Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Probleme mit Rules und VLan auf LAGG
« previous
next »
Print
Pages: [
1
]
Author
Topic: Probleme mit Rules und VLan auf LAGG (Read 1531 times)
WeissNicht
Newbie
Posts: 6
Karma: 0
Probleme mit Rules und VLan auf LAGG
«
on:
April 03, 2020, 12:07:18 pm »
Hey Leute,
ich denke ich habe irgendwo ein Verständnis-Problem.
Folgender Aufbau:
OPNSense mit einem LAGG (2NIC) an einem Zyxel 24-Port-Switch (GS1900-24).
Auf dem LAGG sind mehrere VLan.
Zusätzlich hat die OPNSense noch einen NIC für Internet (Name "Internet"), ohne VLAn.
Ich habe zu Hause ein paar IOT-Geräte, bei denen ich nicht möchte, dass diese in meinem Netzwerk irgendwelchen Unsinn anstellen...sie sollen den Rest des Netzwerks gar nicht erst sehen. Daher habe ich diese Geräte im VLan99
Habe ich auf VLan99 nun eine Rule "Allow to Any" läuft alles, wie es soll. Baue ich nun eine Rule zusammen:
Allow Source VLan99 to "Internet Network" und nehme die "Allow to Any" raus, hat das IOT-Netzwerk keine Verbindung mehr nach draussen. Im Log sehe ich dann, dass immer die Default-Deny-Rule zum Tragen kommt.
Die "Allow to Internet" wird nicht ausgewertet....
VLan99 soll ausschliesslich mit der Internet-Schnittstelle komunizieren dürfen.
Wo habe ich meinen Denkfehler?
Da es mit der Allow-to-Any Rule funktioniert, vermute ich den Fehler in der Rule, für Kommunikation nur nach aussen.
«
Last Edit: April 03, 2020, 12:10:07 pm by WeissNicht
»
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: Probleme mit Rules und VLan auf LAGG
«
Reply #1 on:
April 03, 2020, 01:49:12 pm »
ich habe es so das mein gäste lan/wlan nicht auf mein restliches netzwerk soll/darf aber ins internet.
hier mal meine regel:
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: Probleme mit Rules und VLan auf LAGG
«
Reply #2 on:
April 03, 2020, 03:01:57 pm »
Hallo,
ich baue mir meist einen RFC1918 Alias und eine Block Regel dafür.
Danach baue ich dann eine Allow to ANY Regel.
Somit läuft alles was gegen RFC1918 Regeln kommunizieren möchte gegen die Blockregel und von internem Netz zu allen verbleibenden offiziellen Bereichen (Internet) darf der Traffic fließen.
VG,
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
WeissNicht
Newbie
Posts: 6
Karma: 0
Re: Probleme mit Rules und VLan auf LAGG
«
Reply #3 on:
April 07, 2020, 11:33:32 am »
Ich konnte es zwar nun lösen, aber meine Lösung gefällt mir nicht wirklich.
Ich habe insgesamt 8 verschiedene VLan und das Gäste-VLan soll ausschliesslich auf die Internetschnittstelle zugreifen. Jetzt habe ich es derart gelöst, dass ich für jedes VLan eine Deny-Rule kreiert habe. Das GästeVLan darf zusätzlich noch auf Port 53 (DNS) des GästeVLan zugreifen. Als letzte Regel, falls nicht vorher eine Block-Rule aktiviert wird, kommt dann eine Allow to Any.
Damit läuft es nun und die anderen VLans sind vor Zugriff geschützt.
Nur darf ich für die anderen 7 VLan ebenfalls so verfahren, dass ich explizit blocken muss.
Ich hätte angenommen, mit einer Allow-Rule auszukommen; dies wäre a) Performanter und b) schneller umsetzbar.
Edit: Ein Deny auf einen 192.168.0.1/16 Alias klingt auch nach einer schönen Lösung. Das werde ich mal probieren. Danke banym
«
Last Edit: April 07, 2020, 11:37:59 am by WeissNicht
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Probleme mit Rules und VLan auf LAGG