Zugriff auf Weboberfläche vom AP sperren

[ziegler]

Hallo,

wäre es möglich den Zugriff auf die Weboberfläche vom AP der an der opnsense auf Interface WLAN angeschhlossen ist per Firewallregel aus dem WLAN-Netz zu sperren? Oder geht das nicht weil die WLAN-Clients sich ja mit dem AP verbinden müssen, erst dann geht es ja zur Firewall.

Wenn ich z.B. den Zugriff per Firewallregel auf 192.168.2.12  in der opnsene sperre hat das keine Wirkung. Die Regel greift nicht.

[JeGr]

> wäre es möglich den Zugriff auf die Weboberfläche vom AP der an der opnsense auf Interface WLAN angeschhlossen ist per Firewallregel aus dem WLAN-Netz zu sperren?

Nein, da die WLAN Clients ja IPs aus dem WLAN Netz bekommen und der AP da normalerweise ja auch drin hängt ;) Da der Verkehr innerhalb des gleichen Subnetzes aber nicht zur Firewall geht kannst du das im Normalfall nicht blockieren. Das könnte nur der AP selbst.

>  Die Regel greift nicht.

Weil der Traffic wie gesagt NICHT an der Firewall ankommt, sondern direkt zum AP geht der im gleichen Subnetz ist.
Und bevor du fragst: nein dem AP kannst du nicht einfach ne andere IP/IP Range geben als den Clients um das zu umgehen ;) Der Traffic geht ja trotzdem noch über den AP und der sieht natürlich wenn Pakete direkt für ihn adressiert sind. Normalerweise haben halbwegs vernünftige Geräte da eine Einstellung für, dass bspw. Administration aus dem eigenen WLAN nicht erlaubt werden kann o.ä. aber das ist extrem Gerate-abhängig.

Cheers

[ziegler]

Danke, auch irgendwie logisch.
Der AP kommt ja sozusagen als erstes für die WLAN Clients, erst dann geht es zur Firewall.
Die Oberfläche meines Providermodems kann ich sperren, aber weil ja erst die WLAN-Clients "durch" die Firewall müssen
um dort hinzukommen.

Thanks :-)

[JeGr]

> Der AP kommt ja sozusagen als erstes für die WLAN Clients, erst dann geht es zur Firewall.

Ganz genau :)
Darum hat man da an der Firewall selbst eher schlechte Karten ;)