Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Router + Firewall aufbau

Mitglied: zxSpectrum

zxSpectrum (Level 1) - Jetzt verbinden

13.03.2019, aktualisiert 22:58 Uhr, 796 Aufrufe, 11 Kommentare

Hallo,

ich bin gerade dabei mein LAN zu planen und habe ein paar grundlegende Fragen. Ich habe gehofft, dass ich hier professionele Hilfe bekommen könnte.

Und zwar erzähle ich vielleicht was ich so alles zu Hause schon habe und wie das im Moment aussieht. Dann würde ich mich über Feedback und Ratschläge freuen.

Ich habe im Moment einen ZyXEL Modem, ein PfSense router und FW stationiert und einen Linksys wrt ACS1900 als AP. Es sieht ungefähr so aus.
ISP -- ZyXEL -- PfSense -- Managed Switch -- Access Point -- WLAN


Nun zu diesem Aufbau habe ich ein Paar Fragen.
- Würde es Sinn ergeben, den PfSense zu reiner FW zu machen und aus dem Access Point einen Router?
- Wenn ja, macht es dann mehr Sinn die Firewall vor hinter dem Router zu haben? Oder soll die FW tendenziell zwischen den Router und die Clients hin?
- Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs bestücke und die Kommunikation mit der FW kontrolliere?

Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.

Vielen Dank für eure Tipps

Viele Grüße
Mitglied: StefanKittel
14.03.2019 um 07:02 Uhr
Moin

Zitat von zxSpectrum:
- Würde es Sinn ergeben, den PfSense zu reiner FW zu machen und aus dem Access Point einen Router?
Nein, mehr NAT = nicht besser
- Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs bestücke und die Kommunikation mit der FW kontrolliere?
Du lässt die Reihenfolge so wie sie ist und konfigurierst VLANs in der pfense und im Switch. Fertig. Du musst nichts umbauen.
Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.
Löblich

Aqui hat hier ein paar prima Anleitungen die ich gerade nicht finde. Benutze mal bitte die Suche im Forum.
Sonst schau mal hier. https://www.youtube.com/watch?v=hhPGN4UJHAM

Stefan
Bitte warten ..
Mitglied: aqui
14.03.2019, aktualisiert um 09:08 Uhr
den PfSense zu reiner FW zu machen
Firewalls sind Frauen ! Und...die pfSense IST eine reine stateful Firewall !!! Gut Router ist sie nebenebi auch noch.
Kann das sein das du hier einen ziemlichen Denkfehler machst ?!
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
Klare Antwort: Nein !
Das Ansinnen ist auch völliger Quatsch, denn mit dem Modem und der Firewall hast du ja schon die bestmögliche Kombination. Vermutlich kennst du selber nicht wirklich was du da betreibst...?!
Wie bekomme ich das am besten hin, dass ich mein Netzwerk in VLANs
Du hast doch einen managed Switch ? Da versteht man deine Frage jetzt nicht wirklich. Aber egal...
Wie wärs mal mit etwas Lesen ???:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Das Tutorial serviert dir die VLAN Lösung auf dem Silbertablett so das du nur noch abtippen musst.
Einfacher gehts also nicht. Einfach mal die Suchfunktion benutzen hier...
Mein Gedanke ist die LAN Geräte von den WLAN Geräten zu trennen. Zusätzlich getrennte Netze zu schaffen, damit ich ein experimentieles Netzwerk schaffe an dem ich z.B. Pentesting lernen oder Gäste wegsperren kann.
Das ist sehr vernünftig und auch sinnvoll.
Mit dem obigen Tutorial hast du ja nun alles an der Hand um das in 10 Minuten umzusetzen !
Was die Gäste anbetrifft ist ggf. das hier auch noch lesenswert:
https://administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive-por ...
Jetzt musst du nur noch machen...
Bitte warten ..
Mitglied: zxSpectrum
15.03.2019 um 20:56 Uhr
Nun danke für die schnelle und hilfreiche Rückmeldung. Ich habe das ganze ne Ecke nach vorne gebracht und langsam nimmt das ganze Form an. Doch eine Sache gefällt mir noch nicht so ganz und da habe ich das Gefühl, dass da bisschen meine Schuld mit dabei ist.

Was jetzt funktioniert:
- Trennung der Netze in VLANs
- Routing zwischen den VLANs.
- Firewall Regeln die zwischen Netzen übergreifen.

Was nicht funktioniert sind die interne FW Regeln für VLANs auf dem Access Point.
Heißt:
- Die Kommunikation zwischen WLAN_Home(VLAN_10) und WLAN_Gaeste(VLAN_20) wird von der Firewall unterbunden.
- Der Zugriff von den Gäreten aus dem GastNetz(VLAN_20) auf die WebUI des Access Points im GastNetz(ebenfalls VLAN_20) funktioniert. Der Traffic geht eindeutig NICHT über die PfSense. Der OpenWRT routet die Pakete durch.

Nun, wie ich das ganze jetzt konfiguriert habe:
- PfSense und OpenWRT sind über einen Netgear GS108Ev3 verbunden (Port 1 und 8. Beide auf Trunk gesetzt)
- PfSense verwaltet die VLANS 10 und 20. DHCP, DNS, FW ist alles konfiguriert, funktioniert auch alles bis auf die eine Sache.
- Der OpenWRT lauscht auf getaggte Pakete (siehe Anhang).
https://administrator.de/images/c/1/5/1cb686f76e84ddf7e0f9fe8af1af514d.j ...

So sehen die Ports auf dem Switch aus. Ports 1 und 8 sind jeweils Tagged:
https://administrator.de/images/c/1/5/2189533d95499cd2ab37bfd82da4abfb.j ...

Hat jemand eine Idee wo der Fehler sein könnte, bzw. warum der OpenWRT sich an den Routing ranmacht wenn es um Pakete in gleichen VLANs geht statt es an die PfSense weiterzuleiten?
Bitte warten ..
Mitglied: aqui
16.03.2019 um 12:27 Uhr
Was jetzt funktioniert:
Sehr gut ! Das bedeutet ja 98% des grundlegenden Setups bzw. das Netzwerk Design an sich funktioniert fehlerlos.
Es liegt also einzig und allein nur noch an den den FW Regeln !
Was nicht funktioniert sind die interne FW Regeln für VLANs auf dem Access Point.
Mmmhhh..das kann dann nur an einen falschen oder fehlerhaften Regelwerk liegen das du konfiguriert hast.
Denke immer daran das die Grundregeln gelten hier.
  • Regeln gelten immer nur inbound also Pakete die VOM Draht IN dein Interface reingehen
  • Es gilt: "First match wins !". Also beim ersten Hit in Regelwerk werden ggf. folgende Regeln nicht mehr abgearbeitet !
Das solltest du immer auf dem Radar haben wenn du Regeln aufsetzt !
Die Kommunikation zwischen WLAN_Home(VLAN_10) und WLAN_Gaeste(VLAN_20) wird von der Firewall unterbunden.
Sollte ja auch so gewollt sein ! Oder...??
Wenn du auf einer Firewall KEINE Regeln definierst ist im Default ALLES immer geblockt. Das ist eine Grundregel bei Firewall. Du musst also explizit erlauben was du durchlassen willst !
PfSense verwaltet die VLANS 10 und 20. DHCP, DNS, FW ist alles konfiguriert, funktioniert auch alles
Sehr gut, sollte aber auch so sein !
Aber denke dran das auch der physische Port an der pfSense dranhängt und der bedient die untagged Pakete an dem Trunk Interface. In der Regel ist das das Default VLAN 1 !
Siehe Tutorial: https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
warum der OpenWRT sich an den Routing ranmacht wenn es um Pakete in gleichen VLANs geht statt es an die PfSense weiterzuleiten?
Ganz klar, da stimmt dann etwas mit dem Routing bei dir nicht ! Ggf. wäre nochmal eine kleine Topologie Zeichnung hilfreich hier damit wir alle dein Setup verstehen und es keine Missverständnisse über den Paket Flow hier gibt.

(Nebenbei:
Damit die Bilder nicht alle als Block am Ende deines Posts auftauchen solltest du, nachdem du sie mit dem kleinen Kamera symbol importiert hast mit einem Klick auf das "+" dann auch an die richtige Position bringen im Text !!
Als Platzhalter taucht dann dort eine kryptische Bilddatei in eckigen Klammern auch !
Das hilft der Übersichtlichkeit und damit allen hier ungemein. )
Bitte warten ..
Mitglied: zxSpectrum
16.03.2019, aktualisiert um 14:46 Uhr
Sollte ja auch so gewollt sein ! Oder...??
Wenn du auf einer Firewall KEINE Regeln definierst ist im Default ALLES immer geblockt. Das ist eine Grundregel bei Firewall. Du musst also explizit erlauben was du durchlassen willst !

Ja, das ist so richtig. Habe das nur erwähnt, damit man per Ausschlussverfahren mir zielgerichteter helfen kann

Ganz klar, da stimmt dann etwas mit dem Routing bei dir nicht ! Ggf. wäre nochmal eine kleine Topologie Zeichnung hilfreich hier damit wir alle dein Setup verstehen und es keine Missverständnisse über den Paket Flow hier gibt.
Hier ist noch eine Topologie wie das aufgebaut ist. Inkl. Firewall Regeln:
https://administrator.de/images/c/1/5/877608115757140684c06d2a3811f275.j ...

FW Regeln: (Fürs erste nur für Gaeste VLAN)
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Block from VLAN_20 any to PfSense dst port 80,443,22 <- Diese Regel greift
Block from VLAN_20 any to VLAN_10 any <- Diese Regel greit ebenfalls
Pass from VLAN_20 any to any <- Diese Regel greift auch
Bitte warten ..
Mitglied: aqui
16.03.2019, aktualisiert um 16:02 Uhr
Hier ist noch eine Topologie wie das aufgebaut ist. Inkl. Firewall Regeln:
Wo denn ??
Das Bild ist hier NICHT zu sehen
(Kannst du ja doch auch selber kontrollieren !!)

Zu deinen Regeln:
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Logisch ! Denke mal bitte selber etwas nach !! Dein Access Point wird ja vermutlich mit seiner Management IP im gleichen VLAN liegen ?! Wenn dem so ist, dann muss das Paket doch gar nicht durch die Firewall sondern der Client erreicht es ja auf dem selben Draht !!
Diese Pakete "sieht" die Firewall also folglich nie und kann sie deshalb dann auch nicht "regeln".
Works as designed !

Wenn du einen MSSID Accesspoint betreibst der mehrere WLANs aufspannen kann wie z.B. hier beschieben:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Dann befindet sich das Management Interface des APs in einem anderen VLAN (in der Regel 1) so das der Traffic dann aus dem Gast VLAN 20 ins VLAN 1 muss und dann über die FW. Die dann blockt.
Bei dir ist das aber nicht der Fall, da Client und AP Management ja quasi auf dem selbe Draht liegen. Lokaler Traffic passiert ja logischerweise nicht die Firewall. Weisst du auch selber...
Bitte warten ..
Mitglied: zxSpectrum
16.03.2019, aktualisiert um 18:31 Uhr
Wo denn ??
Das Bild ist hier NICHT zu sehen
(Kannst du ja doch auch selber kontrollieren !!)
Ich habe es überprüft und das Bild kann ich auch aufrufen. Ich poste es hier als Bild, damit du es einfacher hast.


Zu deinen Regeln:
Block from VLAN_20 any to Access Point dst port 80,443,22 <- Diese Regel greift nicht
Logisch ! Denke mal bitte selber etwas nach !! Dein Access Point wird ja vermutlich mit seiner Management IP im gleichen VLAN liegen ?! Wenn dem so ist, dann muss das Paket doch gar nicht durch die Firewall sondern der Client erreicht es ja auf dem selben Draht !!
Diese Pakete "sieht" die Firewall also folglich nie und kann sie deshalb dann auch nicht "regeln".
Works as designed !

Ja, nicht ganz. Genau diese Problematik habe ich in meinem Beitrag auch beschrieben. Die Frage bleibt leider unbeantwortet, da die Switch Konfiguration am OpenWRT wiefolgt aussieht:
topologie - Klicke auf das Bild, um es zu vergrößern
openwrt_switch - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.03.2019 um 22:52 Uhr
OK, das sieht schon besser aus. Wenn der OpenWRT als normaler VLAN Layer 2 Switch konfiguriert ist dann musst das so aussehen:
  • Ports auf die Endgeräte in VLAN 20, 30 und 40 = Untagged = Wo sind die ?? Die fehlen ?
  • OpenWRT Port auf den NetGear = Tagged = Dürfte "LAN1" sein ?! Wenn LAN1 dann OK
  • NetGear Port auf VLAN 10 Endgerät = Untagged
  • NetGear Port auf die pfSense = Tagged für VLAN 10, 20, 30 und 40. Untagged VLAN 1
Einzig die Ports für die 3 Endgeräte 20, 30 und 40 fehlen.
Sonst sieht das soweit OK aus.
Wie gesagt nur wenn der OpenWRT als Switch arbeitet und NICHT als Router !
Bitte warten ..
Mitglied: zxSpectrum
17.03.2019, aktualisiert um 15:13 Uhr
Danke für all deine Hilfe. Doch eine Frage hätte ich da noch.

Im Moment sieht meine OpenWRT Konfiguration, wiefolgt:
LAN 1 ist der Port auf dem OpenWRT, der an den Netgear Switch angeschlossen ist.

VLAN 1: CPU(eth0) untagged | LAN 1 untagged
VLAN 10: CPU(eth0) tagged | LAN 1 tagged
VLAN 20: CPU(eth0) tagged | LAN 1 tagged
VLAN 30: CPU(eth0) tagged | LAN 1 tagged
VLAN 40: CPU(eth0) tagged | LAN 1 tagged

Wie soll denn die Konfiguration aussehen? Ich kann nicht mehrere untagged Flaggs setzen. Wenn ich das tue, kommt die Meldung "CPU(eth0) is untagged in multiple VLANs!"

Langsam weiß ich nicht mehr weiter. Es funktioniert alles wunderbar, bis auf die eine Sache...
Bitte warten ..
Mitglied: aqui
17.03.2019, aktualisiert um 14:58 Uhr
Doch eine Frage hätte ich da noch.
Schaun mer mal...
LAN 1 ist der Port auf den Netgear
Wie ist das jetzt gemeint ?? Der Port auf dem NetGear Switch oder der Port vom OpenWRT der zum NetGear Switch geht ?? Nach deiner Formulierung müsste man von ersterem ausgehen...?
Fakt ist ja das das der Verbindungsport zw. OpenWRT und NetGear ist und der ist richtig konfiguriert. Alle VLANs tagged und das VLAN 1 untagged.
Das Pendant auf dem NetGear sollte dann ebenso eingestellt sein (PVID auf 1 und VLANs tagged)
Das ist soweit korrekt...
Der Fehler liegt vermutlich ganz woanders !

Der OpenWRT ist nur auf den LAN Ports ein Switch nicht auf dem WAN Port, da er ja primär ein Router ist !
Du kannst also nur die LAN Ports im Switching Mode einsetzen.
Was etwas verwirrend ist ist die Tatsache das nur der LAN 1 Port aktiv ist bei dir. Deshalb stellt sich die Frage WAS du genau mit dem OpenWRT Router erreichen willst ??
Soll der als reiner MSSID Access Point arbeiten ??
Das er zw. den VLANs routet macht ja wenig Sinn, denn das macht ja schon die pfSense wenn man deine Zeichnung richtig interpretiert.
Oder sind die als "Endgeräte" am OpenWRT gezeichneten Rechner VLAN 10, 20 und 30 per LAN Kabel angeschlossen ? Dann müsste ja z.B. der LAN2 Port dem VLAN10 Untagged zugewiesen sein, LAN3 VLAN20 untagged usw.
Mehrere Untagged Flags kannst du logischerweise nur auf unterschiedlichen Ports setzen, das ist klar.
Das solltest du ggf. erstmal klären damit wir verstehen was genau du erreichen willst ?
Bitte warten ..
Mitglied: zxSpectrum
17.03.2019, aktualisiert 18.03.2019
Also noch mal...
Der OpenWRT soll NICHT als Router arbeiten. Er ist nur als MSSID Acces Point da. Ich möchte, dass das Routing auf der PfSense statt findet. Denn was anderes ergibt ja keinen Sinn. Ich möchte schließlich nicht zwei Fierwalls gleichzeitig konfigurieren müssen.

Mit dem Port, meinte ich, dass der LAN 1 der Port auf dem OpenWRT ist, der zu dem Netgear Switch führt. Ganz genau genommen zu dem Port 8 in dem Netgear. Hätte mich klarer ausdrücken müssen, mein Fehler

Die Endgeräte an der OpenWRT sind NICHT via Ethernet angeschlossen sind. Alles wlan.

Was ich möchte ist:
1. PfSense routet und prüft ALLE Pakete im Netz.
2. Es gibt mehrere VLANs im Netzwerk.
3. Jede SSID auf dem Access Point(OpenWRT) ist ein eigenes VLAN.
4. Der MSSID Access Point übernimmt KEIN Routing, wenn ein Zugriff innerhalb eines VLANs statt findet, sondern ggf. das Paket an die PfSense weiterleitet und die PfSense entscheidet, was mit dem Paket passiert.

@edit:
Habe mein Netzwerk grundlich nochmal untersucht. Ursache ist: Der OpenWRT möchte nicht als Switch funktionieren und übernimmt die Routing aufgaben für die VLANs bevor er die Pakete an die PfSense weiterleitet. Jetzt muss ich den OpenWRT nur irgendwie in den reinen Switch modus bringen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Aufbau Firmen Lan . . .
Frage von LaBombaNetzwerkgrundlagen12 Kommentare

Hallo, da das Forum hier wirklich TOP ist wende ich mich mit meinen Fragen mal wieder an euch :) ...

Datenbanken
Aufbau einer MYSQL Datenbank
Frage von WPFORGEDatenbanken12 Kommentare

Hallo, Ich habe etwa 1 mio Datensätze. Mit ekelhaft vielen Feldern (ca. 120). Je nach Kategorie des Datensatzes weichen ...

Netzwerkgrundlagen
Aufbau Heimnetzwerk mit Firewall
gelöst Frage von KodaCHNetzwerkgrundlagen11 Kommentare

Guten Abend Für eine andere Wohnung würde ich gerne das komplette Netzwerk neu aufbauen. Ich habe bei offenen Fragen ...

Server-Hardware
Firmennetzwerk - Aufbau (Windows Server)
Frage von Numo00Server-Hardware6 Kommentare

Hallo Leute, ich bräuchte eine kleine Beratung bzw. Tipps von euch. Für eine kleine Firma (5-6 Mitarbeiter) soll ein ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)6 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 1 TagWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 2 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Microsoft Office
Abfrage ist beschädigt. Error-Code 3340 in Access2013
gelöst Frage von RomualdMicrosoft Office16 Kommentare

Hallo Foren-Mitglieder, ich hätte da mal ein Problem Seit heute am Morgen (13.11.2019) erhalte ich die Fehlermeldung "Abfrage '' ...