Gast lan hat kein Internet

alex3003 · May 30, 2023, 09:30:31 AM

Hallo,
für die Gäste habe ich ein GastLAN Vlan100 eingerichtet.
Mein Handy verbindet sich und bekommt eine IP Adresse, hat aber keinen Internet Zugriff.

Was habe ich hier vergessen?

Gruß
Alexander

tiermutter · May 30, 2023, 09:56:14 AM

Wie definierst du keinen Internet Zugriff? Eventuell ist es nur ein DNS Problem... Kannst du IPs anpingen, zB 8.8.8.8? Ansonsten helfen natürlich Screenshots von den relevanten Einstellungen.

chemlud · May 30, 2023, 10:16:41 AM

Quote from: alex3003 on May 30, 2023, 09:30:31 AM
Hallo,
für die Gäste habe ich ein GastLAN Vlan100 eingerichtet.
Mein Handy verbindet sich und bekommt eine IP Adresse, hat aber keinen Internet Zugriff.

Was habe ich hier vergessen?

Gruß
Alexander

Firewallregeln? Outbound NAT? ;-)

alex3003 · May 30, 2023, 12:25:03 PM

Quote from: chemlud on May 30, 2023, 10:16:41 AM
Firewallregeln? Outbound NAT? ;-)

Was muss ich dort eintragen?
Beim LAN Netz hatte ich dort auch nichts eingetragen, und es hat auf Anhieb funktioniert.

Patrick M. Hausen · May 30, 2023, 12:57:34 PM

Für das LAN-Netz wird die OPNsense mit Default-Regeln geliefert, damit "ein Uplink, ein LAN, Internet" auf Anhieb funktionieren.

Wenn du neue Interfaces hinzufügst, musst du dir die Regel, die für LAN existiert angucken, kopieren, und für dein neues Netz anpassen.

chemlud · May 30, 2023, 01:06:37 PM

Quote from: alex3003 on May 30, 2023, 12:25:03 PM
Quote from: chemlud on May 30, 2023, 10:16:41 AM
Firewallregeln? Outbound NAT? ;-)

Was muss ich dort eintragen?
Beim LAN Netz hatte ich dort auch nichts eingetragen, und es hat auf Anhieb funktioniert.

...dann ist dein GAST Netz kein Gastnetz.

Ronny1978 · May 30, 2023, 04:32:19 PM

Probiere es mal hier

https://docs.opnsense.org/manual/how-tos/guestnet.html

Hier ist es eigentlich gut beschrieben. Einfach prüfen bzw. "nachbauen".

;)

alex3003 · May 30, 2023, 09:37:54 PM

Jetzt funktioniert es.

Ich hab es so gelöst wie im Screenshot, ist es so korrekt oder fehlt noch was?

Vielen Dank für die guten Tips ;)

Ronny1978 · May 31, 2023, 04:54:14 AM

Sollte eigentlich passen. Probiert, dass es auch geht und der DNS funktioniert?

chemlud · May 31, 2023, 09:47:08 AM

...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...

alex3003 · May 31, 2023, 11:19:53 AM

Quote from: chemlud on May 31, 2023, 09:47:08 AM
...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...

Bis jetzt habe ich dort nicht geändert.
Habe nur Telekom Zugang, dhcp, fest IP und Gast LAN angelegt.

Was sind denn Sinnvolle Einstellungen die man machen soll?
IDS / IPS?

JeGr · May 31, 2023, 12:25:23 PM

Das ist keine einfache "ja/nein" Selektion, sondern etwas was sehr spezifisch auf dein Nutzungsverhalten ankommt und was du erreichen/anbieten willst. IDS/IPS ist schnell gern als Allheilmittel am Start, wenn es aber als anmachen & vergessen Lösung genutzt wird recht nutz- und sinnbefreit.

Cheers :)

chemlud · May 31, 2023, 04:53:46 PM

Quote from: alex3003 on May 31, 2023, 11:19:53 AM
Quote from: chemlud on May 31, 2023, 09:47:08 AM
...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...
Bis jetzt habe ich dort nicht geändert.
Habe nur Telekom Zugang, dhcp, fest IP und Gast LAN angelegt.

Was sind denn Sinnvolle Einstellungen die man machen soll?
IDS / IPS?

Das kommt drauf an, wen du im LAN am Start hast. Nur dein Banking? Dann würde ich nur sehr wenige Ports offen lassen und den Rest dicht machen per Firewallregel.

Wenn da Windows10/Apple/Android Schrott unterwegs ist, wirst du mit der Policy vermutlich Probleme (mit den Usern, die über deine Nazi.Firewall jammern) bekommen. Dir Kinder graben sich ein Mullvad o.ä. und sind trotzdem raus. Also alles hängt (wie immer) an deinem thread model. Was brauch ich? Wieviel Risiko will ich eingehen?

Notfalls halt auch für die "internen" Devices 2-3 unterschiedliche Interfaces, je nach gewünschtem "Reinheitsgrad" für das entsprechende Netz/Device.

Die Regeln sind erstmal wichtiger, als IDS/IPS. Aber am Ende kann dann die Malware auch über Port 80, 443 o.ä. raus telefonieren...

alex3003 · May 31, 2023, 10:34:28 PM

Mir ist gerade aufgefallen das ich mit der DynDNS Adresse nicht mehr auf meine Diskstation komme, von Lokal.
Von extern geht es.

Was muss dafür eingetragen werden?

Ronny1978 · June 01, 2023, 06:17:19 AM

Quote from: alex3003 on May 31, 2023, 10:34:28 PM
Mir ist gerade aufgefallen das ich mit der DynDNS Adresse nicht mehr auf meine Diskstation komme, von Lokal.
Von extern geht es.

Was muss dafür eingetragen werden?

Ich habe den Dienst UNBOUND (und auch im Zusammenspiel mit Adguard) aktiviert und dort eine Domainüberschreibung eingetragen. Somit geht die DynDNS Adresse direkt zur Synology ohne Umwege.

Gast lan hat kein Internet

alex3003

May 30, 2023, 09:30:31 AM

tiermutter

May 30, 2023, 09:56:14 AM #1

chemlud

May 30, 2023, 10:16:41 AM #2

alex3003

May 30, 2023, 12:25:03 PM #3

Patrick M. Hausen

May 30, 2023, 12:57:34 PM #4

chemlud

May 30, 2023, 01:06:37 PM #5

Ronny1978

May 30, 2023, 04:32:19 PM #6

alex3003

May 30, 2023, 09:37:54 PM #7

Ronny1978

May 31, 2023, 04:54:14 AM #8

chemlud

May 31, 2023, 09:47:08 AM #9

alex3003

May 31, 2023, 11:19:53 AM #10

JeGr

May 31, 2023, 12:25:23 PM #11

chemlud

May 31, 2023, 04:53:46 PM #12

alex3003

May 31, 2023, 10:34:28 PM #13 Last Edit: May 31, 2023, 10:54:26 PM by alex3003

Ronny1978

June 01, 2023, 06:17:19 AM #14