Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VLAN Firewall Rules

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 3 Posters 131 Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A Offline
      abt
      last edited by

      Hallo,

      ich hab ein Verständnisproblem. Die pfsense (192.168.1.1) liegt mit dem WAN Port im gleichen Netz (192.168.1.1/254) wie eine Fritzbox und mehrere andere Rechner. Die Fritzbox (192.168.1.2) ist das Gateway. Nun habe ich ein VLAN angelegt, dass keine Rechner aus dem WAN Netz erreichen soll. Da aber Internetzugriff erfolgen soll, war meine Logik, dass ich in den Rules das Gateway 192.168.1.2 mit TCP/any freigebe und anschließen in einer weiteren Rule allen weiteren Verkehr in das Subnetz 192.168.1.1/254 ablehne.

      Dann hatte ich aber keinen Internetzugriff mehr. Warum?

      Nun hatte ich aus versehen die Ablehnregel vor die Erlaubnisregel gesetzt und gespeichert. Und das funktioniert jetzt so. Ich komme ins Internet und kann keinen Rechner aus dem WAN erreichen.

      Die Ablehnregel besagt, dass alles IPV4* aus dem VLAN in das WAN geblockt werden soll. Trotzdem funktionieren DNS und NAT.

      Wer kann mir diese Logik erklären?

      LG

      Frank

      the otherT JeGrJ 2 Replies Last reply Reply Quote 0
      • the otherT Offline
        the other @abt
        last edited by

        @abt
        moinsen,
        wenn du nur die IP des anderen Routers erlaubst und den Rest (alles eingehend in den VLAN IFs) blockst...dann eben auch kein Internet.

        Anders:
        du erlaubst in einem VLAN IF den Zugriff auf alles (ganz unten als letzte Regel). Davor (!) setzt du dann die Regel, die im IP Bereich des Transfernetzes zwischen Fritz und pfsense die anderen Rechner verbietet. Alternativ legst du ein alias mit allen privaten IPs an (FRC1918). Dann wäre die vorletzte Regel eine Deny für dieses Alias. Und VOR diesen beiden legst du die Regeln fest, sollte aus dem VLAN ein Zugriff auf andere VLANs (oder deren clients) nötig sein...

        Also:
        ggf. allow DNS > pfsense
        ggf. allow NTP > pfsense
        usw.
        ggf.allow Regeln für Zugriff auf andere VLANs
        deny > RFC1918
        allow any
        So als Idee...

        the other

        pure amateur home user, no business or professional background
        please excuse poor english skills and typpoz :)

        1 Reply Last reply Reply Quote 0
        • JeGrJ Offline
          JeGr LAYER 8 Moderator @abt
          last edited by

          @abt said in VLAN Firewall Rules:

          Nun habe ich ein VLAN angelegt, dass keine Rechner aus dem WAN Netz erreichen soll. Da aber Internetzugriff erfolgen soll, war meine Logik, dass ich in den Rules das Gateway 192.168.1.2 mit TCP/any freigebe und anschließen in einer weiteren Rule allen weiteren Verkehr in das Subnetz 192.168.1.1/254 ablehne.

          Ich muss gestehen, dass ich die Erklärung nicht ganz verstehe.

          Wo wurde was für ein VLAN wie angelegt und inwiefern auf der pfSense hinterlegt?
          Und wo wurden Regeln angelegt für irgendwelche Freigaben?
          Vermutung ist zwar ein VLAN, was irgendwie auf der pfSense ist und in dem dann ebenso irgendwie ein Rechner ist, aber raten ist bei Problemen eher weniger sinnvoll, daher frage ich lieber nach.

          Cheers
          \jegr

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          A 1 Reply Last reply Reply Quote 0
          • A Offline
            abt @JeGr
            last edited by

            @JeGr

            Ich gestehe, dass ich deine Probleme mit meinem Problem nicht ganz verstehe.

            Wenn ich in einem pfsense Forum von einem VLAN rede, gehe ich für mich davon aus, dass das VLAN natürlich auf der pfSense angelegt ist. Und die Regeln (firewall rules) sind natürlich auf dem entsprechenden Interface angelegt.

            Von Freigaben ist keine rede gewesen.

            Cheers

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ Offline
              JeGr LAYER 8 Moderator @abt
              last edited by JeGr

              @abt said in VLAN Firewall Rules:

              Wenn ich in einem pfsense Forum von einem VLAN rede, gehe ich für mich davon aus, dass das VLAN natürlich auf der pfSense angelegt ist. Und die Regeln (firewall rules) sind natürlich auf dem entsprechenden Interface angelegt.

              Ein VLAN ist auch gern mal auf Switchen vergessen. Oder auf Switchen angelegt aber nicht auf der Sense. Woher genau sollen wir dein Setup kennen, wenn du es nicht näher beschreibst?
              Und genau "das entsprechende Interface" war schon mehr als einmal Thema hier. Man kann bei Problemen ja auch mal nicht wissen, ob Regeln korrekt auf dem richtigen Interface angelegt wurden oder ob eben doch vielleicht einfach ein Verständnisproblem dazwischen kam und man das statt dessen auf dem falschen Interface angelegt hat. Eben weil von dir keinerlei Konfig oder Screenshot oder Netzbeschreibung außer der FritzBox und den Geräten kam. Ich kann mir dein Setup eben nicht so ganz vorstellen, welche Geräte jetzt hinter der pfSense wo (in welchem VLAN) stehen und wohin wollen und was weswegen konfiguriert wurde. Das kann man mit ner kleinen Skizze, AsciiArt oder was auch immer eben helfen, damit jemand anderes versteht was ich gebaut habe.

              Aber "Ich habe alles richtig gemacht aber es geht nicht" - ja nun? Wo soll ich da ansetzen was das Problem ist? Darum frage ich eben nach bevor ich Dinge falsch annehme und deshalb denke, dass dort das Problem liegt. Und Regellogik kann ich nur erklären, wenn ich verstehe, was wo angelegt wurde und was wo verortet ist, sonst ist das schwerlich möglich, wenn ich alles erraten muss, dass ich nicht weiß.

              @abt said in VLAN Firewall Rules:

              Nun hatte ich aus versehen die Ablehnregel vor die Erlaubnisregel gesetzt und gespeichert. Und das funktioniert jetzt so. Ich komme ins Internet und kann keinen Rechner aus dem WAN erreichen.

              Die Ablehnregel besagt, dass alles IPV4* aus dem VLAN in das WAN geblockt werden soll. Trotzdem funktionieren DNS und NAT.

              Wer kann mir diese Logik erklären?

              Niemand, wenn du keinem verrätst, was du überhaupt als DNS konfiguriert hast, wohin NAT wie definiert ist und wie deine Regel zum Verbieten/Erlauben von irgendwelchem Zugriff auf "WAN" Seite aussieht. Ohne konkrete Details kann man nur raten oder rückfragen.

              Meine Glaskugel-Vermutung wäre

              • WAN ist auf 192.168.178.0/24, das wurde per Regel verboten
              • DNS ist auf VLAN Geräte IP der Sense gesetzt und das ist natürlich nach wie vor erlaubt, pfSense macht via Unbound selbst DNS, darum geht DNS
              • NTP wird via DNS auf irgendwelche NTP Pools im Netz aufgelöst, darum geht NTP
              • Internet geht, weil Internet nicht WAN ist.

              Also wahrscheinlich alles genauso wie es soll. Nur gehst du wahrscheinlich von ein paar falschen Annahmen aus (aka WAN=Internet oder WAN geblockt = Internet geblockt etc.)

              Von Freigaben ist keine rede gewesen.

              Wenn ich Traffic freigebe, mach ich eben eine Freigabe für Daten von a nach b. Dazu leg ich ne Regel an. Entschuldige, dass ich das so lax mal umgangssprachlich geschrieben habe und nicht Firewall Policies o.ä.

              Aber wenn die Antworten schon so potentiell ablehnend zurück kommen, ist vielleicht keine Hilfe gewünscht. Dann halte ich mich auch gerne raus, kein Problem.

              Cheers

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 1
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.