[Gelöst] Pfsense hinter Fritz!Box Firewall Regeln
-
Hallo zusammen,
Ich kann mir vorstellen das diese Fragen lästig werden, aber ich habe leider dazu noch keine Antwort gefunden:
Vorweg mein Aufbau:
(Internet) –--------- (Fritz!Box 7490) ----------------------------- WAN ----(pfSense 2.2.6, nanobsd auf alixBoard)
| | |
| | |
Heimnetz LAN WLAN
192.168.178.0/24 192.168.1.0/24 192.168.2.0/24
| | |
| | |
| | |
---------------------------------------------------- 1 PC Captive Portal für Gäste
| | | verbindung keine verbindung
PCs 1 Drucker Telefone mit Heimnetz mit Heimnetz
192.168.178.301. Ja ich möchte pfSense hinter der Fritz!Box betreiben! Gründe sind bauliche und der Telefonanschluss über VOIP
2. Der Aufbau funktioniert soweit bis auf Nr 3.3. Die Frage: Wie muss ich die Firewall-Regeln setzten, dass am Anschluss WLAN nur die Internetverbindung über WAN funktioniert, aber nicht der Zugriff auf Geräte im Heimnetz (z.B. PCs und Drucker)?
Meine aktuellen Einstellungen habe ich Angehängt, leider blocken diese den Zugang zu Heimnetz nicht.
Vielen Dank schonmal!
-
(Fritz!Box 7490) –-- DHCP----- WAN
Ist das WAN der pfSense wirklich via DHCP gesetzt? Wenn ja, mach das nicht, verkleinere den DHCP Bereich auf der Fritzbox und gib der WAN Seite der Sense eine fixe IP. Alles andere führt über kurz oder lang zu mehr Chaos als es muss.
Zusätzlich ist die Regel auf dem WAN überflüssig: was nicht erlaubt ist, ist automatisch verboten.
Warum steht denn der Drucker auch hinter der Fritzbox? Gerade den hätte ich im LAN gesehen, ich möchte ja normalerweise so wenig wie möglich hinter der FB haben, weil ich diese nur partiell kontrollieren kann. Verstehe also nicht, was der da vorne tut. Da du zudem die IP Ranges von Heimnetz, LAN, WLAN etc. nicht angibst, kann ich nichts zu Netzen o.ä. sagen. Die Regel aus dem WLAN dann kein Zugrff auf LAN gehen sollte, müsste aber wirken, dass WLAN nicht mit LAN spricht. Oder was meinst du mit Heimnetz!?
Grüße
-
Danke soweit.
Also pfSense hat jetzt eine statische IP auf der Fritz!Box.
Die WAN-Regeln habe ich gelöscht (WAN hat somit keine Regeln mehr)Mit Heimnetz sind alle Geräte gemeint die an der Fritz!Box hängen. Der Drucker hängt an der Fritz!Box weil beide im gleichen Raum im EG sind, die pfSense ist ein Stockwerk höher (1OG).
Die IP-Range der Fritzbox ist 192.168.178.0/24
Die der Einzelnen Interfaces der pfSense im Anhang:
-
Du brauchst eine Regel auf dem WLAN Interface, die Zugriff auf WAN net blockt.
Die hast du auch, allerdings nur für IPv4. Wenn du v6 nutzt musst du das an der Stelle mit rein nehmen. -
Ich nutze (noch) kein IPv6, habe die Regel trotzdem geändert - leider ohne Erfolg. Mann kann immernoch vom WLAN auf das (Heimnetz) Geräte an der Fritz!Box zugreifen.
Ich habe da noch etwas gefunden, könnte es an den NAT Outbound Regeln liegen?
-
Hallo,
hast du nach Einrichten der Block-Regel auch mal die States der Verbindungen ins LAN und WAN gelöscht? (Diagnostic > States) Bereits bestehnde Verbindungen bleiben von den Regeln unberührt.
Das Outbound NAT ist in Ordnung.
-
Ansonsten mache mal bei allen Regeln des WLAN Interfaces die Logging Option an und greife dann von einem WLAN Client auf bspw. den Drucker zu und schaue möglichst zeitnah dann in die Firewall Logs der pfSense, dann müsste zu erkennen sein, warum der Zugriff erlaubt wurde und nicht geblockt.
-
Danke für die weiteren Antworten!
viragomann: Ich habe unter Diagnostics > Reset States einen Reset durchgeführt, leider ohne veränderung.
JeGr: Ich habe alle WLAN Rules auf logging geschalten, vom WLAN auf den Netzwerkdrucker zugegriffen (mehrmals) aber es erscheint weder bei den PASS Logs, noch bei den BLOCK Logs?
Details:
Wlan-IP 192.168.2.11
Drucker-IP 192.168.178.30
Zugriff um 18:55 (aber es erscheint nicht, woran kann das liegen?)
-
Hast du Floating rules angelegt, die den Traffic erlauben?
-
Nein, Floating-Rules habe ich keine.
-
2 Einstellungen fallen mir noch ein, die das bewirken könnten:
-
Eine Port Forward NAT-Regel, in der "Filter rule association" auf "pass" gesetzt ist. Du hast oben nur Outbound NAT gezeigt.
-
In System > Advanced > Firewall and NAT "Disable all packet filtering" angehakt.
Beides wenig sinnhaft, aber Fehler können ja passieren.
Wenn es davon auch nichts ist, habe ich schon Zweifel, ob der Traffic überhaupt die pfSense passiert.
Schau dir das mal mit "Packet Capture" im Diagnostic Menü an den Interfaces an. -
-
Habe die Einstellungen gecheckt, aber beides ist nicht der Fall.
Wie du vorgeschlagen hast, habe ich ein "Packet Capture" auf allen Interfaces gemacht (WLAN, LAN, WAN) und nirgendwo taucht eine Verbindung auf.
Aber: Ich habe auf dem WLAN Interface einen Squid-Proxy Server aktiviert, und mir mit Sarg den Traffic angesehen. Und siehe da, hier wird alles angezeigt. Kann es sein, dass das Captive-Portal oder der Squid-Proxy die Rules irgendwie umgeht?
-
Ganz anderer Ansatz für das Problem und bestimmt weniger spassig, aber sofern die pfSense wirklich nur für's Gast WLAN benötigt wird:
Nimm für's WLAN doch einen AVM Repeater. Die können das Gastnetz einfach aus der Fritzbox übernehmen (bauen dazu einen Tunnel zur Fritzbox auf).
-
Aber genau das will ich ja nicht mehr.
Die Fritzbox soll nur noch für mein Netz zuständig sein. Und das Gäste-Wlan getrennt davon auf der pfSense mit den genialen Funktionen wie Captive-Portal und Logging.
Aber ich glaube wir schweifen zu Weit ab, die Kernfrage ist doch wieso ich im Wlan-Netz Zugriff auf Geräte aus meinem Heimnetz habe obwohl dies doch per Firewall-Rule blockiert ist?
-
Die Vermutung, dass der Proxy damit in Zusammenhang stehen könnte, hast du ja schon selbst geäußert. Warum deaktivierst du ihn nicht einfach, um zu sehen, ob das zutrifft.
Wäre ja auch logisch. Der Proxy ist so etwas wie ein Bypass, der anhand eigener Regeln filtert.Wenn du den Proxy zwischen WLAN und Internet haben möchtest, doch auf das LAN und WAN Netz kein Zugriff erlaubt sein soll, musst du ihn entsprechend konfigurieren.
-
Das war's! :D
Der Proxy leitet es um bevor es in der Firewall ankommt. Ich dachte, wenn ich "Transparenter Proxy" einschalte, wird nichts umgeleitet sondern nur aufgezeichnet, dem ist aber nicht so. Es fehlte ein entscheidender Haken bei "Bypass Proxy for Private Address Destination" und schon funktioniert es wie gewünscht!
Vielen Dank an Alle!
-
"Transparent" bedeutet, dass der Proxy für die Clients nicht sichtbar ist, dass man also keinen speziellen Proxy in der Netzwerk- oder Browserkonfig angeben muss, um ans Ziel (meist ins Internet) zu kommen.
-
Dumme Frage: Hat die Fritz!Box eigentlich kein WLAN (einen integrierten AP)? Muss deshalb pfSense (alix board) das WLAN zur Verfügung stellen?
-
Doch die Fritz!Box hat auch Wlan (Ich nutze es für meine eigenen Geräte). Aber für unsere Feriengäste ist die Pfsense mit dem CaptivePortal einfach Spitze.