Der saubere (?) Weg um einem OPT den Weg ins Internet zu erlauben..



  • Servus,

    ich rätsel nun schon eine Weile rum welches nun eigentlich der saubere Weg ist, einem OPT den Weg ins Inet zu erlauben.

    Die Einen sagen: Manuell Outbound NAT und gut. Tut auch; hoba meinte aber vor Jahren mal dass das eigentlich nicht notwendig ist und somit der falsche (?) Weg.
    Die Anderen meinen: Rule von OPT * nach * * . Geht auch, will ich aber nicht. Zugriff aus diesem VLAN nur auf Inet, DNS und RADIUS in anderem VLAN.

    Also müsste ich für jedes weitere Netz aus diesem VLAN ein !VLAN-Rule setzen. Das ist extrem umständlich.

    Wie ist denn nun der saubere Weg? Weil einfach OPT ** WAN SUBNET * geht ja nicht  ::)



  • Ich setze für meinen Hotspot auch alle anderen Lans mit !Lan und mir ist auch kein anderer Weg bekannt.



  • Danke für die Antwort. Augenscheinlich gibt es ja noch mehrere Wege. Ich werde das mal genau ausprobieren - vielleicht gibts ja Vor- und Nachteile…


  • Moderator

    Wäre es möglich dazu erstmal mehr Background Info zu bekommen? "Ein OPT ins WAN" zu bekommen ist mir sehr vage als dass ich da sinnvolle und weiterführende Hilfe geben könnte.

    Prinzipiell ist aber mit pfSense 2.0(.x) es nicht falsch (und vom Netzwerkdesign ebenso), dem OPT ein privates Netz zu geben und dieses - wie eben auch das LAN - ins WAN zu NATten. Daran ist nichts falsch und nichts schlecht. Eine entsprechende Firewallregel wird so oder so benötigt, denn ohne wird auf OPT alles geblockt (default ruleset).

    Grüße



  • Aber gerne doch  :D

    Auf bge0 liegen 6 VLANs. Ich nenne Sie einfach 10 - 15.

    10 und 11 dürfen überall hin. 15 darf gar nicht nach 10-14 bzw nur auf bestimmten Ports wie DNS nach 11. 15 soll aber parallel Internetzzugriff haben. 12 darf ins Inet und nach 11 auf den DNS und Windows-Share einer Maschine, sonst aber nirgends hin. 13 darf ins Inet und OpenVPN Tunnel zur pfS öffnen.

    10 = Desktops
    11 = Server / Windows DC
    12 = Testnetz / unbekannte Kundenrechner
    13 = WLAN privat 802.1X
    14 = Hab ich grad vergessen
    15 = WLAN Gäste. Linksys WRT54-GL hängt mit den LAN-Ports im VLAN. Auth nach 802.1X

    Vielen Dank :-)


Locked