OPNsense - Netze isolieren

inf1d3l
Goto Top
Moin,

ich habe eine dämliche Frage:

Ich habe zwei von einander zu isolierende Netze A und B. Beide sollen über eine OPNSense-Firewall ins Internet und die Policies sind "floating" (IP-Basierend). Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in der jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen.

Gruß


P.S. Warum gibt es hier keine Firewall-Kategorie? face-smile

Content-Key: 607644

Url: https://administrator.de/contentid/607644

Ausgedruckt am: 16.08.2022 um 15:08 Uhr

Mitglied: BirdyB
Lösung BirdyB 25.09.2020 um 12:59:54 Uhr
Goto Top
Moin,

sind deine beiden Netze VLANs? Dann kannstvdu doch recht einfach die Kommunikation untereinander verbieten?
Oder betreibst du einfach zwei Subnetze in der gleichen L2-Domain, was man eigentlich nicht tun sollte?

VG
Mitglied: Inf1d3l
Inf1d3l 25.09.2020 aktualisiert um 13:57:59 Uhr
Goto Top
Es sind VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.
Mitglied: satosan
Lösung satosan 25.09.2020 aktualisiert um 13:05:05 Uhr
Goto Top
VLAN A (192.168.10.1) vs VLAN B (192.168.20.1)? Layer 2 oder Layer 3 Setup? In der Standard-Config in OPNSense/pfSense koennen die beiden sich eh nicht sehen. Das muesstest Du ihnen erst erlauben. Wenn Du einen Layer 2 Switch hast gibst Du in OPNSense nur den Standard-Gateway der OPNSense/pfSense (192.168.0.1) an. Mit "Floating" hat das wenig zu tun. Wenn Du einen Layer 3 Switch hast dann machst Du das im Switch selbst.
Mitglied: Inf1d3l
Inf1d3l 25.09.2020 um 23:22:06 Uhr
Goto Top
Hi,

danke für eure Antworten. Ich bin das Ganze wohl falsch angegangen und schwenke jetzt auf Port-Regeln um. Hier kann man ganz easy entsprechende Block-Regeln für Ports erstellen. Trotzdem danke!