GästeNetzwerk einschränken

[Micky]

Hallo @all,

betreibe seit einigen Monaten OPNsense (17.1.4) auf einer APU2C4. Alles läuft stabil und zuverlässig. Nun habe ich eine seperates GästeLAN auf der OPT1 eingerichtet und diverse Regeln formuliert.

Leider funktionieren diese nicht so wie sie sollen... Ich möchte den Zugriff auf das LAN Netzwerk verhinden, trotz der dazugehörigen Regel kann ich aus dem GästeNetzwerk auf LAN-Geräte zugreifen. Könnte mal jemand nen Blick drauf werfen, wo der Fehler liegen könnte? Steh grad bissl auf dem Schlauch... Danke

Grüße M.

[fabian]

Was sein könnte, ist, dass du über den Proxy rüber kommst.

[Micky]

Mhmm, ich dachte immer die Regeln werden von oben -> unten abgearbeitet?

Hättest du zufällig ne Idee, wie ich das trotz WebProxy lösen könnte?

Grüße M.

[fabian]

Würde in den NAT-Regeln einfach keine Ziele nach RFC1918 umleiten. Die Regeln werden ja von oben nach unten abgearbeitet aber das Ziel ist ja 127.0.0.1 und nicht das LAN da du ja ein DNAT hast.

[Micky]

Danke für den Tipp bzgl. RFC1918. Kannst du mir verraten, wo ich die Option finde? :-) werd es dann testen und berichten.

Grüße M.

[Micky]

Fabian? Kannst du mir sagen, wo/wie ich die von dir angesprochene NAT Regel anlegen kann?

Ich habe heut noch noch etwas rumprobiert. An der OPT1 Schnittstelle hängt per PowerLAN WLAN Adapter (dlan pro wireless+) ein kleiner raspberry (per LAN direkt am Adapter angebunden). Wenn ich mich per SSH auf dem pi anmelde kann ich die Regeln per Ping prüfen und generell scheinen Sie hier zu funktionieren. Dieser PowerLAN WLAN Adapter bietet gleichzeitig den Zugang per GästeWLAN. Und komischerweise greifen die Regeln für alle hier angemeldeten Clients nicht. Jemand eine Idee?

Danke und Grüße M.

[monstermania]

Hallo Micky,
ich habe mein Gäste-WLAN wie folgt eingeschränkt (siehe Screenshots)
1. Alias für RFC1918 Netzwerke eingerichtet
2. FW Regel, die den Zugriff auf  RFC1918-Netzwerke blockt im Gäste-WLAN eingerichtet

Scheint soweit auch Alles zu funktionieren.

Gruß
Dirk

[fabian]

ja, mit transparentem proxy brauchst du aber noch eine no-rdr Regel in den Portweiterleitungen für RFC1918 Adressen

[Micky]

@dirk: vielen Dank, habe die Aliases und die Regel angelegt, Symptom bleibt das Gleiche wie vorher...
@fabian: wie müsste denn die Regel ausschauen?

Grüße M.

[Micky]

Nachtrag:

habe folgende Regel erstellt:
Kein-RDR aktiviert, OPT-Schnittstelle -> Source OPT Schnittstelle Netzwerk -> Target RFC1918 Aliases (Ports+Protokolle = any)

Ergebnis: scheint zu funktionieren... Passt die Regel?

Grüße M.

[fabian]

ja, die regel passt - wenn du noch die ports einstellst, hat das Ganze weniger Nebenwirkungen

[Micky]

was meinst du mit "Nebenwirkungen"?

[fabian]

das du NAT für Dinge deaktivierst, die du ursprünglich nicht wolltest.
Wenn unter dieser Regel eine kommt eine andere Regel kommt, die dadurch nie zum Zug kommt aber eigentlich gewollt ist.

[Micky]

ok, danke für die Info.

[Micky]

Leider zu früh gefreut. Irgendwo ist hier noch der Wurm drin, könnt bitte jemand nochmal nen Blick auf die NAT Regeln und die Regeln der OPT1 werfen?