DMZ mit pfSense ohne Interface-Assignment

Mitglied: Ricky99

Ricky99 (Level 1) - Jetzt verbinden

05.10.2020 um 12:13 Uhr, 570 Aufrufe, 24 Kommentare

Hallo zusammen,

mir stellt sich ein etwas kniffeliges Problem, bei dem ich Hilfe benötige.
Ich habe folgende Ausgangssituation:

FB7490 als DSL-Router (LAN1) <-> (WAN)pfsense (LAN) <-> Netgear JGS524PE <-> LAN,WLAN-APs
Die pfSense läuft auf einem APU4-Board, das dritte Netzwerk-Interface ist aktuell unbelegt.

In der pfSense-Firewall habe ich einige Aliase und Regeln für die LAN-Clients angelegt, alles funktioniert.

Nun möchte ich einige Clients in eine DMZ packen und vom restlichen LAN abtrennen. Sie sollen uneingeschränkt ins Internet dürfen, aber eben keinen Kontakt zu den anderen LAN-Clients (inklusive der pfSense) herstellen dürfen.
Da die angedachten DMZ-Clients mehrheitlich WLAN-Geräte sind, macht ein Assignment des freien Netzwerk-Interfaces nach meiner Vorstellung hier keinen Sinn.
Im LAN läuft unter anderem auch ein piHole-Docker-Image, auf das die DNS-Anfragen der LAN-Clients per DHCP-Server der pfSense umgeleitet werden.
Das soll für die Clients der DMZ auch unterbleiben, d.h. diese sollen bspw. 9.9.9.9 o.Ä. als DNS-Server per DHCP bekommen.

Könnte mir jemand einen Tip, gerne auch als Lesestoff, geben, wie ich das realisieren kann ?
Mitglied: aqui
05.10.2020, aktualisiert um 12:20 Uhr
Das ist nicht wirklich knifflig sondern eine einfache Lachnummer..
Wenn du kein weiteres Hardware Interface verbraten willst dann ist ein VLAN dein bester Freund ! Dein Switch ist VLAN fähig also ist das im Handumdrehen umgesetzt.
Dieses Tutorial erklärt dir wie du das einfach und schnell realisierst:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Bitte warten ..
Mitglied: Ricky99
05.10.2020 um 12:22 Uhr
Hallo aqui,

Danke für die flinke Reaktion.
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn, da ich dann ja de facto alle WLAN-APs per weiterem Switch an diesen Port anschliessen müsste und somit auch die "normalen" Clients damit geschlagen würden ...
Gibt es keine Möglichkeit, eine Gruppe aller betreffenden MACs zu erstellen? Mein Ziel ist, das für die DMZ-Clients keine besonderen FW-Regeln gelten sollen und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Bitte warten ..
Mitglied: aqui
05.10.2020, aktualisiert um 14:31 Uhr
Die Verwendung des freien pfSense-Ports macht aus meiner Sicht keinen Sinn
Da hast du recht, deshalb ja auch VLANs !
und sie eben auch per DHCP nicht den piHole-DNS aufgezwungen bekommen sollen ...
Ja das geht natürlich.
Du hast ja sicher den DNS der pfSense hoffentlich als DNS Resolver eingestellt und NICHT als Forwarder ?!
Guckst du hier:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Ansonsten fragt die pfSense niemals den konfigurierten DNS Server sondern immer nur die DNS Root Server.
Als DNS Server gibst du dann in General Setup deinen PiHole an und fertig ist der Lack !
Die pfSense ist dann DNS Resolver und schickt alle DNS Anfragen die sie bekommt weiter an den PiHole.
Simpler Standard !

Mac Adressen sind wenig Hilfreich im WLAN Bereich. Moderne Smartphones benutzen in der Regel alle einen Mac Adress Anonymisier Algorithmus der immer zufällige Mac Adressen sendet.
Da machen dann Mac Adress Filter logischerweise sehr wenig Sinn.
https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Prob ...
Bitte warten ..
Mitglied: Ricky99
05.10.2020, aktualisiert um 12:42 Uhr
Hallo aqui,

kurze Zwischenfrage (da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil): Ich betreibe die pfSense als DNS Resolver. Ist das gut oder schlecht ?

Und wie trenne ich denn jetzt Smartphone A (soll in DMZ) und Smartphone B (soll nicht in DMZ), die sich am gleichen AP anmelden ?
Bitte warten ..
Mitglied: BirdyB
05.10.2020 um 13:10 Uhr
Moin,
entweder über eigene SSIDs oder über Mac-basierte VLAN-Zuweisung.
Such dir was aus...
VG
Bitte warten ..
Mitglied: Ricky99
05.10.2020, aktualisiert um 13:28 Uhr
Hallo BirdyB,

Mac-basierte VLAN-Zuweisung klingt so, wie ich mir das vorgestellt habe.
Wie könnte ich das mit der pfSense realisieren, d.h. wie ordne ich die MACs dem VLAN zu ?
Grüße

RV.

Edit: Ich habe gerade das hier gefunden:
https://forum.netgate.com/topic/153762/mac-address-based-vlan-project-su ...

Ich werde das durcharbeiten und wieder berichten.
Bitte warten ..
Mitglied: aqui
05.10.2020, aktualisiert um 14:54 Uhr
da Du in Deinem Kommentar zu DNS Forwarder rätst und in Deinem verlinkten Post zum Gegenteil
Sorry, freudscher Versprecher ! Ist korrigiert.
Resolver UND mit aktiviertem Haken bei Enabling Forwarding Mode ist natürlich absolut richtig !

Die Mac basierte VLAN Zuweisung wäre natürlich ideal erfordert aber auch entsprechende Accesspoints die das können. Zudem musst du einen Radius Server im Netz haben was aber die pfSense natürlich auch kann.
Wie das alles inkl. pfSense Radius geht erklärt dir dieses Forentutorial im Detail:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Es klappt aber natürlich auch alles mit der einfachen statischen VLAN Zuweisung.
Bitte warten ..
Mitglied: Ricky99
05.10.2020 um 16:10 Uhr
Hallo aqui,

leider scheitert es in jedem Fall an den VLAN-fähigen AccessPoints (und in neue Hardware wollte ich eigentlich nicht im größeren Stil investieren, zumal die MACs, wie Du bereits schriebst, ja änderlich sein können).
Und ein Gast-WLAN via entsprechender SSID hilft ja auch nicht weiter, da ich dann die IPs, die die APs vergeben, entsprechend durch die pfSense routen müsste, während die APs selber ja vom DHCP ihre "normale" IP aus meinem DHCP-Bereich bekommen ...
Ich überlege mal weiter.
Trotzdem bis hierhin danke für Deine Tips.
Bitte warten ..
Mitglied: aqui
05.10.2020, aktualisiert um 16:33 Uhr
OK, dann wird das natürlich nix mit dynamischen VLANs via Mac Adresse und dann bleibt es beim ganz normalen statischen VLAN auf pfSense und Switch in das du dann deine DMZ APs (WLAN) hängst.
Das ist ja dann in 5 Minuten mit deinen Komponenten problemlos erledigt !

Zudem machst du einen gehörigen Denkfehler hier, denn deine APs vergeben niemals aktiv DHCP Adressen an Clients. Die arbeiten ganz normal als doofe transparente Bridge zwischen LAN und WLAN (sollten sie wenigstens !) und die DHCP IP Adressen vergibt immer der DHCP Server auf der pfSense. Da hast du also was mit der IP DHCP Adressierung gründlich missverstanden oder bei dir völlig falsch konfiguriert ?!
Die IP Adresse des APs hat einzig und allein rein nur Management Funktion und dient lediglich dazu das der AP einen Management Zugang hat. Mit den IP Adressen der Clients sollte ein AP logischerweise niemals etwas zu tun haben. Wäre ja auch völlig sinnfrei weil du dann ja auf jedem AP einen DHCP Server haben müsstest die dann völlig unkontrolliert IP Adressen vergeben. IP Adress Chaos wäre dann vorprogrammiert. Kein normal denkender Netzwerker würde so einen Unsinn machen. APs arbeiten immer als einfache Bridge.
Bitte warten ..
Mitglied: Ricky99
06.10.2020 um 09:40 Uhr
Hallo aqui,

Du hast natürlich recht, ich habe das vermutlich missverständlich ausgedrückt. Mit "IP-Adresse des AP" meinte ich zunächst mal die, welche der AP selber aktuell (noch) vom DHCP der pfSense aus dem dafür vorgesehenen Block zugewiesen bekommt, ich meinte nicht die IPs, die an die WLAN-Clients vergeben werden.
Eigentlich wollte ich ja keine neue HW beschaffen, sondern die bestehenden APs weiter nutzen, und zwar dergestalt, dass sich eben am gleichen AP sowohl WLAN-Clients der DMZ als auch des "normalen" LAN anmelden können und enstprechend getrennt behandelt werden (IP-Netz, DNS usw.)
Da ich allerdings noch einen kleinen VLAN-fähigen Netgear-Switch und einen Repeater/AP in der Grabbelkiste habe, werde ich das erst mal so versuchen.
Danke für Deine Infos!
Grüße

RV.
Bitte warten ..
Mitglied: BirdyB
06.10.2020 um 10:17 Uhr
Hi,
welche APs verwendest du denn?

VG
Bitte warten ..
Mitglied: aqui
06.10.2020, aktualisiert um 13:45 Uhr
werde ich das erst mal so versuchen.
Extra Switch brauchst du doch gar nicht. Deine aktuell verwendete NetGear Gurke kann das doch auch ?!
Aber wenn du einen über hast zum Spielen und Testen kannst du das Setup natürlich viel entspannter ausprobieren als am Livenetz.
Übrigens....
Sooo teuer sind APs die mehrere SSIDs (MSSID) können nun auch wieder nicht:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Darüber rumzuheulen statt schnell zu tauschen und bequem beide Netze zu nutzen ist eigentlich überflüssig...aber nundenn.
Bitte warten ..
Mitglied: Ricky99
06.10.2020 um 15:19 Uhr
Hallo BirdyB,

bisher AVM-Repeater 1750.
Bitte warten ..
Mitglied: aqui
06.10.2020 um 15:23 Uhr
Kann keine MSSIDs, kannst du vergessen !
Bitte warten ..
Mitglied: Ricky99
06.10.2020 um 15:34 Uhr
Hallo aqui,

ich weiß, leider bietet der Netgear-Switch auch keine Möglichkeit, VLAN-IDs nach MAC-Adressen zu vergeben.
Ich werde heute abend probehalber mal das Gast-WLAN eines AP einschalten, soweit ich weiß, vergibt dieses standardmässig 192.168.179.1/24-Adressen, allerdings nur, wenn die Repeater direkt mit der FB verbunden sind.
Ist denn sicher, dass bspw. ein Unifi AP AC Pro das MAC-basierte VLAN-Tagging kann ?
Bitte warten ..
Mitglied: BirdyB
06.10.2020 um 16:02 Uhr
Zitat von Ricky99:

Hallo BirdyB,

bisher AVM-Repeater 1750.
Okay, dann wird das wohl nix. Manche Geräte hättest du mit openWRT flashen können, dann hätte MSSID auch funktioniert.
Bitte warten ..
Mitglied: Ricky99
06.10.2020 um 16:28 Uhr
Hallo BirdyB,

ich habe noch diesen Repeater in der Grabbelkiste:
https://openwrt.org/toh/avm/avm_fritz_wlan_repeater_450e
Wäre es damit möglich, den Traffic von und zu bestimmten MACs direkt "auf dem AP" mit einer VLAN-ID zu taggen ?
Bitte warten ..
Mitglied: BirdyB
06.10.2020 um 17:06 Uhr
Hi Ricky99,
das könnte so klappen, siehe auch hier: https://oldwiki.archive.openwrt.org/doc/howto/wireless.security.8021x

VG
Bitte warten ..
Mitglied: Ricky99
07.10.2020 um 18:44 Uhr
Hallo zusammen,

leider hänge ich auf halber Strecke.
Ich habe mich zunächst mal für eine "normale" Variante ohne FreeRadius entschieden.
Plan:
Port 24 vom JGS524PE als VLAN10 taggen.
In der pfSense habe ich ein entsprechendes VLAN angelegt, aktiviert und den DHCP-Server hierfür aktiviert.
Nun scheitere ich daran, Port 24 des Switches entsprechend zu taggen.
Ich habe das hier gelesen:
https://kb.netgear.com/30919/How-to-configure-VLANs-on-a-ProSAFE-Web-Man ...
Leider hängt es bei den PVID, diese kriege ich leider nicht auf 10 für Port 24.
Darf Port 24 Mitglied in VLAN1 und VLAN10 sein ?
Wie muss ich diesen markieren jeweils für VLAN1 und VLAN10 markieren (bisher habe ich alle Ports ausßer 24 für VLAN1 untagged und für Port 24 für VLAN10 untagged)
Grüße

RV.
Bitte warten ..
Mitglied: BirdyB
07.10.2020 um 18:58 Uhr
Moin,
pro Port kann nur ein VLAN untagged sein, alle anderen VLANs an dem Port müssten dann tagged sein.
Bei Netgear musst du dann die PVID noch auf das untagged VLAN setzen.
VG
Bitte warten ..
Mitglied: Ricky99
07.10.2020 um 21:56 Uhr
Hallo BirdyB,

das hab' ich versucht, es klappt nicht.
So sieht meine Konfiguration aus:

vlankonfig. - Klicke auf das Bild, um es zu vergrößern
vlanmembers1 - Klicke auf das Bild, um es zu vergrößern
vlanmembers10 - Klicke auf das Bild, um es zu vergrößern

Was mache ich da falsch ?
Bitte warten ..
Mitglied: aqui
08.10.2020 um 15:04 Uhr
Das ist auch Quatsch was du da auf dem Switch gemacht hast !
VLAN 1 bleibt immer unatgged, nur VLAN 10 ist getagged !
Also nochmal deine ToDos :
  • VLAN 10 Interface auf der pfSense einrichten mit IP Adresse, DHCP Server und (wichtig) Regelwerk ! Halte dich da bitte genau an das hiesige Tutorial und setze alle dort beschrieben Schritte um: https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
  • Dann richtest du das VLAN 10 auf dem Switch ein und weist die Ports zu: Tagged auf dem Port der zur pfSense geht (VLAN 1 bleibt dabei UNtagged auf dem Port !)
  • Einen Port am Switch richest du zusätzlich als UNtagged Endgeräte Port im VLAN 10 ein.
  • Wenn du jetzte einen Test PC an diesem VLAN 10 Port anschliesst sollte der eine IP Adresse von der pfSense im VLAN 10 bekommen (ipconfig), die pfSense pingen können, eine IP Adresse im Internet (8.8.8.8) pingen können und auch einen Hostnamen wie z.B. www.heise.de.
  • Wenn das alles klappt hast du alles richtig gemacht.
Fazit: Bitte in Ruhe das VLAN Tutorial lesen und das auch bitte so umsetzen !!
Bitte warten ..
Mitglied: Ricky99
08.10.2020, aktualisiert um 21:25 Uhr
Hallo aqui,

Danke für Deine Reaktion.
Ich hatte es gestern noch hinbekommen, das Problem lag in der Konfiguration des Switches per WebIF, mit dem Prosafe Plus Utility ging's sofort. Komisch, aber der Punkt ist in Foren einige Male dokumentiert.
Nun läuft alles, ein an dem Port angeschlossener Client bekommt eine IP aus dem entsprechende Subnetz.
Nun hätte ich noch eine Frage:

Mein "LAN" hat 192.168.178.1/24, das hinzugefügte VLAN 192.168.177.1/24.

In der Firewall für das VLAN (OPT1-Interface) habe ich bisher nur eine Durchzugsregel

TCP IPv4 alles nach alles

eingebaut, aber der Client hat trotzdem keinen Internetzugang.
Woran könnte das liegen ?
Und mit welcher Regel stelle ich sicher, dass zwar 178.1/24 auf 177.1/24 Zugriff hat, aber nicht anders herum ?
Grüße

RV.

Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
Bitte warten ..
Mitglied: aqui
09.10.2020, aktualisiert um 11:54 Uhr
👍
Gut wenn's nun wenigstens auf dem Switch rennt. Es sollte natürlich auch mit dem WebGUI laufen. Hier steht wie man es auf einer NetGear Gurke macht. Wichtig ist dort immer die Fummelei mit der PVID !!
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
aber der Client hat trotzdem keinen Internetzugang. Woran könnte das liegen ?
Wenn du einen Client in deinem Client VLAN hast...
  • Was bekommt der für eine IP Adresse (ipconfig) ?
  • Wenn diese stimmt und mit dem Clientnetz übereinstimmt kannst du dann die zum Netz gehörende Firewall IP pingen ?
  • Kannst du aus dem Diagnostics Menü der Firewall unter Ping dein Eindgerät pingen wenn du als "Source IP" das entsprechende zum Client passende Firewall Interface angibst ? (Bedenke wenn der Client Winblows ist das du das ICMP_Protokoll _Ping)_freigibst in der Winblows Firewall !
Und mit welcher Regel stelle ich sicher,
Das machen wir immer erst später !!!
Bringe das erstmal so zum laufen das mit entsprechender "Scheunentor" Regel die Clients in beiden Netzen an der Firewall ins Internet kommen und auch untereinander erreichbar sind.
Erst wenn das fehlerfrei klappt passen wir die Regeln an !!
Immer strategisch vorgehen...!

Edit: Gelöst, läuft jetzt alles. Nochmal danke für die Tips/Hilfe.
Oooops zu spät gelesen...sorry !
Was war der Fehler ?? Klärst du uns noch auf ?? Könnte ja auch anderen helfen hier.

Wenn's das denn nun war bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Windows Netzwerk

Microsoft Netzwerkrichtlinienserver - Mac Authentfizierung + Dynamic Vlan Assignment

Axel90FrageWindows Netzwerk5 Kommentare

Hallo an alle, unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC. Der WLC strahlt eine SSID aus. ...

Router & Routing

DMZ Verständnisfrage

PharITFrageRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless

Verständnisfrage DMZ

maddigFrageLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Windows Server

Webserver DMZ

adrian138FrageWindows Server7 Kommentare

Hallo, Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist. Frage: Es braucht eine AD ...

Grafikkarten & Monitore

Hyper-V 2019 Discrete Device Assignment - welche Graka nehmen?

DerWoWussteFrageGrafikkarten & Monitore4 Kommentare

Moin Kollegen. Es geht um Dort wird beschrieben, wie man eine Graka an eine VM durchreicht und es gibt ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT