16
Verständnisprobleme mit Aufbau einer Firewall, DHCP und IP-Ranges
Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).
Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?
Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).
Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?
Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 595594
Url: https://administrator.de/forum/verstaendnisprobleme-mit-aufbau-einer-firewall-dhcp-und-ip-ranges-595594.html
Ausgedruckt am: 08.01.2025 um 23:01 Uhr
16 Kommentare
Neuester Kommentar
Guten Tag, soviel Zeit sollte sein.
Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Reste-Verwertung? Bis auf den Switch natürlich.
Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).
Hat der PC den ein DSL-Modem?
Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Keine gute Idee. Damit baut du dir unter Umständen eine Endlosschleife im Netz.
Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?
Meiner Meinung nach definitiv NEIN!
Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Kauf dir nen anständigen Business-Router mit Firewall und einen dazu passenden WLAN-AP, welcher VLAN und mehre SSID's kann.
DHCP dann natürlich über den Router. Der WLAN-AP wird so konfiguriert, dass er sich die IP's vom Router holt und durch reicht.
Und fertig.
VG
Asche über mein Haupt...sorry. Also ein "Moin" in die Runde.
Reste-Verwertung? Bis auf den Switch natürlich.
Eher nicht...kleiner Betrieb mit kleinem Budget.
Hat der PC den ein DSL-Modem?
Ok, falsch ausgedrückt: Das LAN-Kabel aus der Fritzbox. :/
Keine gute Idee. Damit baut du dir unter Umständen eine Endlosschleife im Netz.
Ok, thx für den Denkanstoss
Meiner Meinung nach definitiv NEIN!
Kauf dir nen anständigen Business-Router mit Firewall und einen dazu passenden WLAN-AP, welcher VLAN und mehre SSID's kann.
DHCP dann natürlich über den Router. Der WLAN-AP wird so konfiguriert, dass er sich die IP's vom Router holt und durch reicht.
Und fertig.
Da steckt ein Teil der Problematik. Als kleiner Betrieb können wir nicht einfach was in die Tonne drücken und mal eben neu kaufen, leider. Ausserdem: Was nutzt mir die tollste Hardware/Software, wenn ich das nicht einigermaßen überblicken kann und für jedes kleine Problem einen Netzwerk-Servicepartner holen muß.
Sorry, bin halt fast-DAU mit kleinem Netzwerk. ;)
VG
Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.
Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients
Reste-Verwertung? Bis auf den Switch natürlich.
Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).
Hat der PC den ein DSL-Modem?
Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Das 3. Kabel geht dann wieder vom Switch in den PC.
Keine gute Idee. Damit baut du dir unter Umständen eine Endlosschleife im Netz.
Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?
Meiner Meinung nach definitiv NEIN!
Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?
Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom
Kauf dir nen anständigen Business-Router mit Firewall und einen dazu passenden WLAN-AP, welcher VLAN und mehre SSID's kann.
DHCP dann natürlich über den Router. Der WLAN-AP wird so konfiguriert, dass er sich die IP's vom Router holt und durch reicht.
Und fertig.
Sorry, bin halt fast-DAU mit kleinem Netzwerk. ;)
VG
Wenn ihr nur ein Kleiner betrieb seid wäre vielleicht ubiquiti was für euch.
Kostet nicht die Welt und ist einfach zu konfigurieren.
Gruss Sascha
Kostet nicht die Welt und ist einfach zu konfigurieren.
Gruss Sascha
Zitat von @sascha46:
Wenn ihr nur ein Kleiner betrieb seid wäre vielleicht ubiquiti was für euch.
Kostet nicht die Welt und ist einfach zu konfigurieren.
Gruss Sascha
Kannte ich noch nicht. Würde halt noch die Firewall fehlen.Wenn ihr nur ein Kleiner betrieb seid wäre vielleicht ubiquiti was für euch.
Kostet nicht die Welt und ist einfach zu konfigurieren.
Gruss Sascha
...aber Danke für die Info!
Sehr coole Anleitung! *respekt*
Eigentlich würde ich das genau so wollen, wie auf dem Bild aus der Anleitung von @aqui zu sehen ist.
Eigentlich würde ich das genau so wollen, wie auf dem Bild aus der Anleitung von @aqui zu sehen ist.
Die bieten alles an, das tolle ist es ist alles aufeinander abgestimmt.
https://www.omg.de/ubiquiti-networks/unifi/unifi-voip/ubiquiti-unifi-sec ...
https://www.omg.de/ubiquiti-networks/unifi/unifi-security-gateway/ubiqui ...
Du kannst auch mit der Firewall und einem AP anfangen, und dann weiter aufrüsten.
Gruss Sascha
https://www.omg.de/ubiquiti-networks/unifi/unifi-voip/ubiquiti-unifi-sec ...
https://www.omg.de/ubiquiti-networks/unifi/unifi-security-gateway/ubiqui ...
Du kannst auch mit der Firewall und einem AP anfangen, und dann weiter aufrüsten.
Gruss Sascha
Gepriesen sei das Rauhe Haus,
Nun, ich sehe erst mal das Problem darin das die Fritzbox das Gäste WLAN macht. Wenn du wirklich auf der Fritte das Gäste WLAN Aktiv hast, dann ist alles ok. Wenn das Interne LAN (Heimnetz) der Fritzbox das Gäste-WLAN ist, dann kann man via Man in the Middle den ganzen Traffic zwischen der pfSense und der Fritzbox mitschneiden.
Ich würde die Fritzbox als DSL Modem nutzen und gar nicht weiter beachten. Heißt, Portweiterleitungen für Dienste die Fernzugriff brauchen und eventuell noch ein DDNS. Gut.
Dann würde ich fürs WLAN dedizierte Access Points nehmen. Unifi ist einfach einzurichten und hat sogar ein Capitive Portal. Glaube es gibt sogar ein UniFi Controller Packet für die pfSense (bin mir aber nicht sicher.)
So, die Gäste gehen dann übers Gäste WLAN was auf die entsprechende VLAN ID gemappt ist. Und genau so das Firmen Netzwerk. Die pfSense darf natürlich kein Traffic zwischen den beiden Netzwerken zulassen. Dann ist alles ok. Einzige Ausnahme ist eventuell das Capitive Portal was ich dann in eben durch ein Reverse Proxy ziehen würde, da der UniFi Controller im Firmen LAN steht. Alternativ eine DMZ für die Komponenten einrichten (Switch, UniFi Controller, Accesspoints und weitere Netzwerk Geräte).
LG, J Herbrich
Nun, ich sehe erst mal das Problem darin das die Fritzbox das Gäste WLAN macht. Wenn du wirklich auf der Fritte das Gäste WLAN Aktiv hast, dann ist alles ok. Wenn das Interne LAN (Heimnetz) der Fritzbox das Gäste-WLAN ist, dann kann man via Man in the Middle den ganzen Traffic zwischen der pfSense und der Fritzbox mitschneiden.
Ich würde die Fritzbox als DSL Modem nutzen und gar nicht weiter beachten. Heißt, Portweiterleitungen für Dienste die Fernzugriff brauchen und eventuell noch ein DDNS. Gut.
Dann würde ich fürs WLAN dedizierte Access Points nehmen. Unifi ist einfach einzurichten und hat sogar ein Capitive Portal. Glaube es gibt sogar ein UniFi Controller Packet für die pfSense (bin mir aber nicht sicher.)
So, die Gäste gehen dann übers Gäste WLAN was auf die entsprechende VLAN ID gemappt ist. Und genau so das Firmen Netzwerk. Die pfSense darf natürlich kein Traffic zwischen den beiden Netzwerken zulassen. Dann ist alles ok. Einzige Ausnahme ist eventuell das Capitive Portal was ich dann in eben durch ein Reverse Proxy ziehen würde, da der UniFi Controller im Firmen LAN steht. Alternativ eine DMZ für die Komponenten einrichten (Switch, UniFi Controller, Accesspoints und weitere Netzwerk Geräte).
LG, J Herbrich
Kauf dir nen anständigen Business-Router mit Firewall
Das wäre Blödsinn, denn für den TO bzw. seinen Anforderungen reicht eine kleine Firewall wie die PfSense auf einem APU Board vollends aus.Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
So hat er sie auf einem eigenen Blech und in einer Kaskade mit der FritzBox auch sinnvoll gekoppelt. Siehe hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ein wasserdichtes und erprobtes Konzept für so ein KMU Design mit dem sich alle Anforderungen einfach und schnell umsetzen lassen.
Von Unifi kann man wegen des Zwangscontrollers (Vendor Lockin) und schlechter Perfomance nur dringendsten abraten !
@aqui
Das mit dem Zwangscontrollers (Vendor Lockin) kann man sehen wie man will, es setuern
alle Hersteller in diese Richtung.
Allerdings verstehe ich nicht, warum es bei den Ubiquiti Komponenten zu Performance Problemen
kommen soll.
Bisher bin ich mit der Ubiquiti Hardware zufrieden.
Und ober der Thread Ersteller (nocheinnoobmehr) mit dem aufsetzen der Pfsense und der dazugehörigen Konfiguration
klar kommt weiss ich nicht.
Aber das ist ja auch wie immer Geschmackssache.
Das mit dem Zwangscontrollers (Vendor Lockin) kann man sehen wie man will, es setuern
alle Hersteller in diese Richtung.
Allerdings verstehe ich nicht, warum es bei den Ubiquiti Komponenten zu Performance Problemen
kommen soll.
Bisher bin ich mit der Ubiquiti Hardware zufrieden.
Und ober der Thread Ersteller (nocheinnoobmehr) mit dem aufsetzen der Pfsense und der dazugehörigen Konfiguration
klar kommt weiss ich nicht.
Aber das ist ja auch wie immer Geschmackssache.
Du setzt es vermutlich nur im Umfeld von Heimnetzen und Kleinstnetzen ein. Da kann man das machenobwohl die Zwangspolitik der HW klar dagegen spricht heutzutage. Auch das ein Hersteller keine eigenen Produkte sondern nur umgesäbelte Massenware verwendet ist kein gute Omen und ein NoGo für anspruchsvollere Netzwerk Projekte. Aber das muss letztlich jeder für sich entscheiden.
Es gibt definitiv bessere Hersteller mit innovativeren Produkten auf gleichem Preisniveau.
Es gibt definitiv bessere Hersteller mit innovativeren Produkten auf gleichem Preisniveau.
Bis hierhin schon mal vielen Dank für die Aufmerksamkeit. 
Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Ich werde mich mehr mit den Grundlagen eines Netzwerkes befassen müssen.
Sollte ich dann noch Fragen haben, melde ich mich nochmal.
Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Ich werde mich mehr mit den Grundlagen eines Netzwerkes befassen müssen.
Sollte ich dann noch Fragen haben, melde ich mich nochmal.
Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Dann tief Luft holen, ein kühles Getränk und das hiesige pfSense Tutorial bzw. seine weiterführenden Links nochmal gaaanz in Ruhe lesen... 
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @aqui:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
@aquiIrgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Dann tief Luft holen, ein kühles Getränk und das hiesige pfSense Tutorial bzw. seine weiterführenden Links nochmal gaaanz in Ruhe lesen... Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Genau das haben wir zu zweit am Wochenende gemacht.
(Ich hab Do.+Fr.=Sa.+So. und Sa.+So.=Mo.+Di., also ist für mich heute Mi.^^---Corona und Schichtdienst sei dank.
)Nun läuft pfsense in einer VM mit den 2 NICs und der Rechner wird über die 3. NIC versorgt. Einige Rules sind konfiguriert und funktionieren auch wie gewünscht, lediglich Teamviewer und Anydesk lassen sich nicht blocken, aber wir sind ja nicht die einzigen, die dieses "Problem" haben. Ist aber auch nicht kriegsentscheidend.
Nochmals vielen Dank dafür, dass du so umfassend dein Wissen teilst.
lediglich Teamviewer und Anydesk lassen sich nicht blocken
Was natürlich Unsinn ist. Das klappt wunderbar.https://forum.netgate.com/topic/21205/solved-how-to-block-teamviewer
https://mediarealm.com.au/articles/block-teamviewer-network/
Sehr sinnvoll ist auch dafür pfBlockerNG aus der Packetverwaltung zu installieren:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Nochmals vielen Dank dafür, dass du so umfassend dein Wissen teilst.
Immer gerne..
So, nochmal kurze Rückmeldung:
Der "Server" mit W10 ist produktiv im Einsatz und versorgt ~10 Clients im LAN mit der Warenwirtschaftssoft.
Gäste werden von der Fritz mit WLAN versorgt.
Der Server mit pfsense in einer VM und 2 NICs regeln den Verkehr und langsam werden wir auch Freunde.
(Ich hab gefühlt zwar erst 5% Nutzen von dem Potential der pfsense nutzen können, aber die sind schon der Hammer. Geiles Teil. )
Die 3. NIC im Server wird dann mit LAN vom Switch versorgt.
Nochmals vielen Dank für die Aufmerksamkeit und das hier auch die Möglichkeit ist, dass "kleine" Admins und Netzwerknoobs Fragen stellen dürfen. ;)
Der "Server" mit W10 ist produktiv im Einsatz und versorgt ~10 Clients im LAN mit der Warenwirtschaftssoft.
Gäste werden von der Fritz mit WLAN versorgt.
Der Server mit pfsense in einer VM und 2 NICs regeln den Verkehr und langsam werden wir auch Freunde.
(Ich hab gefühlt zwar erst 5% Nutzen von dem Potential der pfsense nutzen können, aber die sind schon der Hammer. Geiles Teil.
)Die 3. NIC im Server wird dann mit LAN vom Switch versorgt.
Nochmals vielen Dank für die Aufmerksamkeit und das hier auch die Möglichkeit ist, dass "kleine" Admins und Netzwerknoobs Fragen stellen dürfen. ;)
