trollmar
Goto Top

Vlan Isolation nötig in PFsense

Hi,

besitze einen Pfsense Router dieser ist über ein NIC mit einem Smart Switch verbunden.
Am Smart Switch hängt z.B AP und alles andere.
Für verschieden "Geräte" habe ich verschieden VLAN's erstellt.
Läuft auch soweit!

Im VLAN 10 kann ich alle Geräte im VLAN 10 sehen.
Im VLAN 30 kann ich nur Geräte im VLAN 30 sehen.

Das Guest WLAN ist z.B im VLAN 30... und ich kann keine Geräte im VLAN 10 sehen.
Jetzt meine Grundsatzfrage.


Ist eine VLAN Isolation in PFSense notwendig um z.B das Gast Wlan "abzusichern"?
Die VLAN trennen ja schon die LAN's!? oder habe ich da was falsch verstanden?

Sorry für diese Anfänger Frage face-wink

Danke
LG

Content-ID: 334177

Url: https://administrator.de/forum/vlan-isolation-noetig-in-pfsense-334177.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

gansa28
gansa28 05.04.2017 aktualisiert um 23:49:16 Uhr
Goto Top
Hi trollmar,

Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN 30.

vlan30

Denn durch die VLANs trennst du 10 von 30 führst die aber mit der PFSense als Router wieder zusammen.

Grüße

Gansa28
thomasreischer
thomasreischer 06.04.2017 um 01:35:05 Uhr
Goto Top
Versuche aus dem einen vlan mittels rdp zu einem Rechner im anderen vlan zu connecten (per ip) . Wenns nicht funktioniert ist alles gut
108012
108012 06.04.2017 um 04:23:26 Uhr
Goto Top
Hallo zusammen,

Im VLAN 10 kann ich alle Geräte im VLAN 10 sehen.
Im VLAN 30 kann ich nur Geräte im VLAN 30 sehen.
So soll es auch eigentlich sein, oder? Dazu setzt man doch VLANs ein meine ich damit oder sollen die VLAN Teilnehmer
von einem VLAN auf das andere VLAN auch zugreifen können!? Wenn nicht ist doch alles ok so.

Das Guest WLAN ist z.B im VLAN 30... und ich kann keine Geräte im VLAN 10 sehen.
So soll es doch auch sein oder? Das Gäste WLAN soll in der Regel doch immer nur Internetzugang haben und nicht auf
das LAN oder Geräte darin zugreifen können. Oder soll das bei Dir anders sein?

Jetzt meine Grundsatzfrage.
Gibt es nicht hinsichtlich dieser Sache, denn es kommt immer darauf an was Du möchtest?

Ist eine VLAN Isolation in PFSense notwendig um z.B das Gast Wlan "abzusichern"?
- Wenn die Geräte der Gäste aufeinander zugreifen sollen ist das nicht notwendig.
- Wenn die Geräte der Gäste nicht aufeinander zugreifen sollen ist es sinnvoll!

Die VLAN trennen ja schon die LAN's!? oder habe ich da was falsch verstanden?
Nein, aber man kann auch dafür sorgen, je nach Firewallregel, das die VLANs untereinander Kontakt haben und die Geräte
aufeinander zugreifen können, ganz wie Du es möchtest oder konfigurierst.

Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 06.04.2017 aktualisiert um 07:04:15 Uhr
Goto Top
Zitat von @thomasreischer:

Versuche aus dem einen vlan mittels rdp zu einem Rechner im anderen vlan zu connecten (per ip) . Wenns nicht funktioniert ist alles gut

Was soll das denn für ein komischer Test sein, das wen n rdp kaputt ist, alles gut wäre?

Zum echten Testen stellt man in das eine Netz einen sniffer/responder und in das andere einen scanner.

lks
trollmar
trollmar 06.04.2017 aktualisiert um 08:42:11 Uhr
Goto Top
Erstmal vielen Dank für die vielen Antworten.

Vielleicht nochmal zur Klarstellung.

Ich möchte ein "sicheres" Gast Wlan aufsetzten.
Dieses Gast Wlan soll nur ins Internet.


Zitat von @gansa28:

Hi trollmar,

Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen >Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN >30.

Ja, alle VLAN's gehen über Tagging zum PFsense.
Da ich ja aktuell kein Gerät vom VLAN 30 (Gast VLan) im VLAN 10 (Private) sehen kann könnte man ja denken das alles "gut" ist.

Meine Frage ist Grundsätzlich und hat etwas mit dem Verständnis von Netzwerk zutun.
Also ohne FW regel wäre es "einfacher" möglich in das Netz von VLAN 10 zu kommen?

Weil im meinem einfachen Test mit FING konnte ich keinen unterschied feststellen ob nun FW Regel:
Deny >> Source Vlan 30 net >>to >> Destination VLAN 10 net
aktiv ist oder nicht.

Mit welcher Sniffer Scanner kombi kann ich da mal testen.
Wireshark als Sniffer auf dem rechner im Private VLAN und auf nem Smarthome ein Scanner im Gast VLAN?
LG
Lochkartenstanzer
Lochkartenstanzer 06.04.2017 um 08:56:17 Uhr
Goto Top
Zitat von @trollmar:

Mit welcher Sniffer Scanner kombi kann ich da mal testen.

nmap/tcpdump für Tastaturfans
Angry ip Scanner/Wireshark für Mausfetischisten.

lks
aqui
aqui 06.04.2017 aktualisiert um 10:27:10 Uhr
Goto Top
Ich möchte ein "sicheres" Gast Wlan aufsetzten.
Das ist doch hier alles beschrieben wie das ganz genau zu machen ist mit der pfSense:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das beantwortet alle Fragen....

In Bezug auf ein VLAN Umfeld findest du hier sogar noch ein Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Du hast ja bis dato auch schon alles genau richtig gemacht. Kollege Dobby hat das oben ja auch schon entsprechend kommentiert.
Wenn das VLAN 30 dein Gast WLAN mit dem Captive Portal ist, dann ist das per se ja schon alles richtig.
Das einzige was dir dann noch fehlt am Gast VLAN Port der pfSense ist eine entsprechende Firewall Regel die den Gast Zugang zum privaten Netz und ggf. anderen VLAN verbietet ala:
BLOCK = Source: <gast_network> any Destination: <private_vlan> any
BLOCK = Source: <gast_network> any Destination: <anderes_vlan> any
PASS = Source: <gast_network> any Destination: <any> any

Fertig ist der Lack.
Die beiden o.a. Tutorials beschreiben das alles im Detail.
Einfach mal die Suchfunktion benutzen face-wink