6
Pfsense 2.3 LAN u WLAN Zugriff von bestimmten IPs des WLAN auf bestimmte IPs im LAN
Hallo,
ich habe vor einiger Zeit pfsense auf meine Watchguard X750 geflasht.
Im ersten Schritt wollte ich erstmal dafür sorgen, dass man vom LAN und WLAN über alle Ports raus kommt, das klappt soweit.
WAN, LAN und die APs fürs WLAN hängen jeweils an unterschiedlichen Interfaces.
Jetzt möchte ich aber beispielsweise von IP 10.0.101.xy (WLAN) einen Ping auf IP 10.0.100.21 (LAN) zulassen.
Bei Watchguard war dies einfach als Regel zu definieren, das mag bei pfsense auch gehen, allerdings scheint da bei mir (im Kopf) etwas zu fehlen.
Vielleicht kann mir einer einen Tipp geben, wie ich weiter komme.
Danke und Gruß
Carsten
ich habe vor einiger Zeit pfsense auf meine Watchguard X750 geflasht.
Im ersten Schritt wollte ich erstmal dafür sorgen, dass man vom LAN und WLAN über alle Ports raus kommt, das klappt soweit.
WAN, LAN und die APs fürs WLAN hängen jeweils an unterschiedlichen Interfaces.
Jetzt möchte ich aber beispielsweise von IP 10.0.101.xy (WLAN) einen Ping auf IP 10.0.100.21 (LAN) zulassen.
Bei Watchguard war dies einfach als Regel zu definieren, das mag bei pfsense auch gehen, allerdings scheint da bei mir (im Kopf) etwas zu fehlen.
Vielleicht kann mir einer einen Tipp geben, wie ich weiter komme.
Danke und Gruß
Carsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309841
Url: https://administrator.de/contentid/309841
Printed on: April 24, 2024 at 16:04 o'clock
6 Comments
Latest comment
Bei Watchguard war dies einfach als Regel zu definieren, das mag bei pfsense auch gehen,
Ja, das ist kinderleicht !PASS, Protocoll: ICMP, Source: 10.0.101.0 network (WLAN network), Destination: 10.0.100.21 (LAN Host)
Fertisch... Funktioniert hier fehlerlos.
Das erlaubt dann pingtechnisch alles von .101.0 /24 nach .100.21.
Bedenke das Ping ICMP ist wenn du protokollspezifisch filterst !
Du filterst Host spezifisch ! Also kannst also nur von .101.105 zu .100.21 pingen mehr nicht !
Die Regel ist richtig oben.
Kann es sein das du VOR dieser Regel eine DENY IP 10.0.101.0 nach ANY oder .100.0 hast ??
Denk dran das das Regelwerk abhängig von der Reihenfolge ist !! Es gilt immer first match wins !.
Wenn du also vorher eine globale DENY Regel hast wird hinterher nichts mehr ausgeführt was PASS oder ALLOW ist !
Genau das ist vermutlich bei dir der Fall ?!
@aqui
Danke erstmal für deine Antwort, aber habe ich genau das nicht gemacht (siehe oben letzter Screenshot)?
Einziger Unterschied ist, dass ich eine Single IP und nicht das Netzwerk genommen habe, aber das sollte doch auch gehen, oder?
Ein Ping innerhalb des LAN auf 10.0.100.21 klappt tadellos, über das WLAN-Interface leider nicht.
Danke erstmal für deine Antwort, aber habe ich genau das nicht gemacht (siehe oben letzter Screenshot)?
Einziger Unterschied ist, dass ich eine Single IP und nicht das Netzwerk genommen habe, aber das sollte doch auch gehen, oder?
Ein Ping innerhalb des LAN auf 10.0.100.21 klappt tadellos, über das WLAN-Interface leider nicht.
Wie gesagt...das sind die möglichen Gründe:
WAS sagt dein Firewall Logg ??
- Eine DENY Regel VOR dieser Regel die das blockt !
- Eine DENY Regel die die Rückantwort des Packets (Echo Reply) blockt.
- Gateway oder Route via FW Interface fehlt auf der .100.21
- Lokale Firewall aktiv auf der .100.21 die ICMP blockt ! https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
WAS sagt dein Firewall Logg ??
Nein, es gibt keine DENY Regel, momentan gibt es sogar eine any to any (siehe Anhang), die explizit gesetzte Regel für den Ping ist somit aus meiner Sicht auch überflüssig oder sollte es sein. (ist momentan nur test, so bleibt das nicht ;)
Gateway ist auf 100.21 korrekt konfiguriert, der kommt auch raus über die 10.0.100.1
Eine lokale FW gibt es auf 100.21 nicht, ist übrigens ein 16.04 LTS
Ich glaube dass mir irgendwas grundsätzliches fehlt, hab nur leider keine Ahnung was.
Ich habe jetzt mal die Regel auf das Netzwerk erweitert im WLAN und auch mal einen Ping von der FW versucht auf die IP.
Aus dem Lan klappt es, aus dem WLAN nicht.
Gateway ist auf 100.21 korrekt konfiguriert, der kommt auch raus über die 10.0.100.1
Eine lokale FW gibt es auf 100.21 nicht, ist übrigens ein 16.04 LTS
Ich glaube dass mir irgendwas grundsätzliches fehlt, hab nur leider keine Ahnung was.
Ich habe jetzt mal die Regel auf das Netzwerk erweitert im WLAN und auch mal einen Ping von der FW versucht auf die IP.
Aus dem Lan klappt es, aus dem WLAN nicht.
Das Problem scheint gelöst zu sein, es lag anscheinend an der Konfiguration des HP Switches, sorry. 
Wenn ich nachher Zeit habe schaue ich mir das nochmal an.
Ein Ping von der FW aus dem WLAN auf die 10.0.100.21 ist auf jeden Fall jetzt möglich.
Danke für die Hilfe!
Wenn ich nachher Zeit habe schaue ich mir das nochmal an.
Ein Ping von der FW aus dem WLAN auf die 10.0.100.21 ist auf jeden Fall jetzt möglich.
Danke für die Hilfe!
War fast zu erwarten, denn an der pfSense konnte es auch nicht liegen.
Gut wenn nun alles klappt wie es soll
Bitte dann auch How can I mark a post as solved? nicht vergessen.
Gut wenn nun alles klappt wie es soll
Bitte dann auch How can I mark a post as solved? nicht vergessen.
