10.05.2022
1218
3
0Gateway mit IP aus anderem Netz erreichen
Hey Leute,
ich stehe gerade etwas auf dem Schlauch und bin mir nicht ganz sicher wie ich das sauber umsetzen kann, folgende Situation:
PFSense mit getrennten physikalischen Netzen - (WLAN -.51 , Hauptgebäude .21, Nebengebäude .41). Das Nebengebäude ist via Glasfaser an das Hauptgebäude angeschlossen, in diesem steht die ganze Technik.
Alles via DHCP
Ubiquiti Unifi AC AP-Pro Accesspoint (bis jetzt nur im Hauptgebäude, mit PoE Switch am Interface für das WLAN Netz)
Nun brauche ich in dem Nebengebäude einen Accesspoint, hängt soweit auch schon und wurde über SSH mit dem Controller im WLAN Netz verbunden. Sowohl der AP als auch die Clients haben nun logischer das .41 Netz des Nebengebäudes und somit greifen hier meine WLAN Firewallregeln nicht, nano.
Im WLAN bin ich wenig restriktiv mit der Firewall, ich lass die mehr oder weniger alles tun und schotte es nur vom ganzen Rest restriktiv ab.
Jetzt hätte ich gerne sowohl den AP, als auch die Clients im .51 WLAN Netz.
Wenn ich dem AP einfach eine IP in diesem Netz gebe kann er das Gateway - also die PFSense - ja nicht mehr erreichen, da das Gateway ( .41.254) im anderen Netz ist. Ist das Ganze überhaupt möglich. Ich sehe gerade nur die Möglichkeit von einem Router der vor der PFSense die Netze verbindet und entsprechend routet, ist aber wohl mit Kanonen auf Spatzen geschossen - ist das eventuell mit einer statischen Route möglich?
danke
Manuel
ich stehe gerade etwas auf dem Schlauch und bin mir nicht ganz sicher wie ich das sauber umsetzen kann, folgende Situation:
PFSense mit getrennten physikalischen Netzen - (WLAN -.51 , Hauptgebäude .21, Nebengebäude .41). Das Nebengebäude ist via Glasfaser an das Hauptgebäude angeschlossen, in diesem steht die ganze Technik.
Alles via DHCP
Ubiquiti Unifi AC AP-Pro Accesspoint (bis jetzt nur im Hauptgebäude, mit PoE Switch am Interface für das WLAN Netz)
Nun brauche ich in dem Nebengebäude einen Accesspoint, hängt soweit auch schon und wurde über SSH mit dem Controller im WLAN Netz verbunden. Sowohl der AP als auch die Clients haben nun logischer das .41 Netz des Nebengebäudes und somit greifen hier meine WLAN Firewallregeln nicht, nano.
Im WLAN bin ich wenig restriktiv mit der Firewall, ich lass die mehr oder weniger alles tun und schotte es nur vom ganzen Rest restriktiv ab.
Jetzt hätte ich gerne sowohl den AP, als auch die Clients im .51 WLAN Netz.
Wenn ich dem AP einfach eine IP in diesem Netz gebe kann er das Gateway - also die PFSense - ja nicht mehr erreichen, da das Gateway ( .41.254) im anderen Netz ist. Ist das Ganze überhaupt möglich. Ich sehe gerade nur die Möglichkeit von einem Router der vor der PFSense die Netze verbindet und entsprechend routet, ist aber wohl mit Kanonen auf Spatzen geschossen - ist das eventuell mit einer statischen Route möglich?
danke
Manuel
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2738476146
Url: https://administrator.de/forum/gateway-mit-ip-aus-anderem-netz-erreichen-2738476146.html
Ausgedruckt am: 31.07.2025 um 08:07 Uhr
3 Kommentare
Neuester Kommentar
Jetzt hätte ich gerne sowohl den AP, als auch die Clients im .51 WLAN Netz.
Wie immer, keine gute Idee! Das Management der APs sollte man niemals in ein aktives, produktives WLAN hängen sondern aus guten Gründen IMMER in ein Management VLAN abtrennen.Andernfalls hast du die Management IP im aktiven VLAN und exponierst nicht nur den AP sondern auch den Controller. Schlechtes Design, was wohl dem Fehlen von Kenntnissen geschuldet ist, was die etwas laienhafte Frage nach einer "Routing Lösung" auch eher bestätigt...
Getrennte Gast WLANs gibt es auch nicht. Gut, ohne Gäste braucht man die natürlich auch nicht.
Deine Anforderung ist aber kinderleicht zu lösen sofern du auf der Firewall und in der dahinterliegenden Switch Infrastruktur mit VLANs arbeitest. Deine APs sind allesamt MSSID fähig so das die Umsetzung eine Lachnummer ist.
Die hiesige VLAN Tutorial erklärt dir die Lösung haarklein mit vielen bunten Bildern.
Auch genau deine Anforderung ist in einem Praxiskapitel noch einmal extra beschrieben.
Die Suchfunktion lässt grüßen. 😉
Zitat von @aqui:
Andernfalls hast du die Management IP im aktiven VLAN und exponierst nicht nur den AP sondern auch den Controller. Schlechtes Design...
Jetzt hätte ich gerne sowohl den AP, als auch die Clients im .51 WLAN Netz.
Wie immer, keine gute Idee! Das Management der APs sollte man niemals in ein aktives, produktives WLAN hängen sondern aus guten Gründen IMMER in ein Management VLAN abtrennen.Andernfalls hast du die Management IP im aktiven VLAN und exponierst nicht nur den AP sondern auch den Controller. Schlechtes Design...
Soweit hab ich gar nicht gedacht muss ich gestehen, ist ja sogar recht einfach und schnell umsetzbar - danke für den Input!
Getrennte Gast WLANs gibt es auch nicht. Gut, ohne Gäste braucht man die natürlich auch nicht.
Hab ich schon, wird auf den Unifi APs umgesetzt, diese bieten die Funktion an - wurde auch getestet, Gast und "produktiv" Netz sind getrennt. Zusätzlich habe ich, im Hauptgebäude, noch ein IoT VLAN fürs WLAN.
Für die VLAN Lösung muss ich aber den derzeitigen, physikalisch getrennten, Aufbau komplett verwerfen und alles auf VLAN umstellen - oder bin ich da falsch.
Auf die VLAN Lösung bin ich schon gekommen, ich verwerfe aber ungern alles - wegen dieser "Kleinigkeit".
Ich muss vielleicht dazusagen, dass es sich hier um das Netzwerk einer (wenn auch relativ großen) Freiwilligen Feuerwehr handelt. Es gibt also nicht den Traffic und die große Anzahl der Nutzer wie in einer Firma...
Danke!
Manuel
wurde auch getestet, Gast und "produktiv" Netz sind getrennt.
Nach deiner Netzwerk Topologie bzw. den IP Segmenten aber nicht! Egal, ist auch ne ganz andere Baustelle.
physikalisch getrennten, Aufbau komplett verwerfen und alles auf VLAN umstellen - oder bin ich da falsch.
Wenn du derzeit ganz ohne VLANs auf der Switch Infrastruktur arbeitest und nur dedizierte Routing Ports auf der FW verwendest dann ja.In einem Firmen- oder Behördennetz heutzutage ohne VLAN Segmentierung zu arbeiten ist ein NoGo. So ein Design ist laienhaft und tiefste IT Steinzeit. Du siehst ja schon wie du jetzt mit simplesten Anforderungen an dem falschen Grunddesign scheiterst. Dein Vorhaben ist damit nicht realisierbar.
ich verwerfe aber ungern alles - wegen dieser "Kleinigkeit".
Die ganz falsche Einstellung zu dem Thema... Das Netzwerk ist an sich schon völlig falsch und laienhaft designed wie es derzeit ist. Vielleicht solltest du das jetzt einmal zum Anlass nehmen und da mal ein professionelles VLAN Design draus machen.Gerade bei einem BOS Netzwerk ist sowas Pflicht! Allein schon aus Security, DSGVO Policy usw. Eher traurig das das nicht gleich am Anfang bedacht wurde und spricht leider Bände über den oder die Planer.
