Verständnisfrage zu VLAN Firewall-Regel

[mr.sarge]

Hallo,

habe OPNSense 19.6 seit ca. 10 Tagen auf einer "LES compact 4L" in meinem Heinmnetzwerk stabil laufen mit einigen grundlegenden Einstellungen:
- getrenntes VLAN für andere Mitbewohner
- DHCP-Server für LAN und VLAN
- IPSec VPN
- WOL

Frage zu Firwallregel für VLAN Hosts: diese sollen im Internet alles machen können, jedoch keinen Zugriff zum LAN-Netzwerk haben

Wie bei meiner alten Sonicwall dachte ich mir eine Regel zu erstellen wie:

Proto IPv4* / Source VLAN / Port * / Dest WAN net / Port * /GW *

Mit dieser Regel wird jedoch der Traffic vom VLAN ins Internet geblockt und ich muss als Destination "*" angeben.
Warum ist dem So wenn ich als Destination WAN net angebe? Muss ich stattdessen eine explizite Regel beim LAN-Interface erstellen die den Traffic VLAN zu LAN blockiert?

noch eine Frage zu WOL: wie kann ich bei einer bestehenden IPSec VPN WOL Pakete ins Netzwerk weiterleiten bzw. welche Regeln ist hierfür notwendig?
Zur Zeit nutze ich das WOL-Plugin für OPNSense um Hosts aufzuwecken, Ziel wäre es aber Programme bzw. Apps zu nutzen (wie vorher bei der Sonicwall)
Wie gesagt nur über die bestehende VPN, über Internet sollten Hosts nicht aufweckt werden können.

Vielen Dank im Voraus für eure Tips!

mfg,

Sarge

[chemlud]

Warum ist dem So wenn ich als Destination WAN net angebe? Muss ich stattdessen eine explizite Regel beim LAN-Interface erstellen die den Traffic VLAN zu LAN blockiert?

Weil WANnet das Netz ist, das an dem WAN interface anliegt, also das von deinem Provider?

noch eine Frage zu WOL: wie kann ich bei einer bestehenden IPSec VPN WOL Pakete ins Netzwerk weiterleiten bzw. welche Regeln ist hierfür notwendig?
Zur Zeit nutze ich das WOL-Plugin für OPNSense um Hosts aufzuwecken, Ziel wäre es aber Programme bzw. Apps zu nutzen (wie vorher bei der Sonicwall)

Schau mal hier, da ist das magic packet beschrieben. Ich habe nie versucht, das aus einem anderen Netz via VPN zu versenden. Ich würde die sense nutzen oder einen client, der sowieso 24h am Tag rumhängt, irgendwas in der Raspi-Klasse oder einen Server... :-)
https://en.wikipedia.org/wiki/Wake-on-LAN#Magic_packet

[mr.sarge]

Weil WANnet das Netz ist, das an dem WAN interface anliegt, also das von deinem Provider?

macht Sinn.  Wie würde dann die Regel aussehen wenn ich explizit vom VLAN ins WAN möchte nicht aber ins LAN?

mfg,

Sarge

[chemlud]

Fällt mir keine Lösung zu ein, ausser "allow any NOT VLAN". Aber ich bin kein Fachmann... :-D

[superwinni2]

Also ich hatte etwas ähnliches...
Habe Clients (woher oder auf welchem Interface die ankommen ist ja im endeffekt egal) welche ins Internet dürfen aber nicht ins Lokale Netz.
Da das lokale Netz ein Privates Netz nach RFC1918 ist, habe ih einen Alias mit den Privaten Netz IPs angelegt.


RFC1918 hat folgende IPs:

Code Select Expand

10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)


Auf der Firewall habe ich dann eine Regel angelegt, dass die bestimmten Clients zu NICHT RFC1918 dürfen.


Somit können die Clients dann ins Internet aber nicht ins lokale Netzwerk.

[mr.sarge]

Hi,

habe es laut dieser Anleitung gelöst, bei WOL Port forward über IPSec VPN bin ich noch dabei.

https://docs.netgate.com/pfsense/en/latest/firewall/restrict-access-to-management-interface.html

Sarge

[chemlud]

Hmmm, die Anleitung unterbindet nur den Zugriff auf die sense, nicht zwischen unterschiedlichen Netzen an der sense, oder?

[mr.sarge]

Hmmm, die Anleitung unterbindet nur den Zugriff auf die sense, nicht zwischen unterschiedlichen Netzen an der sense, oder?

Hi, ja das stimmt. Um den Zugriff vom VLAN ins LAN zu unterbinden habe ich auf dem VLAN Interface eine Regel (an oberster Stelle) erstellt die den Zugriff von "VLAN net" zu "LAN net" verbietet.