"
Hm, hätte ich selbst drauf kommen können, nein müssen. Danke!
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#2
German - Deutsch / Re: Einzelnen Rechner einschränken
November 14, 2025, 02:55:25 PM
Ja, das Netz ist "flach". Habe ich so gemacht.
Jetzt müsste es ja möglich sein, eine Namensauflösung über die DNS-Server der Fakultät zu machen, aber die werden scheinbar gar nicht angefragt, nur die Firewall selbst und die weiß nix.
Irgendetwas fehlt da noch.
Jetzt müsste es ja möglich sein, eine Namensauflösung über die DNS-Server der Fakultät zu machen, aber die werden scheinbar gar nicht angefragt, nur die Firewall selbst und die weiß nix.
Irgendetwas fehlt da noch.
#3
German - Deutsch / Re: Einzelnen Rechner einschränken
November 14, 2025, 01:58:31 PM
Lassen wir das mit dem Switch bzw. den anderen Ports beiseite.
Ich habe jetzt den LAN-Eingang definiert, IP-Bereich 192.168.1.0/24; der Rechner bezieht sauber eine IP aus diesem Bereich. WAN-Ausgang ist auch definiert, hier wird per DHCP eine Adresse vom Fakultäts-DHCP-Server bezogen. Der Rechner darf zunächst einmal alles. Im Prinzip darf er eigentlich auch ins Fakultätsnetz, aber nicht darüber hinaus; das Fakultäts-Gateway nicht passieren. Wie bilde ich das am besten mit Regeln ab.
Kann ich mir auf dem WAN Zugriff auf Opnsense zwecks Verwaltung von meinem PC aus verschaffen?
Danke für Eure Anregungen.
Ich habe jetzt den LAN-Eingang definiert, IP-Bereich 192.168.1.0/24; der Rechner bezieht sauber eine IP aus diesem Bereich. WAN-Ausgang ist auch definiert, hier wird per DHCP eine Adresse vom Fakultäts-DHCP-Server bezogen. Der Rechner darf zunächst einmal alles. Im Prinzip darf er eigentlich auch ins Fakultätsnetz, aber nicht darüber hinaus; das Fakultäts-Gateway nicht passieren. Wie bilde ich das am besten mit Regeln ab.
Kann ich mir auf dem WAN Zugriff auf Opnsense zwecks Verwaltung von meinem PC aus verschaffen?
Danke für Eure Anregungen.
#4
German - Deutsch / Re: Einzelnen Rechner einschränken
November 13, 2025, 04:49:29 PM
Na ja, in dem Raum in dem der Rechner steht, gibt es nur einen einzigen LAN-Anschluss. Man wollte so zusätzliche Anschlüsse gewinnen, ohne extra Switch.
#5
German - Deutsch / Re: Einzelnen Rechner einschränken
November 13, 2025, 04:30:47 PM
Ja, was ich als lokales Netz bezeichne, ist das Netzwerk einer Fakultät. Innerhalb der Hochschule ist dieses Netz schon ein VLAN und der Weg heraus geht über einen zentralen Router. Die OPNsense soll nur diesen einen Rechner in seinem Möglichkeiten einschränken, also nur Zugriffe auf bestimmte Ziele im LAN erlauben und keinen Internetzugang.. Der Rechner hängt an Port 1 , das LAN an Port 6. Rechner die evtl. freien Zugang ins LAN haben dürfen, sollen an die Ports 2-5.
#6
German - Deutsch / Re: Einzelnen Rechner einschränken
November 13, 2025, 04:21:54 PM
Ja, das ist die Frage.
Um es nochmal zu verdeutlichen. Bisher hing der Rechner mit Kabel ganz normal im lokalen Netz. Dieses Kabel stecke ich jetzt meinetwegen in LANPort 1 der OPNsense und dafür diese Über LANPort 6 ins lokale Netz. Zwichen den beiden Ports braucht es jetzt Regeln (logisch) aber ich denke auch NAT, da der Rechner ja aus einem anderen Netzwerk kommt und über die OPNsense meinetwegen DNS-Anfragen an die DC im lokalen Netz machen muss.
Um es nochmal zu verdeutlichen. Bisher hing der Rechner mit Kabel ganz normal im lokalen Netz. Dieses Kabel stecke ich jetzt meinetwegen in LANPort 1 der OPNsense und dafür diese Über LANPort 6 ins lokale Netz. Zwichen den beiden Ports braucht es jetzt Regeln (logisch) aber ich denke auch NAT, da der Rechner ja aus einem anderen Netzwerk kommt und über die OPNsense meinetwegen DNS-Anfragen an die DC im lokalen Netz machen muss.
#7
German - Deutsch / Re: Einzelnen Rechner einschränken
November 13, 2025, 04:07:20 PM
OK, ich gebe dem Rechner eine IP aus einem anderen Netzwerk. Dann müsste ich Regeln definieren welche Ziele er erreichen darf und über welche Ports. Also bspw. definiere ich einen Alias für die DC und eine Regel auf dem LAN-Port an dem der Rechner hängt. Dann bräuchte es aber auch ein NAT outgoing oder sehe ich das falsch?
#8
German - Deutsch / Einzelnen Rechner einschränken
November 13, 2025, 03:06:46 PM
Hallo zusammen.
Ich habe folgende Aufgabenstellung (umzusetzen auf einer LES Network 6L von Thomas Krenn):
Ein einzelner Rechner soll in seinen Möglichkeiten beschränkt werden. Er soll im lokalen Netz (keine VLANs) nur Zugriff auf die Domänencontroller (LDAP, DNS), dem lokalen WSUS (HTTPS) und ein NAS (SMB) bekommen. Der Rechner wird bspw. an Port 1 angeschlossen. Von Port 6 aus geht es ins lokale Netz (WAN).
An Port 3 bspw. soll ein Notebook angeschlossen werden, das vollen Zugriff ins restliche Netz (über WAN) bekommen soll, ohne Einschränkung. Hier soll quasi ein weiterer LAN-Port verfügbar gemacht werden.
Wie gehe ich am besten vor? Ist ja ähnlich einer DMZ-Lösung, nur dass ich den Zugriff in die DMZ nicht beschränken möchte, sondern der Weg aus ihr heraus.
Danke im Voraus
Andreas
Ich habe folgende Aufgabenstellung (umzusetzen auf einer LES Network 6L von Thomas Krenn):
Ein einzelner Rechner soll in seinen Möglichkeiten beschränkt werden. Er soll im lokalen Netz (keine VLANs) nur Zugriff auf die Domänencontroller (LDAP, DNS), dem lokalen WSUS (HTTPS) und ein NAS (SMB) bekommen. Der Rechner wird bspw. an Port 1 angeschlossen. Von Port 6 aus geht es ins lokale Netz (WAN).
An Port 3 bspw. soll ein Notebook angeschlossen werden, das vollen Zugriff ins restliche Netz (über WAN) bekommen soll, ohne Einschränkung. Hier soll quasi ein weiterer LAN-Port verfügbar gemacht werden.
Wie gehe ich am besten vor? Ist ja ähnlich einer DMZ-Lösung, nur dass ich den Zugriff in die DMZ nicht beschränken möchte, sondern der Weg aus ihr heraus.
Danke im Voraus
Andreas
Pages1
