ricky99
Goto Top

DMZ mit pfSense ohne Interface-Assignment

Hallo zusammen,

mir stellt sich ein etwas kniffeliges Problem, bei dem ich Hilfe benötige.
Ich habe folgende Ausgangssituation:

FB7490 als DSL-Router (LAN1) <-> (WAN)pfsense (LAN) <-> Netgear JGS524PE <-> LAN,WLAN-APs
Die pfSense läuft auf einem APU4-Board, das dritte Netzwerk-Interface ist aktuell unbelegt.

In der pfSense-Firewall habe ich einige Aliase und Regeln für die LAN-Clients angelegt, alles funktioniert.

Nun möchte ich einige Clients in eine DMZ packen und vom restlichen LAN abtrennen. Sie sollen uneingeschränkt ins Internet dürfen, aber eben keinen Kontakt zu den anderen LAN-Clients (inklusive der pfSense) herstellen dürfen.
Da die angedachten DMZ-Clients mehrheitlich WLAN-Geräte sind, macht ein Assignment des freien Netzwerk-Interfaces nach meiner Vorstellung hier keinen Sinn.
Im LAN läuft unter anderem auch ein piHole-Docker-Image, auf das die DNS-Anfragen der LAN-Clients per DHCP-Server der pfSense umgeleitet werden.
Das soll für die Clients der DMZ auch unterbleiben, d.h. diese sollen bspw. 9.9.9.9 o.Ä. als DNS-Server per DHCP bekommen.

Könnte mir jemand einen Tip, gerne auch als Lesestoff, geben, wie ich das realisieren kann ?

Content-ID: 610318

Url: https://administrator.de/forum/dmz-mit-pfsense-ohne-interface-assignment-610318.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

aqui
aqui 05.10.2020 aktualisiert um 12:20:24 Uhr
Goto Top
Das ist nicht wirklich knifflig sondern eine einfache Lachnummer.. face-wink
Wenn du kein weiteres Hardware Interface verbraten willst dann ist ein VLAN dein bester Freund ! Dein Switch ist VLAN fähig also ist das im Handumdrehen umgesetzt.
Dieses Tutorial erklärt dir wie du das einfach und schnell realisierst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ricky99
Ricky99 05.10.2020 um 12:22:38 Uhr
Goto Top
Hallo aqui,

Danke für die flinke Reaktion.
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn, da ich dann ja de facto alle WLAN-APs per weiterem Switch an diesen Port anschliessen müsste und somit auch die "normalen" Clients damit geschlagen würden ...
Gibt es keine Möglichkeit, eine Gruppe aller betreffenden MACs zu erstellen? Mein Ziel ist, das für die DMZ-Clients keine besonderen FW-Regeln gelten sollen und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
aqui
aqui 05.10.2020 aktualisiert um 14:31:44 Uhr
Goto Top
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn
Da hast du recht, deshalb ja auch VLANs ! face-wink
und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Ja das geht natürlich.
Du hast ja sicher den DNS der pfSense hoffentlich als DNS Resolver eingestellt und NICHT als Forwarder ?!
Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ansonsten fragt die pfSense niemals den konfigurierten DNS Server sondern immer nur die DNS Root Server.
Als DNS Server gibst du dann in General Setup deinen PiHole an und fertig ist der Lack !
Die pfSense ist dann DNS Resolver und schickt alle DNS Anfragen die sie bekommt weiter an den PiHole.
Simpler Standard ! face-wink

Mac Adressen sind wenig Hilfreich im WLAN Bereich. Moderne Smartphones benutzen in der Regel alle einen Mac Adress Anonymisier Algorithmus der immer zufällige Mac Adressen sendet.
Da machen dann Mac Adress Filter logischerweise sehr wenig Sinn.
https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Prob ...
Ricky99
Ricky99 05.10.2020 aktualisiert um 12:42:20 Uhr
Goto Top
Hallo aqui,

kurze Zwischenfrage (da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil): Ich betreibe die pfSense als DNS Resolver. Ist das gut oder schlecht ?

Und wie trenne ich denn jetzt Smartphone A (soll in DMZ) und Smartphone B (soll nicht in DMZ), die sich am gleichen AP anmelden ?
BirdyB
BirdyB 05.10.2020 um 13:10:14 Uhr
Goto Top
Moin,
entweder über eigene SSIDs oder über Mac-basierte VLAN-Zuweisung.
Such dir was aus...
VG
Ricky99
Ricky99 05.10.2020 aktualisiert um 13:28:45 Uhr
Goto Top
Hallo BirdyB,

Mac-basierte VLAN-Zuweisung klingt so, wie ich mir das vorgestellt habe.
Wie könnte ich das mit der pfSense realisieren, d.h. wie ordne ich die MACs dem VLAN zu ?
Grüße

RV.

Edit: Ich habe gerade das hier gefunden:
https://forum.netgate.com/topic/153762/mac-address-based-vlan-project-su ...

Ich werde das durcharbeiten und wieder berichten.
aqui
aqui 05.10.2020 aktualisiert um 14:54:43 Uhr
Goto Top
da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil
Sorry, freudscher Versprecher ! face-sad Ist korrigiert.
Resolver UND mit aktiviertem Haken bei Enabling Forwarding Mode ist natürlich absolut richtig !

Die Mac basierte VLAN Zuweisung wäre natürlich ideal erfordert aber auch entsprechende Accesspoints die das können. Zudem musst du einen Radius Server im Netz haben was aber die pfSense natürlich auch kann.
Wie das alles inkl. pfSense Radius geht erklärt dir dieses Forentutorial im Detail:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Es klappt aber natürlich auch alles mit der einfachen statischen VLAN Zuweisung.
Ricky99
Ricky99 05.10.2020 um 16:10:11 Uhr
Goto Top
Hallo aqui,

leider scheitert es in jedem Fall an den VLAN-fähigen AccessPoints (und in neue Hardware wollte ich eigentlich nicht im größeren Stil investieren, zumal die MACs, wie Du bereits schriebst, ja änderlich sein können).
Und ein Gast-WLAN via entsprechender SSID hilft ja auch nicht weiter, da ich dann die IPs, die die APs vergeben, entsprechend durch die pfSense routen müsste, während die APs selber ja vom DHCP ihre "normale" IP aus meinem DHCP-Bereich bekommen ...
Ich überlege mal weiter.
Trotzdem bis hierhin danke für Deine Tips.
aqui
aqui 05.10.2020 aktualisiert um 16:33:53 Uhr
Goto Top
OK, dann wird das natürlich nix mit dynamischen VLANs via Mac Adresse und dann bleibt es beim ganz normalen statischen VLAN auf pfSense und Switch in das du dann deine DMZ APs (WLAN) hängst.
Das ist ja dann in 5 Minuten mit deinen Komponenten problemlos erledigt !

Zudem machst du einen gehörigen Denkfehler hier, denn deine APs vergeben niemals aktiv DHCP Adressen an Clients. Die arbeiten ganz normal als doofe transparente Bridge zwischen LAN und WLAN (sollten sie wenigstens !) und die DHCP IP Adressen vergibt immer der DHCP Server auf der pfSense. Da hast du also was mit der IP DHCP Adressierung gründlich missverstanden oder bei dir völlig falsch konfiguriert ?!
Die IP Adresse des APs hat einzig und allein rein nur Management Funktion und dient lediglich dazu das der AP einen Management Zugang hat. Mit den IP Adressen der Clients sollte ein AP logischerweise niemals etwas zu tun haben. Wäre ja auch völlig sinnfrei weil du dann ja auf jedem AP einen DHCP Server haben müsstest die dann völlig unkontrolliert IP Adressen vergeben. IP Adress Chaos wäre dann vorprogrammiert. Kein normal denkender Netzwerker würde so einen Unsinn machen. APs arbeiten immer als einfache Bridge.
Ricky99
Ricky99 06.10.2020 um 09:40:19 Uhr
Goto Top
Hallo aqui,

Du hast natürlich recht, ich habe das vermutlich missverständlich ausgedrückt. Mit "IP-Adresse des AP" meinte ich zunächst mal die, welche der AP selber aktuell (noch) vom DHCP der pfSense aus dem dafür vorgesehenen Block zugewiesen bekommt, ich meinte nicht die IPs, die an die WLAN-Clients vergeben werden.
Eigentlich wollte ich ja keine neue HW beschaffen, sondern die bestehenden APs weiter nutzen, und zwar dergestalt, dass sich eben am gleichen AP sowohl WLAN-Clients der DMZ als auch des "normalen" LAN anmelden können und enstprechend getrennt behandelt werden (IP-Netz, DNS usw.)
Da ich allerdings noch einen kleinen VLAN-fähigen Netgear-Switch und einen Repeater/AP in der Grabbelkiste habe, werde ich das erst mal so versuchen.
Danke für Deine Infos!
Grüße

RV.
BirdyB
BirdyB 06.10.2020 um 10:17:17 Uhr
Goto Top
Hi,
welche APs verwendest du denn?

VG
aqui
aqui 06.10.2020 aktualisiert um 13:45:14 Uhr
Goto Top
werde ich das erst mal so versuchen.
Extra Switch brauchst du doch gar nicht. Deine aktuell verwendete NetGear Gurke kann das doch auch ?!
Aber wenn du einen über hast zum Spielen und Testen kannst du das Setup natürlich viel entspannter ausprobieren als am Livenetz.
Übrigens....
Sooo teuer sind APs die mehrere SSIDs (MSSID) können nun auch wieder nicht:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Darüber rumzuheulen statt schnell zu tauschen und bequem beide Netze zu nutzen ist eigentlich überflüssig...aber nundenn.
Ricky99
Ricky99 06.10.2020 um 15:19:06 Uhr
Goto Top
Hallo BirdyB,

bisher AVM-Repeater 1750.
aqui
aqui 06.10.2020 um 15:23:46 Uhr
Goto Top
Kann keine MSSIDs, kannst du vergessen !
Ricky99
Ricky99 06.10.2020 um 15:34:13 Uhr
Goto Top
Hallo aqui,

ich weiß, leider bietet der Netgear-Switch auch keine Möglichkeit, VLAN-IDs nach MAC-Adressen zu vergeben.
Ich werde heute abend probehalber mal das Gast-WLAN eines AP einschalten, soweit ich weiß, vergibt dieses standardmässig 192.168.179.1/24-Adressen, allerdings nur, wenn die Repeater direkt mit der FB verbunden sind.
Ist denn sicher, dass bspw. ein Unifi AP AC Pro das MAC-basierte VLAN-Tagging kann ?
BirdyB
BirdyB 06.10.2020 um 16:02:16 Uhr
Goto Top
Zitat von @Ricky99:

Hallo BirdyB,

bisher AVM-Repeater 1750.
Okay, dann wird das wohl nix. Manche Geräte hättest du mit openWRT flashen können, dann hätte MSSID auch funktioniert.
Ricky99
Ricky99 06.10.2020 um 16:28:06 Uhr
Goto Top
Hallo BirdyB,

ich habe noch diesen Repeater in der Grabbelkiste:
https://openwrt.org/toh/avm/avm_fritz_wlan_repeater_450e
Wäre es damit möglich, den Traffic von und zu bestimmten MACs direkt "auf dem AP" mit einer VLAN-ID zu taggen ?
BirdyB
BirdyB 06.10.2020 um 17:06:42 Uhr
Goto Top
Hi Ricky99,
das könnte so klappen, siehe auch hier: https://oldwiki.archive.openwrt.org/doc/howto/wireless.security.8021x

VG
Ricky99
Ricky99 07.10.2020 um 18:44:36 Uhr
Goto Top
Hallo zusammen,

leider hänge ich auf halber Strecke.
Ich habe mich zunächst mal für eine "normale" Variante ohne FreeRadius entschieden.
Plan:
Port 24 vom JGS524PE als VLAN10 taggen.
In der pfSense habe ich ein entsprechendes VLAN angelegt, aktiviert und den DHCP-Server hierfür aktiviert.
Nun scheitere ich daran, Port 24 des Switches entsprechend zu taggen.
Ich habe das hier gelesen:
https://kb.netgear.com/30919/How-to-configure-VLANs-on-a-ProSAFE-Web-Man ...
Leider hängt es bei den PVID, diese kriege ich leider nicht auf 10 für Port 24.
Darf Port 24 Mitglied in VLAN1 und VLAN10 sein ?
Wie muss ich diesen markieren jeweils für VLAN1 und VLAN10 markieren (bisher habe ich alle Ports ausßer 24 für VLAN1 untagged und für Port 24 für VLAN10 untagged)
Grüße

RV.
BirdyB
BirdyB 07.10.2020 um 18:58:25 Uhr
Goto Top
Moin,
pro Port kann nur ein VLAN untagged sein, alle anderen VLANs an dem Port müssten dann tagged sein.
Bei Netgear musst du dann die PVID noch auf das untagged VLAN setzen.
VG
Ricky99
Ricky99 07.10.2020 um 21:56:24 Uhr
Goto Top
Hallo BirdyB,

das hab' ich versucht, es klappt nicht.
So sieht meine Konfiguration aus:

vlankonfig.
vlanmembers1
vlanmembers10

Was mache ich da falsch ?
aqui
aqui 08.10.2020 um 15:04:23 Uhr
Goto Top
Das ist auch Quatsch was du da auf dem Switch gemacht hast !
VLAN 1 bleibt immer unatgged, nur VLAN 10 ist getagged !
Also nochmal deine ToDos :
  • VLAN 10 Interface auf der pfSense einrichten mit IP Adresse, DHCP Server und (wichtig) Regelwerk ! Halte dich da bitte genau an das hiesige Tutorial und setze alle dort beschrieben Schritte um: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
  • Dann richtest du das VLAN 10 auf dem Switch ein und weist die Ports zu: Tagged auf dem Port der zur pfSense geht (VLAN 1 bleibt dabei UNtagged auf dem Port !)
  • Einen Port am Switch richest du zusätzlich als UNtagged Endgeräte Port im VLAN 10 ein.
  • Wenn du jetzte einen Test PC an diesem VLAN 10 Port anschliesst sollte der eine IP Adresse von der pfSense im VLAN 10 bekommen (ipconfig), die pfSense pingen können, eine IP Adresse im Internet (8.8.8.8) pingen können und auch einen Hostnamen wie z.B. www.heise.de.
  • Wenn das alles klappt hast du alles richtig gemacht.
Fazit: Bitte in Ruhe das VLAN Tutorial lesen und das auch bitte so umsetzen !!
Ricky99
Ricky99 08.10.2020 aktualisiert um 21:25:07 Uhr
Goto Top
Hallo aqui,

Danke für Deine Reaktion.
Ich hatte es gestern noch hinbekommen, das Problem lag in der Konfiguration des Switches per WebIF, mit dem Prosafe Plus Utility ging's sofort. Komisch, aber der Punkt ist in Foren einige Male dokumentiert.
Nun läuft alles, ein an dem Port angeschlossener Client bekommt eine IP aus dem entsprechende Subnetz.
Nun hätte ich noch eine Frage:

Mein "LAN" hat 192.168.178.1/24, das hinzugefügte VLAN 192.168.177.1/24.

In der Firewall für das VLAN (OPT1-Interface) habe ich bisher nur eine Durchzugsregel

TCP IPv4 alles nach alles

eingebaut, aber der Client hat trotzdem keinen Internetzugang.
Woran könnte das liegen ?
Und mit welcher Regel stelle ich sicher, dass zwar 178.1/24 auf 177.1/24 Zugriff hat, aber nicht anders herum ?
Grüße

RV.

Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
aqui
aqui 09.10.2020 aktualisiert um 11:54:28 Uhr
Goto Top
👍
Gut wenn's nun wenigstens auf dem Switch rennt. Es sollte natürlich auch mit dem WebGUI laufen. Hier steht wie man es auf einer NetGear Gurke macht. Wichtig ist dort immer die Fummelei mit der PVID !!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
aber der Client hat trotzdem keinen Internetzugang. Woran könnte das liegen ?
Wenn du einen Client in deinem Client VLAN hast...
  • Was bekommt der für eine IP Adresse (ipconfig) ?
  • Wenn diese stimmt und mit dem Clientnetz übereinstimmt kannst du dann die zum Netz gehörende Firewall IP pingen ?
  • Kannst du aus dem Diagnostics Menü der Firewall unter Ping dein Eindgerät pingen wenn du als "Source IP" das entsprechende zum Client passende Firewall Interface angibst ? (Bedenke wenn der Client Winblows ist das du das ICMP_Protokoll _Ping)_freigibst in der Winblows Firewall !
Und mit welcher Regel stelle ich sicher,
Das machen wir immer erst später !!!
Bringe das erstmal so zum laufen das mit entsprechender "Scheunentor" Regel die Clients in beiden Netzen an der Firewall ins Internet kommen und auch untereinander erreichbar sind.
Erst wenn das fehlerfrei klappt passen wir die Regeln an !!
Immer strategisch vorgehen...! face-wink

Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
Oooops zu spät gelesen...sorry ! face-wink
Was war der Fehler ?? Klärst du uns noch auf ?? Könnte ja auch anderen helfen hier.

Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !