5
Trennung von Usern im LAN bzw WLAN (pfsense)
In einem Netz sollen bekannte User und Unbekannte User bzw. PCs voneinander getrennt werden, also am besten in zwei verschiedene Adressbereiche oder VLANs geschoben werden.
Hallo an alle,
ich habe folgendes Problem:
In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.
Was wir bisher gemacht haben:
Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.
Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".
Die Frage ist nun, wie man hier am besten vorgeht..?
Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.
Ich bin um jede Hilfe dankbar!
Hallo an alle,
ich habe folgendes Problem:
In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.
Was wir bisher gemacht haben:
Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.
Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".
Die Frage ist nun, wie man hier am besten vorgeht..?
Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.
Ich bin um jede Hilfe dankbar!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145920
Url: https://administrator.de/forum/trennung-von-usern-im-lan-bzw-wlan-pfsense-145920.html
Ausgedruckt am: 17.05.2025 um 14:05 Uhr
5 Kommentare
Neuester Kommentar
Deine Pfsense Firewall muss 3 Interfaces haben: Bekannte User, Unbekannte User und das Internet bzw. Zugangs LAN.
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !
Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !
Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei WLAN nimmt man einen AP mit Multi-SSID-Support und steckt einfach das Gast-WLAN in ein eigenes VLAN - fertig.
Dein Hauptproblem ist
Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
Dein Hauptproblem ist
Besucher sollen also ihr Laptop an eine LAN-Buchse
Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
eine günstige methode wär es einen wlan-router einzusetzen und dessen nat zu nutzen. du konfigurierst einen "internet-zugang" und verweist die wan-schnittstelle auf deine firewall. dann alle ports sperren außer mail und http(s). der ip-kreis in dem gast-netzwerk kann beliebig sein.
Hi@all
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.
Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß
Carsten
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.
Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß
Carsten
Die Anmerkung ist eigentlich vollkommen überflüssig, denn sein Pfsense Captive Portal führt einen Syslog Server mit, der alle User Aktivitäten nachvollziehbar mitloggt. Wenn du das Hotspot_Tutorial wirklich zuende gelesen hättest wüsstest du es... 
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.
Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.
Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
