zxspectrum
Goto Top

Router + Firewall aufbau

Hallo,

ich bin gerade dabei mein LAN zu planen und habe ein paar grundlegende Fragen. Ich habe gehofft, dass ich hier professionele Hilfe bekommen könnte.

Und zwar erzähle ich vielleicht was ich so alles zu Hause schon habe und wie das im Moment aussieht. Dann würde ich mich über Feedback und Ratschläge freuen.

Ich habe im Moment einen ZyXEL Modem, ein PfSense router und FW stationiert und einen Linksys wrt ACS1900 als AP. Es sieht ungefähr so aus.
ISP -- ZyXEL -- PfSense -- Managed Switch -- Access Point -- WLAN


Nun zu diesem Aufbau habe ich ein Paar Fragen.
- Würde es Sinn ergeben, den PfSense zu reiner FW zu machen und aus dem Access Point einen Router?
- Wenn ja, macht es dann mehr Sinn die Firewall vor hinter dem Router zu haben? Oder soll die FW tendenziell zwischen den Router und die Clients hin?
- Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs bestücke und die Kommunikation mit der FW kontrolliere?

Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.

Vielen Dank für eure Tipps

Viele Grüße

Content-Key: 427801

Url: https://administrator.de/contentid/427801

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: StefanKittel
StefanKittel 14.03.2019 um 07:02:25 Uhr
Goto Top
Moin

Zitat von @zxSpectrum:
- Würde es Sinn ergeben, den PfSense zu reiner FW zu machen und aus dem Access Point einen Router?
Nein, mehr NAT = nicht besser
- Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs bestücke und die Kommunikation mit der FW kontrolliere?
Du lässt die Reihenfolge so wie sie ist und konfigurierst VLANs in der pfense und im Switch. Fertig. Du musst nichts umbauen.
Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.
Löblich

Aqui hat hier ein paar prima Anleitungen die ich gerade nicht finde. Benutze mal bitte die Suche im Forum.
Sonst schau mal hier. https://www.youtube.com/watch?v=hhPGN4UJHAM

Stefan
Mitglied: aqui
aqui 14.03.2019 aktualisiert um 09:08:10 Uhr
Goto Top
den PfSense zu reiner FW zu machen
Firewalls sind Frauen ! Und...die pfSense IST eine reine stateful Firewall !!! Gut Router ist sie nebenebi auch noch.
Kann das sein das du hier einen ziemlichen Denkfehler machst ?!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Klare Antwort: Nein !
Das Ansinnen ist auch völliger Quatsch, denn mit dem Modem und der Firewall hast du ja schon die bestmögliche Kombination. Vermutlich kennst du selber nicht wirklich was du da betreibst...?!
Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs
Du hast doch einen managed Switch ? Da versteht man deine Frage jetzt nicht wirklich. Aber egal...
Wie wärs mal mit etwas Lesen ???:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Tutorial serviert dir die VLAN Lösung auf dem Silbertablett so das du nur noch abtippen musst.
Einfacher gehts also nicht. Einfach mal die Suchfunktion benutzen hier... face-wink
Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.
Das ist sehr vernünftig und auch sinnvoll.
Mit dem obigen Tutorial hast du ja nun alles an der Hand um das in 10 Minuten umzusetzen !
Was die Gäste anbetrifft ist ggf. das hier auch noch lesenswert:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Jetzt musst du nur noch machen...
Mitglied: zxSpectrum
zxSpectrum 15.03.2019, aktualisiert am 21.04.2022 um 14:54:33 Uhr
Goto Top
Nun danke für die schnelle und hilfreiche Rückmeldung. Ich habe das ganze ne Ecke nach vorne gebracht und langsam nimmt das ganze Form an. Doch eine Sache gefällt mir noch nicht so ganz und da habe ich das Gefühl, dass da bisschen meine Schuld mit dabei ist.

Was jetzt funktioniert:
- Trennung der Netze in VLANs
- Routing zwischen den VLANs.
- Firewall Regeln die zwischen Netzen übergreifen.

Was nicht funktioniert sind die interne FW Regeln für VLANs auf dem Access Point.
Heißt:
- Die Kommunikation zwischen WLAN_Home(VLAN_10) und WLAN_Gaeste(VLAN_20) wird von der Firewall unterbunden.
- Der Zugriff von den Gäreten aus dem GastNetz(VLAN_20) auf die WebUI des Access Points im GastNetz(ebenfalls VLAN_20) funktioniert. Der Traffic geht eindeutig NICHT über die PfSense. Der OpenWRT routet die Pakete durch.

Nun, wie ich das ganze jetzt konfiguriert habe:
- PfSense und OpenWRT sind über einen Netgear GS108Ev3 verbunden (Port 1 und 8. Beide auf Trunk gesetzt)
- PfSense verwaltet die VLANS 10 und 20. DHCP, DNS, FW ist alles konfiguriert, funktioniert auch alles bis auf die eine Sache.
- Der OpenWRT lauscht auf getaggte Pakete

Ports 1 und 8 auf dem Switch sind jeweils Tagged:

Hat jemand eine Idee wo der Fehler sein könnte, bzw. warum der OpenWRT sich an den Routing ranmacht wenn es um Pakete in gleichen VLANs geht statt es an die PfSense weiterzuleiten?
Mitglied: aqui
aqui 16.03.2019 um 12:27:47 Uhr
Goto Top
Was jetzt funktioniert:
Sehr gut ! Das bedeutet ja 98% des grundlegenden Setups bzw. das Netzwerk Design an sich funktioniert fehlerlos.
Es liegt also einzig und allein nur noch an den den FW Regeln !
Was nicht funktioniert sind die interne FW Regeln für VLANs auf dem Access Point.
Mmmhhh..das kann dann nur an einen falschen oder fehlerhaften Regelwerk liegen das du konfiguriert hast.
Denke immer daran das die Grundregeln gelten hier.
  • Regeln gelten immer nur inbound also Pakete die VOM Draht IN dein Interface reingehen
  • Es gilt: "First match wins !". Also beim ersten Hit in Regelwerk werden ggf. folgende Regeln nicht mehr abgearbeitet !
Das solltest du immer auf dem Radar haben wenn du Regeln aufsetzt !
Die Kommunikation zwischen WLAN_Home(VLAN_10) und WLAN_Gaeste(VLAN_20) wird von der Firewall unterbunden.
Sollte ja auch so gewollt sein ! Oder...??
Wenn du auf einer Firewall KEINE Regeln definierst ist im Default ALLES immer geblockt. Das ist eine Grundregel bei Firewall. Du musst also explizit erlauben was du durchlassen willst !
PfSense verwaltet die VLANS 10 und 20. DHCP, DNS, FW ist alles konfiguriert, funktioniert auch alles
Sehr gut, sollte aber auch so sein !
Aber denke dran das auch der physische Port an der pfSense dranhängt und der bedient die untagged Pakete an dem Trunk Interface. In der Regel ist das das Default VLAN 1 !
Siehe Tutorial: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
warum der OpenWRT sich an den Routing ranmacht wenn es um Pakete in gleichen VLANs geht statt es an die PfSense weiterzuleiten?
Ganz klar, da stimmt dann etwas mit dem Routing bei dir nicht ! Ggf. wäre nochmal eine kleine Topologie Zeichnung hilfreich hier damit wir alle dein Setup verstehen und es keine Missverständnisse über den Paket Flow hier gibt.

(Nebenbei:
Damit die Bilder nicht alle als Block am Ende deines Posts auftauchen solltest du, nachdem du sie mit dem kleinen Kamera symbol importiert hast mit einem Klick auf das "+" dann auch an die richtige Position bringen im Text !!
Als Platzhalter taucht dann dort eine kryptische Bilddatei in eckigen Klammern auch !
Das hilft der Übersichtlichkeit und damit allen hier ungemein. face-wink )
Mitglied: zxSpectrum
zxSpectrum 16.03.2019 aktualisiert um 14:46:02 Uhr
Goto Top
Sollte ja auch so gewollt sein ! Oder...??
Wenn du auf einer Firewall KEINE Regeln definierst ist im Default ALLES immer geblockt. Das ist eine Grundregel bei Firewall. Du musst also explizit erlauben was du durchlassen willst !

Ja, das ist so richtig. Habe das nur erwähnt, damit man per Ausschlussverfahren mir zielgerichteter helfen kann face-smile

Ganz klar, da stimmt dann etwas mit dem Routing bei dir nicht ! Ggf. wäre nochmal eine kleine Topologie Zeichnung hilfreich hier damit wir alle dein Setup verstehen und es keine Missverständnisse über den Paket Flow hier gibt.

Hier ist noch eine Topologie wie das aufgebaut ist. Inkl. Firewall Regeln:

FW Regeln: (Fürs erste nur für Gaeste VLAN)
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Block from VLAN_20 any to PfSense dst port 80,443,22 <- Diese Regel greift
Block from VLAN_20 any to VLAN_10 any <- Diese Regel greit ebenfalls
Pass from VLAN_20 any to any <- Diese Regel greift auch
Mitglied: aqui
aqui 16.03.2019 aktualisiert um 16:02:44 Uhr
Goto Top
Hier ist noch eine Topologie wie das aufgebaut ist. Inkl. Firewall Regeln:
Wo denn ??
Das Bild ist hier NICHT zu sehen face-sad
(Kannst du ja doch auch selber kontrollieren !!)

Zu deinen Regeln:
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Logisch ! Denke mal bitte selber etwas nach !! Dein Access Point wird ja vermutlich mit seiner Management IP im gleichen VLAN liegen ?! Wenn dem so ist, dann muss das Paket doch gar nicht durch die Firewall sondern der Client erreicht es ja auf dem selben Draht !!
Diese Pakete "sieht" die Firewall also folglich nie und kann sie deshalb dann auch nicht "regeln".
Works as designed ! face-wink

Wenn du einen MSSID Accesspoint betreibst der mehrere WLANs aufspannen kann wie z.B. hier beschieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann befindet sich das Management Interface des APs in einem anderen VLAN (in der Regel 1) so das der Traffic dann aus dem Gast VLAN 20 ins VLAN 1 muss und dann über die FW. Die dann blockt.
Bei dir ist das aber nicht der Fall, da Client und AP Management ja quasi auf dem selbe Draht liegen. Lokaler Traffic passiert ja logischerweise nicht die Firewall. Weisst du auch selber... face-wink
Mitglied: zxSpectrum
zxSpectrum 16.03.2019 aktualisiert um 18:31:48 Uhr
Goto Top
Wo denn ??
Das Bild ist hier NICHT zu sehen face-sad
(Kannst du ja doch auch selber kontrollieren !!)
Ich habe es überprüft und das Bild kann ich auch aufrufen. Ich poste es hier als Bild, damit du es einfacher hast.


Zu deinen Regeln:
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Logisch ! Denke mal bitte selber etwas nach !! Dein Access Point wird ja vermutlich mit seiner Management IP im gleichen VLAN liegen ?! Wenn dem so ist, dann muss das Paket doch gar nicht durch die Firewall sondern der Client erreicht es ja auf dem selben Draht !!
Diese Pakete "sieht" die Firewall also folglich nie und kann sie deshalb dann auch nicht "regeln".
Works as designed ! face-wink

Ja, nicht ganz. Genau diese Problematik habe ich in meinem Beitrag auch beschrieben. Die Frage bleibt leider unbeantwortet, da die Switch Konfiguration am OpenWRT wiefolgt aussieht:
openwrt_switch
topologie
Mitglied: aqui
aqui 16.03.2019 um 22:52:03 Uhr
Goto Top
OK, das sieht schon besser aus. Wenn der OpenWRT als normaler VLAN Layer 2 Switch konfiguriert ist dann musst das so aussehen:
  • Ports auf die Endgeräte in VLAN 20, 30 und 40 = Untagged = Wo sind die ?? Die fehlen ?
  • OpenWRT Port auf den NetGear = Tagged = Dürfte "LAN1" sein ?! Wenn LAN1 dann OK
  • NetGear Port auf VLAN 10 Endgerät = Untagged
  • NetGear Port auf die pfSense = Tagged für VLAN 10, 20, 30 und 40. Untagged VLAN 1
Einzig die Ports für die 3 Endgeräte 20, 30 und 40 fehlen.
Sonst sieht das soweit OK aus.
Wie gesagt nur wenn der OpenWRT als Switch arbeitet und NICHT als Router !
Mitglied: zxSpectrum
zxSpectrum 17.03.2019 aktualisiert um 15:13:19 Uhr
Goto Top
Danke für all deine Hilfe. Doch eine Frage hätte ich da noch.

Im Moment sieht meine OpenWRT Konfiguration, wiefolgt:
LAN 1 ist der Port auf dem OpenWRT, der an den Netgear Switch angeschlossen ist.

VLAN 1: CPU(eth0) untagged | LAN 1 untagged
VLAN 10: CPU(eth0) tagged | LAN 1 tagged
VLAN 20: CPU(eth0) tagged | LAN 1 tagged
VLAN 30: CPU(eth0) tagged | LAN 1 tagged
VLAN 40: CPU(eth0) tagged | LAN 1 tagged

Wie soll denn die Konfiguration aussehen? Ich kann nicht mehrere untagged Flaggs setzen. Wenn ich das tue, kommt die Meldung "CPU(eth0) is untagged in multiple VLANs!"

Langsam weiß ich nicht mehr weiter. Es funktioniert alles wunderbar, bis auf die eine Sache...
Mitglied: aqui
aqui 17.03.2019 aktualisiert um 14:58:59 Uhr
Goto Top
Doch eine Frage hätte ich da noch.
Schaun mer mal... face-smile
LAN 1 ist der Port auf den Netgear
Wie ist das jetzt gemeint ?? Der Port auf dem NetGear Switch oder der Port vom OpenWRT der zum NetGear Switch geht ?? Nach deiner Formulierung müsste man von ersterem ausgehen...?
Fakt ist ja das das der Verbindungsport zw. OpenWRT und NetGear ist und der ist richtig konfiguriert. Alle VLANs tagged und das VLAN 1 untagged.
Das Pendant auf dem NetGear sollte dann ebenso eingestellt sein (PVID auf 1 und VLANs tagged)
Das ist soweit korrekt...
Der Fehler liegt vermutlich ganz woanders !

Der OpenWRT ist nur auf den LAN Ports ein Switch nicht auf dem WAN Port, da er ja primär ein Router ist !
Du kannst also nur die LAN Ports im Switching Mode einsetzen.
Was etwas verwirrend ist ist die Tatsache das nur der LAN 1 Port aktiv ist bei dir. Deshalb stellt sich die Frage WAS du genau mit dem OpenWRT Router erreichen willst ??
Soll der als reiner MSSID Access Point arbeiten ??
Das er zw. den VLANs routet macht ja wenig Sinn, denn das macht ja schon die pfSense wenn man deine Zeichnung richtig interpretiert.
Oder sind die als "Endgeräte" am OpenWRT gezeichneten Rechner VLAN 10, 20 und 30 per LAN Kabel angeschlossen ? Dann müsste ja z.B. der LAN2 Port dem VLAN10 Untagged zugewiesen sein, LAN3 VLAN20 untagged usw.
Mehrere Untagged Flags kannst du logischerweise nur auf unterschiedlichen Ports setzen, das ist klar.
Das solltest du ggf. erstmal klären damit wir verstehen was genau du erreichen willst ?
Mitglied: zxSpectrum
zxSpectrum 17.03.2019, aktualisiert am 18.03.2019 um 18:36:07 Uhr
Goto Top
Also noch mal...
Der OpenWRT soll NICHT als Router arbeiten. Er ist nur als MSSID Acces Point da. Ich möchte, dass das Routing auf der PfSense statt findet. Denn was anderes ergibt ja keinen Sinn. Ich möchte schließlich nicht zwei Fierwalls gleichzeitig konfigurieren müssen.

Mit dem Port, meinte ich, dass der LAN 1 der Port auf dem OpenWRT ist, der zu dem Netgear Switch führt. Ganz genau genommen zu dem Port 8 in dem Netgear. Hätte mich klarer ausdrücken müssen, mein Fehler

Die Endgeräte an der OpenWRT sind NICHT via Ethernet angeschlossen sind. Alles wlan.

Was ich möchte ist:
1. PfSense routet und prüft ALLE Pakete im Netz.
2. Es gibt mehrere VLANs im Netzwerk.
3. Jede SSID auf dem Access Point(OpenWRT) ist ein eigenes VLAN.
4. Der MSSID Access Point übernimmt KEIN Routing, wenn ein Zugriff innerhalb eines VLANs statt findet, sondern ggf. das Paket an die PfSense weiterleitet und die PfSense entscheidet, was mit dem Paket passiert.

@edit:
Habe mein Netzwerk grundlich nochmal untersucht. Ursache ist: Der OpenWRT möchte nicht als Switch funktionieren und übernimmt die Routing aufgaben für die VLANs bevor er die Pakete an die PfSense weiterleitet. Jetzt muss ich den OpenWRT nur irgendwie in den reinen Switch modus bringen.