it-stefan
Nov 20, 2015
view1831
view3
0
Goto Top

PFSense 2.2.4 - Konfiguration von zwei WAN Ports die unterschiedliche VLANs bedienen. (Schulnetz , Verwaltungsnetz)

GermanQuestionRouters, RoutingNetworks
Hallo,

könnt Ihr mir bitte helfen meine Konfiguration zu überprüfen ob dies so richtig ist für die zwei WAN Lösung.

Grundsätzliches Infrastruktur:
Es handelt sich um eine Realschule mit ca 70-80 Clients, 50-200 WLAN Clients,
5 Server, 7 Level3 Switches (Netear GS-748T), 4 Level2 Switches(Netgear ProSave GS108E)

VLAN Struktur/PFSense Einbindung:
88e39a310cc37ba49e162810066d6a5a

Netzwerkaufbau:
d61586f73a096cfee77f726d63e4bbc9

PFSense soll folgendes machen:

VLAN 4,5,6,7,8 werden über VLAN9 --> WAN1 mit dem Internet verbunden (Schulnetz)

VLAN 16 wird über VLAN15 --> WAN2 mit dem Internet verbunden (Verwaltungsnetz)

Alles muss über die PFSense laufen, um eine Durchlässigkeit der Drucker zu gewährleisten
(Siehe auch Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen)

Ich habe folgende Firewallregeln eingestellt und es funktioniert auch soweit.
Gibt es da aber nicht günstigere Varianten wie man für VLAN16 standardmäßig WAN2 zuweist?

VLAN4 Vertretungspläne:
c7dd30d946430ddd7a79bcedbf26afc3
VLAN5 Schulnetz
cd404f47ed986c65c5d35aa296f83ea5
VLAN6 WLAN Schüler
4dc29c684761c44375d6aad7742701c5
VLAN7 WLAN Lehrer
fa22ace7ef6f2b176c54f8c4b79f2558
VLAN8 WLAN Schulgeräte
e9e32cfa8524c3dde06abc2d04c9ba94
VLAN9 BELWUE Schulnetz (Internetzugang)
67f24f56656132a17d90671595249a51
VLAN 15 Verwaltung (Internetzugang)
34fe32448386ce5ac955f403ef82e24a
VLAN 16 Verwaltung intern
a91b3125cb8934964849d6ccc3a21c42

Ich freue mich auf eure hilfreichen Tipps.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 288906

Url: https://administrator.de/contentid/288906

Printed on: April 24, 2024 at 00:04 o'clock

3 Comments
Latest comment
Goto Top
Mitglied: 119944
119944 Nov 20, 2015 at 10:13:51 (UTC)
Goto Top
Moin,

du willst einfach VLANs über bestimmte WAN Ausgänge routen?
Dann passt das doch mit dem Gateway-Eintrag in den Firewall Regeln, wo siehst du Probleme?

Man spricht übrigens von Netzwerklayern und nicht von Leveln face-wink

VG
Val
Member: IT-Stefan
IT-Stefan Nov 20, 2015 at 10:29:28 (UTC)
Goto Top
Danke für deine Layerkorrektur-Hilfe face-smile.

Ich möchte wissen ob man einfacher Routen kann als ich es getan habe
und ob ich evtl. Firewalleinträge vergessen habe, die ungewollten Zugriff in andere VLANs ermöglichen.

Gruß
Stefan
Mitglied: 119944
119944 Nov 20, 2015 at 10:41:26 (UTC)
Goto Top
Ich möchte wissen ob man einfacher Routen kann als ich es getan habe
Für die Wahl der WAN Verbindung ist dies der richtige Weg. Überall wo du es auf "*" stehen hast wird der Default Ausgang verwendet.

und ob ich evtl. Firewalleinträge vergessen habe, die ungewollten Zugriff in andere VLANs ermöglichen.
Hab ich jetzt nicht genau geschaut aber ich würde dir empfehlen einen Alias zu erstellen (RFC1918 mit den Netzen192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8).
Diesen Alias setzt du als "Block" Regel an den Anfang der Firewall Regeln und blockst somit den Zugriff auf alle anderen Subnetze.
Danach setzt du einfach "Allow" Regeln für die Netze welche erreichbar sein sollen oben drüber und musst somit nicht jedes Subnetz explizit verbieten sondern gibst du diese frei welche erreichbar sein sollen.

Den Tipp hatte ich mir damals von hier abgeschaut:
https://doc.pfsense.org/index.php/Example_basic_configuration

VG
Val
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments