Messages

Danke für deine Hilfe und vor allem Geduld. Ich muss zugeben, ich blicke hier nicht durch und die Doku die man sonst so findet, ist nicht gerade hilfreich.

Die Mask in der Pipe ist nun auf "none" eingestellt. Meintest du das?

Screenhots:
In den Queue nichts eingestellt außer Weight, Mask ist none.

In der zweiten Rule habe ich DSCP entfernt. Sonst ist alles wie oben.

Hi,

vielen Dank für deine Antwort. Habe es entsprechend angepasst und hoffe, dass ich nichts vergessen habe :-)

Hallo,

ich habe auf beiden Seiten 1Gbit (WAN/LAN) und möchte Voice mit DSCP EF 46 priorisieren (in beide Richtungen). Habe eine Pipe und eine Regel erstellt. Ist das soweit korrekt? Kann man das irgendwie überprüfen?

merci

Hallo,

ich habe den FTP-Proxy eingerichtet, wie es hier beschrieben wird: https://forum.opnsense.org/index.php?topic=3868.0

Konstellation siehe Anhang.

Mein Problem ist, dass ich damit nicht ins LAN2 komme, da FW2 nur Adressen aus LAN1 zulässt und der FTP-Proxy die Source-IP verändert. Auf FW2 habe ich leider keinen Einfluss. Kann man den FTP-Proxy ohne NAT betreiben?

Danke und Gruß

https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-ri1102d.html

Die Interface-Konfiguration kann ich erst am Montag posten. Habe aber 3 LAN Interfaces, 2 "WAN" Interfaces (Uplink zur nächsten Firewall) und ein Gast-LAN-Interface in eigene Interface-Gruppen gepackt. Deswegen meine Frage, ob man auch Interface-Gruppen als Source bzw. Destination in den Regeln benutzen kann.

Hi,

- 2 logische Netze (LAN und Gast-LAN) sollen über die opnsense ins Internet
- diese Netze dürfen sich gegenseitig nicht sehen
- auf der Switch-Ebene ist das durch tagged VLANs sichergestellt
- die Firewall sieht diese VLANs jedoch nicht, weil sie untagged ankommen und deswegen die 2 physischen Ports (Interfaces). Jedes Netz soll einzeln per Stecker ziehen lahm gelegt werden können. Es ist an dieser Stelle auch nicht notwendig, mit VLANs auf der Firewall zu arbeiten, meiner Meinung nach.

Laut eurer Empfehlung ist dies alles besser über Port (Interface) Regeln zu realisieren.

Hi, danke für eure Antworten.

Der Aufbau ist ganz banal. Ihr meint also, ich sollte lieber Port-Regeln benutzen? Kann man hier auch mit Port-Groups arbeiten? (hab die Firewall grad nicht vor mir). Hm, das wird etwas Fleißarbeit  :'(

Moin,

ich habe eine dämliche Frage:

Ich habe zwei logische und voneinander zu isolierende Netze A und B*. Beide sollen ins Internet und die Policies sind "floating". Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen?

* Die beiden Netze sind in eigenen VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.