Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 4561 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internetzugriff aus VLAN - Firewallregel

sschacht
Hallo,

da ich nun meine erste Astarobox weitestgehend konfiguriert habe, habe ich noch ein kleines Problem:

Ich habe mehre VLANs (10,20,50) eingerichtet, die als eigene Schnittstellen aufgeführt sind.  
Nun möchte ich, dass VLAN 50 ins Internet Daten senden kann, aber nicht in die anderen VLANs kommt.

Unter Network Security Firewall habe ich nun eine Regel eingerichtet:
VLAN 50 (Network) -> ANY -> External WAN (Network)

External WAN ist das Netzwerk zu meiner Fritz.Box (Kabelmodem DHCP). NAT und DNS habe ich gepflegt.

Mittels dieser Regel bekomme ich aber ständig "Default Drops" im Live-Protokoll der Firewall. 

Ändere ich die Regel in

VLAN 50 (Network) -> ANY -> ANY

funktioniert es einwandfrei. Ich bekomme dann aber auch Zugriff auf die anderen VLANs, was ich nicht möchte.

Jetzt weiß ich leider nicht wie ich es hinbekomme, dass ANY gleich alles im Internet aber nicht die internen VLANs ist.
Kann mir hier jemand einen Tipp geben?

Grüße und Danke
Ralf


This thread was automatically locked due to age.
Parents
  • 0
    Per Default ist eh alles Drop, also von dem her brauchst Du keine extra Drop-Regeln!

    Wenn nur VLAN 50 ins *Internet* und sonst nirgends hin können soll:

    VLAN 50 > Service Any > Internet

    Es ist wichtig, dass Du das 'Internet'-Objekt verwendest. Damit ist der Verkehr ins Internet (eigentlich 'any') an das Internet-Interface (WAN) gebunden und damit eben nicht 'any'. Masquerading brauchst Du bei privaten IPs natürlich auch noch.

    In Deiner Beispiel-Konfig hast Du als Ziel das WAN-Interface verwendet. Dies ist nicht 'Internet' sondern eben nur das Interface selbst!
Reply
  • 0
    Per Default ist eh alles Drop, also von dem her brauchst Du keine extra Drop-Regeln!

    Wenn nur VLAN 50 ins *Internet* und sonst nirgends hin können soll:

    VLAN 50 > Service Any > Internet

    Es ist wichtig, dass Du das 'Internet'-Objekt verwendest. Damit ist der Verkehr ins Internet (eigentlich 'any') an das Internet-Interface (WAN) gebunden und damit eben nicht 'any'. Masquerading brauchst Du bei privaten IPs natürlich auch noch.

    In Deiner Beispiel-Konfig hast Du als Ziel das WAN-Interface verwendet. Dies ist nicht 'Internet' sondern eben nur das Interface selbst!
Children
No Data
Unfiltered HTML