*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 373
Genau so hätte ich es gemacht, hihi
Alternativ Leg dir einen host alias an (MGMT_Workstation oder so), der vor der letzten deny any rule den Zugriff auf deine netze erlaubt. So sperrst du alles weg aber deine Workstation darf weitermachen
MultiWAN ist doch Kindergarten gegen einen HA-Setup. Keine Ahnung, warum Du dir das immer noch antust. Davon ab, den DNS-Redirect hättest Du in einer Regel je Ziel-DNS-Server abhandeln können. Und für Outbound-NAT würde ich immer den Hybriden Modus bevorzugen.
Zum Management-VLAN, da gibt es denke ich keine allgemeingültige Lösung. Je sicherer, desto komplizierter. Ich würde einfach dafür sorgen, dass da keine Server oder IoT drin sind, dann ist es mir sicher genug. Bzw. ich nutze einen eigenen Router dafür, einfach weil der Mist bei Problemem laufen muss, damit ich Backups wiederherstellen kann usw. D.h. ich habe mein LAN in der Sense, was schon überall hin kann. Und dann noch einen zusätzlichen Router für die Bleche. Mein PC ist dank mehrerer NICs in beiden Netzen drin. Aber nochmal, das ist sehr individuell zu sehen.
Zuletzt bearbeitet:
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.191
Warum ich mir was genau immer noch antue? Erklär mir was du meinst, ich erklär dir warum ich es tue und dann schauen wir obs ne bessere Lösung gibt!
Und ja, ich hatte das sowohl mit Gruppen als auch mit floating rules umgesetzt, aber habs dann tatsächlich genau wie du gesehen: So ists (für mich!) übersichtlicher.
Was ist der Vorteil vom hybriden Modus? Ich bin da erstmal streng den Regeln der opnsense Macher gefolgt, daher die (vielleicht dumme) Frage...
Huom, zweites NEtz nur für MGMT find ich ja erhlich gesagt n bisserl drüber. Huom.
Und ja, ich hatte das sowohl mit Gruppen als auch mit floating rules umgesetzt, aber habs dann tatsächlich genau wie du gesehen: So ists (für mich!) übersichtlicher.
Was ist der Vorteil vom hybriden Modus? Ich bin da erstmal streng den Regeln der opnsense Macher gefolgt, daher die (vielleicht dumme) Frage...
Huom, zweites NEtz nur für MGMT find ich ja erhlich gesagt n bisserl drüber. Huom.
Mh deine Hauptworkstation, die immer da ist einfach 2 VLANs zuführen, 1x LAN und 1x MGMT. MGMT kannst ja dann in eine „Management“ VM bridgen/durchreichen.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 373
Persönliche Meinung: davon halte ich nichts. Wenn ich Netze trennen will bringt es mir ja nichts wenn ich die Trennung vom Inter-VLAN Router umgehe, damit ist der Sicherheitsgewinn punktuell verloren.
Aber ich verstehe die individuelle Abwägung zwischen Bequemlichkeit und Sicherheit.
Edit: vielleicht ein Wort zur Relativierung. Ich betreibe Opnsense sowohl als mehrfach Edge als auch als Inter-VLAN Router. Diese dann jeweils als IDS/IPS Instanzen. ich WILL also das alle Pakete da durch gehen und von daher würde ein Rechner mit Fuß in beiden VLANs keinen Sinn bei mir machen
Aber ich verstehe die individuelle Abwägung zwischen Bequemlichkeit und Sicherheit.
Edit: vielleicht ein Wort zur Relativierung. Ich betreibe Opnsense sowohl als mehrfach Edge als auch als Inter-VLAN Router. Diese dann jeweils als IDS/IPS Instanzen. ich WILL also das alle Pakete da durch gehen und von daher würde ein Rechner mit Fuß in beiden VLANs keinen Sinn bei mir machen
Zuletzt bearbeitet:
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 158
Ich muss nochmal auf mein Problem zu sprechen kommen, dass ich versuche ein neuen Interface auf meiner OPNSense einzurichten.
Meine Sense läuft unter Proxmox.
Sowohl ein Hardware Client als auch eine VM auf dem gleichen Proxmox host schaffen es nicht einen ICMP reply von der Sense zu bekommen.
Die beiden Clients VM/HW haben IPs im Netz 10.33.5.0/24 und die Sense die 10.33.5.1.
DHCP funktioniert und die Clients bekommen eine IP zugewiesen.
Firewall Rules erlauben ebenfalls ICMP und der Request taucht auch im Log auf. Nur die Antwort bleibt aus.
Jemand eine Idee, wie sich das Problem einkreisen lässt?
Meine Sense läuft unter Proxmox.
Sowohl ein Hardware Client als auch eine VM auf dem gleichen Proxmox host schaffen es nicht einen ICMP reply von der Sense zu bekommen.
Die beiden Clients VM/HW haben IPs im Netz 10.33.5.0/24 und die Sense die 10.33.5.1.
DHCP funktioniert und die Clients bekommen eine IP zugewiesen.
Firewall Rules erlauben ebenfalls ICMP und der Request taucht auch im Log auf. Nur die Antwort bleibt aus.
Jemand eine Idee, wie sich das Problem einkreisen lässt?
Betreibe auch schon länger einen Filer, der an mehreren vNICs hängt um Interzone Verkehr zu vermeiden. Sehe jetzt da kein Problem. Dient einfach als mehrbesserer USB Stick.
Auf das Problem mit dem Management Netz laufe ich auch gerade zu. Bei mir wird es ein kleiner Switch für IPMIs und sowas. Der hängt dann auch separat an meiner WS und wird bei Bedarf zugeschaltet. Habe auch noch ein zweites Management Netz/vLAN für NFS. Weil da kann man ohne PW drauf zugreifen. Das darf einfach gar nirgends hin telefonieren.
Wüsste nicht, wie ich das eleganter lösen könnte, so ganz ohne ernsthaften Switch. Bin aber auch noch in der Findungsphase.
Auf das Problem mit dem Management Netz laufe ich auch gerade zu. Bei mir wird es ein kleiner Switch für IPMIs und sowas. Der hängt dann auch separat an meiner WS und wird bei Bedarf zugeschaltet. Habe auch noch ein zweites Management Netz/vLAN für NFS. Weil da kann man ohne PW drauf zugreifen. Das darf einfach gar nirgends hin telefonieren.
Wüsste nicht, wie ich das eleganter lösen könnte, so ganz ohne ernsthaften Switch. Bin aber auch noch in der Findungsphase.
Ähnliche Themen
- Frage / Lösungssuche