Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerke voneinander separieren
« previous
next »
Print
Pages: [
1
]
Author
Topic: Netzwerke voneinander separieren (Read 1709 times)
venomone
Newbie
Posts: 14
Karma: 0
Netzwerke voneinander separieren
«
on:
July 13, 2020, 10:21:06 pm »
Hallo,
ich bin mit der Einrichting meiner Firewalls im HA betrieb soweit durch allerdings würde ich noch gerne wissen wie ich meine Netze von einander separiere. Ich hab 4 Netze, STO, LAN, HA. WAN
Das HA Netz dient nur zum Sync der OPNSense Systeme (plural).
In den Rules hab ich bis jetzt nur mit source und destination zwischen den Networks rumgespielt allerdings stehe ich immer vor dem Problem das LAN nicht mehr mit WAN kommunizieren kann
. Eigentlich will ich nur folgendes:
- LAN kann ins Internet und local innterhalb des Netzes kommunizieren
- WAN dient nur LAN als Schnistelle zum Internet
- HA soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
- STO soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
Grüße
«
Last Edit: July 14, 2020, 09:44:37 am by venomone
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 226
old man standing
Re: Netzwerke voneinander separieren
«
Reply #1 on:
July 14, 2020, 11:04:29 am »
- HA soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
- STO soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
Dann erlaube die Frage warum sie überhaupt auf der Firewall aufgelegt sind? Wenn du KEIN Internet und auch völlige Abschottung zu anderen Netzen möchtest, warum dann überhaupt auf die Firewall auflegen? Um in die Netze selbst reinzukommen? Oder was ist der Plan davon?
BTW eine Regel "erlaube HA_net auf HA_net" erlaubt auch vollständigen Zugriff auf die Firewall und deine WebUI (wenn die auf das VLAN hört). Aber da Traffic an der Firewall eigentlich NIE vom Netz ins Netz geht (denn dann würde es nicht geroutet werden), macht die Regel eigentlich recht wenig Sinn. Außer um ggf. noch DNS/NTP zu erlauben, was dann aber auch wieder die Frage der Notwendigkeit ist - wenn eh keine Außenweltkommunikation, braucht es ggf. auch kein externes DNS?
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
venomone
Newbie
Posts: 14
Karma: 0
Re: Netzwerke voneinander separieren
«
Reply #2 on:
July 14, 2020, 11:18:31 am »
Meine Probleme haben sich gerade in Luft aufgelöst, die verwendung von Aliasen ist eine tolle Sache. Nun Kann LAN nur noch auf die GUI und ins Internet, STO ist nur für sich und HA auch ...
Der Guid hier hat mir sehr geholfen:
https://calvin.me/block-traffic-vlan-pfsense
Logged
JeGr
Hero Member
Posts: 1945
Karma: 226
old man standing
Re: Netzwerke voneinander separieren
«
Reply #3 on:
July 14, 2020, 11:23:43 am »
Das ist ja ziemlich alt...
Das pfSenseGUI Alias kannst du auch lassen
Dafür gibts "This Firewall" (alle Adressen der Firewall).
Zudem macht der Ersteller dieses alten Blogs genau den Fehler, den ich oben erwähne. Eine Freigabe "xy NET auf xy NET" erlaube auch die Firewall selbst und ist unsinnig, da Traffic innerhalb des gleichen VLANs nicht an die Firewall geroutet wird. Die Regel sollte also schlicht nicht benötigt werden, außer man lässt doch von außen irgendwelchen Traffic rein und/oder nutzt verbogene NAT Regeln die dann sowas brauchen würden.
Nicht jeder alte Blog/Artikel ist leider eine gute Anleitung
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerke voneinander separieren