Kein Internet im Netz bei Angabe des WAN Netz als Ziel

[LHBL2003]

Hallo,

irgendwie stehe ich auf dem Schlauch. Aber müsste ich nicht Internet bekommen, wenn ich als Ziel mein WAN Netz (Office Netz) angebe? (Siehe Bild)

Hinweis: Ich nutze die FW als Back FW, daher heißt es bei mir (Office Netz)

Wenn ich als Quelle und Ziel ein Stern angebe, dann kann ich Google Pingen.
Wenn ich als Quelle die Rechner IP Angebe von dem ich aus Pinge und als Ziel Stern lasse, dann kann ich auch Google Pingen.
Sobald ich als Ziel das Office Netz angebe, dann kann ich Google nicht pingen.

Jemand eine Idee warum das so ist?

Danke für die Tips

[Patrick M. Hausen]

Steht Google in deinem Office-Netz? 

[LHBL2003]

Naja indirekt schon. Wenn bei mir ist der Aufbau wie folgt

Google --> Internet --> Front FW --> Office Netz -->        (WAN) <-> Back FW OpnSense <-> (Entwicklungsnetz X)

Mein Office Netz hat die 10.10.10.x und hat das Gateway 10.10.10.6

Das einzige was ich mir vorstellen kann, das er nur 10.10.10. sieht und sich denkt das 142.250.185.227 dort nicht enthalten ist. Aber es ist ja Nen Gateway zum Internet angegeben.

Und wie gesagt bei Ziel = * geht es.

[Patrick M. Hausen]

Natürlich. "Ziel = Office Netz" heißt "nur die Adressen in genau dem Office-Netz sind als Ziel erlaubt". Was soll das denn sonst heißen? Das "Internet" ist immer "*". Google hat keine Adresse aus 10.10.10.0/24 ...

[LHBL2003]

Gut, also bestätigt sich mit deiner Aussage mein Verdacht.

Aber wie bekommt man es nun hin, das z.B. das Entwicklungsnetz 10 zwar ins Internet kommt, aber nicht mit den anderen Netzen wie Entwicklungsnetz 1 - 50 kommunizieren kann?

Mir fehlt nun dafür ein Ansatz, wie man solch ein Konzept umsetzt, wenn man nicht sein WAN Netz dafür angeben kann.

Mir fehlt halt als Ziel Auswahl so etwas wie WAN.

Die einzige Lösung die mir jetzt einfällt ist.

Eintrag 1: Block Entwicklungsnetz 1
Eintrag 2: Block Entwicklungsnetz 2
Eintrag 3: Block Entwicklungsnetz 3
Eintrag 4: Block Entwicklungsnetz ...

und das müsste ich dann bei jeden eintragen um sich gegenseitig zu verbieten und danach

Eintrag x: Erlaube *

Aber das wird ja super unübersichtlich.

Danke für dein Tipp

[Patrick M. Hausen]

Regeln werden von oben nach unten abgearbeitet, also:

Alle Entwicklungsnetze als Aliase anlegen, diese in einer Gruppe zusammenfassen.

In Entwicklungsnetz X:

- erlaube Entwicklungsnetz X
- sperre alle Entwicklungsnetze
- erlaube "*"

Die letzten beiden Regeln lassen sich auch zusammenfassen mit dem "invert" Schalter:

- erlaube nicht (alle Entwicklungsnetze)

Die erste Regel ist nötig, um die Firewall in Netz X zu erreichen, evtl. Alias-Adressen etc. pp.

Regeln wie die Sidewinder "nur über dieses Interface raus" kann OPNsense nicht. "WAN Net" ist nicht die Schnittstelle sondern eine Liste von Netzwerken, also IP-Adressen. Es wird immer nur auf Adressen gefiltert.

[LHBL2003]

Hallo PMHAUSEN,

Danke für den Lösungswege und die Erklärung.
Dann probiere ich das mal die Tage aus, klingt zumindest plausibel.
Schade das es dir Funktion nicht als solches gibt.
Aber wenn der von dir beschriebene weg funktioniert, dann ist dieser dennoch Gold wert