Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen

Started by sumset, March 11, 2024, 10:41:18 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 11, 2024, 10:41:18 PM
Moin :)

Ich bin neu mit OPNSense unterwegs und mich beschäftigt seit Tagen ein folgendes Problem:

Ich habe ein internes Netzwerk wo ich bestimmten Netzgeräte den Zugriff auf virtuelle Maschinen und vice versa blockieren muss.

Bspw: statisches ip routing am Router im Bereich 192.168.0.1, Netzgeräte im Bereich 192.168.0.100-130 sollen mit der virtuellen Maschine an Ip 192.167.0.30 kommunizieren dürfen aber nicht mit der vm auf 192.168.0.31.
Die virtuellen Maschinen laufen auf HyperV und nutzen einen  virtuellen externen Netzwerkswitch über hyperv.
Das Problem ist das ich keinen managed Netzwerkanschluss habe. Daher war die Idee eine virtuelle Bridge mit OpnSense als vm auf hyperv laufen zu haben die an den virtuellen externen Switch angeschlossen ist und mit den vms über einen privaten virtuellen Switch komuniziert. Ich würde dann über die Firewall von opnsense die spezifischen ip Adressen der Geräte blockieren und somit sollten die virtuellen Maschinen dann keinen Zugriff mehr auf die lokalen Adressen haben, jedoch noch von meinem zentralen Router ansteuerbar sein.
Hat da jemand vielleicht Erfahrung mit oder weiß eine bessere Option?

VG
March 11, 2024, 11:06:55 PM #1
Wenn Du Dich bei der 192.167.0.30 nur vertippt hast (was ich annehme), gilt folgendes:

Theoretisch kannst Du natürlich eine virtuelle OpnSense als Firewall aufsetzen - aber: diese ist dann eine Firewall zwischen (mindestens) zwei gerouteten Netzen, die an unterschiedlichen Interfaces anliegen.

Diese Subnetze müssen disjunkt sein. Was Du skizzierst, sind anscheinend IPs im selben Netz (192.168.0.0/24). Pakete, die zwischen solchen IPs ausgetauscht werden, passieren die OpnSense nicht, also kann diese sie auch nicht blockieren.

Du kommst auch nicht aus der Klemme, indem Du einen Teil der Geräte an ein Interface und einen anderen Teil an das andere anschließt - außer, diese haben unterschiedliche Subnetze.

Wenn Du CIDR anwendest, könntest Du natürlich 192.168.0.0/27 auf ein Interface und 192.168.0.32/27 auf ein anderes legen, nur solltest Du die Clients und Server sauber trennen, um dann den Zugriff der Clients auf die Server regeln zu können.

Am besten, Du zeichnest Dir einen grafischen Netzplan mit den Geräten und Netzwerken auf, dann wird das klarer, was "links" und was "rechts" von der Firewall liegt. Hinweis: Vermutlich brauchst Du mehr als einen virtuellen Switch (oder VLANs).
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions