OPNsense: LAN to WAN erlaubt keinen Internetzugriff
Guten Morgen zusammen
Ich habe hier eine OPNsense in Betrieb genommen und bis auf die Firewall Regeln läuft eigentlich alles.
Nun möchte ich auf die LAN to ANY Regel gerne verzichtet, ich scheitere aber nur schon beim Erlauben des Internetzugriffs.
Ich habe folgende Regel eingestellt:
Diese sollte doch meiner Meinung nach einen Zugriff auf das Internet erlauben, oder mache ich gerade einen Denkfehler?
- Ping zu 8.8.8.8 klappt mit der Regel nicht, mit der LAN to ANY klappt es jedoch.
- Surfen klappt mit der Regel auch nicht, mit der LAN to ANY jedoch schon.
DNS macht der DC im LAN, unbekannte Anfragen leitet der dann an die OPNsense weiter. Das sollte also auch nicht das Problem sein.
Sehe ich den Wald vor lauter Bäumen nicht mehr?
LG und Danke für jeglichen Input
MbGb
Ich habe hier eine OPNsense in Betrieb genommen und bis auf die Firewall Regeln läuft eigentlich alles.
Nun möchte ich auf die LAN to ANY Regel gerne verzichtet, ich scheitere aber nur schon beim Erlauben des Internetzugriffs.
Ich habe folgende Regel eingestellt:
Diese sollte doch meiner Meinung nach einen Zugriff auf das Internet erlauben, oder mache ich gerade einen Denkfehler?
- Ping zu 8.8.8.8 klappt mit der Regel nicht, mit der LAN to ANY klappt es jedoch.
- Surfen klappt mit der Regel auch nicht, mit der LAN to ANY jedoch schon.
DNS macht der DC im LAN, unbekannte Anfragen leitet der dann an die OPNsense weiter. Das sollte also auch nicht das Problem sein.
Sehe ich den Wald vor lauter Bäumen nicht mehr?
LG und Danke für jeglichen Input
MbGb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 633524
Url: https://administrator.de/forum/opnsense-lan-to-wan-erlaubt-keinen-internetzugriff-633524.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
5 Kommentare
Neuester Kommentar
oder mache ich gerade einen Denkfehler?
Ja, denn deine Regel erlaubt ja einzig nur den Zugriff auf das alleinige IP Netz am WAN Port ! NICHT aber auf die Millionen anderer IP Netze im Internet. Logisch also das das scheitert... Das ist ein typischer Anfängerfehler weil diese denken das IP Netz am WAN Port wäre schon das gesamte Internet !
Setze die Destination also auf "ANY" und dann klappt das auch sofort wie es soll...
Case closed
Wie kann ich einen Beitrag als gelöst markieren?
Fast richtig.
Bei OPNsense ist der korrekte Alias "PrivateNetwork".
Und die Regel lautet NOT "PrivateNetwork"
Setzt Du es auf "Any" erlaubst Du die Regel auch auf interne, VLANs und VPNs zwischen denen keine Kommunikation erlaubt sein soll.
Und üblicherweise setzt Du als traffic erstmal nur HTTP und HTTPS ein und kein *. Und dann kommen weitere Regeln für Mailing und andere Dienste die Du brauchst.
Soll nen Ping ins Internet laufen, dann wählst Du icmp als Protokoll.
Mit dem * erlaubst Du jeden ausgehenden traffic, beschränkst Du es auf die nur benötigten Ports bekommst Du ein Gefühl was in Deinem Netzwerk wirklich läuft. Macht aber mehr Aufwand am Anfang.
Zum Alias BOGON:
Was ist Bogon-Filterung?
Bogon-Filterung ist die Entlassung von gefälschten IP-Adresskomponenten. Ein bogon ist eine Art von URL-Referenz, die sich bei bestimmten Arten von Denial of Service als typisch erwiesen hat Angriffe und atypische im legitimen Netzwerkverkehr.
Bogons werden im Internet oft als illegitim angesehenAdresse Präfixe oder Komponenten. Zu diesem Zweck ist die Bogon-Filterung eine Möglichkeit, Datenverkehr herauszufiltern, der illegitim oder sogar gefährlich sein kann.
Verschiedene Firewalls und andere Tools verwenden Sie die bogon-Filterung, um diese häufig schädlichen Adressen zu eliminieren, und Internetdienstanbieter können diese Art von Dienst für Benutzer anbieten. Der Name bogon hat seine Wurzeln in den Wörtern ‚bogus‘ und ‚bogosity‘ und ist ein allgemein akzeptierter Teil des IT-Slangs.
Configure WAN Interface
IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
Haken bei "Block RFC1918 Private Networks"
Haken bei "Block bogon networks"
Grüße
Bei OPNsense ist der korrekte Alias "PrivateNetwork".
Und die Regel lautet NOT "PrivateNetwork"
Setzt Du es auf "Any" erlaubst Du die Regel auch auf interne, VLANs und VPNs zwischen denen keine Kommunikation erlaubt sein soll.
Und üblicherweise setzt Du als traffic erstmal nur HTTP und HTTPS ein und kein *. Und dann kommen weitere Regeln für Mailing und andere Dienste die Du brauchst.
Soll nen Ping ins Internet laufen, dann wählst Du icmp als Protokoll.
Mit dem * erlaubst Du jeden ausgehenden traffic, beschränkst Du es auf die nur benötigten Ports bekommst Du ein Gefühl was in Deinem Netzwerk wirklich läuft. Macht aber mehr Aufwand am Anfang.
Zum Alias BOGON:
Was ist Bogon-Filterung?
Bogon-Filterung ist die Entlassung von gefälschten IP-Adresskomponenten. Ein bogon ist eine Art von URL-Referenz, die sich bei bestimmten Arten von Denial of Service als typisch erwiesen hat Angriffe und atypische im legitimen Netzwerkverkehr.
Bogons werden im Internet oft als illegitim angesehenAdresse Präfixe oder Komponenten. Zu diesem Zweck ist die Bogon-Filterung eine Möglichkeit, Datenverkehr herauszufiltern, der illegitim oder sogar gefährlich sein kann.
Verschiedene Firewalls und andere Tools verwenden Sie die bogon-Filterung, um diese häufig schädlichen Adressen zu eliminieren, und Internetdienstanbieter können diese Art von Dienst für Benutzer anbieten. Der Name bogon hat seine Wurzeln in den Wörtern ‚bogus‘ und ‚bogosity‘ und ist ein allgemein akzeptierter Teil des IT-Slangs.
Configure WAN Interface
IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
Haken bei "Block RFC1918 Private Networks"
Haken bei "Block bogon networks"
Grüße