decker2022
Goto Top

OPNsense - Host über bestimmtes Gateway

Hallo
Ich habe eine Frage.
Meine Opnsense hat ein LAN mit dem Netz 192.168.188.0
und 3 WAN Schnittstellen die so eingerichtet sind, das im Falle eines Ausfalls eine der verbleibenden WAN's einspringt.

Ich habe aber einen bestimmten Host im LAN der ausschließlich, nur über eine bestimmte Gateway gehe soll.
Wir regel ich das am besten ?
Alle anderen dürfen erstmal alles.
Ich habe im Moment das mal so eingetragen, einen Alias wo die bestimmte IP eingetragen ist als Regel hinterlegt.
bildschirmfoto 2024-05-19 um 11.06.16

Content-ID: 43597397190

Url: https://administrator.de/contentid/43597397190

Ausgedruckt am: 19.12.2024 um 12:12 Uhr

Decker2022
Decker2022 19.05.2024 um 11:09:43 Uhr
Goto Top
Bist jetzt läuft das Internet nämlich weiter obwohl der WAN getrennt wird. Das sollte bei diesem Host ja eigentlich nicht sein.
Avoton
Avoton 19.05.2024 um 11:10:07 Uhr
Goto Top
Moin,

Wir regel ich das am besten ?

Genau wie im Bild.

3 WAN Schnittstellen die so eingerichtet sind, das im Falle eines Ausfalls eine der verbleibenden WAN's einspringt.

Wie ist das eingerichtet? Gateway Gruppe?
Dann musst du die anderen Rechner über die Firewall Regeln an die Gateway Gruppe zuweisen.

Gruß,
Avoton
Decker2022
Decker2022 19.05.2024 um 11:17:53 Uhr
Goto Top
Ja als gatewaygruppe
Also heist das, ich muss beigehen, eine weiteren Alias anlegen, dort die restlichen IP's hinterlegen und diesen dann die Gatewaygruppe zuweisen ?
Decker2022
Decker2022 19.05.2024 aktualisiert um 11:44:23 Uhr
Goto Top
So etwa ?
bildschirmfoto 2024-05-19 um 11.32.33
bildschirmfoto 2024-05-19 um 11.32.18
Weil da ist es so, das er (192.168.188.4) immer noch online kommt.
Ich habe hier testweise die erlaubte Gateway getrennt !
13034433319
13034433319 19.05.2024 aktualisiert um 12:24:05 Uhr
Goto Top
Moin.
Hat man dir doch hier schon geschrieben wie es korrekt geht ...

OpenSense mit 2 WAN und 2 LAN, Gateway festlegen

Gruß
Decker2022
Decker2022 19.05.2024 um 12:34:50 Uhr
Goto Top
Ähm, nein eigentlich nicht.
Ich will das NUR die ip 192.168.188.4, wenn sie ins Internet will ausschließlich die Telekom Gateway nimmt, unabhängig von deren Funktion.
Während alle anderen im LAN je nach Verfügbarkeit alle verwenden könnten.
Das was du gefunden hast bezog sich auf ein anderes Gerät und hat mit meinem hier rein gar nichts zu tun.
13034433319
13034433319 19.05.2024 aktualisiert um 13:32:45 Uhr
Goto Top
Zitat von @Decker2022:
Ich will das NUR die ip 192.168.188.4, wenn sie ins Internet will ausschließlich die Telekom Gateway nimmt, unabhängig von deren Funktion.
Jetzt stellst du dich aber echt an, dafür setzt du halt einfach nur zusätzlich zu den Settings wie im Beitrag nur noch die SRC/Quell IP in der Regel auf den Host 192.168.188.4 ... und die Regel ganz nach oben schieben, that's it!!

12b59f2869758d4aa46eda5b5a273105
Crusher79
Crusher79 19.05.2024 aktualisiert um 13:31:35 Uhr
Goto Top
So z.B. ....

LTE test mit Handy an FritzBox. Ist aber wie die Vorredner erwähnten egal was dahinter steht. GW einrichten und in der Policy hinterlegen. Fertig.

19-05-_2024_13-26-14


PS: Failover geht so auch. Hier bei mir ist es explizit keine Gruppe, sondern nur eine fixe Zurodnung.
Decker2022
Decker2022 19.05.2024 um 13:59:44 Uhr
Goto Top
Zitat von @13034433319:

Zitat von @Decker2022:
Ich will das NUR die ip 192.168.188.4, wenn sie ins Internet will ausschließlich die Telekom Gateway nimmt, unabhängig von deren Funktion.
Jetzt stellst du dich aber echt an, dafür setzt du halt einfach nur zusätzlich zu den Settings wie im Beitrag nur noch die SRC/Quell IP in der Regel auf den Host 192.168.188.4 ... und die Regel ganz nach oben schieben, that's it!!

12b59f2869758d4aa46eda5b5a273105

Also du meinst so?
bildschirmfoto 2024-05-19 um 13.28.12
bildschirmfoto 2024-05-19 um 13.28.01
Habe die erste erstmal deaktiviert. Aktiere ich sie geht nix mehr.
Decker2022
Decker2022 19.05.2024 um 14:00:26 Uhr
Goto Top
Zitat von @Crusher79:

So z.B. ....

LTE test mit Handy an FritzBox. Ist aber wie die Vorredner erwähnten egal was dahinter steht. GW einrichten und in der Policy hinterlegen. Fertig.

19-05-_2024_13-26-14


PS: Failover geht so auch. Hier bei mir ist es explizit keine Gruppe, sondern nur eine fixe Zurodnung.

Das habe ich auch probiert. Aber dann geht auch nix mehr raus bei dem Host
aqui
aqui 19.05.2024 aktualisiert um 14:24:26 Uhr
Goto Top
Also du meinst so?
Der TO braucht vermutlich dringenst eine Brille. 🤔
Auf eine detailierte Anleitung für eine LAN Port Firewall Regel zur Lösung antwortet er mit einem "Alias" Setup. Ohne Worte.... face-sad
Decker2022
Decker2022 19.05.2024 um 14:32:45 Uhr
Goto Top
Zitat von @aqui:

Also du meinst so?
Der TO braucht vermutlich dringenst eine Brille. 🤔
Auf eine detailierte Anleitung für eine LAN Port Firewall Regel zur Lösung antwortet er mit einem "Alias" Setup. Ohne Worte.... face-sad

Sorry, aber mal erhlich. Ich blick (Thema Brille) da echt nicht mehr durch.
Mir wurde gesagt ich solle das genau so machen wie unter diesen Beitrag [content:7734584918#7736040765] erwähnt. Nur das ich als Quelle den Host 192.168.188.4 eintragen sollte.
Demnach sollte ich also einen Alias Namens RFC1918 anlegen mit entsprechenden Inhalten.
Da ich nun gar nich mehr durchblicke an dich persönlich die Bitte mir Klarheit zu verschaffen.

Daher nochmal für dich, was ich gerne wollte.
ich habe 3 Gateways, die auch als Failovergruppe angelegt sind. Jeder von Ihnen hat auch unter den Systemeinstellungen einen DNS hinterlegt. Das funktiniert auch insoweit. Also auch mit der Prio. Je nachdem was ausfällt wird die nächste Gateway gewählt.
Nun ist es aber so, dass ein bestimmtes Gerät, in diesem Fall 192.168.188.4 im Lan Netzwerk grundsätzlich beim Aufrufen externer Adressen wie z.b. stumpf gesagt google.de immer ausschließlich die TelekomDSL Gateway nehmen soll. Wie erreiche ich das ganz simpel ?
13034433319
13034433319 19.05.2024 aktualisiert um 14:41:37 Uhr
Goto Top
Zitat von @aqui:

Also du meinst so?
Der TO braucht vermutlich dringenst eine Brille. 🤔
Jepp. Das Häkchen für das Negieren hat er vergessen ... Lesen lesen lesen und nochmals lesen , man kann nicht oft genug sagen. Copy n Paste bringt dem TO nichts wenn er das Prinzip schon nicht versteht. Der letzte Beitrag im Link macht es ja nochmal sehr verständlich indem der User Bilder benutzt und es schön darstellt was im Background da abgeht.
Also mal ehrlich mehr Serviertablett geht doch nicht ...

screenshot
Decker2022
Decker2022 19.05.2024 um 14:40:43 Uhr
Goto Top
@13034433319
Ein Schüler ist nur so gut wie sein lehrer, ist ein altes bekanntes Sprichwort
Tun wir mal so, als wenn ich nun ganz neu Fragen würde.
Wie erreiche ich das bereits erwähnte ?
Danke im Vorraus
13034433319
Lösung 13034433319 19.05.2024 aktualisiert um 14:45:27 Uhr
Goto Top
Zitat von @Decker2022:
@13034433319
Wie erreiche ich das bereits erwähnte ?

Die Regel wie oben und im verlinkten Beitrag anlegen ist doch alles im Bild zu sehen was du anlegen musst, du hast das Negieren vergessen!!!!! Soll ich's noch fetter machen??

screenshot

screenshot

Nochmal die selben Screenshots setze ich hier nicht rein, mal ehrlich das ist Kindergarten, glaube der Job ist nichts für dich.
Decker2022
Decker2022 19.05.2024 um 14:47:33 Uhr
Goto Top
@13034433319
Dankesehr, ja das war mein Fehler.
Bitte sei noch so lieb und erkläre mir mit einfache Worten was die Regel bewirkt.
Denn du hast recht, ich glaube ich verstehe sie leider gar nicht.
Aber sie funktioniert nun
13034433319
13034433319 19.05.2024 aktualisiert um 14:52:16 Uhr
Goto Top
Zitat von @Decker2022:
Bitte sei noch so lieb und erkläre mir mit einfache Worten was die Regel bewirkt.
Das Negieren bedeutet die Regel gilt für alle Zieladressen die nicht zu einer der in der Liste RFC1918 enthaltenen Adressen gehört, zutrifft. Da der Alias alle privaten Adressbereiche beinhaltet gilt die Regel nur für Ziel-Adressen die im Internet liegen und nicht für lokale Ziele.
Das Negieren dreht also die Bedeutung um, so das alles was im Alias steht nicht zutreffen darf.
Decker2022
Decker2022 19.05.2024 um 14:51:33 Uhr
Goto Top
ok, soweit nun verstanden.
Vielen Dank