VLANs und Firewall

Started by spencer85, December 21, 2023, 08:42:30 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 21, 2023, 08:42:30 PM
Hallo zusammen,

ich bin aktuell dabei mein Netzwerk etwas umzustrukturieren. Aktuell sind alle Geräte im LAN. Ich möchte aber VLANs nutzen Server, von Smarthome Geräten, IOT Geräten und Gästen im WLAN zu trennen.

Code Select
WAN / Internet
            :
            : DSL 100Mbit
            :
      .-----+-----.
      |  DSL-Modem  | 
      '-----+-----'
            |
        WAN| PPPOE
            |
      .-----+------.   
      | OPNsense | (virtualisiert mit 2 NICs)
      '-----+------' 
            |
        LAN | 172.16.0.1/24
            |
      .-----+------.
      | LAN-Switch | Unifi Pro 24 Port
      '-----+------'
            |
      Proxmox-Server, Diskstation, Fritzbox für VOIP,  usw. alles Bereich 172.16.0.1/24 

Ich habe bereits die VLANs IOT(3), Gaeste (99), Smarthome(2) angelegt. Schnittstellen sind erstellt und DHCP ist eingerichtet, so dass wenn ich mich ins WLAN Gäste einlogge ich eine IP 172.16.99.100 oder höher bekomme.

Jetzt nach der langen Vorrede wenn ich als DNS z.B. 1.1.1.1 im Gaeste Netz verteilen lasse klappt es wie es soll. Die haben Zugriff auf alles außer den 172.16.0.0/12. Wenn ich aber einen meiner DNS-Server also 172.16.0.77 oder 78 nehme klappt es nicht obwohl ich folgende Regeln angelegt habe:

Gäste:

LAN:


Ich denke ein Profi greift sich an den Kopf aber ich stehe auf dem Schlauch warum ich keine DNS Requests an den DNS senden kann bzw. keine Antwort davon bekomme.

Vielen Dank im Voraus

Spencer
December 21, 2023, 09:28:52 PM #1 Last Edit: December 21, 2023, 09:38:18 PM by Monviech
Im LAN brauchst du keine Regel mit Quelle Gäste Netzwerk. Auf dem Interface, wo ein Paket ankommt (Direction In), bestimmt dessen Firewall Regel wo das Paket hindarf. Da es eine Stateful Firewall ist, wird der Rückweg immer erlaubt. Deshalb ist die "Direction Out" Regel überflüssig. Ansonsten schreibe mal alle Netze auf die du gemacht hast, und wie die VLANs genau konfiguriert sind, und wo der DNS Server steht (Opnsense oder wo anders).

Eine gute Wahl ist es Unbound auf der Opnsense zu nehmen, und dann von dort bedingte Weiterleitungen zu machen (zu anderen DNS Servern). Das ist sicher und man braucht nicht soviel Firewall Regeln. Alle Clients müssen dann nur auf "This Firewall" zugreifen (dafür reicht eine Regel in Floating in der alle Interfaces angewählt sind die DNS Anfragen auf die Opnsense machen dürfen mit udp 53 und This Firewall als Ziel) und per DHCP die Opnsense IP Adresse bekommen (die gleiche wie der Gateway in ihrem Netz.)

Hier ein Paketflow beispiel: https://forum.opnsense.org/index.php?topic=36326.0
Hardware:
DEC740
Print
Go Up Pages1
User actions