OPT1 kein Internet



  • Hallo,
    ich bin langsam am verzweifeln.
    Ich bekomme es nicht hin das ein Rechner hinter OPT1 einen Internet Zugang bekommt.

    Alktuell gibt es folgendes:
    wan
    lan                192.168.1.1
    OPT1              192.168.188.254

    Rechner von LAn kann Rechner im OPT1 anpingen
    Rechner in OPT1 kann nicht Pfsense oder sonstwas anpingen.
    Regel erstellt für ping auf Pfsense und nun geht das.
    Rechenr in OPT1 kann nicht ins Internet Pingen, da muss ich für diese ip eine Regel erstellen, gebe ich WAN als ziel für die Regel ein geht das auch nicht.
    Wenn ich so ins Internet kommen möchte gibt es auch Probleme. Regel dafür ist
    Protokoll ipv4
    Source opt1 net
    Port *
    Dest: WAN net
    Port: *
    GW: *

    Das geht aber nicht.
    Jetzt habe ich bisschen gegoogelt und gesehen man soll in NAT/Outbound auf Hybrid umschalen.
    Da erscheint nun folgende Regel mit:
    WAN 192.168.188.0/24 * * * WAN address * NO Auto created rule - OPT1 to WAN

    Internet geht aber immer noch nicht.
    Pfsense ist auf der aktuellsten Version: 2.2.1

    Kann mir bitte wer helfen ^^.

    Gruß

    Lindi


  • Banned

    Hi!

    Probier mal:

    Bei den Firewall rules für OPT1 (!)

    Allow from OPT1 to ANY (nicht WAN net)

    …nicht dass ich das auf Dauer empfehlen würde, aber zum ersten Kontakt nach draussen.



  • Outbound NAT würde ich auf Auto lassen selten das man das umstellen muss. Kann aber schon mal vorkommen.

    Die Regel aus dem OPT brauch nicht das WAN NET als Ziel denn du willst ja nicht ins WAN Net oder z.B. zu Google, Facebook usw. das macht man normal mit dem * als Any Regel. Der Verkehr geht dann zwar über das WAN Net raus  das ist aber nicht das endgültige Ziel und darauf kommt es in den Regeln an.

    Wenn du nicht willst das OPT1 zu Lan darf dann mache dafür ganz oben eine Regel die als Ziel das LAN NET hat und dann eben deny.
    Darunter dann die Allow Any Regel.

    Immer dran denken die Firewall arbeiten von oben nach unten und wenn eine Regel greift geht sie nicht weiter.



  • danke das Opt1 nach any wars. + die Regel das es nicht ins LAN darf und schon passt alles.


  • Rebel Alliance Moderator

    @Lindi genau :)

    Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem.

    Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :)

    Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben.
    ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab:

    Allow FROM (OPT1 NET) to (!LAN NET)

    Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN.

    Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden.

    Das aber nur als kleine Ausführung. :)

    Grüße


Log in to reply