Firewall IPSec Block Network Ports

[kenobits]

Hallo zusammen, hoffe euch geht es gut

Ist es möglich für einzelne IPSec Verbindungen nur bestimmte Ports zu erlauben und für die restlichen IPSec Verbindungen alles?
Hatte es versucht mit einem allow Port 443 und dann block all für Netz zB. 192.168.110.0/24 und danach ein allow all

funktioniert leider nicht, es geht immer noch alles durch

Die Regel hab ich sowohl für das ipsec if als auch lan ausprobiert, leider ohne erfolg


und falls sich wer wundert, nein ich sitze an keiner produktiven FW, bin nur student und bastel privat damit grad bisschen rum

[lfirewall1243]

Musst als Source Adresse die Tunnel IP der jeweiligen Clients nehmen

[kenobits]

also das Remote Subnet von der gegenseite oder? das hab ich so gemacht

[lfirewall1243]

also das Remote Subnet von der gegenseite oder? das hab ich so gemacht

Einzelne IPsec Verbindung?

Ist das eine S2S Verbindung oder Server Client ?

[kenobits]

es ist eine Site2Site Verbindung also das ganze Netz

[lfirewall1243]

es ist eine Site2Site Verbindung also das ganze Netz

Dann sollte es mit den einfach regeln klappen

Mach Mal ein Netzwerkplan

[kenobits]

     
    Netz1( 192.168.100.0) dieses Netz nur über 443| | Netz 2(192.168.200.0) (dieses Netz alle Ports)
            :
            :

multiple IP-Sec-Connections
            :
            :
            :
            |
        WAN | IP or Protocol
            |
      .-----+------. 
      |  OPNsense 
      '-----+------'   
            |
        LAN | 10.0.0.1/24
            |


            |
    ...-----+------... (Clients/Servers)


Passt das so?
Auf welchem Interface müssen dann die Regeln gemacht werden? LAN oder?