9
Hilfe bei Firewall-Konfiguration (OPNSense)
Guten Abend,
es geht um folgende Konstellation:
Ich habe mittels Hyper-V mehrere virtuelle Systeme in einem VLAN untergebracht.
Dabei handelt es sich um einen Client (Win10) und einen Server (WinServer2019).
Diese beiden Systeme befinden sich also im VLAN und können dementsprchend nicht mit meinem richtigen Netzwerk kommunizieren. Der Server macht im VLAN u.a. DHCP.
Dann habe ich noch eine OPNSense Firewall (ebenfalls virtuell), welche sowohl das VLAN (192.168.2.0) als Interface hat, als auch mein "richtiges" Netzwerk mit Router etc. (192.168.0.0).
Das VLAN ist an der Firewall bereits als LAN-Interface angelegt, und das Haupt-Netz als WAN-Interface.
Jetzt besteht die Herausforderung darin, dass der Client und der Server aus dem Subnetz mit dem Internet verbunden sind, jedoch keine Verbindung zu den den anderen Geräten in meinem Haupt-Netz aufbauen können.
Hintergrund ist, dass dieses System später noch erweitert, und dann bestimmte Malware-Arten darin getestet werden sollen. Diese Malware-Arten verbinden sich zwangsweise zum Internet, damit sie funktionieren. Allerdings sollen sie natürlich nicht die Geräte im richtigen Netz in Mitleidenschaft ziehen, daher das Subnetz.
Die Datenpakete von den Geräten im VLAN müssen also direkt zum Router / Gateway im Haupt-Netz geleitet werden.
Ist das möglich?
VG
Eugen
es geht um folgende Konstellation:
Ich habe mittels Hyper-V mehrere virtuelle Systeme in einem VLAN untergebracht.
Dabei handelt es sich um einen Client (Win10) und einen Server (WinServer2019).
Diese beiden Systeme befinden sich also im VLAN und können dementsprchend nicht mit meinem richtigen Netzwerk kommunizieren. Der Server macht im VLAN u.a. DHCP.
Dann habe ich noch eine OPNSense Firewall (ebenfalls virtuell), welche sowohl das VLAN (192.168.2.0) als Interface hat, als auch mein "richtiges" Netzwerk mit Router etc. (192.168.0.0).
Das VLAN ist an der Firewall bereits als LAN-Interface angelegt, und das Haupt-Netz als WAN-Interface.
Jetzt besteht die Herausforderung darin, dass der Client und der Server aus dem Subnetz mit dem Internet verbunden sind, jedoch keine Verbindung zu den den anderen Geräten in meinem Haupt-Netz aufbauen können.
Hintergrund ist, dass dieses System später noch erweitert, und dann bestimmte Malware-Arten darin getestet werden sollen. Diese Malware-Arten verbinden sich zwangsweise zum Internet, damit sie funktionieren. Allerdings sollen sie natürlich nicht die Geräte im richtigen Netz in Mitleidenschaft ziehen, daher das Subnetz.
Die Datenpakete von den Geräten im VLAN müssen also direkt zum Router / Gateway im Haupt-Netz geleitet werden.
Ist das möglich?
VG
Eugen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5634971045
Url: https://administrator.de/contentid/5634971045
Printed on: May 6, 2024 at 14:05 o'clock
9 Comments
Latest comment
Servus,
Ja, lass die OpnSense NAT machen (Default) und verbiete obendrein mit einer Regel noch den Verkehr vom LAN ins WAN Netz.
Gruß,
Avoton
Ja, lass die OpnSense NAT machen (Default) und verbiete obendrein mit einer Regel noch den Verkehr vom LAN ins WAN Netz.
Gruß,
Avoton
1
Ja ist möglich.
1
Zitat von @Avoton:
Servus,
Ja, lass die OpnSense NAT machen (Default) und verbiete obendrein mit einer Regel noch den Verkehr vom LAN ins WAN Netz.
Gruß,
Avoton
Servus,
Ja, lass die OpnSense NAT machen (Default) und verbiete obendrein mit einer Regel noch den Verkehr vom LAN ins WAN Netz.
Gruß,
Avoton
Nabend, das klingt ja gut!
Also dann NAT vom VLAN zum Gateway des Haupt-Netzes?
Besten Dank schonmal!
VG
Wenn du die OpnSense noch mit Defaults laufen hast, stellt sie das LAN Netz schon hinter das NAT Richtung WAN.
Gruß, Avoton
Gruß, Avoton
Vielleicht hilft dir die VmWare Lösung zum Troubleshooting:
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Zitat von @Avoton:
Wenn du die OpnSense noch mit Defaults laufen hast, stellt sie das LAN Netz schon hinter das NAT Richtung WAN.
Gruß, Avoton
Wenn du die OpnSense noch mit Defaults laufen hast, stellt sie das LAN Netz schon hinter das NAT Richtung WAN.
Gruß, Avoton
Moin, danke.
Ja, das tut sie aktuell schon. Allerdings kann ich so auch mit den Geräten aus dem VLAN alle Geräte im "richtigen" Netzwerk erreichen. Wenn ich also später tatsächlich einen Virus o.ä. im VLAN habe, kann dieser auch die Geräte im richtigen Netz befallen.
Daher muss ich das irgendwie hinbekommen, dass aus dem VLAN nur direkt das Gateway des richtigen Netzes angesprochen werden darf, und alle Anfragen Richtung Internet dorthin geleitet werden.
Firewall Regeln heisst hier das magische Zauberwort!!! Damit macht man die Schotten dicht und ist ja bekanntlich auch der tiefere Sinn einer Firewall... 😉
Zitat von @virtual143:
Daher muss ich das irgendwie hinbekommen, dass aus dem VLAN nur direkt das Gateway des richtigen Netzes angesprochen werden darf, und alle Anfragen Richtung Internet dorthin geleitet werden.
Daher muss ich das irgendwie hinbekommen, dass aus dem VLAN nur direkt das Gateway des richtigen Netzes angesprochen werden darf, und alle Anfragen Richtung Internet dorthin geleitet werden.
Hatte ich ja anfangs geschrieben und Kollege @aqui hat es auch erwähnt: Firewallregeln sind hier die Lösung ;)
Du brauchst auf dem LAN Interface eine Regel, die alle Pakete, die ins WAN Netz zielen, verwirft.
Zitat von @Avoton:
Hatte ich ja anfangs geschrieben und Kollege @aqui hat es auch erwähnt: Firewallregeln sind hier die Lösung ;)
Du brauchst auf dem LAN Interface eine Regel, die alle Pakete, die ins WAN Netz zielen, verwirft.
Zitat von @virtual143:
Daher muss ich das irgendwie hinbekommen, dass aus dem VLAN nur direkt das Gateway des richtigen Netzes angesprochen werden darf, und alle Anfragen Richtung Internet dorthin geleitet werden.
Daher muss ich das irgendwie hinbekommen, dass aus dem VLAN nur direkt das Gateway des richtigen Netzes angesprochen werden darf, und alle Anfragen Richtung Internet dorthin geleitet werden.
Hatte ich ja anfangs geschrieben und Kollege @aqui hat es auch erwähnt: Firewallregeln sind hier die Lösung ;)
Du brauchst auf dem LAN Interface eine Regel, die alle Pakete, die ins WAN Netz zielen, verwirft.
Okay danke
