Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Gastnetz mit CP vom restlichen Netz trennen

    Deutsch
    4
    5
    625
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      Prof Hase last edited by

      Hallo zusammen,

      wir bauen aktuell zu Testzwecken ein CP auf.
      pfSense ist wie folgt konfiguriert.
      FritzBox (StaticIP und DHCP deaktiviert) -> LAN pfSense

      CP mit Radius läuft auch schon - nur aktuell ist es möglich aus dem Gastnetz noch die Fritzbox zu erreichen. Das soll nicht der Fall sein.
      Wie stelle ich die Trennung an?

      Danke!

      1 Reply Last reply Reply Quote 0
      • magicteddy
        magicteddy last edited by

        Moin,

        die Fritte ist Dein Gateway, da läuft nun mal alles drüber, trennen geht imho nicht.
        Idee 1: Firewallregel im Gastnetz welche Zugriff auf FritteIP Port 80 und Port 443 verbietet.
        Idee 2: Aktiviere das Gastnetz auf LAN 4 der Fritte und baue ein zweites Wan Interface in pfSense, das Gastnetz routest Du dann über das zweite Wan Interface ins Gastnetz der Fritte.
        Iirc ist aus dem Gastnetz kein Zugriff aufs Interface der Fritte möglich, bitte prüfen!

        -teddy

        @Work Lanner FW-7525B pfSense 2.5.2
        @Home APU.2C4 pfSense 2.5.2
        @CH APU.1D4 pfSense 2.5.2

        1 Reply Last reply Reply Quote 0
        • jahonix
          jahonix last edited by

          @heydemar:

          FritzBox (…) -> LAN pfSense

          Wie jetzt, Du gehst direkt auf das LAN subnet der pfSense (Lan-Switch?) ohne deren WAN zu nutzen?
          Was für ein Sinn steckt dahinter?

          @heydemar:

          pfSense ist wie folgt konfiguriert.

          Und? Für eine Beschreibung der Konfiguration war das etwas dürftig. Findest Du selbst bestimmt auch.

          1 Reply Last reply Reply Quote 0
          • P
            Prof Hase last edited by

            Ich würde noch gerne wissen wie ich meine Firewall-Regeln konfigurieren muss um aus dem Gasnetz ausschließlich den Zugriff das Internet und keine anderen Netzte zu erlauben.

            Aktuell ist die Regel so Konfiguriert:

            GASTNETZ:
            States  Protocol          Source Port      Destination      Port      Gateway          Queue  Schedule          Description            Actions
                                    0 /0 B
            IPv4 *  *          *          *          *          *          none

            Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht.
            Welche Regeln fehlen ?

            1 Reply Last reply Reply Quote 0
            • JeGr
              JeGr LAYER 8 Moderator last edited by

              Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht.
              Welche Regeln fehlen ?

              Wie soll er auch funktionieren, wenn du Destination "LAN" setzt? Das würde ja heißen du erlaubst auf dem Gastnetz den Zugriff in dein LAN Subnetz. Du willst ins Internet. Ergo kann das kaum stimmen.
              Da du ins Internet willst und kaum alle IPs des Internets freigeben möchtest, musst du natürlich ANY als Destination für den Zugriff erlauben. Vorher aber eben noch Netze ausschließen, wo du die Clients des Gastnetzes nicht haben möchtest, also bspw. deine internen IPs im LAN oder anderen Netzen. Du kannst auch - wenn es bei dir geht - schlicht alle RFC1918 Adressen blocken. Also bspw. ein Block nach Destination 10/8, 172.16/12 und 192.168/16 machen. Vorher aber vielleicht - sofern die pfSense NTP/DNS etc. für das Netz macht - einen Allow auf deren IP machen.

              Sprich:

              allow any any <gästenetz_address>any -  (erlaube zugriff auf das pfSense interface im gästenetz für dns/dhcp/ntp etc.)
              block any any <alias_rfc1918>any  -  (blocke alle sonstigen internen Adressen)
              allow any any any any (erlaube den Rest aka zhe interwebz) ;)

              Grüße</alias_rfc1918></gästenetz_address>

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post