[Gelöst] Pfsense hinter Fritz!Box Firewall Regeln
-
Danke soweit.
Also pfSense hat jetzt eine statische IP auf der Fritz!Box.
Die WAN-Regeln habe ich gelöscht (WAN hat somit keine Regeln mehr)Mit Heimnetz sind alle Geräte gemeint die an der Fritz!Box hängen. Der Drucker hängt an der Fritz!Box weil beide im gleichen Raum im EG sind, die pfSense ist ein Stockwerk höher (1OG).
Die IP-Range der Fritzbox ist 192.168.178.0/24
Die der Einzelnen Interfaces der pfSense im Anhang:
-
Du brauchst eine Regel auf dem WLAN Interface, die Zugriff auf WAN net blockt.
Die hast du auch, allerdings nur für IPv4. Wenn du v6 nutzt musst du das an der Stelle mit rein nehmen. -
Ich nutze (noch) kein IPv6, habe die Regel trotzdem geändert - leider ohne Erfolg. Mann kann immernoch vom WLAN auf das (Heimnetz) Geräte an der Fritz!Box zugreifen.
Ich habe da noch etwas gefunden, könnte es an den NAT Outbound Regeln liegen?
-
Hallo,
hast du nach Einrichten der Block-Regel auch mal die States der Verbindungen ins LAN und WAN gelöscht? (Diagnostic > States) Bereits bestehnde Verbindungen bleiben von den Regeln unberührt.
Das Outbound NAT ist in Ordnung.
-
Ansonsten mache mal bei allen Regeln des WLAN Interfaces die Logging Option an und greife dann von einem WLAN Client auf bspw. den Drucker zu und schaue möglichst zeitnah dann in die Firewall Logs der pfSense, dann müsste zu erkennen sein, warum der Zugriff erlaubt wurde und nicht geblockt.
-
Danke für die weiteren Antworten!
viragomann: Ich habe unter Diagnostics > Reset States einen Reset durchgeführt, leider ohne veränderung.
JeGr: Ich habe alle WLAN Rules auf logging geschalten, vom WLAN auf den Netzwerkdrucker zugegriffen (mehrmals) aber es erscheint weder bei den PASS Logs, noch bei den BLOCK Logs?
Details:
Wlan-IP 192.168.2.11
Drucker-IP 192.168.178.30
Zugriff um 18:55 (aber es erscheint nicht, woran kann das liegen?)
-
Hast du Floating rules angelegt, die den Traffic erlauben?
-
Nein, Floating-Rules habe ich keine.
-
2 Einstellungen fallen mir noch ein, die das bewirken könnten:
-
Eine Port Forward NAT-Regel, in der "Filter rule association" auf "pass" gesetzt ist. Du hast oben nur Outbound NAT gezeigt.
-
In System > Advanced > Firewall and NAT "Disable all packet filtering" angehakt.
Beides wenig sinnhaft, aber Fehler können ja passieren.
Wenn es davon auch nichts ist, habe ich schon Zweifel, ob der Traffic überhaupt die pfSense passiert.
Schau dir das mal mit "Packet Capture" im Diagnostic Menü an den Interfaces an. -
-
Habe die Einstellungen gecheckt, aber beides ist nicht der Fall.
Wie du vorgeschlagen hast, habe ich ein "Packet Capture" auf allen Interfaces gemacht (WLAN, LAN, WAN) und nirgendwo taucht eine Verbindung auf.
Aber: Ich habe auf dem WLAN Interface einen Squid-Proxy Server aktiviert, und mir mit Sarg den Traffic angesehen. Und siehe da, hier wird alles angezeigt. Kann es sein, dass das Captive-Portal oder der Squid-Proxy die Rules irgendwie umgeht?
-
Ganz anderer Ansatz für das Problem und bestimmt weniger spassig, aber sofern die pfSense wirklich nur für's Gast WLAN benötigt wird:
Nimm für's WLAN doch einen AVM Repeater. Die können das Gastnetz einfach aus der Fritzbox übernehmen (bauen dazu einen Tunnel zur Fritzbox auf).
-
Aber genau das will ich ja nicht mehr.
Die Fritzbox soll nur noch für mein Netz zuständig sein. Und das Gäste-Wlan getrennt davon auf der pfSense mit den genialen Funktionen wie Captive-Portal und Logging.
Aber ich glaube wir schweifen zu Weit ab, die Kernfrage ist doch wieso ich im Wlan-Netz Zugriff auf Geräte aus meinem Heimnetz habe obwohl dies doch per Firewall-Rule blockiert ist?
-
Die Vermutung, dass der Proxy damit in Zusammenhang stehen könnte, hast du ja schon selbst geäußert. Warum deaktivierst du ihn nicht einfach, um zu sehen, ob das zutrifft.
Wäre ja auch logisch. Der Proxy ist so etwas wie ein Bypass, der anhand eigener Regeln filtert.Wenn du den Proxy zwischen WLAN und Internet haben möchtest, doch auf das LAN und WAN Netz kein Zugriff erlaubt sein soll, musst du ihn entsprechend konfigurieren.
-
Das war's! :D
Der Proxy leitet es um bevor es in der Firewall ankommt. Ich dachte, wenn ich "Transparenter Proxy" einschalte, wird nichts umgeleitet sondern nur aufgezeichnet, dem ist aber nicht so. Es fehlte ein entscheidender Haken bei "Bypass Proxy for Private Address Destination" und schon funktioniert es wie gewünscht!
Vielen Dank an Alle!
-
"Transparent" bedeutet, dass der Proxy für die Clients nicht sichtbar ist, dass man also keinen speziellen Proxy in der Netzwerk- oder Browserkonfig angeben muss, um ans Ziel (meist ins Internet) zu kommen.
-
Dumme Frage: Hat die Fritz!Box eigentlich kein WLAN (einen integrierten AP)? Muss deshalb pfSense (alix board) das WLAN zur Verfügung stellen?
-
Doch die Fritz!Box hat auch Wlan (Ich nutze es für meine eigenen Geräte). Aber für unsere Feriengäste ist die Pfsense mit dem CaptivePortal einfach Spitze.