Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNSense hinter Hybrid Router
« previous
next »
Print
Pages: [
1
]
Author
Topic: OPNSense hinter Hybrid Router (Read 2996 times)
Kruemel
Newbie
Posts: 33
Karma: 1
OPNSense hinter Hybrid Router
«
on:
February 27, 2019, 04:06:29 pm »
Moin,
ich steh gerade etwas auf dem Schlauch:
Hier läuft eine OPNSense unter VMWare, die aber komplett im privaten Netz hängt:
WAN: 192.168.0.0/24
LAN: WAN: 192.168.1.0/24
Und noch diverse WLAN Netze...
Im WAN Netz hängt dann der Speedport Hybrid. Das WANGW (Default) zeigt auf den Hybrid Router. An allen Clients ist die OPNSense (192.168.1.1) als Gateway eingetragen. Outbound NAT steht "Automatic".
Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen. Dafür habe ich im WAN eine Testregel gebaut:
Deny ALL TCPv4/ICMP DST any SRC any
Somit dürfte kein Client in der Lage sein, ins Internet zu pingen. So dachte ich zumindest. Aber es funktioniert trotzdem. Im Log sehe ich:
destination:172.217.22.35 message:<134>Feb 27 15:54:25 filterlog: 78,,,0,vmx0,match,pass,out,4,0x0,,63,16734,0,none,1,icmp,84,192.168.0.1,172.217.22.35,datalength=64 aid:16,734 syslog_program:filterlog input_interface:vmx0 myoffset:0 flags:none host:192.168.1.1 source:192.168.0.1 ip_version:4 syslog_timestamp:Feb 27 15:54:25 syslog_pri:134 tos:0 action:pass
Wo liegt mein Fehler?
Gruß
Krümel
Logged
Sven-J
Newbie
Posts: 47
Karma: 1
Re: OPNSense hinter Hybrid Router
«
Reply #1 on:
February 27, 2019, 04:09:43 pm »
Musst auch das LAN interface nehmen und standard mäßig is ja deny all aktiv.
Gesendet von meinem SM-N950F mit Tapatalk
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OPNSense hinter Hybrid Router
«
Reply #2 on:
February 27, 2019, 04:09:55 pm »
> LAN: WAN: 192.168.1.0/24
Nanu? LAN oder WAN?
> Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen.
Da erwartest du korrekt
> Dafür habe ich im WAN eine Testregel gebaut:
Und da bist du schon falsch abgebogen. Ein Blick in die Dokumentation klärt das schnell. Regeln werden IMMER dort (Interface) erstellt, wo das Paket zum ersten Mal auf die Firewall/Sense trifft. Du willst also am LAN filtern, denn da kommt der Traffic von den Kisten an. Auf dem WAN geht er nur raus. Das ist egal.
Auf dem LAN ist aber default eine any-any Regel aktiv damit erstmal alles funktioniert. Also entweder darüber einzelne Hosts oder Ranges oder Netze blocken oder die any-any Regel rauswerfen und nur erlauben was du erlauben möchtest.
Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Kruemel
Newbie
Posts: 33
Karma: 1
Re: OPNSense hinter Hybrid Router
«
Reply #3 on:
February 27, 2019, 08:47:49 pm »
Oh man, da stand ich aber mächtig aufm Schlauch. Danke für den Schubser.
Ich hatte das in den LAN Rules auch schon probiert, mein Fehler war aber, dass die Block Rule ganz an Emde stand. Stelle ich sie nach vorne, funktioniert es auch.
Danke und Gruß
Krümel
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OPNSense hinter Hybrid Router
«
Reply #4 on:
February 28, 2019, 11:30:33 am »
Manchmal ist's einfach, aber dafür gibts 4-Augen oder 2 Köpfe
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNSense hinter Hybrid Router