Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OPT1 kein Internet

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 4 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lindi200000
      last edited by

      Hallo,
      ich bin langsam am verzweifeln.
      Ich bekomme es nicht hin das ein Rechner hinter OPT1 einen Internet Zugang bekommt.

      Alktuell gibt es folgendes:
      wan
      lan                192.168.1.1
      OPT1              192.168.188.254

      Rechner von LAn kann Rechner im OPT1 anpingen
      Rechner in OPT1 kann nicht Pfsense oder sonstwas anpingen.
      Regel erstellt für ping auf Pfsense und nun geht das.
      Rechenr in OPT1 kann nicht ins Internet Pingen, da muss ich für diese ip eine Regel erstellen, gebe ich WAN als ziel für die Regel ein geht das auch nicht.
      Wenn ich so ins Internet kommen möchte gibt es auch Probleme. Regel dafür ist
      Protokoll ipv4
      Source opt1 net
      Port *
      Dest: WAN net
      Port: *
      GW: *

      Das geht aber nicht.
      Jetzt habe ich bisschen gegoogelt und gesehen man soll in NAT/Outbound auf Hybrid umschalen.
      Da erscheint nun folgende Regel mit:
      WAN 192.168.188.0/24 * * * WAN address * NO Auto created rule - OPT1 to WAN

      Internet geht aber immer noch nicht.
      Pfsense ist auf der aktuellsten Version: 2.2.1

      Kann mir bitte wer helfen ^^.

      Gruß

      Lindi

      1 Reply Last reply Reply Quote 0
      • 2
        2chemlud Banned
        last edited by

        Hi!

        Probier mal:

        Bei den Firewall rules für OPT1 (!)

        Allow from OPT1 to ANY (nicht WAN net)

        …nicht dass ich das auf Dauer empfehlen würde, aber zum ersten Kontakt nach draussen.

        1 Reply Last reply Reply Quote 0
        • F
          flix87
          last edited by

          Outbound NAT würde ich auf Auto lassen selten das man das umstellen muss. Kann aber schon mal vorkommen.

          Die Regel aus dem OPT brauch nicht das WAN NET als Ziel denn du willst ja nicht ins WAN Net oder z.B. zu Google, Facebook usw. das macht man normal mit dem * als Any Regel. Der Verkehr geht dann zwar über das WAN Net raus  das ist aber nicht das endgültige Ziel und darauf kommt es in den Regeln an.

          Wenn du nicht willst das OPT1 zu Lan darf dann mache dafür ganz oben eine Regel die als Ziel das LAN NET hat und dann eben deny.
          Darunter dann die Allow Any Regel.

          Immer dran denken die Firewall arbeiten von oben nach unten und wenn eine Regel greift geht sie nicht weiter.

          1 Reply Last reply Reply Quote 0
          • L
            lindi200000
            last edited by

            danke das Opt1 nach any wars. + die Regel das es nicht ins LAN darf und schon passt alles.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              @Lindi genau :)

              Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem.

              Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :)

              Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben.
              ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab:

              Allow FROM (OPT1 NET) to (!LAN NET)

              Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN.

              Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden.

              Das aber nur als kleine Ausführung. :)

              Grüße

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.