Neuer OPNsense Aufbau hinter FritzBox

[micneu]

das macht du über eine firewall regel an der sense auf dem lan interface
da hat die fritzbox nix mit zu tun

[Gauss23]

Wie muss ich die FritzBox konfigurieren das das OPNsense WAN nur online kann nicht aber auf das FritzBox LAN?

Warum solltest Du dazu was an der Fritzbox machen müssen?

Das regelst Du über die OPNsense. Einen Alias anlegen: Inhalt: 1. das Fritzbox Netz und 2. alle weiteren internen Netze, die Du an der OPNsense so hast.
Dann eine Firewall Regel auf dem LAN. Source ist das LAN Netz, Destination ist der neu angelegte Alias, das Häkchen bei Destination invert anklicken und erstmal alle Ports offen lassen. Das kann man dann später noch hübscher machen.
Somit kommen Clients aus dem LAN zwar ins Internet, aber nicht mehr ins Fritzbox Netz.

Wenn Du den Internetzugriff später einschränken willst, änderst du diese Regel und stellst entsprechend Protokoll und Ports ein. Für jede Freigabe dann eine Regel (Clon-Funktion benutzen) oder auch über einen Alias Portgruppen konfigurieren.

[Sunzi]

Ok also ich habe da wohl etwas kolossal missverstanden. Sorry!!!

Habe es jetzt konfiguriert aber komme immer noch auf das FritzBox LAN und die angeschlossenen Geräte.
Das FB-LAN ist Standard 192.168.178.0 (FB hat die 192.168.178.1) und das OPNsense LAN an dem mein Gerät hängt hat 192.168.1.0 (OPNsense ist 192.168.1.1).

Alias und Regel habe ich für wieder deaktiviert da es nicht geklappt hat, mir kam die Verbindung zum LAN langsamer vor, aber vielleicht bilde ich es mir nur ein.

Sieht jemand den Fehler? Was habe ich falsch gemacht/verstanden?

[micneu]

sorry, da du ja einsteiger bist, schau dir doch erstmal die howtos im internet an wie man firewall regeln erstellt. oder lese erstmal einige zeit themen aus dem forum (so habe ich angefangen, bevor ich die erste opnsense hatte, habe ich 3 wochen passiv im forum teilgenommen) dadurch habe ich schon einiges gelernt.

[Gauss23]

Warum ist die Regel denn deaktiviert?

Zeig doch mal die Regeln auf dem LAN Interface als Screenshot.

[Sunzi]

Es ist nicht so das ich mich nicht informiere.
Habe das OPNsense Buch für den Kindle geholt und lese es, sehe mir die Dokus und Videos von Thomas Krenn an. Viele deutsche Webseiten mit Doku hatte ich aber nicht gefunden, speziell für so einen Anfänger wie mich.
Glaube speziell das Thema hinter der FB macht es so komplex das ich Hilfe brauche, dafür bin ich auch sehr dankbar!!!

Bin auch ein Mensch der gerne zum Lesen, Lernen,... testet um es besser zu verstehen.

Die Regeln sind deaktiviert weil es im dem Test nicht lief, für den Test waren alle aktiviert.
Ist es der Screenshot?

[Gauss23]

Die Regel steht aktuell an dritter Position und wird so nie Anwendung finden, da die Regel auf Position 1 angewandt wird und keine weiteren Regeln beachtet werden. Die erste Regel müsste dann deaktiviert werden.

Kannst du den Inhalt vom Alias mal zeigen?

[Sunzi]

Regel ist jetzt oben, Alias aktiv aber komme immer noch auf die Geräte im FB Netz.

[chemlud]

Könnte das was für dich sein?

https://forum.opnsense.org/index.php?topic=20621

[Gauss23]

Regel ist jetzt oben, Alias aktiv aber komme immer noch auf die Geräte im FB Netz.

Ja, weil du leider nur die Hälfte von meiner Anweisung umgesetzt hast. Die zweite Regel muss dann deaktiviert werden.

[Zoki]

Irgendwie scheint mir der Alias DirektWeb seltsam zu sein, ich lese da 2 Host IP-Adressen.

Wenn Du möchtest, dass Du aus Deinem LAN auf alles außer dem Netz 192.168.178.0/24 zugreifen kannst, dann würde ich als erste Regel eine block-Rule auf genau dieses Netz setzen und dann die entsprechenden allow Regeln danach.

block LANnet to 192.168.178/24
allow LANnet to any.

Falls Du aus dem LANnet aber doch noch auf das Web-Interface der fritzbox zugriefen möchtest, müssen die ersten Regeln ein
allow LANnet to 192.168.178.1 Port 443 und
allow LANnet to 192.168.178.1 Port 80
sein.

Wenn das geht, die noch 192.168.178.0/24 durch ein network Alias ersetzen.