OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • VLANs und Firewall
« previous next »
  • Print
Pages: [1]

Author Topic: VLANs und Firewall  (Read 814 times)

spencer85

  • Newbie
  • *
  • Posts: 1
  • Karma: 0
    • View Profile
VLANs und Firewall
« on: December 21, 2023, 08:42:30 pm »
Hallo zusammen,

ich bin aktuell dabei mein Netzwerk etwas umzustrukturieren. Aktuell sind alle Geräte im LAN. Ich möchte aber VLANs nutzen Server, von Smarthome Geräten, IOT Geräten und Gästen im WLAN zu trennen.

Code: [Select]
WAN / Internet
            :
            : DSL 100Mbit
            :
      .-----+-----.
      |  DSL-Modem  | 
      '-----+-----'
            |
        WAN| PPPOE
            |
      .-----+------.   
      | OPNsense | (virtualisiert mit 2 NICs)
      '-----+------' 
            |
        LAN | 172.16.0.1/24
            |
      .-----+------.
      | LAN-Switch | Unifi Pro 24 Port
      '-----+------'
            |
      Proxmox-Server, Diskstation, Fritzbox für VOIP,  usw. alles Bereich 172.16.0.1/24 
Ich habe bereits die VLANs IOT(3), Gaeste (99), Smarthome(2) angelegt. Schnittstellen sind erstellt und DHCP ist eingerichtet, so dass wenn ich mich ins WLAN Gäste einlogge ich eine IP 172.16.99.100 oder höher bekomme.

Jetzt nach der langen Vorrede wenn ich als DNS z.B. 1.1.1.1 im Gaeste Netz verteilen lasse klappt es wie es soll. Die haben Zugriff auf alles außer den 172.16.0.0/12. Wenn ich aber einen meiner DNS-Server also 172.16.0.77 oder 78 nehme klappt es nicht obwohl ich folgende Regeln angelegt habe:

Gäste:

LAN:


Ich denke ein Profi greift sich an den Kopf aber ich stehe auf dem Schlauch warum ich keine DNS Requests an den DNS senden kann bzw. keine Antwort davon bekomme.

Vielen Dank im Voraus

Spencer
Logged

Monviech (Cedrik)

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1599
  • Karma: 176
    • View Profile
Re: VLANs und Firewall
« Reply #1 on: December 21, 2023, 09:28:52 pm »
Im LAN brauchst du keine Regel mit Quelle Gäste Netzwerk. Auf dem Interface, wo ein Paket ankommt (Direction In), bestimmt dessen Firewall Regel wo das Paket hindarf. Da es eine Stateful Firewall ist, wird der Rückweg immer erlaubt. Deshalb ist die "Direction Out" Regel überflüssig. Ansonsten schreibe mal alle Netze auf die du gemacht hast, und wie die VLANs genau konfiguriert sind, und wo der DNS Server steht (Opnsense oder wo anders).

Eine gute Wahl ist es Unbound auf der Opnsense zu nehmen, und dann von dort bedingte Weiterleitungen zu machen (zu anderen DNS Servern). Das ist sicher und man braucht nicht soviel Firewall Regeln. Alle Clients müssen dann nur auf "This Firewall" zugreifen (dafür reicht eine Regel in Floating in der alle Interfaces angewählt sind die DNS Anfragen auf die Opnsense machen dürfen mit udp 53 und This Firewall als Ziel) und per DHCP die Opnsense IP Adresse bekommen (die gleiche wie der Gateway in ihrem Netz.)

Hier ein Paketflow beispiel: https://forum.opnsense.org/index.php?topic=36326.0
« Last Edit: December 21, 2023, 09:38:18 pm by Monviech »
Logged
Hardware:
DEC740
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • VLANs und Firewall
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2