Guten Morgen

>neugierig, wie ich nun mal bin, von welcher Schnittstelle sprichst du?

>Wenn die Schnittstelle auf nicht vertraulich eingestellt ist, hat sich sicher jemand was dabei gedacht.

Dieser jemand war ich. Ich habe an der Digibox 4 verschiedene Netzwerkkreise aufgezogen, die sich gegenseitig nicht sehen sollen. Soweit ich es mir bis jetzt erlesen habe, kann ich durch das Setzen auf "nicht vertrauenswürdig" diese Netze isolieren und über die Firewallregeln die Zugriffe untereinander regeln. Das klappt auch an den meisten Stellen entsprechend der Erwartung.

>Gib doch einfach die benötigten Dienste frei.

Das habe ich. Meine Filterregel ist

Quelle: entsprechendes Netz

Ziel: WAN_DTAG_INTERNET-ZUGANG

Dienst: any

Dennoch darf das entsprechende Netz weiterhin nicht ins Internet.

@Armin_Schulz

Das funktioniert bei mir einwandfrei.

Die Regel Schnittstelle -> WAN_DTAG_INTERNET-ZUGANG -> any -> Zugriff erlauben habe ich bei IPv4 und bei IPv6.

@wari1957
Danke für die Info. Mir war erstmal wichtig, dass die grundsätzliche Idee stimmt.
Ich hätte erwartet, dass ich mit der Regel auch die Digibox in diesem Netz anpingen kann, das klappt aber aus bis jetzt unerfindlichen Gründen auch nicht, was ja im Umkehrschluss bedeutet, dass ich mein Gateway nicht erreiche.

@Gelöschter Nutzer

Bilder im Anhang.

@Armin_Schulz

Unter Systemverwaltung -> Administrativer Zugriff die entsprechende Schnittstelle hinzufügen und den Haken bei Ping setzen.

@wari1957

Der ist gesetzt, hat aber nicht zur Folge, dass die Box anpingbar ist.

@Gelöschter Nutzer

Das hat tatsächlich den Durchbruch gegeben. Gebe ich für das Netz die Schnittstelle LOCAL frei, dann klappt der Ping auf die Box *und* das Inet. D.h. aber dann ja auch, dass die Freigabe Richtung WAN auch eine Freigabe des Gateways erfordert und diese nicht implizit enthält.

Eine grundsätzliche Frage hätte ich noch, da ich das von anderen Firewalls bisher anders gekannt habe: wenn ich in der Digibox etwas ändere, dann wird diese Änderung nicht sofort aktiv. Bsp: ich setze das Netz von "vertrauenswürdig" auf "nicht vertr.", dann kann ich dort noch einige Minuten ins WAN, erst danach greift die Änderung. Kann ich eine Änderung sofort "aktivieren" ?

@Armin_Schulz

Hast du von HA -> LAN_LOCAL als Dienst any eingetragen?

Es gibt in den Dienste-Gruppen normalerweise einen Eintrag wlan-guest-local-access, die zu nutzen reicht völlig aus.

-Kann ich eine Änderung sofort "aktivieren" ?

Außer einem Neustart der Digitalisierungsbox, fällt mir dazu nichts ein.

@Gelöschter Nutzer

Das kann sein.

Die Gruppe enthält nur dns, dhcp und echo_req.

@Gelöschter Nutzer 

@wari1957 

Ich wäre euch nochmal für einen Tip dankbar:

Gegeben sind zwei Netze an unterschiedlichen Schnittstellen (192.168.30.0 und 192.168.0.0). Ich möchte nun *einem* Host im 30er den Zugriff auf einen Host im 0er geben. 

Unter Firewall/Adressen habe ich beide eingerichtet und in den Richtlinieren als Quelle und Ziel eingegeben (Dienst:any).

Allerdings kann nicht auf den Host im anderen Netz zugreifen.

Habt Ihr dazu eine Idee?

@Armin_Schulz 

Screenshots wären hilfreich.

@wari1957 

Aber gerne, Bilder im Anhang.

Korrektur zu meinem einführenden Text:

Gegeben sind zwei Netze an unterschiedlichen Schnittstellen (192.168.30.0 und 192.168.0.0). Ich möchte nun *einem* Host im 0er den Zugriff auf einen Host im 30er geben. 

@Armin_Schulz 

Wenn du jetzt noch die Einträge in der Adressliste für ASMOB2 192.168.0.185/255.255.255.255 und SRV_6 192.168.30.6/255.255.255.255 anpasst, funktioniert das auch.

@wari1957 

Jetzt, wo du es sagst, ist es natürlich völlig offensichtlich...

Ich danke dir vielmals !!