10
Dynamische Portweiterleitungen mit einer PFSense und VLANs
Hallo,
ich habe mal eine "komplizierte" Frage.
Ein Kunde hat in der Produktion verschiedene Bereiche die alle ein eigenes VLAN und damit IP-Bereich haben.
Nun gibt es Meßgeräte die hin und wieder zwischen den Bereichen verschoben werden.
Diese haben einen eingebauten Web-Server auf den Mitarbeiter der Verwaltung zugreifen um die Meßwerte auszulesen.
Jedes Gerät bekommt über den DHCP-Server der PFSense eine reservierte IP und es gibt eine Portweiterleitung für den Zugriff auf diese reservierte IP.
Dies funktioniert für die Mitarbeiter prima, aber jedem Umzug muss die DHCP-Reservierung für das VLAN angelegt werden und die IP der Weiterleitung angepasst werden.
Laut Firma ist ein eigenes VLAN für diese Geräte ist aus praktischen Gründen nicht möglich.
Und die Switch können nur Port-basierte VLANs.
Kennt Jemand dafür einen schlauen Trick?
Also z.B . eine Portweiterleitung die auf die MAC-Adresse über die DHPC-Leases statt einer festen IP geht?
Kann man in der pfsense skripten?
Stefan
ich habe mal eine "komplizierte" Frage.
Ein Kunde hat in der Produktion verschiedene Bereiche die alle ein eigenes VLAN und damit IP-Bereich haben.
Nun gibt es Meßgeräte die hin und wieder zwischen den Bereichen verschoben werden.
Diese haben einen eingebauten Web-Server auf den Mitarbeiter der Verwaltung zugreifen um die Meßwerte auszulesen.
Jedes Gerät bekommt über den DHCP-Server der PFSense eine reservierte IP und es gibt eine Portweiterleitung für den Zugriff auf diese reservierte IP.
Dies funktioniert für die Mitarbeiter prima, aber jedem Umzug muss die DHCP-Reservierung für das VLAN angelegt werden und die IP der Weiterleitung angepasst werden.
Laut Firma ist ein eigenes VLAN für diese Geräte ist aus praktischen Gründen nicht möglich.
Und die Switch können nur Port-basierte VLANs.
Kennt Jemand dafür einen schlauen Trick?
Also z.B . eine Portweiterleitung die auf die MAC-Adresse über die DHPC-Leases statt einer festen IP geht?
Kann man in der pfsense skripten?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6402686529
Url: https://administrator.de/contentid/6402686529
Printed on: May 5, 2024 at 06:05 o'clock
10 Comments
Latest comment
Moin,
vielleicht kannst du etwas über einen Alias bauen und die IP Einträge darin z.B. per Skript aktualisieren.
Gruß
Spirit
vielleicht kannst du etwas über einen Alias bauen und die IP Einträge darin z.B. per Skript aktualisieren.
Gruß
Spirit
und es gibt eine Portweiterleitung für den Zugriff auf diese reservierte IP.
Du meinst von außen aus dem Internet?? Ist ja auch gewagt ungeschützten Traffic ins lokale Netz zu lassen und Daten ungeschützt ins Internet zu lassen. Gut, wir hoffen alle mal das es dann wenigstens HTTPS ist?!Port Weiterleitung ist immer Layer 3 also IP und hat folglich mit Macs (Layer 2) nichts zu tun. Also nicht verwechseln...2 unterschiedliche Baustellen.
Skripten usw. ist schwierig und hat immer einen hohen Management Aufwand.
Ein Lösungsansatz wäre Mobile IP aber das ist Aufwand und zudem muss die Infrastruktur Hardware mitspielen zu der du leider wenig sagst.
Viel sinnvoller, da deutlich einfacher, wäre es aber mit dynamischer VLAN Zuweisung auf Mac Adress Basis an den Switches zu arbeiten. Das kann man statisch oder per Radius machen. So bekommt das Messgerät, egal wo man es einsteckt, immer automatisch sein VLAN und seine dazu passende IP zugewiesen ohne das man groß fummeln muss. Viel einfacher gehts nicht.
Zitat von @aqui:
Nein. Es ist eine interne IP die als Sprungpunkt dient.und es gibt eine Portweiterleitung für den Zugriff auf diese reservierte IP.
Du meinst von außen aus dem Internet??Ich habs mir nicht ausgedacht.
Port Weiterleitung ist immer Layer 3 also IP und hat folglich mit Macs (Layer 2) nichts zu tun. Also nicht verwechseln...2 unterschiedliche Baustellen.
Ja, ist mir klar.Aber über die MAC könnte man vom DHCP-Server und dessen leases die letzte zugewiesene IP ermitteln und damit die Port-Weiterleitung ändern.
Skripten usw. ist schwierig und hat immer einen hohen Management Aufwand.
Aktuell macht das Jemand von Hand. Das ist auch hoher Management Aufwand.Viel sinnvoller, da deutlich einfacher, wäre es aber mit dynamischer VLAN Zuweisung auf Mac Adress Basis an den Switches zu arbeiten.
Das können deren Unifi-Switche leider nicht. Auch sind die meisten PCs durch den Switch in einem Yealink-Telefon angeschlossen.Oder ich habe noch nicht rausgefunden wie das hier geht.
Hallo,
das Problem ist nicht ganz verständlich, denn ich kann doch in unterschiedlichen DHCP-Bereichen und VLANs jeweils für dieselbe MAC die passenden IP-Reservierungen eintragen und dort dauerhaft belassen.
Ansonsten die Geräte im DNS registrieren und per FQDN-Alias auflösen; evtl. am Auflösungsintervall schrauben, damit das praktikabel wird. Den Alias kann man auch für NAT verwenden, auch wenn man das zwischen Verwaltungs- und Zielnetzen ggf. besser beseitigen würde.
Ist natürlich unsicher bzgl. der Fälschung der MAC bzw. des Hostnamens.
Grüße
Richard
das Problem ist nicht ganz verständlich, denn ich kann doch in unterschiedlichen DHCP-Bereichen und VLANs jeweils für dieselbe MAC die passenden IP-Reservierungen eintragen und dort dauerhaft belassen.
Ansonsten die Geräte im DNS registrieren und per FQDN-Alias auflösen; evtl. am Auflösungsintervall schrauben, damit das praktikabel wird. Den Alias kann man auch für NAT verwenden, auch wenn man das zwischen Verwaltungs- und Zielnetzen ggf. besser beseitigen würde.
Ist natürlich unsicher bzgl. der Fälschung der MAC bzw. des Hostnamens.
Grüße
Richard
Das können deren Unifi-Switche leider nicht.
Das sehen der Hersteller selber und diverse Threads im Internet sowie hier auch im Forum aber ganz anders...aber egal.https://anton.lindstrom.io/radius-mac/
Reservierungen eintragen und dort dauerhaft belassen.
Dann bleibt aber immer noch das ewige Umkonfigurieren der Port Forwarding Regel. Löst das Problem also nicht wirklich.
Was ist mit der API?
https://github.com/jaredhendrickson13/pfsense-api
Oder Aber GUI Anfragen mitschneiden und in PowerShell ausführen?
Reservierungen würden aber IPs fixieren. Ohne Abfrage der DHCP DB kann man also mit einen einfachen Ping als Success-Indikator arbeiten. Geht der Ping durch, ist die Maschine im entsprechenden Netz. Dann nur nur noch das Script ausführen.
Hab normal die OPNsense. Da haben wir ja eh eine API. Aber auch mittels curl und Webrequest sollte sowas dcoh von PS aus möglich sein?
Bei meinen unify Telefonen oder Ricoh Druckern ist noch immer auf den Seiten hinter den Submit-Button ein WIM-Code versteckt. Den kann ich einfach auslesen und POST dann damit machen. Wenn es überhaupt bei der pfsenes sowas gibt, müsste es doch über die GUI möglich sein?
1. IPs in den Netzten fixieren (DHCP Reservierung)
2. Manuell oder im Intervall PIng-Check auf die IP
3. IP vorhanden, dann Script ausführen was Portforwarding modifiziert, löscht/ neu anlegt.
4. Fertig
Hatte auch mal Switche, die kein SSH anboten. Auch dort via WebGUI rumgesaut und Restart ausgelöst. Müsste doch auch hier möglich sein.
Firefox/ Chrome + F12 und einfach mal schauen was hinter den bunten Knöpfen liegt .....
https://github.com/jaredhendrickson13/pfsense-api
Oder Aber GUI Anfragen mitschneiden und in PowerShell ausführen?
Reservierungen würden aber IPs fixieren. Ohne Abfrage der DHCP DB kann man also mit einen einfachen Ping als Success-Indikator arbeiten. Geht der Ping durch, ist die Maschine im entsprechenden Netz. Dann nur nur noch das Script ausführen.
Hab normal die OPNsense. Da haben wir ja eh eine API. Aber auch mittels curl und Webrequest sollte sowas dcoh von PS aus möglich sein?
Bei meinen unify Telefonen oder Ricoh Druckern ist noch immer auf den Seiten hinter den Submit-Button ein WIM-Code versteckt. Den kann ich einfach auslesen und POST dann damit machen. Wenn es überhaupt bei der pfsenes sowas gibt, müsste es doch über die GUI möglich sein?
1. IPs in den Netzten fixieren (DHCP Reservierung)
2. Manuell oder im Intervall PIng-Check auf die IP
3. IP vorhanden, dann Script ausführen was Portforwarding modifiziert, löscht/ neu anlegt.
4. Fertig
Hatte auch mal Switche, die kein SSH anboten. Auch dort via WebGUI rumgesaut und Restart ausgelöst. Müsste doch auch hier möglich sein.
Firefox/ Chrome + F12 und einfach mal schauen was hinter den bunten Knöpfen liegt .....
1
Hallo,
kurzes Update.
Es gibt eine API, die aber nur wenig kann.
Ich werde nun eine kleine Software schreiben welche direkt auf der PFSense per Cron läuft.
Jeder PC bekommt eh einen Hostname, z.B. Monitor01
Ich lege einmalig ein alias damit an.
Ich lege einmalig eine Portweiterleitung mit dem Alias an
DHCP-Leased bekommen ich aus "/var/dhcpd/var/db/dhcpd.leases".
Die Alias stehen in der pfsense-Config-datei "/cf/conf/config.xml"
Die Config kann man mit "/etc/rc.reload_all start" neu laden
Funktion
Cron alle n minuten
DHCP-Leases auslesen und mit einer DB vergleichen
Wenn Änderung
- Einträge in der config ändern
- Config neu laden
Stefan
kurzes Update.
Es gibt eine API, die aber nur wenig kann.
Ich werde nun eine kleine Software schreiben welche direkt auf der PFSense per Cron läuft.
Jeder PC bekommt eh einen Hostname, z.B. Monitor01
Ich lege einmalig ein alias damit an.
Ich lege einmalig eine Portweiterleitung mit dem Alias an
DHCP-Leased bekommen ich aus "/var/dhcpd/var/db/dhcpd.leases".
Die Alias stehen in der pfsense-Config-datei "/cf/conf/config.xml"
Die Config kann man mit "/etc/rc.reload_all start" neu laden
Funktion
Cron alle n minuten
DHCP-Leases auslesen und mit einer DB vergleichen
Wenn Änderung
- Einträge in der config ändern
- Config neu laden
Stefan
Warum einfach machen (dyn. VLANs) wenn es umständlich auch geht...?! 
Bleibt ja dann nur noch deinen Thread dann als erledigt zu schliessen!
Bleibt ja dann nur noch deinen Thread dann als erledigt zu schliessen!
Weil, wie oben beschrieben, die Switche das nicht können.
DHCP Leases auslesen war ich mir nicht sicher. Bei OPNsense war meine ich eine DB verschlüsselt. Captive Portal Kennwörter war easy, da man den Schlüssel im Source Code vorfand.
Wegen den ggf. Mehraufwand hatte ich das mal unterschlagen. pfsense und OPNsense sind ja verwandt. Hatte mir damals ein paar Datenquellen angeschaut. Meine DHCP Leases waren nicht "plain-text".
Nun gut: wenn es so geht - wunderbar.
Wegen den ggf. Mehraufwand hatte ich das mal unterschlagen. pfsense und OPNsense sind ja verwandt. Hatte mir damals ein paar Datenquellen angeschaut. Meine DHCP Leases waren nicht "plain-text".
Nun gut: wenn es so geht - wunderbar.
