, 2017, 09:01:10 am
-
Moin zusammen,
erstmal besten Dank für den tollen Fork ;-)
Ich habe gerade vor die Firewall für mein Heimnetzwerk neu zu planen.
Es gibt recht viele interne Netze, die ich voneinander trennen möchte, die aber nicht gerouted werden sollen da es sonst mit IGMP und diversen anderen Dingen zu Problemen kommen kann.
Ich habe daher die unterschiedlichen Netze auf unterschiedliche Netzwerkkarten verteilt (derzeit zum Test in der VM später über VLANs) und auf eine Bridge gelegt. Die Bridge hat dann als einziges die IP bekommen und den DHCP Server.
NAT ist auf manuel,
net.link.bridge.pfil_bridge und net.link.bridge.pfil_member stehen beide auf 1
Da ich ja den Filter zwischen den Netzen auf den Memberinterfaces mache und alles was ins Internet geht auf dem Bridge Interface machen muss.
Das funktioniert soweit auch alles ganz prima.
Jetzt aber das Problem.
Ich kann Pakete der Memberinterface nicht blockieren/taggen was auch immer, wenn sie ins Internet gehen sollen.
Ich geb mal ein kurzes Beispiel
[SERVER] ->
[USER] -> [BRIDGE1] -> [WAN]
[KINDER] ->
Ich möchte jetzt gerne den Zugriff der Kinder ausgehend begrenzen, aber alle filter auf dem Interface Kinder schlagen nicht an. Wie komme ich da ran?
Das über IPs zu lösen macht ja keinen Sinn, dann brauche ich auch kein extra VLAN dafür
wäre das eine pass out Regel?
-
Hi,
ich frag mich grad, ob das mit der Bridge Sinn macht...?
Brauchst Du die denn dafür? - weil genau deshalb hast Du jetzt ja das Problem , dass Du für die einzelnen Interfaces keine Filter setzen kannst.
Cheers, Stephan
-
Sonst kann ich ja nicht zwischen den Interfaces filtern und das gleiche IP Subnetz verwenden.
Wenn ich unterschiedliche Netze nehme funktionieren Broadcasts und auch Multicast nicht so ohne weiteres.
Das war jetzt auch nur die vereinfachte Form, es sind nachher definitiv noch mehr Netze, bei denen sowohl der ausgehende als auch der eingehende Traffic gefiltert werden soll.
Multicast wird für KNX genutzt.
Broadcast wären zwischen Kinder und Gastwlan nötig damit die Kinder mit Freunden Minecraft o.ä. spielen können.
Gast hat kein Zugriff auf Serverresourcen (upnp/visu/cifs ....)
-
Verstehe trotzdem die Problematik nicht, dafür unbedingt eine Bridge zu nutzen. Multicast für KNX ist ja schön und gut, aber dann packt man den ganzen Automatisierungskram in ein eigenes VLAN wo er hingehört und fein. Dafür sind VLANs da ;) Und alles andere kommt ebenso in eiegene VLANs und dann regelt man das mit entsprechenden Filtersätzen. Genau so wie du beschreibst (Zugriff zwischen Kinder und Gast etc.)
Dafür das gleiche Subnetz zu nutzen ist eher unpraktischer als das einmal richtig zu organisieren.
-
Naja es gibt da halt schon sehr vieles was sich überschneidet.
KNX Komponenten sollen mit dem Internet nix zu tun haben. Visualisierungs-Server aber sowohl ein- als auch ausgehend.
Der Laptop braucht zum programmieren des KNX auch zugriff aber greift auch auf Server upp/cifs... zu
Die Kinder spielen auf den Handys mit ihren Freunden Minecraft etc. (können sich nur im gleichen LAN sehen)
Ich hab mir da schon Gedanken gemacht - das ist gerade das RICHTIG machen.
Das andere hab ich vorher gehabt und musste dann da ewig Kompromisse machen. Das will ich nicht mehr.
Und intern (also das filtern im gleichen VLAN) funktioniert ja auch wunderbar, ebenso das filtern von allem Traffic (oder gerne auch IP basiert) von ALLEN Interfaces auf der Bridge ins Internet funktioniert auch (sogar mit GW Groups und AirVPN + transparent Proxy) also eigentlich alles ...
Ich kann halt nur nicht Interface spezifisch taggen oder filtern.
Auch die Floatingrules greifen nicht für Traffic der von einem Memberif über das Bridgeinterface gehen
von Memberif zu Memberif kann ich alle Pakete loggen/taggen/filtern
Nur wenn ein Paket (kommend von Memberif / müsste doch eigentlich mit Floatingrule any greifen) über das Bridgeif ins Internet geht, passiert nix. Das Paket scheint weder eingehend noch ausgehend auf dem Memberif
-
net.link.bridge.pfil_local_phys = 1
scheint die Lösung zu sein.
Werde berichten wenn Umstellung erfolgreich