24
DMZ mit pfSense ohne Interface-Assignment
Hallo zusammen,
mir stellt sich ein etwas kniffeliges Problem, bei dem ich Hilfe benötige.
Ich habe folgende Ausgangssituation:
FB7490 als DSL-Router (LAN1) <-> (WAN)pfsense (LAN) <-> Netgear JGS524PE <-> LAN,WLAN-APs
Die pfSense läuft auf einem APU4-Board, das dritte Netzwerk-Interface ist aktuell unbelegt.
In der pfSense-Firewall habe ich einige Aliase und Regeln für die LAN-Clients angelegt, alles funktioniert.
Nun möchte ich einige Clients in eine DMZ packen und vom restlichen LAN abtrennen. Sie sollen uneingeschränkt ins Internet dürfen, aber eben keinen Kontakt zu den anderen LAN-Clients (inklusive der pfSense) herstellen dürfen.
Da die angedachten DMZ-Clients mehrheitlich WLAN-Geräte sind, macht ein Assignment des freien Netzwerk-Interfaces nach meiner Vorstellung hier keinen Sinn.
Im LAN läuft unter anderem auch ein piHole-Docker-Image, auf das die DNS-Anfragen der LAN-Clients per DHCP-Server der pfSense umgeleitet werden.
Das soll für die Clients der DMZ auch unterbleiben, d.h. diese sollen bspw. 9.9.9.9 o.Ä. als DNS-Server per DHCP bekommen.
Könnte mir jemand einen Tip, gerne auch als Lesestoff, geben, wie ich das realisieren kann ?
mir stellt sich ein etwas kniffeliges Problem, bei dem ich Hilfe benötige.
Ich habe folgende Ausgangssituation:
FB7490 als DSL-Router (LAN1) <-> (WAN)pfsense (LAN) <-> Netgear JGS524PE <-> LAN,WLAN-APs
Die pfSense läuft auf einem APU4-Board, das dritte Netzwerk-Interface ist aktuell unbelegt.
In der pfSense-Firewall habe ich einige Aliase und Regeln für die LAN-Clients angelegt, alles funktioniert.
Nun möchte ich einige Clients in eine DMZ packen und vom restlichen LAN abtrennen. Sie sollen uneingeschränkt ins Internet dürfen, aber eben keinen Kontakt zu den anderen LAN-Clients (inklusive der pfSense) herstellen dürfen.
Da die angedachten DMZ-Clients mehrheitlich WLAN-Geräte sind, macht ein Assignment des freien Netzwerk-Interfaces nach meiner Vorstellung hier keinen Sinn.
Im LAN läuft unter anderem auch ein piHole-Docker-Image, auf das die DNS-Anfragen der LAN-Clients per DHCP-Server der pfSense umgeleitet werden.
Das soll für die Clients der DMZ auch unterbleiben, d.h. diese sollen bspw. 9.9.9.9 o.Ä. als DNS-Server per DHCP bekommen.
Könnte mir jemand einen Tip, gerne auch als Lesestoff, geben, wie ich das realisieren kann ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 610318
Url: https://administrator.de/contentid/610318
Ausgedruckt am: 16.11.2024 um 09:11 Uhr
24 Kommentare
Neuester Kommentar
Das ist nicht wirklich knifflig sondern eine einfache Lachnummer.. 
Wenn du kein weiteres Hardware Interface verbraten willst dann ist ein VLAN dein bester Freund ! Dein Switch ist VLAN fähig also ist das im Handumdrehen umgesetzt.
Dieses Tutorial erklärt dir wie du das einfach und schnell realisierst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn du kein weiteres Hardware Interface verbraten willst dann ist ein VLAN dein bester Freund ! Dein Switch ist VLAN fähig also ist das im Handumdrehen umgesetzt.
Dieses Tutorial erklärt dir wie du das einfach und schnell realisierst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo aqui,
Danke für die flinke Reaktion.
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn, da ich dann ja de facto alle WLAN-APs per weiterem Switch an diesen Port anschliessen müsste und somit auch die "normalen" Clients damit geschlagen würden ...
Gibt es keine Möglichkeit, eine Gruppe aller betreffenden MACs zu erstellen? Mein Ziel ist, das für die DMZ-Clients keine besonderen FW-Regeln gelten sollen und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Danke für die flinke Reaktion.
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn, da ich dann ja de facto alle WLAN-APs per weiterem Switch an diesen Port anschliessen müsste und somit auch die "normalen" Clients damit geschlagen würden ...
Gibt es keine Möglichkeit, eine Gruppe aller betreffenden MACs zu erstellen? Mein Ziel ist, das für die DMZ-Clients keine besonderen FW-Regeln gelten sollen und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn
Da hast du recht, deshalb ja auch VLANs ! und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Ja das geht natürlich.Du hast ja sicher den DNS der pfSense hoffentlich als DNS Resolver eingestellt und NICHT als Forwarder ?!
Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ansonsten fragt die pfSense niemals den konfigurierten DNS Server sondern immer nur die DNS Root Server.
Als DNS Server gibst du dann in General Setup deinen PiHole an und fertig ist der Lack !
Die pfSense ist dann DNS Resolver und schickt alle DNS Anfragen die sie bekommt weiter an den PiHole.
Simpler Standard !
Mac Adressen sind wenig Hilfreich im WLAN Bereich. Moderne Smartphones benutzen in der Regel alle einen Mac Adress Anonymisier Algorithmus der immer zufällige Mac Adressen sendet.
Da machen dann Mac Adress Filter logischerweise sehr wenig Sinn.
https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Prob ...
Hallo aqui,
kurze Zwischenfrage (da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil): Ich betreibe die pfSense als DNS Resolver. Ist das gut oder schlecht ?
Und wie trenne ich denn jetzt Smartphone A (soll in DMZ) und Smartphone B (soll nicht in DMZ), die sich am gleichen AP anmelden ?
kurze Zwischenfrage (da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil): Ich betreibe die pfSense als DNS Resolver. Ist das gut oder schlecht ?
Und wie trenne ich denn jetzt Smartphone A (soll in DMZ) und Smartphone B (soll nicht in DMZ), die sich am gleichen AP anmelden ?
Moin,
entweder über eigene SSIDs oder über Mac-basierte VLAN-Zuweisung.
Such dir was aus...
VG
entweder über eigene SSIDs oder über Mac-basierte VLAN-Zuweisung.
Such dir was aus...
VG
Hallo BirdyB,
Mac-basierte VLAN-Zuweisung klingt so, wie ich mir das vorgestellt habe.
Wie könnte ich das mit der pfSense realisieren, d.h. wie ordne ich die MACs dem VLAN zu ?
Grüße
RV.
Edit: Ich habe gerade das hier gefunden:
https://forum.netgate.com/topic/153762/mac-address-based-vlan-project-su ...
Ich werde das durcharbeiten und wieder berichten.
Mac-basierte VLAN-Zuweisung klingt so, wie ich mir das vorgestellt habe.
Wie könnte ich das mit der pfSense realisieren, d.h. wie ordne ich die MACs dem VLAN zu ?
Grüße
RV.
Edit: Ich habe gerade das hier gefunden:
https://forum.netgate.com/topic/153762/mac-address-based-vlan-project-su ...
Ich werde das durcharbeiten und wieder berichten.
da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil
Sorry, freudscher Versprecher ! 
Ist korrigiert.Resolver UND mit aktiviertem Haken bei Enabling Forwarding Mode ist natürlich absolut richtig !
Die Mac basierte VLAN Zuweisung wäre natürlich ideal erfordert aber auch entsprechende Accesspoints die das können. Zudem musst du einen Radius Server im Netz haben was aber die pfSense natürlich auch kann.
Wie das alles inkl. pfSense Radius geht erklärt dir dieses Forentutorial im Detail:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Es klappt aber natürlich auch alles mit der einfachen statischen VLAN Zuweisung.
Hallo aqui,
leider scheitert es in jedem Fall an den VLAN-fähigen AccessPoints (und in neue Hardware wollte ich eigentlich nicht im größeren Stil investieren, zumal die MACs, wie Du bereits schriebst, ja änderlich sein können).
Und ein Gast-WLAN via entsprechender SSID hilft ja auch nicht weiter, da ich dann die IPs, die die APs vergeben, entsprechend durch die pfSense routen müsste, während die APs selber ja vom DHCP ihre "normale" IP aus meinem DHCP-Bereich bekommen ...
Ich überlege mal weiter.
Trotzdem bis hierhin danke für Deine Tips.
leider scheitert es in jedem Fall an den VLAN-fähigen AccessPoints (und in neue Hardware wollte ich eigentlich nicht im größeren Stil investieren, zumal die MACs, wie Du bereits schriebst, ja änderlich sein können).
Und ein Gast-WLAN via entsprechender SSID hilft ja auch nicht weiter, da ich dann die IPs, die die APs vergeben, entsprechend durch die pfSense routen müsste, während die APs selber ja vom DHCP ihre "normale" IP aus meinem DHCP-Bereich bekommen ...
Ich überlege mal weiter.
Trotzdem bis hierhin danke für Deine Tips.
OK, dann wird das natürlich nix mit dynamischen VLANs via Mac Adresse und dann bleibt es beim ganz normalen statischen VLAN auf pfSense und Switch in das du dann deine DMZ APs (WLAN) hängst.
Das ist ja dann in 5 Minuten mit deinen Komponenten problemlos erledigt !
Zudem machst du einen gehörigen Denkfehler hier, denn deine APs vergeben niemals aktiv DHCP Adressen an Clients. Die arbeiten ganz normal als doofe transparente Bridge zwischen LAN und WLAN (sollten sie wenigstens !) und die DHCP IP Adressen vergibt immer der DHCP Server auf der pfSense. Da hast du also was mit der IP DHCP Adressierung gründlich missverstanden oder bei dir völlig falsch konfiguriert ?!
Die IP Adresse des APs hat einzig und allein rein nur Management Funktion und dient lediglich dazu das der AP einen Management Zugang hat. Mit den IP Adressen der Clients sollte ein AP logischerweise niemals etwas zu tun haben. Wäre ja auch völlig sinnfrei weil du dann ja auf jedem AP einen DHCP Server haben müsstest die dann völlig unkontrolliert IP Adressen vergeben. IP Adress Chaos wäre dann vorprogrammiert. Kein normal denkender Netzwerker würde so einen Unsinn machen. APs arbeiten immer als einfache Bridge.
Das ist ja dann in 5 Minuten mit deinen Komponenten problemlos erledigt !
Zudem machst du einen gehörigen Denkfehler hier, denn deine APs vergeben niemals aktiv DHCP Adressen an Clients. Die arbeiten ganz normal als doofe transparente Bridge zwischen LAN und WLAN (sollten sie wenigstens !) und die DHCP IP Adressen vergibt immer der DHCP Server auf der pfSense. Da hast du also was mit der IP DHCP Adressierung gründlich missverstanden oder bei dir völlig falsch konfiguriert ?!
Die IP Adresse des APs hat einzig und allein rein nur Management Funktion und dient lediglich dazu das der AP einen Management Zugang hat. Mit den IP Adressen der Clients sollte ein AP logischerweise niemals etwas zu tun haben. Wäre ja auch völlig sinnfrei weil du dann ja auf jedem AP einen DHCP Server haben müsstest die dann völlig unkontrolliert IP Adressen vergeben. IP Adress Chaos wäre dann vorprogrammiert. Kein normal denkender Netzwerker würde so einen Unsinn machen. APs arbeiten immer als einfache Bridge.
Hallo aqui,
Du hast natürlich recht, ich habe das vermutlich missverständlich ausgedrückt. Mit "IP-Adresse des AP" meinte ich zunächst mal die, welche der AP selber aktuell (noch) vom DHCP der pfSense aus dem dafür vorgesehenen Block zugewiesen bekommt, ich meinte nicht die IPs, die an die WLAN-Clients vergeben werden.
Eigentlich wollte ich ja keine neue HW beschaffen, sondern die bestehenden APs weiter nutzen, und zwar dergestalt, dass sich eben am gleichen AP sowohl WLAN-Clients der DMZ als auch des "normalen" LAN anmelden können und enstprechend getrennt behandelt werden (IP-Netz, DNS usw.)
Da ich allerdings noch einen kleinen VLAN-fähigen Netgear-Switch und einen Repeater/AP in der Grabbelkiste habe, werde ich das erst mal so versuchen.
Danke für Deine Infos!
Grüße
RV.
Du hast natürlich recht, ich habe das vermutlich missverständlich ausgedrückt. Mit "IP-Adresse des AP" meinte ich zunächst mal die, welche der AP selber aktuell (noch) vom DHCP der pfSense aus dem dafür vorgesehenen Block zugewiesen bekommt, ich meinte nicht die IPs, die an die WLAN-Clients vergeben werden.
Eigentlich wollte ich ja keine neue HW beschaffen, sondern die bestehenden APs weiter nutzen, und zwar dergestalt, dass sich eben am gleichen AP sowohl WLAN-Clients der DMZ als auch des "normalen" LAN anmelden können und enstprechend getrennt behandelt werden (IP-Netz, DNS usw.)
Da ich allerdings noch einen kleinen VLAN-fähigen Netgear-Switch und einen Repeater/AP in der Grabbelkiste habe, werde ich das erst mal so versuchen.
Danke für Deine Infos!
Grüße
RV.
Hi,
welche APs verwendest du denn?
VG
welche APs verwendest du denn?
VG
werde ich das erst mal so versuchen.
Extra Switch brauchst du doch gar nicht. Deine aktuell verwendete NetGear Gurke kann das doch auch ?!Aber wenn du einen über hast zum Spielen und Testen kannst du das Setup natürlich viel entspannter ausprobieren als am Livenetz.
Übrigens....
Sooo teuer sind APs die mehrere SSIDs (MSSID) können nun auch wieder nicht:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Darüber rumzuheulen statt schnell zu tauschen und bequem beide Netze zu nutzen ist eigentlich überflüssig...aber nundenn.
Hallo BirdyB,
bisher AVM-Repeater 1750.
bisher AVM-Repeater 1750.
Kann keine MSSIDs, kannst du vergessen !
Hallo aqui,
ich weiß, leider bietet der Netgear-Switch auch keine Möglichkeit, VLAN-IDs nach MAC-Adressen zu vergeben.
Ich werde heute abend probehalber mal das Gast-WLAN eines AP einschalten, soweit ich weiß, vergibt dieses standardmässig 192.168.179.1/24-Adressen, allerdings nur, wenn die Repeater direkt mit der FB verbunden sind.
Ist denn sicher, dass bspw. ein Unifi AP AC Pro das MAC-basierte VLAN-Tagging kann ?
ich weiß, leider bietet der Netgear-Switch auch keine Möglichkeit, VLAN-IDs nach MAC-Adressen zu vergeben.
Ich werde heute abend probehalber mal das Gast-WLAN eines AP einschalten, soweit ich weiß, vergibt dieses standardmässig 192.168.179.1/24-Adressen, allerdings nur, wenn die Repeater direkt mit der FB verbunden sind.
Ist denn sicher, dass bspw. ein Unifi AP AC Pro das MAC-basierte VLAN-Tagging kann ?
Okay, dann wird das wohl nix. Manche Geräte hättest du mit openWRT flashen können, dann hätte MSSID auch funktioniert.
Hallo BirdyB,
ich habe noch diesen Repeater in der Grabbelkiste:
https://openwrt.org/toh/avm/avm_fritz_wlan_repeater_450e
Wäre es damit möglich, den Traffic von und zu bestimmten MACs direkt "auf dem AP" mit einer VLAN-ID zu taggen ?
ich habe noch diesen Repeater in der Grabbelkiste:
https://openwrt.org/toh/avm/avm_fritz_wlan_repeater_450e
Wäre es damit möglich, den Traffic von und zu bestimmten MACs direkt "auf dem AP" mit einer VLAN-ID zu taggen ?
Hi Ricky99,
das könnte so klappen, siehe auch hier: https://oldwiki.archive.openwrt.org/doc/howto/wireless.security.8021x
VG
das könnte so klappen, siehe auch hier: https://oldwiki.archive.openwrt.org/doc/howto/wireless.security.8021x
VG
Hallo zusammen,
leider hänge ich auf halber Strecke.
Ich habe mich zunächst mal für eine "normale" Variante ohne FreeRadius entschieden.
Plan:
Port 24 vom JGS524PE als VLAN10 taggen.
In der pfSense habe ich ein entsprechendes VLAN angelegt, aktiviert und den DHCP-Server hierfür aktiviert.
Nun scheitere ich daran, Port 24 des Switches entsprechend zu taggen.
Ich habe das hier gelesen:
https://kb.netgear.com/30919/How-to-configure-VLANs-on-a-ProSAFE-Web-Man ...
Leider hängt es bei den PVID, diese kriege ich leider nicht auf 10 für Port 24.
Darf Port 24 Mitglied in VLAN1 und VLAN10 sein ?
Wie muss ich diesen markieren jeweils für VLAN1 und VLAN10 markieren (bisher habe ich alle Ports ausßer 24 für VLAN1 untagged und für Port 24 für VLAN10 untagged)
Grüße
RV.
leider hänge ich auf halber Strecke.
Ich habe mich zunächst mal für eine "normale" Variante ohne FreeRadius entschieden.
Plan:
Port 24 vom JGS524PE als VLAN10 taggen.
In der pfSense habe ich ein entsprechendes VLAN angelegt, aktiviert und den DHCP-Server hierfür aktiviert.
Nun scheitere ich daran, Port 24 des Switches entsprechend zu taggen.
Ich habe das hier gelesen:
https://kb.netgear.com/30919/How-to-configure-VLANs-on-a-ProSAFE-Web-Man ...
Leider hängt es bei den PVID, diese kriege ich leider nicht auf 10 für Port 24.
Darf Port 24 Mitglied in VLAN1 und VLAN10 sein ?
Wie muss ich diesen markieren jeweils für VLAN1 und VLAN10 markieren (bisher habe ich alle Ports ausßer 24 für VLAN1 untagged und für Port 24 für VLAN10 untagged)
Grüße
RV.
Moin,
pro Port kann nur ein VLAN untagged sein, alle anderen VLANs an dem Port müssten dann tagged sein.
Bei Netgear musst du dann die PVID noch auf das untagged VLAN setzen.
VG
pro Port kann nur ein VLAN untagged sein, alle anderen VLANs an dem Port müssten dann tagged sein.
Bei Netgear musst du dann die PVID noch auf das untagged VLAN setzen.
VG
Hallo BirdyB,
das hab' ich versucht, es klappt nicht.
So sieht meine Konfiguration aus:
Was mache ich da falsch ?
das hab' ich versucht, es klappt nicht.
So sieht meine Konfiguration aus:
Was mache ich da falsch ?
Das ist auch Quatsch was du da auf dem Switch gemacht hast !
VLAN 1 bleibt immer unatgged, nur VLAN 10 ist getagged !
Also nochmal deine ToDos :
VLAN 1 bleibt immer unatgged, nur VLAN 10 ist getagged !
Also nochmal deine ToDos :
- VLAN 10 Interface auf der pfSense einrichten mit IP Adresse, DHCP Server und (wichtig) Regelwerk ! Halte dich da bitte genau an das hiesige Tutorial und setze alle dort beschrieben Schritte um: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
- Dann richtest du das VLAN 10 auf dem Switch ein und weist die Ports zu: Tagged auf dem Port der zur pfSense geht (VLAN 1 bleibt dabei UNtagged auf dem Port !)
- Einen Port am Switch richest du zusätzlich als UNtagged Endgeräte Port im VLAN 10 ein.
- Wenn du jetzte einen Test PC an diesem VLAN 10 Port anschliesst sollte der eine IP Adresse von der pfSense im VLAN 10 bekommen (ipconfig), die pfSense pingen können, eine IP Adresse im Internet (8.8.8.8) pingen können und auch einen Hostnamen wie z.B. www.heise.de.
- Wenn das alles klappt hast du alles richtig gemacht.
Hallo aqui,
Danke für Deine Reaktion.
Ich hatte es gestern noch hinbekommen, das Problem lag in der Konfiguration des Switches per WebIF, mit dem Prosafe Plus Utility ging's sofort. Komisch, aber der Punkt ist in Foren einige Male dokumentiert.
Nun läuft alles, ein an dem Port angeschlossener Client bekommt eine IP aus dem entsprechende Subnetz.
Nun hätte ich noch eine Frage:
Mein "LAN" hat 192.168.178.1/24, das hinzugefügte VLAN 192.168.177.1/24.
In der Firewall für das VLAN (OPT1-Interface) habe ich bisher nur eine Durchzugsregel
TCP IPv4 alles nach alles
eingebaut, aber der Client hat trotzdem keinen Internetzugang.
Woran könnte das liegen ?
Und mit welcher Regel stelle ich sicher, dass zwar 178.1/24 auf 177.1/24 Zugriff hat, aber nicht anders herum ?
Grüße
RV.
Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
Danke für Deine Reaktion.
Ich hatte es gestern noch hinbekommen, das Problem lag in der Konfiguration des Switches per WebIF, mit dem Prosafe Plus Utility ging's sofort. Komisch, aber der Punkt ist in Foren einige Male dokumentiert.
Nun läuft alles, ein an dem Port angeschlossener Client bekommt eine IP aus dem entsprechende Subnetz.
Nun hätte ich noch eine Frage:
Mein "LAN" hat 192.168.178.1/24, das hinzugefügte VLAN 192.168.177.1/24.
In der Firewall für das VLAN (OPT1-Interface) habe ich bisher nur eine Durchzugsregel
TCP IPv4 alles nach alles
eingebaut, aber der Client hat trotzdem keinen Internetzugang.
Woran könnte das liegen ?
Und mit welcher Regel stelle ich sicher, dass zwar 178.1/24 auf 177.1/24 Zugriff hat, aber nicht anders herum ?
Grüße
RV.
Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
👍
Gut wenn's nun wenigstens auf dem Switch rennt. Es sollte natürlich auch mit dem WebGUI laufen. Hier steht wie man es auf einer NetGear Gurke macht. Wichtig ist dort immer die Fummelei mit der PVID !!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bringe das erstmal so zum laufen das mit entsprechender "Scheunentor" Regel die Clients in beiden Netzen an der Firewall ins Internet kommen und auch untereinander erreichbar sind.
Erst wenn das fehlerfrei klappt passen wir die Regeln an !!
Immer strategisch vorgehen...!
Was war der Fehler ?? Klärst du uns noch auf ?? Könnte ja auch anderen helfen hier.
Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Gut wenn's nun wenigstens auf dem Switch rennt. Es sollte natürlich auch mit dem WebGUI laufen. Hier steht wie man es auf einer NetGear Gurke macht. Wichtig ist dort immer die Fummelei mit der PVID !!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
aber der Client hat trotzdem keinen Internetzugang. Woran könnte das liegen ?
Wenn du einen Client in deinem Client VLAN hast...- Was bekommt der für eine IP Adresse (ipconfig) ?
- Wenn diese stimmt und mit dem Clientnetz übereinstimmt kannst du dann die zum Netz gehörende Firewall IP pingen ?
- Kannst du aus dem Diagnostics Menü der Firewall unter Ping dein Eindgerät pingen wenn du als "Source IP" das entsprechende zum Client passende Firewall Interface angibst ? (Bedenke wenn der Client Winblows ist das du das ICMP_Protokoll _Ping)_freigibst in der Winblows Firewall !
Und mit welcher Regel stelle ich sicher,
Das machen wir immer erst später !!!Bringe das erstmal so zum laufen das mit entsprechender "Scheunentor" Regel die Clients in beiden Netzen an der Firewall ins Internet kommen und auch untereinander erreichbar sind.
Erst wenn das fehlerfrei klappt passen wir die Regeln an !!
Immer strategisch vorgehen...!
Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
Oooops zu spät gelesen...sorry ! Was war der Fehler ?? Klärst du uns noch auf ?? Könnte ja auch anderen helfen hier.
Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
