OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen
« previous next »
  • Print
Pages: [1]

Author Topic: Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen  (Read 469 times)

sumset

  • Newbie
  • *
  • Posts: 1
  • Karma: 0
    • View Profile
Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen
« on: March 11, 2024, 10:41:18 pm »
Moin :)

Ich bin neu mit OPNSense unterwegs und mich beschäftigt seit Tagen ein folgendes Problem:

Ich habe ein internes Netzwerk wo ich bestimmten Netzgeräte den Zugriff auf virtuelle Maschinen und vice versa blockieren muss.

Bspw: statisches ip routing am Router im Bereich 192.168.0.1, Netzgeräte im Bereich 192.168.0.100-130 sollen mit der virtuellen Maschine an Ip 192.167.0.30 kommunizieren dürfen aber nicht mit der vm auf 192.168.0.31.
Die virtuellen Maschinen laufen auf HyperV und nutzen einen  virtuellen externen Netzwerkswitch über hyperv.
Das Problem ist das ich keinen managed Netzwerkanschluss habe. Daher war die Idee eine virtuelle Bridge mit OpnSense als vm auf hyperv laufen zu haben die an den virtuellen externen Switch angeschlossen ist und mit den vms über einen privaten virtuellen Switch komuniziert. Ich würde dann über die Firewall von opnsense die spezifischen ip Adressen der Geräte blockieren und somit sollten die virtuellen Maschinen dann keinen Zugriff mehr auf die lokalen Adressen haben, jedoch noch von meinem zentralen Router ansteuerbar sein.
Hat da jemand vielleicht Erfahrung mit oder weiß eine bessere Option?

VG
Logged

meyergru

  • Hero Member
  • *****
  • Posts: 1684
  • Karma: 165
  • IT Aficionado
    • View Profile
    • congenio
Re: Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen
« Reply #1 on: March 11, 2024, 11:06:55 pm »
Wenn Du Dich bei der 192.167.0.30 nur vertippt hast (was ich annehme), gilt folgendes:

Theoretisch kannst Du natürlich eine virtuelle OpnSense als Firewall aufsetzen - aber: diese ist dann eine Firewall zwischen (mindestens) zwei gerouteten Netzen, die an unterschiedlichen Interfaces anliegen.

Diese Subnetze müssen disjunkt sein. Was Du skizzierst, sind anscheinend IPs im selben Netz (192.168.0.0/24). Pakete, die zwischen solchen IPs ausgetauscht werden, passieren die OpnSense nicht, also kann diese sie auch nicht blockieren.

Du kommst auch nicht aus der Klemme, indem Du einen Teil der Geräte an ein Interface und einen anderen Teil an das andere anschließt - außer, diese haben unterschiedliche Subnetze.

Wenn Du CIDR anwendest, könntest Du natürlich 192.168.0.0/27 auf ein Interface und 192.168.0.32/27 auf ein anderes legen, nur solltest Du die Clients und Server sauber trennen, um dann den Zugriff der Clients auf die Server regeln zu können.

Am besten, Du zeichnest Dir einen grafischen Netzplan mit den Geräten und Netzwerken auf, dann wird das klarer, was "links" und was "rechts" von der Firewall liegt. Hinweis: Vermutlich brauchst Du mehr als einen virtuellen Switch (oder VLANs).
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Virtuelle Firewall zwischen Geräten im Netzwerk und Virtuellen Maschinen
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2