Lan to Lan any

[greeno]

hi,

ich blocke ausgehend alles bis auf Standardports Web, eMail
ist es sinnvoll LAN to LAN any eine Regel zu erstellen damit die lokalen multi/broadcast wie

x.x.x.255:137
224.0.0.251
224.0.0.252
239.255.255.250

funktionieren?
danke


danke

[lfirewall1243]

Brauchst du nicht erlauben, da lokaler traffic deine OPNsense nicht erreicht, bzw. nicht ans Gateway geht.
Abgesehen von Broadcasts aber wozu?

[greeno]

ich habe gesehen, dass ich viele blocks im Firwall log habe von:


x.x.x.255:137
224.0.0.251
224.0.0.252
239.255.255.250

müssten diese nicht allow sein?

[lfirewall1243]

ich habe gesehen, dass ich viele blocks im Firwall log habe von:


x.x.x.255:137
224.0.0.251
224.0.0.252
239.255.255.250

müssten diese nicht allow sein?

Wozu?
Wenn du möchtest, dass deine Firewall auf diese Broadcasts reagiert dann erlaube es. Solange deine FW aber keinen dementsprechenden Dienst dahinter anbietet macht das ganze wenig Sinn.

[greeno]

es ist wohl mehr eine Verständnisproblem,

habe ich damit keine Einschränkungen wenn interne Dienste / Geräte diese Broadcast nicht mehr versenden?

danke

[lfirewall1243]

Diese werden weiterhin versendet.

Beispiel:
Dein Handy sucht nach Lautsprechern im Netzwerk und schickt daher solche Boradcast Pakete an alle imNetzwerk. Wenn dort nun ein Lautsprecher ist wird er darauf antworten, da deine OPNsense aber kein Lautsprecher ist braucht die nicht antworten :)

[greeno]

ah das ist logisch... aber habe ich mich falsch informiert habe gelesen das Sachen mit apple und mdns und so sind... die gingen also nie zu "apple" raus ins WAN?

[JeGr]

Broadcast und Multicast gehen NIE irgendwohin. Die funktionieren nur im gleichen Netzabschnitt. Einfach mal nachlesen, was Broadcast und Multicast sind und tun, dann wird das klarer. In dem Fall hört deine Firewall einfach nur intern Geblubber auf dem Kanal, den die eben an alle oder an viele (broad/multicast) Geräte raushauen und wer zuhören will hört zu. Nur weils die Firewall nicht annimmt, heißt das nicht, dass es andere Geräte im _gleichen_ Segment nicht hören. Untereinander reden die Geräte ja nicht über die Firewall sondern direkt miteinander.

Cheers
\jens

[greeno]

ah gut erklärt so hab ichs auch verstanden :-)
danke

[svenskalec]

Hallo gemeinde. Möchte mich hier mal eben einklinken. Ich habe evtl ein ähnliches Problem und bin mir nicht sicher ob das ein Broadcast ist oder ein direkter Zugriff.

Ich habe einen HomePod 10.10.40.40. Eine Homebridge 10.10.50.10. Separate Vlans alles über die Opnsense. MDNS als dienst ist in der Opnsense aktiv. Die Handys / iMacs sind alle in anderen VLANS. Alle IOT Geräte sind im VLAN40IOT

Nun habe ich an der Firewall im Log das Problem das ich folgenden Eintrag sehe.

VLAN40WLANIOT      Jun 10 23:03:39   10.10.40.40:49688   10.10.50.10:33773   tcp   Default deny rule

Ich möchte aber diesen Trafik erlauben.

Ich habe eine Regel auf der Schnittstelle erstellt
Schnittstelle:VLAN40IOT
Richtung:in
IPV4
TCP/UPD
Quelle:10.10.40.40
Ziel: 10.10.50.10

er block den Traffic aber weiterhin. Hat hier jemand ne Idee oder gibt es evtl. Experten die Explizit SmartHome hinter der Firewall in unterschiedlichen VLAS betreiben. Das Thema Mans habe ich lange nciht gefunden mein Smart Home lag seit Einführung der OPNSense auf eis weil der mDNS nicht konfiguriert war.

Danke für jede Unterstützung.

[JeGr]

IPV4
TCP/UPD
Quelle:10.10.40.40
Ziel: 10.10.50.10

Und wo ist der Port definiert? Oder wird einfach platt jeder Port erlaubt?
Zudem steht oben VLAN40-WLAN-IOT und unten VLAN40IOT. Was stimmt?