Gastnetz mit CP vom restlichen Netz trennen

Prof Hase

Hallo zusammen,

wir bauen aktuell zu Testzwecken ein CP auf.
pfSense ist wie folgt konfiguriert.
FritzBox (StaticIP und DHCP deaktiviert) -> LAN pfSense

CP mit Radius läuft auch schon - nur aktuell ist es möglich aus dem Gastnetz noch die Fritzbox zu erreichen. Das soll nicht der Fall sein.
Wie stelle ich die Trennung an?

Danke!

magicteddy

Moin,

die Fritte ist Dein Gateway, da läuft nun mal alles drüber, trennen geht imho nicht.
Idee 1: Firewallregel im Gastnetz welche Zugriff auf FritteIP Port 80 und Port 443 verbietet.
Idee 2: Aktiviere das Gastnetz auf LAN 4 der Fritte und baue ein zweites Wan Interface in pfSense, das Gastnetz routest Du dann über das zweite Wan Interface ins Gastnetz der Fritte.
Iirc ist aus dem Gastnetz kein Zugriff aufs Interface der Fritte möglich, bitte prüfen!

-teddy

jahonix

@heydemar:

FritzBox (…) -> LAN pfSense

Wie jetzt, Du gehst direkt auf das LAN subnet der pfSense (Lan-Switch?) ohne deren WAN zu nutzen?
Was für ein Sinn steckt dahinter?

@heydemar:

pfSense ist wie folgt konfiguriert.

Und? Für eine Beschreibung der Konfiguration war das etwas dürftig. Findest Du selbst bestimmt auch.

Prof Hase

Ich würde noch gerne wissen wie ich meine Firewall-Regeln konfigurieren muss um aus dem Gasnetz ausschließlich den Zugriff das Internet und keine anderen Netzte zu erlauben.

Aktuell ist die Regel so Konfiguriert:

GASTNETZ:
States  Protocol          Source Port      Destination      Port      Gateway          Queue  Schedule          Description            Actions
                        0 /0 B
IPv4 *  *          *          *          *          *          none

Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht.
Welche Regeln fehlen ?

JeGr

Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht.
Welche Regeln fehlen ?

Wie soll er auch funktionieren, wenn du Destination "LAN" setzt? Das würde ja heißen du erlaubst auf dem Gastnetz den Zugriff in dein LAN Subnetz. Du willst ins Internet. Ergo kann das kaum stimmen.
Da du ins Internet willst und kaum alle IPs des Internets freigeben möchtest, musst du natürlich ANY als Destination für den Zugriff erlauben. Vorher aber eben noch Netze ausschließen, wo du die Clients des Gastnetzes nicht haben möchtest, also bspw. deine internen IPs im LAN oder anderen Netzen. Du kannst auch - wenn es bei dir geht - schlicht alle RFC1918 Adressen blocken. Also bspw. ein Block nach Destination 10/8, 172.16/12 und 192.168/16 machen. Vorher aber vielleicht - sofern die pfSense NTP/DNS etc. für das Netz macht - einen Allow auf deren IP machen.

Sprich:

allow any any <gästenetz_address>any -  (erlaube zugriff auf das pfSense interface im gästenetz für dns/dhcp/ntp etc.)
block any any <alias_rfc1918>any  -  (blocke alle sonstigen internen Adressen)
allow any any any any (erlaube den Rest aka zhe interwebz) ;)

Grüße</alias_rfc1918></gästenetz_address>