Richtlinienbasiertes Routing

[Zapad]

Hallo,

Darf ich einen Wunsch äußern der in Erfüllung gehen kann?

ich habe eine Fritzbox mit bridged Anschluß und habe von meinem Provider 2 IP, von OPNSense und von der Fritzbox.
Soweit so gut.

ich wollte nun manche Vlans über die eine oder andere Wanverbindung rausgehen lassen, also
Firewall Rule>Gateway.... und Upps ich kann nur IP4 oder IP6 von einer Schnittstelle wählen und nicht Schnittstelle selbst.
Bei TCP/IP Version Feld kann ich beides angeben, aber bei Gateway nur eine Version also müsste ich jeweils die Regel Splitten und eine IP4 und eine IP6 Version stricken, was die Übersicht und Handlichkeit nicht verbessert.

Bei Gateway Gruppe kann ich nur 2 gleiche nehmen also 2 IP4 oder 2 IP6 was nicht die Lösung ist.

Kann man erwarten das bei der Firewall so wie "standard" einfach WAN 1 oder WAN 2 inclusive beider Protokolle gibt?

[Patrick M. Hausen]

Na du sagst

interface: VLAN 1
proto: IPv4
from: VLAN 1 net
to: any
action: allow
gateway: IPv4 GW 1

und das noch einmal für IPv6 - das sind zwei Regeln für jedes VLAN. Finde ich jetzt nicht übertrieben.

Genau so ist das gedacht und anders geht es nicht.

[Zapad]

nun ja, ich habe Regel:

IP4/6 UDP>ports>Gateway und IP4/6 TCP>ports>Gateway, also pro udp und tcp

Summasumarum 4 Regel pro Vlan.

Bei Gateway Setting "Standard" schätze ich sind beide ip4 und 6 Gateways Drin.

[Patrick M. Hausen]

nun ja, ich habe Regel:

IP4/6 UDP>ports>Gateway und IP4/6 TCP>ports>Gateway, also pro udp und tcp

Summasumarum 4 Regel pro Vlan.

Dann ist das wohl so 

[JeGr]

nun ja, ich habe Regel:

IP4/6 UDP>ports>Gateway und IP4/6 TCP>ports>Gateway, also pro udp und tcp

Summasumarum 4 Regel pro Vlan.

Bei Gateway Setting "Standard" schätze ich sind beide ip4 und 6 Gateways Drin.

Das hat aber auch den Hintergrund, weil es - auch wenn es oft so genutzt wird - nicht zwangsläufig NUR ein Gateway pro IPAF (Adressfamilie) pro Interface gibt. Es gibt bspw. keinen Grund, dass man am WAN nicht auch zwei oder drei Gateway (IPs) haben könnte. Das ist dann zwar wieder seine ganz eigene Problemstellung (Stichwort reply-to und NAT etc.) aber möglich.

Ich stimme aber zu, dass es schön wäre eine Art "Alias" zu haben, was bei "WAN" automagisch die beiden IP4/6 GWs ausliest, die auch am Interface selbst konfiguriert sind, was ein vernünftiger Default wäre. Abweichend könnte man dann ja genauer spezifizieren wie jetzt auch.

Cheers

[Zapad]

@JwGr

Danke, du hast es verstanden, mögen die Entwickler es auch lesen....