[fli4l] OAC, mehrere (V)LANs, kein DHCPd, Ethernet-router zum WAN

Herbert Demmel programmer at demmel-m.de
Sa Okt 30 16:25:41 CEST 2021 

Kay Martinen <usenet at martinen.de> wrote in news:0k7r3i-f4v.ln1
@news.martinen.de:

> Hallo Ebenfalls Hallo,

und sorry für die späte Antwort.


> Das OAC Modul von FLI (3.10) schiene mir eine Einfache und Praktische

OAC funktioniert auch unter fli4l 4.x. - und es _ist_ m.E. die Einfache 
und Praktische Lösung.

> Ich möchte zugleich aber auch bestimmte IPs generell erlaubt lassen. 

Kein Problem. Man kann, aber man muss nicht, jede IP von OAC bearbeiten 
lassen. (wird im Paketfilter eingestellt)


> Und das am liebsten aus mehr als einem VLAN.

Ebenfalls kein Problem. Jede der "bestimmten IPs" kommt ja nur in einem 
einzigen VLAN vor.


> Nun benutze ich derzeit OPNsense ...

Die Kombination im OPNsense kann ich nicht beurteilen.


> Die WAN Seite wäre dabei ein dhcp-client an einem Telekom-Router der
> ...
> ganz klassisch mit V4 und NAT.

Bei mir redet eine Fritz!Box mit dem Internet und kümmert sich um die 
Telefonie. Zwischen der Fritz!Box und dem VLAN-fähigen Switch steht der 
fli4l und kümmert sich um den Datenverkehr meiner 5 Netze untereinander 
und ins Internet. Ebenfalls mit IPv4.

> Aber so weit ich las gibt es da ein Problem mit mehr als einem Internen
> Netz und OAC.

In welcher Hinsicht? Ein solches Problem hat mich noch nicht betroffen.


> Das scheint nicht vorgesehen zu sein und wenn doch muß
> man; so wie ich's verstand; ihn auch den dhcpd machen lassen.

Mein fli4l ist dhcp-client (gegenüber der FB) und dhcp-server für meine 
Rechner und Geräte in den VLANs.

> Ich habe bei OAC auch nichts erkennen können ob es da Pro Gruppe einen
> Default-wert gibt für Allow, Reject oder Drop. Das scheint pro Host zu
> laufen oder?

Nein, nicht pro Host. Ich habe ein paar OAC-Gruppen und für jede der 
OAC- Gruppen kann ich die Variable "bootblock" setzen:

OAC_GROUP[]
{
	NAME='Drucker'
	BOOTBLOCK='yes'
	CLIENT[]='hpclj3000' 
	CLIENT[]='mfcl8690cdw'     
    	CLIENT[]='fs1300d-n' 
}

Wegen BOOTBLOCK='yes' sind meine Drucker nach dem Booten des fli4l 
geblockt - sie dürfen nur nach manuellem Klick ins Internet.


Wenn ich es richtig verstehen, brauchst Du 'nur' statt der Hostnamen 
die IPs eintragen. Oder der fli4l läßt sich für OAC die Hostnamen von 
OPNsense geben (falls das geht ...)

HTH Herbert

Mehr Informationen über die Mailingliste Fli4L