4
OPNsense anderen IP Bereich erreichen (DMZ)
Ich habe noch mal ein Verständnisfrage:
Ich habe aktuell einen Proxmox PC auf dem interne und externe Dienste laufen, dies möchte ich ändern und die externen Dienste in eine DMZ verschieben.
An sich kein schweres Thema. Ich habe mir einen kleinen Mini PC besorgt, auf dem ebenfalls Proxmox (Proxmox_DMZ) läuft und die Telefonanlage etc.
Mein Hauptnetz + VLANs sind im 10/24er Bereich, die DMZ soll im 192/24er Netz sein, damit ich direkt weiß was DMZ ist und was nicht.
DMZ Port ist exakt wie der LAN Port eingerichtet, DCHP etc.
Mit VLANs soll man ja keine DMZ aufbauen, daher der extra Port.
Ich möchte nur aus dem LAN zum DMZ zugreifen können (fürs Laptop zum verwalten und meine GO-Box), durch die LAN any any Regel sollte dies doch ohne Probleme möglich sein, solange das Subnetz passt?
Aktuell bekomme ich nämlich keine Verbindung, das Firewall log zeigt keinen Block an.
Oder mache ich da einen Denkfehler?
Ich habe aktuell einen Proxmox PC auf dem interne und externe Dienste laufen, dies möchte ich ändern und die externen Dienste in eine DMZ verschieben.
An sich kein schweres Thema. Ich habe mir einen kleinen Mini PC besorgt, auf dem ebenfalls Proxmox (Proxmox_DMZ) läuft und die Telefonanlage etc.
Mein Hauptnetz + VLANs sind im 10/24er Bereich, die DMZ soll im 192/24er Netz sein, damit ich direkt weiß was DMZ ist und was nicht.
DMZ Port ist exakt wie der LAN Port eingerichtet, DCHP etc.
Mit VLANs soll man ja keine DMZ aufbauen, daher der extra Port.
Ich möchte nur aus dem LAN zum DMZ zugreifen können (fürs Laptop zum verwalten und meine GO-Box), durch die LAN any any Regel sollte dies doch ohne Probleme möglich sein, solange das Subnetz passt?
Aktuell bekomme ich nämlich keine Verbindung, das Firewall log zeigt keinen Block an.
Oder mache ich da einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4663884179
Url: https://administrator.de/contentid/4663884179
Printed on: April 25, 2024 at 00:04 o'clock
4 Comments
Latest comment
LAN any any Regel sollte dies doch ohne Probleme möglich sein, solange das Subnetz passt?
Richtig!Scheunentor ala Any any ist aber immer schlecht. Die solltest du zumindestens immer auf LAN_net Any anpassen! Du willst ja nicht das auch Geräte mit völlig fremder IP aus diesen Segmenten rauskönnen mit solchen offenen Scheunentoren! Wozu betreibst du sonst eine FW?!
Aktuell bekomme ich nämlich keine Verbindung
Bedenke das immer "First match wins" gilt beim Regelwerk. Der erste positive Hit bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge zählt also!Vielleicht fehlendes oder falsches Gateway der DMZ Geräte? Nutze sonst die Paket Capture Funktion zum Troubleshooting auf der FW.
1
Ich schaue heute Abend mal, danke für die Tipps.
Aktuell habe ich halt überhaupt keinen Zugriff auf den DMZ Proxmox, da müsste ich sonst erstmal einen Switch zwischen Klemmen damit ich da mit dem Laptop zwischen komme.
Aktuell habe ich halt überhaupt keinen Zugriff auf den DMZ Proxmox, da müsste ich sonst erstmal einen Switch zwischen Klemmen damit ich da mit dem Laptop zwischen komme.
Hi,
schau mal nach ob auf den Interfaces noch eine block private networks oder block RFC 1918 networks Einstellung aktiviert ist, wenn ja: disable das.
Erstelle alls allereste Regel: Block von Hauptnetz nach DMZ und Log.
Dann versuche mit deinem Lapotop aus dem Hauptnetz auf ein Gerät in der DMZ zuzugreifen. Darf nicht funktionieren.
Wenn du diesen Zugriffsversuch im Log findest, weißt du daß der Zugriff durch die Firewall und auf die richtige Regel funktioniert.
Dann ändere die Regel von Block nach Allow und Teste wieder und kontrolliere das Log.
damit kannst du den Fehler eingrenzen.
Gruß
CH
schau mal nach ob auf den Interfaces noch eine block private networks oder block RFC 1918 networks Einstellung aktiviert ist, wenn ja: disable das.
Erstelle alls allereste Regel: Block von Hauptnetz nach DMZ und Log.
Dann versuche mit deinem Lapotop aus dem Hauptnetz auf ein Gerät in der DMZ zuzugreifen. Darf nicht funktionieren.
Wenn du diesen Zugriffsversuch im Log findest, weißt du daß der Zugriff durch die Firewall und auf die richtige Regel funktioniert.
Dann ändere die Regel von Block nach Allow und Teste wieder und kontrolliere das Log.
damit kannst du den Fehler eingrenzen.
Gruß
CH
1Zitat von @ChriBo:
Hi,
schau mal nach ob auf den Interfaces noch eine block private networks oder block RFC 1918 networks Einstellung aktiviert ist, wenn ja: disable das.
Erstelle alls allereste Regel: Block von Hauptnetz nach DMZ und Log.
Dann versuche mit deinem Lapotop aus dem Hauptnetz auf ein Gerät in der DMZ zuzugreifen. Darf nicht funktionieren.
Wenn du diesen Zugriffsversuch im Log findest, weißt du daß der Zugriff durch die Firewall und auf die richtige Regel funktioniert.
Dann ändere die Regel von Block nach Allow und Teste wieder und kontrolliere das Log.
damit kannst du den Fehler eingrenzen.
Gruß
CH
Hi,
schau mal nach ob auf den Interfaces noch eine block private networks oder block RFC 1918 networks Einstellung aktiviert ist, wenn ja: disable das.
Erstelle alls allereste Regel: Block von Hauptnetz nach DMZ und Log.
Dann versuche mit deinem Lapotop aus dem Hauptnetz auf ein Gerät in der DMZ zuzugreifen. Darf nicht funktionieren.
Wenn du diesen Zugriffsversuch im Log findest, weißt du daß der Zugriff durch die Firewall und auf die richtige Regel funktioniert.
Dann ändere die Regel von Block nach Allow und Teste wieder und kontrolliere das Log.
damit kannst du den Fehler eingrenzen.
Gruß
CH
So hats geklappt, vielen Dank. Lag auch mit an der Reihenfolge, da stolpere ich aktuell immer mal wieder drüber...
