[Gelöst] Pfsense hinter Fritz!Box Firewall Regeln
-
Nein, Floating-Rules habe ich keine.
-
2 Einstellungen fallen mir noch ein, die das bewirken könnten:
-
Eine Port Forward NAT-Regel, in der "Filter rule association" auf "pass" gesetzt ist. Du hast oben nur Outbound NAT gezeigt.
-
In System > Advanced > Firewall and NAT "Disable all packet filtering" angehakt.
Beides wenig sinnhaft, aber Fehler können ja passieren.
Wenn es davon auch nichts ist, habe ich schon Zweifel, ob der Traffic überhaupt die pfSense passiert.
Schau dir das mal mit "Packet Capture" im Diagnostic Menü an den Interfaces an. -
-
Habe die Einstellungen gecheckt, aber beides ist nicht der Fall.
Wie du vorgeschlagen hast, habe ich ein "Packet Capture" auf allen Interfaces gemacht (WLAN, LAN, WAN) und nirgendwo taucht eine Verbindung auf.
Aber: Ich habe auf dem WLAN Interface einen Squid-Proxy Server aktiviert, und mir mit Sarg den Traffic angesehen. Und siehe da, hier wird alles angezeigt. Kann es sein, dass das Captive-Portal oder der Squid-Proxy die Rules irgendwie umgeht?
-
Ganz anderer Ansatz für das Problem und bestimmt weniger spassig, aber sofern die pfSense wirklich nur für's Gast WLAN benötigt wird:
Nimm für's WLAN doch einen AVM Repeater. Die können das Gastnetz einfach aus der Fritzbox übernehmen (bauen dazu einen Tunnel zur Fritzbox auf).
-
Aber genau das will ich ja nicht mehr.
Die Fritzbox soll nur noch für mein Netz zuständig sein. Und das Gäste-Wlan getrennt davon auf der pfSense mit den genialen Funktionen wie Captive-Portal und Logging.
Aber ich glaube wir schweifen zu Weit ab, die Kernfrage ist doch wieso ich im Wlan-Netz Zugriff auf Geräte aus meinem Heimnetz habe obwohl dies doch per Firewall-Rule blockiert ist?
-
Die Vermutung, dass der Proxy damit in Zusammenhang stehen könnte, hast du ja schon selbst geäußert. Warum deaktivierst du ihn nicht einfach, um zu sehen, ob das zutrifft.
Wäre ja auch logisch. Der Proxy ist so etwas wie ein Bypass, der anhand eigener Regeln filtert.Wenn du den Proxy zwischen WLAN und Internet haben möchtest, doch auf das LAN und WAN Netz kein Zugriff erlaubt sein soll, musst du ihn entsprechend konfigurieren.
-
Das war's! :D
Der Proxy leitet es um bevor es in der Firewall ankommt. Ich dachte, wenn ich "Transparenter Proxy" einschalte, wird nichts umgeleitet sondern nur aufgezeichnet, dem ist aber nicht so. Es fehlte ein entscheidender Haken bei "Bypass Proxy for Private Address Destination" und schon funktioniert es wie gewünscht!
Vielen Dank an Alle!
-
"Transparent" bedeutet, dass der Proxy für die Clients nicht sichtbar ist, dass man also keinen speziellen Proxy in der Netzwerk- oder Browserkonfig angeben muss, um ans Ziel (meist ins Internet) zu kommen.
-
Dumme Frage: Hat die Fritz!Box eigentlich kein WLAN (einen integrierten AP)? Muss deshalb pfSense (alix board) das WLAN zur Verfügung stellen?
-
Doch die Fritz!Box hat auch Wlan (Ich nutze es für meine eigenen Geräte). Aber für unsere Feriengäste ist die Pfsense mit dem CaptivePortal einfach Spitze.