Regel für Zugriff aufs Internet übe WAN Interface
-
Hi, ich bastel seit ein paar Tagen mit der pfSense rum. Habe aber leider folgendes Problem:
Aber erstmal zur Infrastrucktur:
Ich habe eine Fritzbox die meine DSL verbindung herstellt (somit auch das NAT macht). Interne IP der box ist 192.168.68.1/24
an der fritzbox hängt meine pfSense mit der ip 192.168.68.24/24 am WAN der pfSense.
An der pfsense habe ich nun zwei weitere Netze:
LAN -> 192.168.1.0/24
LAN2 -> 192.168.45.0/24NAT regeln habe ich insgesammt genau Null, da ich ja in den ganzen Netzen normal routen brauch und nichts hinter irgend einer IP verstecken muss, macht ja die Fritzbox nach drausen ins Internet.
nun zum Problem:
ich möchte eine Firewall-Regel erstellen, die mir den Zugriff vom LAN2 aufs Internet über das WAN interface ermögicht. Nur leider habe ich damit bisher kein Erfolg.
Die Regel, dass any auf "wan address" gehen darf tut genau so wenig, wie wenn ich von any das netz 192.168.68.0/24 freigebe. Habe jeweils nur Zugriff auf (teile) vom 68er Netz aber nichts darüber hinaus.
Eine Regel von any nach any funktioniert. Das ist aber wohl kaum Sinn der Übung.Hat mir irgendwer eine Idee was ich falsch mache?
An der Tatsache, dass die Fritzbox die DSL einwahl macht will ich nichts ändern.Gruß
Manuel -
Hast Du unter "Interfaces | Wan" an Deiner pfSense "Block private networks" ausgeschaltet?
Dein WAN hängt in einem der privaten Bereiche, und somit wäre traffic per se nicht erlaubt.Was haben die clients für IPs (fix/DHCP). Wer miemt ggf. den DHCP server. Welches gateway gibt der den hosts.
Physikalisch ist das pfSense WAN vom pfSense LAN getrennt?…
-
Hi,
Ja den Block private networks habe ich natürlich deaktiviert.
Ich habe inzwischen aber eine Funktionierende Lösung gefunden. Ist nun die Frage ob sie auch Sinnvoll ist.
DHCP hab ich insgesammt nicht in verwendung. Physikalisch haben die Netze außer über die FW keine Verbindung.
die FW hat als Gateway die 192.168.68.1 (also die IP von der Fritzbox) alle Clients haben als Gateway natürlich die FW eingetragen.Hier mal meine momentan funktionierende Lösung:
Ich habe einen Alias "localnets" gebaut hinter dem alle meine Lokalen Netze hiterlegt sind.
Damit habe ich eine Regel gebaut, dass Traffic von "LAN2" nach "NOT localnets" durchgelassen wird.Gruß
Manuel -
DAmit dürftest Du dann aber werder über die LAN noch die LAN2 IP der pfSense auf die webGUI zugreifen können. Es sei denn…
Schön, wenn's funktioniert. -
LAN hat zugriff auf any
nur LAN2 hat die restriktiven Regeln. von dem Netz aus kann man in der tat das Gateway selbst nicht mehr anpingen. Nur noch traffic ins Internet wird abgewickelt. Eigentlich genau so wie gewollt.Gruß
Manuel -
Sorry, hatte Deinen letzten Satz nicht Zuende gelesen. Macht Sinn so. Aber das Wichtigste: es funktioniert wie es soll. :-)
