OPNsense Forum

International Forums => German - Deutsch => Topic started by: karl047 on June 27, 2018, 10:29:46 pm

Title: Security über ein Bridge Network
Post by: karl047 on June 27, 2018, 10:29:46 pm

Hallo Forum,

es ist eigentlich eine Idee, die ich schon lange hatte, und über Monate versuche ich eine Lösung zu finden, aber leider keine Chance. Ich hoffe dass ich meine Idee gut erklären kann, vlt kann jemand mir dabei helfen.

3 Personen zu Hause (jede hat ein Handy) mit mehreren anderen Geräten (Fernseher, AV Receiver, Musikanlage, NAS, SAT Receiver ...), alle sollen mit dem gleichen Netzwerk verbunden sein, damit alle Apps anerkannt werden und die Kommunikation miteinander klappen wird. Über ein Bridge Network mit 4 VLAN klappt alles tatsächlich: jede Person hat sein eigenes VLAN (1,2,3) und die anderen Geräte ein VLAN (4).

Ich kann die Traffic gut kontrollieren von jeder Person zu irgendwelchem Gerät, was jede Person von uns erreichen darf und was nicht, über welches Port mit dem NAS kommunizieren darf usw., fast wie ein eigenes Firewall auf jedes Gerät installiert ist. (Ich habe die Default Configuration nicht geändert: Packet Filtering over Member Interface 1, Packet Filtering over Bridge Interface 0).Bestimmt habe ich alles auf Member Interfaces mit IPv4 konfiguriert (bessere Kontrolle für die IP Adresse), und über das Bridge Interface dürfen alle Geräte über IPv4+IPv6 in die Internet.

Meine Frage ist: wie kann ich die Traffic zur Internet von VLAN 3 blocken? Egal was für IP Adresse ist! Nur VLAN 3!

Im Bridge Interface kann man was sperren nur über die IP Adresse, aber das Member Interface nicht (Member Interface hat sowieso keine IP Adresse, alles wurde mit NONE eingestellt).
Wenn es nur um IPv4 geht, wird es total einfach: feste IP Adresse über DHCP Server + Enable Static ARP entries, aber das Problem ist: es gibt noch IPv6 Adresse, die sich immer wieder ändert!.

Ich hoffe dass ich das Problem gut erklärt habe, und ich hoffe wirklich dass ich Hilfe von euch bekomme.

Title: Re: Security über ein Bridge Network
Post by: karl047 on July 02, 2018, 12:28:44 pm

ich kann meine Frage zusammenfassen:
kann man nicht über Firewall Rules in einem Bridge Interface das Packet, das mit VLAN 3 getaggt ist, blocken oder irgendwelche Regeln konfigurieren?

Title: Re: Security über ein Bridge Network
Post by: theq86 on July 02, 2018, 02:51:42 pm

Man kann dein Netzwerksetup aus deinen Beschreibungen nur erahnen.

- Wenn ich das richtig verstehe hast du 4 VLANs.
- diese VLANs sind gebridged und ergeben das Netzwerk das die Endgeräte gemeinsam nutzen

In diesem Falle sind soweit ich das überblicken kann die VLANs zwecklos. VLANs verwendet man zur Trennung von Netzwerken, nicht aber um diese Trennung durch eine Bridge dann wieder zunichte zu machen.

Zumal auf der Bridge alle Geräte dann ohnehin im selben IP Adressbereich und der selben Broadcast-Domäne sind.

Lassen wir das außen vor, so ist zu sagen, dass die VLAN-ID ein Layer-2 Merkmal ist und die Firewall der OPNsense nicht aufgrund von L2-Informationen arbeitet. So ist zum Beispiel auch keine Regel möglich aufgrund einer MAC-Adresse.

Das bedeutet, dass es so wie du es dir vorstellst nicht geht. Du musst deine Firewallregeln so oder so auf Grundlage von IP Adressen oder IP Bereichen aufbauen.