Kay Martinen
2021-10-16 15:27:28 UTC
Hallo
Das OAC Modul von FLI (3.10) schiene mir eine Einfache und Praktische
Lösung zu sein um bestimmte Clients vom Internet generell aus zu
sperren. Ich möchte zugleich aber auch bestimmte IPs generell erlaubt
lassen. Und das am liebsten aus mehr als einem VLAN.
Nun benutze ich derzeit OPNsense das auch den dhcpd und dns macht für
das interne Netz, inkl. VLAN(s). Was aber an FLI praktischer wäre ist in
der WebUI schlicht mit einem Klick einen Host temporär oder bis zum
Umschalten Internet zu erlauben oder eben zu verbieten. Oder eine Gruppe.
Die WAN Seite wäre dabei ein dhcp-client an einem Telekom-Router der
auch IPv6 kann, aber keine Präfix-delegationen. Da ich dafür noch immer
keine bessere Lösung kenne blockiere ich derzeit IPV6 und arbeite intern
ganz klassisch mit V4 und NAT.
Aber so weit ich las gibt es da ein Problem mit mehr als einem Internen
Netz und OAC. Das scheint nicht vorgesehen zu sein und wenn doch muß
man; so wie ich's verstand; ihn auch den dhcpd machen lassen.
Die Alternative wäre wohl mehrere Virtuelle FLI, also pro Netz einen zum
WAN hin ein zu richten. Das vervielfältigt aber auch den
Wartungsaufwand. Geht das auch irgendwie einfacher?
Ich habe bei OAC auch nichts erkennen können ob es da Pro Gruppe einen
Default-wert gibt für Allow, Reject oder Drop. Das scheint pro Host zu
laufen oder?
Bye/
/Kay
Das OAC Modul von FLI (3.10) schiene mir eine Einfache und Praktische
Lösung zu sein um bestimmte Clients vom Internet generell aus zu
sperren. Ich möchte zugleich aber auch bestimmte IPs generell erlaubt
lassen. Und das am liebsten aus mehr als einem VLAN.
Nun benutze ich derzeit OPNsense das auch den dhcpd und dns macht für
das interne Netz, inkl. VLAN(s). Was aber an FLI praktischer wäre ist in
der WebUI schlicht mit einem Klick einen Host temporär oder bis zum
Umschalten Internet zu erlauben oder eben zu verbieten. Oder eine Gruppe.
Die WAN Seite wäre dabei ein dhcp-client an einem Telekom-Router der
auch IPv6 kann, aber keine Präfix-delegationen. Da ich dafür noch immer
keine bessere Lösung kenne blockiere ich derzeit IPV6 und arbeite intern
ganz klassisch mit V4 und NAT.
Aber so weit ich las gibt es da ein Problem mit mehr als einem Internen
Netz und OAC. Das scheint nicht vorgesehen zu sein und wenn doch muß
man; so wie ich's verstand; ihn auch den dhcpd machen lassen.
Die Alternative wäre wohl mehrere Virtuelle FLI, also pro Netz einen zum
WAN hin ein zu richten. Das vervielfältigt aber auch den
Wartungsaufwand. Geht das auch irgendwie einfacher?
Ich habe bei OAC auch nichts erkennen können ob es da Pro Gruppe einen
Default-wert gibt für Allow, Reject oder Drop. Das scheint pro Host zu
laufen oder?
Bye/
/Kay
--
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔