OPT1 kein Internet
-
Hallo,
ich bin langsam am verzweifeln.
Ich bekomme es nicht hin das ein Rechner hinter OPT1 einen Internet Zugang bekommt.Alktuell gibt es folgendes:
wan
lan 192.168.1.1
OPT1 192.168.188.254Rechner von LAn kann Rechner im OPT1 anpingen
Rechner in OPT1 kann nicht Pfsense oder sonstwas anpingen.
Regel erstellt für ping auf Pfsense und nun geht das.
Rechenr in OPT1 kann nicht ins Internet Pingen, da muss ich für diese ip eine Regel erstellen, gebe ich WAN als ziel für die Regel ein geht das auch nicht.
Wenn ich so ins Internet kommen möchte gibt es auch Probleme. Regel dafür ist
Protokoll ipv4
Source opt1 net
Port *
Dest: WAN net
Port: *
GW: *Das geht aber nicht.
Jetzt habe ich bisschen gegoogelt und gesehen man soll in NAT/Outbound auf Hybrid umschalen.
Da erscheint nun folgende Regel mit:
WAN 192.168.188.0/24 * * * WAN address * NO Auto created rule - OPT1 to WANInternet geht aber immer noch nicht.
Pfsense ist auf der aktuellsten Version: 2.2.1Kann mir bitte wer helfen ^^.
Gruß
Lindi
-
Hi!
Probier mal:
Bei den Firewall rules für OPT1 (!)
Allow from OPT1 to ANY (nicht WAN net)
…nicht dass ich das auf Dauer empfehlen würde, aber zum ersten Kontakt nach draussen.
-
Outbound NAT würde ich auf Auto lassen selten das man das umstellen muss. Kann aber schon mal vorkommen.
Die Regel aus dem OPT brauch nicht das WAN NET als Ziel denn du willst ja nicht ins WAN Net oder z.B. zu Google, Facebook usw. das macht man normal mit dem * als Any Regel. Der Verkehr geht dann zwar über das WAN Net raus das ist aber nicht das endgültige Ziel und darauf kommt es in den Regeln an.
Wenn du nicht willst das OPT1 zu Lan darf dann mache dafür ganz oben eine Regel die als Ziel das LAN NET hat und dann eben deny.
Darunter dann die Allow Any Regel.Immer dran denken die Firewall arbeiten von oben nach unten und wenn eine Regel greift geht sie nicht weiter.
-
danke das Opt1 nach any wars. + die Regel das es nicht ins LAN darf und schon passt alles.
-
@Lindi genau :)
Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem.
Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :)
Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben.
ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab:Allow FROM (OPT1 NET) to (!LAN NET)
Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN.
Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden.
Das aber nur als kleine Ausführung. :)
Grüße
