Über VLAN ins Internet - Leider nicht erreichbar

[BeTZe313]

Hallo Zusammen,
ich stehe gerade etwas aufm Schlauch. Ich habe bei mir folgende Konfiguration:
OPNsense mit WAN und LAN. Darauf habe ich zwei VLAN (5 und 93)  eingerichtet.

Ich möchte jetzt mit den PCs aus den beiden VLAN ins Internet. Das funktioniert leider nicht. Der PC der im IP Bereich der OPNsense hängt, kommt ins Internet.

Ich habe jetzt schon verschiedene Regeln probiert. Z.B.

Interface: WAN
Direction: in
TCP: IPv4
Protocol: any
Source: VLAN5_net
Destination: any

oder

Interface: VLAN5
Direction: in
TCP: IPv4
Protocol: any
Source: VLAN5_net
Destination: any

Leider bei allem kein Erfolg. Ich frage mich aktuell auch, über welches Inteface muss ich die Regel erstellen?

Kann mir da jemand ein paar Tipps geben?

Danke im voraus

[meyergru]

Du musst eigentlich nur eine "Allow all"-Regeln analog der für das LAN-Interface machen. Da ist aber jede Form von IP erlaubt, nicht nur TCP, wie in Deinem zweiten Beispiel.

Zusätzlich muss natürlich outbound NAT konfiguriert sein, aber das wird normalerweise durch die automatischen Regeln erledigt.

Bekommen die PCs denn per DHCP IPs zugewiesen und können sie DNS auflösen? Will sagen: Funktioniert Deine VLAN-Konfiguration überhaupt? Es hört sich ja so an, als würdest Du über das LAN-Interface getaggten und ungetaggten Traffic machen - das sollte man bei FreeBSD nicht.

[Zapad]

an WAN musst du nix konfigurieren.

hast du die Pc's direkt an der Sense? doch hoffentlich nicht, denn die Sense kann nur Tagged Vlan.


es sollte ein switch zwischen sein der 1x tagged vlans zur Sense hat und Ports mit untag Vlan zu den Clients.


Auf der Sense als erstes je vlan eine any any pass regel.


DHCP sollte Sense's Vlan IP an die Clients als Gateway verteilen.

[BeTZe313]

Also die beiden PCs hängen an einem Switch. Der an der OPNsense.
Die beiden PCs bekommen jeweils von den VLANs ihr IPs.

Muss ich die Regel dann im jeweiligen VLAN eintragen?

[Zapad]

ja genau, als esrstes "alles erlauben" Regel bei Vlans und bei interfaces>diagnose kannst du pings auf die PC/etc. probieren.

[BeTZe313]

Habe ich jetzt gemacht. Folgende Regel habe ich bei VLAN5 erstellt:
Interface: VLAN5
Direction: in
TCP: IPv4
Protocol: any
Source: VLAN5_net
Destination: any

Damit klappt es. Allerdings komme ich so auch in alle anderen Netze. Was muss ich denn tun, damit ich es auf den Zugang ins Internet beschränke?
Wenn ich bei Destination WAN_net oder WAN_Address nehme, funktioniert es nicht mehr

[Patrick M. Hausen]

Du legst dir einen Alias an, der die anderen Netze enthält und ersetzt "any" in der Destination durch "!mein_alias".

[viragomann]

WAN_net ist eben nur das am WAN definierte Subnetz, WAN_address ist die WAN IP.

Du must die Destination alles erlauben, außer auf deine Subnetze.
Das kannst du machen, indem du eine Blockregel dafür oberhalb der allow-any setzt oder die Funktion der Destination umkehrst, damit nur andere erlaubt sind, was ich eleganter finde.

Um hierbei auf nach späteren eventuellen Änderungen im lokalen Netzwerk auf der sicheren Seite zu sein, empfiehlt es sich, einen Alias für sämtliche private Netzwerkbereiche anzulegen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Ich nenne diesen naheliegend RFC1918.

Dann kannst du diesen in der Pass-Regel als Destination mit "Destination / Invert" angehakt verwenden, um nur andere Ziele als private Subnetze zu erlauben.
Alternativ kannst du ihn in einer Block-Regel verwenden.

Für den Fass, dass du den DNS Server auf der OPNsense nutzt, bedenke, dass dies dann eine zusätzliche Regel benötigt.