5
IP Konfiguration der Access Points in Hotspotlösung
Moin, hier mal eine Samstagsfrage.
Ich betreue einen vor einigen Jahren von einem Systemhaus eingerichteten Hotspot in einem Hotel mit folgendem Aufbau:
Internetanschluss: Unitymedia mit 200 Mbit/s Download und 20 Mbit/s Upload
Router / kabelmodem: Fritzbox von Unitymedia, ein LAN-Port als Bridge konfiguriert
Hotspot Gateway: pfsense mit Captive Portal auf APU2 Board an der FB
(witzig: die pfsense bekommt von UM eine eigene IPV4-Adresse zugeteilt, die sich von derjenigen der Fritzbox selbst unterscheidet - danke UM)
Access Points: 8 Stück ältere Zyxel NWA-3560-N mit Client Isolation
EDIT: APs und pfsense hängen an einem unmanaged Zyxel PoE-Switch
Maximale Anzahl gleichzeitiger Clients: ca. 65
Das Ganze läuft recht geschmeidig, allerdings soll der Hotspot um einige APs erweitert werden zwecks besserer WLAN-Performance im Gebäude.
4 Stück Ubiquiti Unifi Ap AC pro sind bereits angeschafft und vorhanden-
Nun habe ich eine Frage zur IP-Konfiguration der Access Points.
Die WLAN-Clients bekommen von der pfsense IP-Adressen im Bereich 192.168.241.10-240 zugewiesen.
Wahrscheinlich aus Sicherheitsgründen, um den Zugriff der Gäste auf die Access Points per Angabe der IP-Adresse zu verhindern, wurden die Zyxel-APs mit statischen Adressen im Bereich 192.168.213.0/24 konfiguriert. Gateway, DNS etc. ist auf den APs gar nicht konfiguriert.
Macht es Sinn, diese Systematik mit den Ubiquiti APs fortzuführen, genauer, beeinflusst das irgendwie die Performance der Access Points und ist der Sicherheitsgewinn wirklich so groß (vernünftige Passwörter vorausgesetzt)?
Vielen Dank für eure Rückmeldung
Ich betreue einen vor einigen Jahren von einem Systemhaus eingerichteten Hotspot in einem Hotel mit folgendem Aufbau:
Internetanschluss: Unitymedia mit 200 Mbit/s Download und 20 Mbit/s Upload
Router / kabelmodem: Fritzbox von Unitymedia, ein LAN-Port als Bridge konfiguriert
Hotspot Gateway: pfsense mit Captive Portal auf APU2 Board an der FB
(witzig: die pfsense bekommt von UM eine eigene IPV4-Adresse zugeteilt, die sich von derjenigen der Fritzbox selbst unterscheidet - danke UM)
Access Points: 8 Stück ältere Zyxel NWA-3560-N mit Client Isolation
EDIT: APs und pfsense hängen an einem unmanaged Zyxel PoE-Switch
Maximale Anzahl gleichzeitiger Clients: ca. 65
Das Ganze läuft recht geschmeidig, allerdings soll der Hotspot um einige APs erweitert werden zwecks besserer WLAN-Performance im Gebäude.
4 Stück Ubiquiti Unifi Ap AC pro sind bereits angeschafft und vorhanden-
Nun habe ich eine Frage zur IP-Konfiguration der Access Points.
Die WLAN-Clients bekommen von der pfsense IP-Adressen im Bereich 192.168.241.10-240 zugewiesen.
Wahrscheinlich aus Sicherheitsgründen, um den Zugriff der Gäste auf die Access Points per Angabe der IP-Adresse zu verhindern, wurden die Zyxel-APs mit statischen Adressen im Bereich 192.168.213.0/24 konfiguriert. Gateway, DNS etc. ist auf den APs gar nicht konfiguriert.
Macht es Sinn, diese Systematik mit den Ubiquiti APs fortzuführen, genauer, beeinflusst das irgendwie die Performance der Access Points und ist der Sicherheitsgewinn wirklich so groß (vernünftige Passwörter vorausgesetzt)?
Vielen Dank für eure Rückmeldung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393818
Url: https://administrator.de/contentid/393818
Printed on: May 10, 2024 at 18:05 o'clock
5 Comments
Latest comment
Hallo,
macht bei den Unify Aps sogar noch mehr Sinn, da diese gerne nach Hause telefonieren.
VG
macht bei den Unify Aps sogar noch mehr Sinn, da diese gerne nach Hause telefonieren.
VG
Danke dafür schon mal.
die pfsense bekommt von UM eine eigene IPV4-Adresse zugeteilt, die sich von derjenigen der Fritzbox selbst unterscheidet
Meinst du auf dem WAN Interface ?? Möglich das die FB noch als reines NUR Modem läuft. Früher war sowas mal möglich.Sonst wird das immer in einer Router Kaskade mit doppeltem NAT betrieben wie es hier beschrieben ist:
Kopplung von 2 Routern am DSL Port
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Fragt sich also WELCHE IP Adressen dort verwendet werden, diesbezüglich ist deine Beschreibung leider zu oberflächlich und ungenau.
Macht es Sinn, diese Systematik mit den Ubiquiti APs fortzuführen
Nein !Du solltest zwingend eine Designänderung umsetzen die den management Zugang auf die APs vom Gasttraffic vollständig isoliert !!! In größeren Gastnetz Installationen ist das zwingend.
um den Zugriff der Gäste auf die Access Points per Angabe der IP-Adresse zu verhindern
Was natürlich Konfig technischer Blödsinn ist. Security by obscurity sowas war und ist niemals sicher ! Weiss jeder ITler schon seit Jahrzehnten !Jedenfalls die UniFi APs sind MSSID fähige APs, sprich sie können also mehrere WLANs auf einem physischen AP aufspannen.
Dabei liegt die Management IP Adresse dieser APs IMMER im Default VLAN, sprich also dem VLAN 1.
Im MSSID Mapping auf dem AP legt man nun KEINE WLAN SSID in das Default VLAN wo die Management Adressen sind sondern z.B. Die Gäste WLAN SSID auf die VLAN ID 10 und z.B. eine private WLAN SSID auf die VLAN ID 20.
Dan generiert man an der pfSense ein Tagged Interface mit den 3 IP Netzen (Native VLAN 1, VLAN 10 und VLAN 20)
Das Native VLAN (PVID) blockt man vollständig vom Gastnetz über entsprechende Regeln.
So können die Gäste schon physisch nicht mehr auf die management IP Adressen der APs zugreifen.
Nur sowas ist wirklich sicher. Ansonsten haben die Gäste physisch IMMER eine Zugangsmöglichkeit auf die APs was natürlich entsprechend schlechtes und falsches Netzdesign ist !
OB die Zyxel NWA-3560-N MSSID fähig sind musst du checken.
Nur so ist das wasserdicht und sinnvoll umzusetzen. Alles andere ist laienhafte Bastelei aus Sicherheitssicht.
Dieses Tutorial beschreibt dir die MSSID Gast WLAN Einrichtung im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw. bezogen auf genau dein Szenario:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Grundlagen zum Thema pfSense Hotspot wie immer hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und der damit verbundenen Hotel Voucher Lösung:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Damit hast du alles in der Hand um das richtig umzusetzen !
Danke für die ausführliche Antwort.
Dann mache ich mich mal an die Umsetzung.
Zu der Sache mit den WAN-IP-Adressen der FB und der pfsense:
- Die FB bekommt am WAN-Port von Unitymedia die IP-Adresse 88.153.XX.YYY zugewiesen.
Eine Reverse DNS-Auflösung führt zum Hostnamen ip-88-153-XX-YYY.hsi04.unitymediagroup.de
EDIT: Die Fritzbox läuft nicht als nur-Modem, sondern ist weiterhin voll funktionsfähig (wenn auch weitestgehend ungenutzt)
- Die pfsense ist am WAN-Port als DHCP-Client konfiguriert, dieser WAN-Port hängt an einem als Bridge-Modus konfigurierten LAN-Port der FB.
Die pfsense bekommt über den Bridge-Port von Unitymedia die folgende IP-Adresse zugewiesen: 88.152.XX.YYY.
Eine Reverse DNS-Auflösung führt hier zum Hostnamen ip-88-152-XX-YYY.hsi03.unitymediagroup.de
Für mich sieht das so aus, dass UM tatsächlich zwei IPV4-Adressen zum Preis von einer rausrückt.
Dann mache ich mich mal an die Umsetzung.
Zu der Sache mit den WAN-IP-Adressen der FB und der pfsense:
- Die FB bekommt am WAN-Port von Unitymedia die IP-Adresse 88.153.XX.YYY zugewiesen.
Eine Reverse DNS-Auflösung führt zum Hostnamen ip-88-153-XX-YYY.hsi04.unitymediagroup.de
EDIT: Die Fritzbox läuft nicht als nur-Modem, sondern ist weiterhin voll funktionsfähig (wenn auch weitestgehend ungenutzt)
- Die pfsense ist am WAN-Port als DHCP-Client konfiguriert, dieser WAN-Port hängt an einem als Bridge-Modus konfigurierten LAN-Port der FB.
Die pfsense bekommt über den Bridge-Port von Unitymedia die folgende IP-Adresse zugewiesen: 88.152.XX.YYY.
Eine Reverse DNS-Auflösung führt hier zum Hostnamen ip-88-152-XX-YYY.hsi03.unitymediagroup.de
Für mich sieht das so aus, dass UM tatsächlich zwei IPV4-Adressen zum Preis von einer rausrückt.
OK, dann hast du noch das Glück eine ältere Firmware zu haben die die Modem Funktion noch unterstützt.
Generell ist diese Lösung aber schlecht und solltest du besser gegen ein NUR Modem tauschen wie:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
Für ADSL+ bzw.
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
oder Draytek Vigor 130 für VDSL.
Dann die pfSense als PPPoE Client auf dem WAN Port definieren und dort die User Credentials eingeben.
Aber das ist eher zweitrangig. Kannst du machen wenn du dein neues WLAN wieder zum Fliegen hast
Was sehr ungewöhnlich ist ist die Tatsache das die pfSense als DHCP Client angebunden ist.
Oder ist das ein Unitymedia Kabel TV Anschluss und die FB eine FB mit Kabel TV Modem ?
Generell ist diese Lösung aber schlecht und solltest du besser gegen ein NUR Modem tauschen wie:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
Für ADSL+ bzw.
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
oder Draytek Vigor 130 für VDSL.
Dann die pfSense als PPPoE Client auf dem WAN Port definieren und dort die User Credentials eingeben.
Aber das ist eher zweitrangig. Kannst du machen wenn du dein neues WLAN wieder zum Fliegen hast
Für mich sieht das so aus, dass UM tatsächlich zwei IPV4-Adressen zum Preis von einer rausrückt.
Das könnte sein. Ist aber sehr ungewöhnlich, da die Provider meist nur eine PPPoE Session zulassen.Was sehr ungewöhnlich ist ist die Tatsache das die pfSense als DHCP Client angebunden ist.
Oder ist das ein Unitymedia Kabel TV Anschluss und die FB eine FB mit Kabel TV Modem ?
