VLAN's trennen - LAN routet trotz Firewall überall hin



  • Hallo,

    ich war jahrelanger Nutzer der Sophos UTM und bin nun in Zeiten von IoT gezwungen die Firewall zu wechseln (home-lizenz hat maximal 50 IP's).

    Ich habe die Interfaces bei mir so eingerichtet:

    | Bezeichnung | VLAN | IP | Interface | Beschreibung |
    | WAN | 4090 | 192.168.1.2/30 | hn0.4090 | Verbindung zur FritzBox / Internet GW: 192.168.1.1 |
    | LAN | 2 | 192.168.2.1/24 | hn0.2 | Heimnetzwerk |
    | TESTNETZ | 4 | 192.168.4.1/24 | hn0.4 | Testnetzwerk |

    (Outbound NAT steht auf Automatic)

    Getestet habe ich jeweils mit nem ping

    | Action | Reiter | Protocol | Source | SrcPort | Destination | DstPort |
    | Accept | LAN | IPv4 * | LAN net | * | * | * |
    | Reject | TESTNETZ | IPv4 * | LAN net | * | TESTNETZ net | * |
    | Accept | TESTNETZ | IPv4 * | TESTNETZ net | * | * | * |

    Hier ist es mir möglich vom PC 192.168.2.55 das Internet und 192.168.1.1 zu erreichen. Allerdings auch das komplette Testnetz, also z.b. der PC 192.168.4.10
    Vom PC 192.168.4.10 erreichen ich zwar das Internet + 192.168.1.1, allerdings keine PC im LAN, wieso auch immer.
    Ein entfernen der Reject Regel ändert auch nichts daran, dass ich ausm Testnetz kein PC im LAN erreiche.

    Habe ich irgendetwas vergessen, oder ist mein Firewalldenken noch von der Sophos geschädigt  :D

    Mein Plan ist es später, 4 VLAN's zu haben, welche alle jeweils nur Internet haben und 2 davon sich zusätzlich noch mit einem Netz hinter na Site2Site verbinden können, aber das ist erstmal zweitrangig.

    Grüße Logan517



  • Hallo,

    die pfSense erlaubt nur das, was in den Firewall-Regeln explizit definiert ist. Die Regeln sind immer auf dem Interface zu setzen, an dem die Verbindung in die pfsense reinkommt.

    Deine zweite Regel bringt nichts. Am Testnetz Interface sollten keine Paket mit einer Source IP aus dem LAN net reinkommen. Die Source wäre hier auf "TESTNETZ net" zu stellen.
    Dies erklärt auch, dass du mit dem Testnetz-Rechner ins Internet kommst. Denn die 2. Regel kommt nicht zur Wirkung, weil nicht zutreffend, und die 3. erlaubt alles.

    Dass du aus dem Testnetz aber nichts im LAN erreichst, könnte an den Zielrechner-Firewalls liegen. Zugriff aus anderen als dem eigenen Netz ist normalerweise auch bei Netzwerkfreigabe durch die Firewall unterbunden.

    Um Zugriffe auf interne Netze zu blocken, habe ich mir die Gewohnheit gemacht, eine Alias (Firewall > Aliases > IP) für sämtliche RFC 1918 Netzwerke anzulegen. Diesen verwende ich dann in einer Block-Regel bzw. in einer Allow-Regel mit invertiertem Ziel.

    Grüße



  • Hallo,

    ich habe meinen Fehler gefunden.

    Ich sagte doch, mein Denken ist noch von Sophos etwas anders.

    Das Problem war, ich habe einen Ping ausm LAN ins Testnetz gemacht und dann erst die Regel erstellt.
    Wie ich nun allerdings erfahren habe, greift die Firewall nicht bei bestehenden Verbindungen, sonder nur bei neuen. Nachdem ich dann mittels "Reset the firewall state table" alle Verbindungen getrennt habe, klappts auch mit der Firewall.

    Nun habe ich nur noch ein DNS Problem, aber dafür mache ich ein neues Thema auf.

    Danke