Netzwerke voneinander separieren

Started by venomone, July 13, 2020, 10:21:06 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 13, 2020, 10:21:06 PM Last Edit: July 14, 2020, 09:44:37 AM by venomone
Hallo,

ich bin mit der Einrichting meiner Firewalls im HA betrieb soweit durch allerdings würde ich noch gerne wissen wie ich meine Netze von einander separiere. Ich hab 4 Netze, STO, LAN, HA. WAN
Das HA Netz dient nur zum Sync der OPNSense Systeme (plural).

In den Rules hab ich bis jetzt nur mit source und destination zwischen den Networks rumgespielt allerdings stehe ich immer vor dem Problem das LAN nicht mehr mit WAN kommunizieren kann

. Eigentlich will ich nur folgendes:

- LAN kann ins Internet und local innterhalb des Netzes kommunizieren
- WAN dient nur LAN als Schnistelle zum Internet
- HA soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
- STO soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks

Grüße
July 14, 2020, 11:04:29 AM #1
- HA soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
- STO soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks

Dann erlaube die Frage warum sie überhaupt auf der Firewall aufgelegt sind? Wenn du KEIN Internet und auch völlige Abschottung zu anderen Netzen möchtest, warum dann überhaupt auf die Firewall auflegen? Um in die Netze selbst reinzukommen? Oder was ist der Plan davon? :)

BTW eine Regel "erlaube HA_net auf HA_net" erlaubt auch vollständigen Zugriff auf die Firewall und deine WebUI (wenn die auf das VLAN hört). Aber da Traffic an der Firewall eigentlich NIE vom Netz ins Netz geht (denn dann würde es nicht geroutet werden), macht die Regel eigentlich recht wenig Sinn. Außer um ggf. noch DNS/NTP zu erlauben, was dann aber auch wieder die Frage der Notwendigkeit ist - wenn eh keine Außenweltkommunikation, braucht es ggf. auch kein externes DNS?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 14, 2020, 11:18:31 AM #2
Meine Probleme haben sich gerade in Luft aufgelöst, die verwendung von Aliasen ist eine tolle Sache. Nun Kann LAN nur noch auf die GUI und ins Internet, STO ist nur für sich und HA auch ...

Der Guid hier hat mir sehr geholfen:

https://calvin.me/block-traffic-vlan-pfsense
July 14, 2020, 11:23:43 AM #3
Das ist ja ziemlich alt...

Das pfSenseGUI Alias kannst du auch lassen ;) Dafür gibts "This Firewall" (alle Adressen der Firewall). :)

Zudem macht der Ersteller dieses alten Blogs genau den Fehler, den ich oben erwähne. Eine Freigabe "xy NET auf xy NET" erlaube auch die Firewall selbst und ist unsinnig, da Traffic innerhalb des gleichen VLANs nicht an die Firewall geroutet wird. Die Regel sollte also schlicht nicht benötigt werden, außer man lässt doch von außen irgendwelchen Traffic rein und/oder nutzt verbogene NAT Regeln die dann sowas brauchen würden.

Nicht jeder alte Blog/Artikel ist leider eine gute Anleitung :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions