barbarian616
Goto Top

Hotel Netzwerk, Netzwerktrennung, pfsense, DMZ, Repeater oder Bridge

Hallo,
ich bin grade dabei für unser Heim und Hotelnetzwerk ein Captive Portal einzurichten. Dabei stehe ich vor einigen Hindernissen die ich grade nicht so für mich klären kann.

Wir sind ein recht kleines Hotel mit ca 20 Zimmern. Es sind 2 zusammengebaute größere Häuser.
Wir haben in einem Haus nun einen Internetanschluss. Das Modem ist momentan direkt an einem alten Rechner mit 2 Netzwerkkarten gesteckt. Auf dem Rechner läuft momentan das aktuelleste pfsense.
Die LAN Karte des Rechners ist mit einem DLAN Adapter ans Stromnetz gebunden.
Das Problem ist nun, dass der DLAN Adapter leider nicht das gesammte Haus mit Daten versorgen kann. So muss ich in 2 hintere Ecken irgendwie über WLAN Bridging oder Repeating arbeiten.

Ich habe das Captive Portal bereits erfolgreich eingerichtet und die Internetleitung funktioniert auch größtenteils.
Nun meine Frage. Ich möchte gern das Gästenetz irgendwie von meinem Arbeitsnetz abgrenzen. Funktioniert das alles über ein Hotspot System bzw über eine Netzwerkkarte? Oder muss ich für das private Netzwerk eine weitere Netzwerkkarte in den Rechner einbauen und für alle privaten Daten ein eigenes Accesspoint System aufbauen?

Ich dachte mir vllt das ich den privaten Rechnern IP Adressen, manuell, von 192.168.1.2 bis .1.50 vergebe und alles was per DHCP über den Rest vergeben wird, die .1 - .50 nicht sehen kann. Oder wird man das komplett mit einem anderen Subnetz nur realisieren können? Ich weiss nur leider nicht wie ich sowas realisieren kann.

Zusätzlich ist die Frage, wie ich die WLAN Abdeckung ins gesammte Haus verbreiten kann. Ich habe gelesen das WDS-Repeater für das System absolut nicht in Frage kommen.
Ich habe momentan 5 AP von TP-Link die nicht nur als AP laufen können sondern auch als Bridge mit AP. Dabei kann ich dann 4 MAC Adressen umliegender APs eintragen. Ist das ne sinnvollere Alternative?

3 Accesspoints könnten direkt per DLAN ans Netz eingespeist werden. Die anderen 2 müssen irgendwie als Verstärker dienen um in die oberen Etagen und hinteren Ecken zu kommen.
Außerdem möchte ich gern, sofern das möglich ist. Die gesammten APs privat und für Gäste nutzen. Ich habe zB einen WLAN Drucker den die Gäste nicht sehen sollten, genauwenig sollten sie private Rechner sehen die eingelogt sind.

Ich hoffe ich konnte meine Fragen anschaulich stellen und hoffe auf hilfreiche Antworten!
Danke schonmal.

Content-ID: 190047

Url: https://administrator.de/forum/hotel-netzwerk-netzwerktrennung-pfsense-dmz-repeater-oder-bridge-190047.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

maretz
maretz 23.08.2012 aktualisiert um 10:26:57 Uhr
Goto Top
Moin,

die Frage führt zu der Frage wie gut du dich mit Netzwerken auskennst... Traust du dir WIRKLICH zu ein sicheres Netzwerk einzurichten - mit der Chance das z.B. die Leute hier bei dir im Netzwerk sitzen und trotzdem nicht an dein System kommen? Diese Frage solltest du für dich selbst beantworten bevor du sowas aufbaust! Vergiß nicht das du auch gewisse Haftungen übernimmst...

Ansonsten würde ich dir empfehlen eine Astaro zu kaufen und die dazugehörigen Access-Points. Dies kostet zwar etwas Geld - hat aber den Vorteil das die relativ einfach einzurichten sind. Aufbau wäre dann (mit der kleinen Astaro) m.E.:
Office-Netz: Eth0
Gast-Netz inkl. APs: Eth1
Internet: Eth2

Jetzt kannst du ein simples Routing machen - und dafür sorgen das eben Eth1 nicht auf Eth0 zugreiffen darf. Ich würde dir allerdings empfehlen auch einen Port im Büro für das Gast-Netz zu schalten - z.B. für Wartungsarbeiten usw...

Gruß,

Mike

P.S.: PowerLan/dLan halte ich für sowas immer für bedenklich. Denkst du auch daran das die Gäste untereinander abgeschirmt werden? Oder würdest du es persönlich lustig finden wenn du im Hotel bist, deine Mails über das bereitgestellte Netz abholst und der Zimmernachbar einfach mal kurz deinen Traffic mit-snifft?

EDIT: Zu den Access-Points: Falls du hier unbedingt Gast-WLAN und privates WLAN mischen möchtest dann wären VLAN-Fähige APs (ich glaube das läuft unter multi-ssid) für dich ggf. das richtige Mittel... Ich würde es jedoch zu Anfang zur Sicherheit eher trennen - in dem Fall hast du schonmal ein Risiko ausgeschaltet... (egal wie gut ein Gast ist - wenn es keine Verbindung zum WLAN-Drucker gibt kann er da auch keinen Unsinn machen...)
barbarian616
barbarian616 23.08.2012 um 10:31:44 Uhr
Goto Top
Ich würde mich nicht als Vollprofi bezeichnen, aber wenn ich mich damit nicht beschäftige kann ich auch nie zu einem werden. ;)

In vielen anderen Fragen zu diesem Bereich kam immer wieder die Aussage das die Gäste die sich einloggen für ihre Sicherheit wohl selbst zuständig sind, mit VPNs o.ä. Das ist für mich erstmal zweitrangig, und kann sicherlich bei Bedarf noch irgendwie nachgerüstet werden.

Eine alternative zu Powerlan/dLan habe ich leider nicht. Ich könnte komplett über Wireless arbeiten aber da halte ich dLan doch für die sinnvollere Alternative. Kabel verlegen fällt leider aus.

Meine Frage zielte nun eher darauf ab wie ich das Private und Gäste Netz sinnvoll trennen kann.
Muss ich dafür in den pfsense Rechner eine weitere Netzwerkkarte einbauen und diesen seperat mit einem dlan ins Netz bringen? Oder kann ich private Rechner und Gäste Rechner über die selben Accesspoints laufen lassen?
maretz
maretz 23.08.2012 um 10:50:59 Uhr
Goto Top
Moin,

man MUSS keine neue Netzwerkkarte einbauen - das geht natürlich alles auch über 2 Netzwerkkarten (sogar über eine wenn man möchte). Es ist nur oftmals leichter wenn man eben die Netze dann auch physikalisch trennt - auch wenn man dann eben im privat-bereich auf das WLAN verzichten muss bzw. nen eigenen AP ins Office hängt.

Es ist auch klar das man nicht zum Profi wird wenn man etwas nicht ausprobiert und lernt. Nur: Niemand kommt auf die Idee sich allein in nen Auto zu setzen und loszufahren - da besucht man Fahrschulen und lässt sich das alles zeigen. Niemand kommt auf die Idee und springt einfach mal ins Meer - man lässt sich erstmal zeigen wie man schwimmt... Warum also versuchen es immer wieder Leute in einem gewerblichen Bereich mit der IT zu lernen?
barbarian616
barbarian616 23.08.2012 um 11:12:15 Uhr
Goto Top
Hättest du denn vllt ein paar Stichworte unter denen ich in dem Bereich nachschauen kann wie ich das mit den vorhanden APs und dem vorhanden pfsense realisieren kann. Multi SSID habe ich soeben schon gefunden und probiere da grade mit rum. Aber ich glaube nicht das es das richtige ist. Da dort ja nur am AP selber getrennt wird so wie ich das verstehe.
Also mit phsysikalisch trennen verstehe ich dich so richtig: 3 Netzwerkkarten im Router. 1 WAN und 2 LAN. Die 2 LAN Karten jeweils seperat mit einem DLAN Adapter. Dann haben die 2 LAN Karten ja auch seperate Netzadressen, richtig? Unter der einen Karte wird das Gateway zB unter 192.168.1.1 zu erreichen sein, und bei der anderen Karte unter 192.168.50.1 zB?
Dann müsste ich also für beide LAN anschlüsse seperate APs und SSIDs haben.

Das ist sicherlich ne gute Lösung doch vllt auch etwas zuviel des Guten.


Ich stelle mir das ja irgendwie folgendermaßen vor, auch wenn ich nicht genau weiss wie ich das realisiere:
Kann man denn theoretisch nicht einfach die IP Adressen .1.2 bis .1.50 zusammenfassen und per MAC Adressierung fest binden (so das niemand anderes diese IPs bekommt) und den Rest der über DHCP vergeben seperieren und "vereinsamen"? Müsste sowas nicht irgendwie gehen?


Auch wenn das vllt ein wenig in die falsche Richtung geht: ich studiere Informatik Ingenieur und muss mir viele Sachen selbst beibringen, genauso wie dies jetzt hier. Ich mache das momentan auch nicht gewerblich, das Hotel gehört meinen Eltern und sie haben mich gebeten das zu übernehmen. Und da heutzutage in einem Hotel so etwas zum guten Ton gehört, und immer mehr Leute für Hotels weniger Geld ausgeben möchten, passt eine voll-professionelle Lösung leider grade nicht in Budget.
keine-ahnung
keine-ahnung 23.08.2012 um 18:24:37 Uhr
Goto Top
Hi,

hier schon mal ein Stichpunkt: Störerhaftung!

Das das budget mitunter schmal ist, kommt vor. Aber wenn Du das versuchst, auf Teufel komm raus zu frickeln, ist über kurz oder lang Euer Budget noch schmaler - spätestens dann, wenn Ihr die Abmahn- und Strafgebühren Eurer Gäste tragen müsst.

Wenn Du gewerblich so etwas anbietest, wirst Du automatisch zum ISP befördert - mit allen haftungsrechtlichen Konsequenzen.

Da ich auch nicht vom Fach komme, würde ich - obwohl ich gewisse basics im Netzwerk durchaus beherrsche - diesen Kuddelmuddel vermutlich in fremde Hände geben ... mit den resultierenden Haftungsansprüchen gegen den Errichter. Oder ich würde das Ganze komplett sein lassen.

Allerdings finde ich es schon nervig, im Hotel keinen connect zu haben - dass ist ganz sicher ein Grund für mich, in ein solches Hotel nicht einzuchecken. Und mittlerweile ist man auch schon zu bequem, jedesmal eine Verfügbarkeitsabfrage für HSPA zu machen...

Ist schon kniffelig ...

LG, Thomas
barbarian616
barbarian616 23.08.2012 aktualisiert um 22:48:08 Uhr
Goto Top
Danke für deinen Tipp. Aber das ist nicht wirklich die Natur meiner frage.

Eine Abrechnung bzw ein Login für die Gäste werde ich loggen und mit Vouchers bzw speziellen Logins realisieren.

Mir gehts ja einfach nur darum das private Netz und das Hotel Netz voneinander zu trennen.
Ich glaube das problem, warum ich mich immernoch damit rumärgere ist die tatsache das ich auf DLAN beschränkt bin. Anscheinend können die kleinen Adapter das VLAN Signal nicht weitergeben. In meinen Accesspoints habe ich die VLAN Nummern eingestellt und im Router pfSense sind die VLAN mit DHCP eingestellt.
VLAN1 xx.xx.20.0 /24 DHCP 150-179 (WLAN soll verschlüsselt sein)
VLAN2 xx.xx.30.0 /24 DHCP 180-199 (später mit Captive Portal)

Aber wiegesagt, zwischen Accesspoints und Router ist nur DLAN 85mbit. Ich kann leider niergends finden ob die wirklich damit kompatible sind.

Ich könnte ja noch 2 verschiedene DLAN Netzwerke nehmen jeweils anders verschlüsselt und fürs Hotel und Privat netz jeweils seperate Accesspoints nehmen.
hanswurst12
hanswurst12 24.08.2012 um 10:21:27 Uhr
Goto Top
Ich würde das ganze über WLAN realisieren, aber dazu brauchst du richtige Hardware. Wenn du die Netze trennen willst, kauf dir einen Router oder einen Layer-3 Switch.
aqui
aqui 24.08.2012 aktualisiert um 18:02:15 Uhr
Goto Top
Was die Abtrennung deines Hotelnetzes oder privaten Netzes anbetrifft solltest du zwingend 4 Euro investieren und eine 3te NIC in den pfSense Rechner stecken um ein separates Segment zu bekommen. Ohne das ist eine sichere Abtrennung vom Gästenetz unmöglich und birgt Sicherheitsrisiken.
Noch besser ist es ggf. einen feste Appliance zu verwenden um keine Verschleissteile bwie bei einem PC im Dauerbetrieb zu haben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
CP Installation ist hier wie du gesehen hast:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das wirkliche Problem ist die Erweiterung deines WLAN ohne Kabel ! Bridging und Repeating und das wohlmöglich noch im völlig überfüllten 2,4 Ghz Band ist eigentlich ein no go und wird dazu führen das du das bestehende WLAN mehr störst als erweiterst weil du mit der nutzbaren Anzahl an Kanälen in die Quere kommst.
Wie du ja selber weisst musst du bei überlappenden Funkzellen immer eine Mindestabstand von 5 Kanälen wahren:
http://www.elektronik-kompendium.de/sites/net/0907031.htm --> Kanalverteilung
Sinnvoll wäre eine Backbone Bridge auf 5 Ghz zu machen aber das erfordert teuer Dualband APs die vermutlich dein Budget sprengen. Ggf. solltest du mit unterschiedlichen D-LAN Hops arbeiten sofern das möglich ist oder da wo es irgend geht Kabel verlegen. Auch ggf. vorhandene und nicht genutze Telefonstrippe kannst du nutzen sofern diese mindestens 4 Adern hat. Das reicht allemal für 10 Mbit/s und ist erheblich besser als WDS oder Universal Repeating.
Als Alternative gibt es Ethernet LAN bridges die übers TV Koaxkabel arbeiten und so das LAN vergrößern aber auch das ist nicht ganz preiswert aber immer noch besser als einen wirelle Lösung die nicht sauber umsetzbar ist.
Von allen ist das Kabel oder die Nutzung vorhandener Kabelrecourcen wie auch immer die allerbeste Lösung
Wenn du die APs zugleich privat und für Gäste nutzen willst müssen diese ESSIDs supporten (virtuelle SSIDs). Wie das geht sagt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
barbarian616
barbarian616 25.08.2012 um 13:23:28 Uhr
Goto Top
Vielen Dank für die tolle Antwort!
Ich werde mir soeine Appliance auf jedenfall demnächst bestellen. Der alte Rechner war eh nur zu Testzwecken aufgebaut und wird auf dauer viel zu viel Strom verbrauchen. Ich bin mit pfsense ansich zufrieden und werd das wohl so auch fest aufbauen.
Hier in der Nähe sind nicht viele WLAN Netze so dass ich gut die 3 verfügbaren Kanäle 1,6 und 11 ausnutzen kann. Das mit dem Repeating funktioniert auch ausreichend gut um im Internet zu surfen. Bei 300Mbit wird die Leistung zwar halbiert, aber das ist immernoch um einiges mehr als 10mbit Telefonleitung. Da wird eh nur DSL6000 haben ist das auch gut.

Ich habe bereits Accesspoints die Multi SSID unterstützen und VLAN Einstellungen haben. Allerdings funktioniert das nicht so richtig. Ich kann im AP die VLAN ID eingeben und SSIDs verschieden benennen. Egal in welches SSID ich mich aber anmelde, ich werd immer an den standart DHCP Server verwiesen bzw wenn ich den austelle, bekomme ich gar keine IP zugewiesen.
WAN -> PPPoE
LAN -> 192.168.1.1 DHCP 100-199
VLAN2hotel -> 192.168.20.0 DHCP 50-79
VLAN3privat -> 192.168.30.0 DHCP 80-99
aqui
aqui 26.08.2012 aktualisiert um 09:29:47 Uhr
Goto Top
Du musst nicht fest auf 1, 6, 11 gehen. Wichtig ist das du das ausmisst mit dem kostenlosen inSSIDer z.B. !!!
http://www.metageek.net/products/inssider/
Da siehst du welche Kanäle von Nachbar WLANs in Gebrauch sind die du nicht ändern kannst. Du MUSST dich dann mit deinen genutzen Kanälen in die Lücken mit 4 oder 5 Kanälen Abstand setzen damit dein WLAN sauber funktioniert.
Auch das wieder mit dem inSSIDer ausmessen.
Auch sitzt du einer Milchmädchenrechnung auf was die Bandbreite anbetrifft die vermutlich aus deiner technischen Unkenntniss zu WLAN Techniken resultiert.
Niemals erreichst du im 2,4 Ghz Bereich 300 Mbit ! Mal abgesehen davon das das auch ein Bruttowert ist der Blödsinn ist und mit dem Netto Durchsatz nichts zu tun hat.
300 Mbit ist nur erreichbar wenn du 40 Mhz Bandbreite benutzt. Das ist aber Kontraproduktiv und wegen der geringen Kanalzahl um 2,4 Ghz Bereich nicht möglich, bzw. wenn du es machst belegst du die doppelte Kanalzahl in der Bandbreite und störst damit deine gesamte Installation bzw. wirst von den nicht .11n APs selber gestört.
Vergiss das also ganz schnell für 2,4 Ghz da ist 20 Mhz Betrieb Pflicht !! Keine 40 Mhz !
Mit 20 Mhz Betrieb bei .11n ist aber nur 150 Mbit möglich Brutto !! Zieht man die Overhead Daten ab bleibt also ca. 50 bis 70 Mbit übrig und das nur im absoluten Nahbereich des APs. Analog ist das bei .11g mit 54 Mbit.
Zudem solltest du im AP niemals Mischbetrieb mit .11b einstellen sondern immer nur n und g oder nur g sofern dein AP kein n kann !!
Die Clientbandbreite ist dynmaisch immer von der Feldstärke abhängig. Je weiter weg desto schlechter:
http://www.tomshardware.de/augenwischerei-mit-grossen-zahlen-die-wlan-l ...
Bedenke das immer !!

Was die VLAN IDs und ESSIDs anbetrifft bitte du uns einen Gefallen und lese dir DIESES_Tutorial_! im Abschnitt "Praxisbeispiel ganz genau durch !!
Dort steht ganz klar das du einen VLAN fähigen Switch dafür nutzen musst der die mit der ESSID verknüpften VLAN IDs in den Paketen erkennt und so den Traffic dann in die einzelnen getrennten VLANs separiert !
Dort ist doch alles haarklein erklärt !! Speziell was die VLAN Einrichtung auf den Switches anbetrifft die für ESSID Nutzung der APs essentiell ist !
Wenn es dennoch nicht funktioniert wäre es sinnvoll wenn du hier dann detailierte Information zum Aufbau und Konfiguration der Switches, APs, und der FW gibt. Mit den oberflächlichen Statements von oben kann man nix anfangen...sorry.
barbarian616
barbarian616 31.08.2012 um 12:29:09 Uhr
Goto Top
So,
ich habe mir nun eine Appliance geholt und das ganze über 2 Netzwerke mit DLAN in verschiedenen Verschlüsselungen realisiert. DLAN funktioniert nun auch im ganzen Haus. Ich habe einen Elektriker kommen lassen der mir einen Phasenkoppler installiert hat. Die APs sind alle auf Isolation gestellt und die Firewall regeln sollten auch so funktionieren das die DMZ nur auf das Internet zugreifen kann.
Wir haben jedem Zimmer ein festes Login zugewiesen und aufgrund unserer Hoteldaten kann man immer nachverfolgen wer wann welchen Login hatte.

Ich bin mir nur noch nicht ganz sicher wie ich die Logs speichern soll. Ich habe zwar einen 24/7 Server in Betrieb mit Windows Server 2008 R2.
Gibt es ne kostenlose Syslog Server Sorftware für Windows die Ihr empfehlen könnt? Muss ich sonst noch irngenwas loggen außer die kompletten Logs aus pfsense?

Nochmal vielen Dank für die Beratung. Das mit InSSIDer hatte ich vorher schon ausgelotet. Aber da in unserer Nachbarschaft keine WLANs vorhanden sind, konnte ich ja nun einfach die 3 optimalen Kanäle benutzen.

Beste Grüße und Danke face-smile
aqui
aqui 31.08.2012 um 12:55:35 Uhr
Goto Top
barbarian616
barbarian616 31.08.2012 aktualisiert um 14:21:43 Uhr
Goto Top
14 Tage Testversion oder hab ich da nen falsches Programm?

ah, ich hab das falsche genommen, habs gefunden. Kann bei bei pfsense keine richtige domain eingeben? Nur IP-Adressen? Das Problem ist das der Server keine feste IP hat bzw nur ne toplvl domain.
aqui
aqui 31.08.2012 aktualisiert um 16:06:36 Uhr
Goto Top
Nein, die Testversion bleibt nach Ablauf der Zeit eine Free Version mit eingeschränkter Funktionalität !!
(Beschreibung der Features lesen !!)
Wenn du das nicht willst nimm halt die anderen !
barbarian616
barbarian616 31.08.2012 um 19:21:20 Uhr
Goto Top
Das Problem mit Syslog war nicht das Programm selber sondern das pfsense nicht auf eine Domain schreiben will sondern nur auf blanke IP Adresse. Da sich die bei meinem Server aber 1x am Tag ändert wird das etwas schwierig das ohne DynDNS zum laufen zu bekommen.

Ich bin mir auch noch nicht ganz sicher ob meine Firewall einstellungen richtig sind. Ich kann zB immer noch aus dem HOTEL Lan auf die Loginseite gehen bzw aus dem HotelLAN mit UseNext runterladen.
Müsste die Firewall nicht eigentlich so funktionieren das sie alles blockiert was nicht explizit erlaubt ist?
Ich habe mal einen Screenshot meiner Einstellungen beigefügt

http://img716.imageshack.us/img716/921/firewall.gif

Danke schonmal
aqui
aqui 01.09.2012 aktualisiert um 08:52:38 Uhr
Goto Top
Ja, das ist richtig, das tun sie auch aber....
Folgende grundlegende Regeln der FW Regeln solltest du immer beachten:
  • Firewallregeln gelten nur inbound also für alles was INS Interface rein kommt !
  • Firewallregeln sind hierarchisch ! Es gilt "First match wins !" Das heisst der erste Match einer Rule bewirkt das alle nachfolgenden NICHT mehr ausgeführt werden !
Wenn du also was oben erlaubst kannst du es unten nicht wieder einschränken. Also sollten DENY Regeln immer am Anfang kommen.
Vermutlich hast du also hier deinen Fehler.
Sinnvoll wäre du hättest mal einen Screenshot deiner Regeln hier gepostet,dann hätten wir das für dich korrigieren können und so hättest du uns nicht gezwungen wieder diese unsinnigen externen Bilderlinks zu nutzen hier.
Man muss es leider 20mal am Tag hier im Forum sagen und trotzdem hört diese Unsitte nicht auf... face-sad :
Es gibt hier eine Bilder Hochlad Funktion !!! Einfach auf deine original Frage gehen oben, dann den Bearbeiten Knopf klicken...oben springt einem "Bilder hochladen" gleich ins Gesicht...drauf klicken...Bild(er) hochladen.
Den dann erscheinenden Bilder URL einfach mit einem Rechtsklick und Cut and Paste kopieren.
Diesen kannst du dann hier in jeglichen Text bringen sei es Antworten, Threads oder PMs.
Statt des URLs kommt dann immer...et voila... dein Bild ?
So schwer kann das doch nicht sein, oder ?

P.S.: Dein FW Fehler hast du selber schon gesehen, oder ??
3.ter Regeleintrag: Da erlaubst du HTTPS nach überall und unten schränkst du es dann wieder ein für 192.168.1.1. Das ist die Unlogik in deinen Regeln bzgl. chronologischem Ablauf.
Das Blocken muss logischerweise nach oben VOR die erlaube HTTPS "überallhin" Regel ! Dann klappt das auch...