carstenkl
Goto Top

Pfsense 2.3 LAN u WLAN Zugriff von bestimmten IPs des WLAN auf bestimmte IPs im LAN

Hallo,

ich habe vor einiger Zeit pfsense auf meine Watchguard X750 geflasht.

Im ersten Schritt wollte ich erstmal dafür sorgen, dass man vom LAN und WLAN über alle Ports raus kommt, das klappt soweit.
WAN, LAN und die APs fürs WLAN hängen jeweils an unterschiedlichen Interfaces.

Jetzt möchte ich aber beispielsweise von IP 10.0.101.xy (WLAN) einen Ping auf IP 10.0.100.21 (LAN) zulassen.

Bei Watchguard war dies einfach als Regel zu definieren, das mag bei pfsense auch gehen, allerdings scheint da bei mir (im Kopf) etwas zu fehlen.
Vielleicht kann mir einer einen Tipp geben, wie ich weiter komme.

Danke und Gruß
Carsten
interface_lan
ping_rule
interface_wlan

Content-ID: 309841

Url: https://administrator.de/contentid/309841

Printed on: December 7, 2024 at 08:12 o'clock

aqui
aqui Jul 15, 2016 updated at 07:52:32 (UTC)
Goto Top
Bei Watchguard war dies einfach als Regel zu definieren, das mag bei pfsense auch gehen,
Ja, das ist kinderleicht !
PASS, Protocoll: ICMP, Source: 10.0.101.0 network (WLAN network), Destination: 10.0.100.21 (LAN Host)
Fertisch... Funktioniert hier fehlerlos.
Das erlaubt dann pingtechnisch alles von .101.0 /24 nach .100.21.
Bedenke das Ping ICMP ist wenn du protokollspezifisch filterst !
Du filterst Host spezifisch ! Also kannst also nur von .101.105 zu .100.21 pingen mehr nicht !
Die Regel ist richtig oben.
Kann es sein das du VOR dieser Regel eine DENY IP 10.0.101.0 nach ANY oder .100.0 hast ??
Denk dran das das Regelwerk abhängig von der Reihenfolge ist !! Es gilt immer first match wins !.
Wenn du also vorher eine globale DENY Regel hast wird hinterher nichts mehr ausgeführt was PASS oder ALLOW ist !
Genau das ist vermutlich bei dir der Fall ?!
CarstenKl
CarstenKl Jul 15, 2016 at 07:55:46 (UTC)
Goto Top
@aqui
Danke erstmal für deine Antwort, aber habe ich genau das nicht gemacht (siehe oben letzter Screenshot)?
Einziger Unterschied ist, dass ich eine Single IP und nicht das Netzwerk genommen habe, aber das sollte doch auch gehen, oder?

Ein Ping innerhalb des LAN auf 10.0.100.21 klappt tadellos, über das WLAN-Interface leider nicht.
aqui
Solution aqui Jul 15, 2016 updated at 08:00:51 (UTC)
Goto Top
Wie gesagt...das sind die möglichen Gründe:
An einem dieser 3 Gründe wird es liegen !
WAS sagt dein Firewall Logg ??
CarstenKl
CarstenKl Jul 15, 2016 updated at 11:46:24 (UTC)
Goto Top
Nein, es gibt keine DENY Regel, momentan gibt es sogar eine any to any (siehe Anhang), die explizit gesetzte Regel für den Ping ist somit aus meiner Sicht auch überflüssig oder sollte es sein. (ist momentan nur test, so bleibt das nicht ;)
Gateway ist auf 100.21 korrekt konfiguriert, der kommt auch raus über die 10.0.100.1
Eine lokale FW gibt es auf 100.21 nicht, ist übrigens ein 16.04 LTS

Ich glaube dass mir irgendwas grundsätzliches fehlt, hab nur leider keine Ahnung was.


Ich habe jetzt mal die Regel auf das Netzwerk erweitert im WLAN und auch mal einen Ping von der FW versucht auf die IP.
Aus dem Lan klappt es, aus dem WLAN nicht.
wlan_rules2
ping_wlan
wlan_rules
wlan_rules
CarstenKl
CarstenKl Jul 15, 2016 at 12:29:40 (UTC)
Goto Top
Das Problem scheint gelöst zu sein, es lag anscheinend an der Konfiguration des HP Switches, sorry. face-sad
Wenn ich nachher Zeit habe schaue ich mir das nochmal an.

Ein Ping von der FW aus dem WLAN auf die 10.0.100.21 ist auf jeden Fall jetzt möglich.

Danke für die Hilfe!
aqui
aqui Jul 16, 2016 at 10:52:06 (UTC)
Goto Top
War fast zu erwarten, denn an der pfSense konnte es auch nicht liegen.
Gut wenn nun alles klappt wie es soll face-smile

Bitte dann auch How can I mark a post as solved? nicht vergessen.