J'ai à configuré un Firewall OPNsense pour des clients. Il va se trouver derrière un routeur de FAI (en l'occurrence un OverTheBox OVH), mais sur lequel il n'y aura normalement que lui. Il y aura donc un WAN, et deux LAN (dont un avec un VLAN, pour pouvoir segmenter et provisionner des IP en DHCP avec un switch manageable derrière).  
 
Les règles de basent d'OPNsense autorise tout le trafic à sortir vers "any" ... ce qui veut dire aussi entre les deux LANs, et ce n'est pas ce que je souhaite : les deux devant être bien isolé.  
Seulement, je n'ai pas trouvé comment autoriser les clients sur les LANs à sortir sur Internet sans recourir à ANY avec cette situation/environnement … soucis que j’avais déjà rencontré en TP sans vraiment trouver de solutions non plus.  
 

 
Sans créer de règles block/eject pour empêcher les deux LANS de communiquer entre eux, il existe un moyen de faire ça proprement ?  
Il me semble que lorsque un tel Firewall est utilisé avec une IP Publique directement en WAN, on utiliserait "WAN Adress" comme destination pour les règles de sorties, ce qui permettrait de sortir sur Internet, sans autoriser vers les LAN ... mais dans mon cas, ça ne fonctionne pas.
 
 
Merci par avance !

Hello,
 
C'est bien en utilisant du filtrage qu'il faut le faire.
 
Si ton réseau A est en 192.168.0.0/24 et ton réseau B est en 192.168.1.0/24 , tu mets une règle sur chaque interface de type LAN qui bloque le trafic sortant vers 192.168.0.0/23 ou encore vers tout 192.168.0.0/16 .
 
 
Ceci dit, il est illégal de partager un accès à Internet entre deux entités :
- Au niveau de l'état, s'il y a une connerie de faite sur l'accès, il n'y aura qu'un seul responsable.
- Au niveau des FAI, leur coût principal est lié au volume de données transféré par leurs clients. Tu images donc bien que le partage d'accès est limité au maximum par leur Conditions Générales.

Je me rends compte que je n'ai jamais répondu à plusieurs topics que j'avais lancé, dont celui-ci. Je corrige donc ça
Je n'ai pas pu finir de mener ce projet à bien, pour diverses raisons et je ne suis plus depuis longtemps dans l'entreprise prestataire. Mais je reprends quand même parce que côté perso j'ai aussi eu le cas, que j'ai résolu.

Concernant la partie légale, il s'agissait bien d'un seul client et d'une unique entreprise/holding. Sans trop rentrer dans les détails, c'était une boite ayant une activité industrielle d'un côté, et qui lançait une activité orienté tourisme de l'autre, et donc avec de l’accueil de clientèle. Et il n'avait qu'un seul réseau pour tout ça sur l'ensemble de leurs bâtiments (dont aussi une partie qui n'était exploitée dans aucune des deux activités). Donc niveau sécurité c'est pas fameux. Le but était donc de segmenter tout ça.

Il manquait quand même une partie contextuelle que je n'avais pas au moment où j'avais posé la question (faute de connaitre suffisamment les lieux, faute d'avoir aussi de la documentation) : en fait la partie exploitée par aucune des deux activités allait devoir en plus être branchée sur l'OverTheBox, vu comment était câblée les bâtiments - et c'est pas le genre de bâtiments qui permettait de refaire un câblage en deux temps trois mouvements

Mais je ne sais pas si ça serait quand même rentré dans les CGU en effet

Entre temps en homelab j'avais justement eu le cas similaires, avec un un firewall derrière un routeur/modem FAI : donc en se plaçant côté FW, un WAN occupé par d'autres machines à bloquer, et d'autres LAN à segmenter.
Au final j'ai opté pour quelque chose dans ce style :

Et ça fonctionne bien. Les machines clientes sur LAN1 peuvent envoyer des requête sur Internet grâce aux règles "ANY", mais ne peuvent pas le faire ni sur le WAN du FW/LAN du routeur/modem FAI ainsi que vers les autres LAN. Évidement, ça marche aussi en utilisant comme destination directement les autres sous-réseaux.

Je le poste au cas où ça puisse aider dans le futur

Pour empêcher tous ce qui serait en 192.168.x.0 quelques soit le sous-réseau/masque ? J'essayerais voir si ça permet de bloquer en WAN aussi ... si ça peut faire moins de règles que ce que j'ai fait.