Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
WAN Regel für Internet Zugriff
« previous
next »
Print
Pages: [
1
]
Author
Topic: WAN Regel für Internet Zugriff (Read 1919 times)
wolfgang.frick
Newbie
Posts: 4
Karma: 0
WAN Regel für Internet Zugriff
«
on:
January 18, 2022, 10:38:44 pm »
Hallo zusammen
Ich heisse Wolfgang und komme aus der Informatik.
Die letzten 20 Jahre hatte ich nur mit SonicWall zu tun. Nun versuche ich mich an Opensense und bin etwas am verzweifeln.
Ich habe die Logik hinter den Firewall Regeln glaube ich verstanden, hoffe ich zumindestens.
So wie ich es verstanden habe, sind die FW Regeln so, das wen ein Paket auf einer Schnitstelle ankommt, das geblockt oder weitergeleitet wird. Das anhanden der Regel. Soweit auch gut.
Das funktioniert auch so wie es soll, solange es Interfaces sind, die nicht in das WAN gehen.
Ich habe als Test 3 Schnitstellen definiert. 1:WAN 2:LAN 3.DMZ
- WAN geht über PPPoE in das Internet
Wen ich z.B. in der DMZ definiere, das alles was auf die DMZ intern trifft, überall hin gehen soll, funktioniert in der DMZ das Internet. Nur dan hat die DMZ auch Zugriff auf LAN.
Wen ich in der DMZ Regel einstelle, das diese als Ziel nur WAN haben soll, funktioniert der Internet Zugriff nicht.
Ich kann WAN IP oder WAN Netzwerk auswählen, macht keinen Unterschied.
Ich denke, ich habe einfach einen Überlegungs Fehler. Kann mir jemand einen Tip geben?
Gruss Wolfgang
Logged
theq86
Sr. Member
Posts: 272
Karma: 37
Re: WAN Regel für Internet Zugriff
«
Reply #1 on:
January 19, 2022, 01:13:22 am »
> Wen ich in der DMZ Regel einstelle, das diese als Ziel nur WAN haben soll, funktioniert der Internet Zugriff nicht. Ich kann WAN IP oder WAN Netzwerk auswählen, macht keinen Unterschied.
"WAN IP" matcht auf deine öffentlichen IPs am WAN Interface
"WAN Netzwerk" matcht auf alle Netze, zu denen deine WAN IPs gehören.
Wenn du also nicht gerade IP Blöcke zugewiesen bekommst, sondern ne einzelne IP vom Internetprovider, dann wird das WAN-Netz wohl IP-Adresse/32 sein, was effektiv der "WAN IP" gleicht.
Mit Ziel "WAN-Netz" sagst du also nicht, dass das Ziel jede IP des öffentlichen Raums ist.
XXX-IP und XXX-Netz funktionieren bei einem "WAN" Interface genauso, wie bei allen anderen Netzen. Es werden keine Entscheidungen anhand des Namens mit "WAN" getroffen. Das WAN Interface könnte auch HASE heißen. Mit dem Namen WAN ist keine Logik verbunden.
Ich behelfe mir stattdessen mit einem Alias, der alle RFC-1918-Netze beinhaltet, alle localhost Adressen und sobald nötig andere nichtöffentliche Adressbereiche. Dann stelle ich ein, dass das Ziel dieser Alias ist, allerdings mit einer NICHT Verknüpfung. Effektiv sage ich ihm damit, dass das Ziel jede Adresse ist, die nicht privat ist.
Logged
wolfgang.frick
Newbie
Posts: 4
Karma: 0
Re: WAN Regel für Internet Zugriff
«
Reply #2 on:
January 19, 2022, 01:29:56 pm »
Super, danke für die Erklärung. Habe es so gemacht, wie du geschrieben hast und es funktioniert :-)
Danke vielmals
Logged
wolfgang.frick
Newbie
Posts: 4
Karma: 0
Re: WAN Regel für Internet Zugriff
«
Reply #3 on:
January 21, 2022, 01:01:07 am »
Ich möchte noch nachträglich sagen, das wen man 20 Jahre lang mit SonicWalls gearbeitet hat, das Regelwerk von OPNsense schon verwirrend ist.
Bei ONsense ist die Denkweise genau in die andere Richtung.
Was nicht schlecht gemeint ist, sondern es ist einfach anders.
Aber grundsätzlich glaube ich, habe ich das nun auch verstanden. Ich komme nun sehr viel besser zu recht als vor deiner Hilfe :-)
UND, mir gefällt OPNsense immer besser :-)
Wolfgang
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
WAN Regel für Internet Zugriff