26
VLAN mit Devolo DLAN 500 pro Wireless+ und OPNsense
Mahlzeit liebe Administratoren und Kollegen,
wir haben hier in einem kleinem Office Netzwerk die folgende Situation. An einer opnsense/pfsense Firewall hängen auf ETH1 = WAN, ETH2 = LAN und ETH3 = GaesteNetzwerk.
Das Gästenetzwerk (ETH3) wird per WLAN mit Hilfe des o.g. devolo Adapters zur Verfügung gestellt. Dies funktioniert sehr zuverlässig auch in Verbindung mit einem transparenten Proxy via Squid. Dieser DLAN Adapter bietet von Haus aus 3x Ethernet Schnittstellen + div SSID´s für die Erstellung mehrerer WLAN Netzwerke.
Am EthernetPort1 des DLAN Adapters soll nun ein kleines NAS installiert werden (standortmäßig anders leider nicht möglich). Nun suche ich einen Weg, Gästen (welche über das WLAN des DLAN-Adapters angemeldet sind), jeglichen Zugriff auf das NAS (bzw. die LAN-Schnittstellen des devolo Adapters) zu verbieten.
Egal ob ich hier mit den WLAN-AP´s 1-7 oder dem GästeWLAN des devolo Adapters arbeite, der WLAN-Client hat immer Zugriff auf die Oberfläche des NAS. Hat jemand von euch eine Idee, wie ich das lösen kann?
Normalerweise würde ich die opnsense/pfsense mit einer separaten WLAN Karte bestücken und diese für das Gastnetzwerk zur Verfügung stellen, dies ist aber leider wegen Standortproblemen nicht möglich.
Jemand eine Idee?
Grüße I.
wir haben hier in einem kleinem Office Netzwerk die folgende Situation. An einer opnsense/pfsense Firewall hängen auf ETH1 = WAN, ETH2 = LAN und ETH3 = GaesteNetzwerk.
Das Gästenetzwerk (ETH3) wird per WLAN mit Hilfe des o.g. devolo Adapters zur Verfügung gestellt. Dies funktioniert sehr zuverlässig auch in Verbindung mit einem transparenten Proxy via Squid. Dieser DLAN Adapter bietet von Haus aus 3x Ethernet Schnittstellen + div SSID´s für die Erstellung mehrerer WLAN Netzwerke.
Am EthernetPort1 des DLAN Adapters soll nun ein kleines NAS installiert werden (standortmäßig anders leider nicht möglich). Nun suche ich einen Weg, Gästen (welche über das WLAN des DLAN-Adapters angemeldet sind), jeglichen Zugriff auf das NAS (bzw. die LAN-Schnittstellen des devolo Adapters) zu verbieten.
Egal ob ich hier mit den WLAN-AP´s 1-7 oder dem GästeWLAN des devolo Adapters arbeite, der WLAN-Client hat immer Zugriff auf die Oberfläche des NAS. Hat jemand von euch eine Idee, wie ich das lösen kann?
Normalerweise würde ich die opnsense/pfsense mit einer separaten WLAN Karte bestücken und diese für das Gastnetzwerk zur Verfügung stellen, dies ist aber leider wegen Standortproblemen nicht möglich.
Jemand eine Idee?
Grüße I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336159
Url: https://administrator.de/contentid/336159
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
26 Kommentare
Neuester Kommentar
Moin,
warum nimmst Du nicht ein separates Paar dLAN-Adapter und verbindest damit das NAS mit der pfSense im LAN?
Solange dieses Paar nicht mit den vorhandenen Adaptern verbunden wird ist das ein separates Netz (vielleicht sogar anderen Hersteller nehmen, z.B. TP-Link).
Gruß
Looser
warum nimmst Du nicht ein separates Paar dLAN-Adapter und verbindest damit das NAS mit der pfSense im LAN?
Solange dieses Paar nicht mit den vorhandenen Adaptern verbunden wird ist das ein separates Netz (vielleicht sogar anderen Hersteller nehmen, z.B. TP-Link).
Gruß
Looser
Moin ...
letztendlich wirst du die Netze aufsplitten müssen ...
evtl. hilft dir das http://www.devolo.de/business-solutions/produkte/article/dlan-avpro-man ...
viele Infos habe ich nicht dazu gefunden, aber evtl. lässt sich damit was in Richtung VLAN einrichten.
Falls, ja ... wäre Feedback hilfreich
VG
Ashnod
letztendlich wirst du die Netze aufsplitten müssen ...
evtl. hilft dir das http://www.devolo.de/business-solutions/produkte/article/dlan-avpro-man ...
viele Infos habe ich nicht dazu gefunden, aber evtl. lässt sich damit was in Richtung VLAN einrichten.
Falls, ja ... wäre Feedback hilfreich
VG
Ashnod
@looser: Danke für den Tipp. Da dort Steckdosenmangel herscht, suche ich eher eine andere Lösung. Trotzdem danke.
@asnod: Jepp, ich denke auch, dass nur noch VLAN übrig bleibt. Ich kann beim devolo Adapter die VLAN ID´s bei den einzelnen Ports hinterlegen, komm aber dann mit meiner Konfig auf der opnsense komplett durcheinander.... Daher hatte ich die Hoffnung, dass irgendwie anders lösen zu können.... (habe mich gestern beim probieren schon 5x ausgesperrt ;-( )
@asnod: Jepp, ich denke auch, dass nur noch VLAN übrig bleibt. Ich kann beim devolo Adapter die VLAN ID´s bei den einzelnen Ports hinterlegen, komm aber dann mit meiner Konfig auf der opnsense komplett durcheinander.... Daher hatte ich die Hoffnung, dass irgendwie anders lösen zu können.... (habe mich gestern beim probieren schon 5x ausgesperrt ;-( )
Zitat von @IceAge:
@asnod: Jepp, ich denke auch, dass nur noch VLAN übrig bleibt. Ich kann beim devolo Adapter die VLAN ID´s bei den einzelnen Ports hinterlegen, komm aber dann mit meiner Konfig auf der opnsense komplett durcheinander.... Daher hatte ich die Hoffnung, dass irgendwie anders lösen zu können.... (habe mich gestern beim probieren schon 5x ausgesperrt ;-( )
@asnod: Jepp, ich denke auch, dass nur noch VLAN übrig bleibt. Ich kann beim devolo Adapter die VLAN ID´s bei den einzelnen Ports hinterlegen, komm aber dann mit meiner Konfig auf der opnsense komplett durcheinander.... Daher hatte ich die Hoffnung, dass irgendwie anders lösen zu können.... (habe mich gestern beim probieren schon 5x ausgesperrt ;-( )
Kenne mich mit der Konfig der Devolos und VLAN leider nicht aus ...
aber sollt auch nicht anders sein wie sonst .... du musst im wesentlichen nur deine Ports ETH2 und ETH3 auf die Ports vom Devolo legen ohne viel schnickschnack dazwischen ein Vlanfähiger switch würde das ganze vereinfachen ....
Ashnod
auf der Devolo Seite sind die Einstellungen für das VLAN recht überschaubar. Habe folgendes probiert:
ETH1/ETH2/ETH3=VLAN10
WLAN-AP1 (Gast)=VLAN200
Und nun verhaue ich mir immer meine OPNsense Konfiguration... Ich lege dann die interfaces mit den dazugehörgien ID´s auf der OPNsense (APU2 Board) an und definiere anschließend eine Allow all Regel um überhaupt erstmal Zugang zu bekommen. Und von nun an, komm ich nicht mehr an den Devolo WLAN Adapter ran und sperre mich damit aus ....
Die VLAN´s laufen bei mir alle auf der OPT-Schnittstelle (LAN3) des APU-Boards. Kann ich die OPT-Schnittstelle aktiviert lassen oder sollte ich diese lieber deaktivieren?
Vielleicht hat auch der ein oder andere ein paar Screenshot der VLAN-Einstellungen bzw. Regeln (gern auch in Verbindung mit dem Squid-Proxy) die er posten könnte???
Grüße I.
ETH1/ETH2/ETH3=VLAN10
WLAN-AP1 (Gast)=VLAN200
Und nun verhaue ich mir immer meine OPNsense Konfiguration... Ich lege dann die interfaces mit den dazugehörgien ID´s auf der OPNsense (APU2 Board) an und definiere anschließend eine Allow all Regel um überhaupt erstmal Zugang zu bekommen. Und von nun an, komm ich nicht mehr an den Devolo WLAN Adapter ran und sperre mich damit aus ....
Die VLAN´s laufen bei mir alle auf der OPT-Schnittstelle (LAN3) des APU-Boards. Kann ich die OPT-Schnittstelle aktiviert lassen oder sollte ich diese lieber deaktivieren?
Vielleicht hat auch der ein oder andere ein paar Screenshot der VLAN-Einstellungen bzw. Regeln (gern auch in Verbindung mit dem Squid-Proxy) die er posten könnte???
Grüße I.
Die VLANs müssen natürlich auf dem Netzwerk-Interface laufen, auf dem auch physisch der Devolo Adapter angeschlossen ist.
Ansonsten sind die sinnlos.
Als Regel kannst Du mit einer any-any allow Regel anfangen und anschließend sinnvoll reduzieren.
Gruß
Looser
Ansonsten sind die sinnlos.
Als Regel kannst Du mit einer any-any allow Regel anfangen und anschließend sinnvoll reduzieren.
Gruß
Looser
also der geht gar nicht ......... kannst nicht alle Netze in ein VLAN packen .....
WLAN-AP1 (Gast)=VLAN200
Jedes VLAN ein Netz ... das WAN musst du gar nicht weiterreichen!
z.B.
Netz für LAN = VLAN10
Netz für Gäste = VLAN20
beides schickst du jetzt über den DLAN-Adapter in einem Trunk (gebündelt) auf die "Empfängerseite) und bröselst das dort auf die Ports wieder auf ..
Schau am besten auch mal in das VLAN-Tutorial von @aqui... ich glaube das hilft dir weiter, da die Grundlagen dafür wohl nicht vorhanden sind!?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ashnod
Jepp, der devolo Adapter hängt an der OPT-Schnittstelle der opnsense, ist aber aktuell auch noch als eigenständiges Interface aktiv. Eine Erstellung und Zuordnung der VLAN´s trotz aktiver OPT-Schnittstelle war problemlos machbar. Frage ist nur, ob dies auch so funktioniert bzw. ob dies sinnvoll ist.
Falls jemand noch eine alternative Idee hat, habe ich auch hierfür ein offenes Ohr.
Falls jemand noch eine alternative Idee hat, habe ich auch hierfür ein offenes Ohr.
Die Kardinalsfrage ist ja ob die Ports des Devolo Adapters in ein separates VLAN konfigurierbar ist.
Wenn dem so ist und das klappt dann musst du es darüber lösen.
Ansonsten ist es ja klar das es niemals trennbar ist, denn der AP auf dem Devolo Adapter arbeitet als simple Bridge sovie das DLAN Pärchen zur Firewall auch.
So angesteckt ist das NAS aus Layer 2 Sicht also immer im selben IP Netzwerk wie alles Gäste. Wie willst du da eine Trennung realisieren ??? Das ist technisch unmöglich und sagt dir ja auch schon der normale Netzwerkverstand !
Hast du allerdings die Option VLANs auf dem Devolo einzurichten und kannst den Ports VLANs zuordnen kannst du das trennen und das NAS in einseparates VLAN setzen und das dann über einen dedizierten VLAN Port auf der Firewall entsprechend isolieren und mit Regeln nur die IP Zugriffe erlauben die du willst.
Wie das geht steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn der Devolo wirklich MSSID fähig ist wie du das beschreibst sollte das problemlos klappen.
Sollte der Devolo aber einen aktive VLAN Trennung nicht supporten, dann hilft dir ein kleiner Workaround:
Die Devolos supporten in der Regel alle die Übertragung von VLAN getaggten Paketen. Damit kannst du dann die Trennung auch realisieren mit ein klein wenig mehr HW Aufwand in Form eines kleinen zusätzlichen Switches.
Du beschaffst dir einen kleinen preiswerten 5 Port VLAN Switch wie z.B. den NetGear GS105E:
https://www.amazon.de/Netgear-GS105E-200PES-konfigurierbar-IGMP-Snooping ...
(Wichtig hier das "E", denn der non E Switch ist nicht VLAN fähig !!)
Auf diesem Switch konfigurierst du 2 VLANs eins für das Gästenetz und AP und eins für dein NAS.
Zusätzlich einen Tagged Port der beide VLANs tagged via Devolo an die Firewall transportiert.
Diesen Tagged Port steckst du an den Devolo und übertragst ihn über das D-LAN wie gesagt Tagged an den pfSense Port, der dann wieder beide VLANs eingerichtet hat (Siehe o.a. Tutorial)
Somit bedient dann ein FW Port das Gäste WLAN mit CP wie gehabt und einer das NAS Netzwerk auf dem du dann alle Zugriffsregeln definierst.
Im Grunde ist die Lösung, egal wie du sie umsetzt, sehr einfach und schnell gemacht und dein NAS bleibt so vor bösen Gästen sicher geschützt !
Wenn dem so ist und das klappt dann musst du es darüber lösen.
Ansonsten ist es ja klar das es niemals trennbar ist, denn der AP auf dem Devolo Adapter arbeitet als simple Bridge sovie das DLAN Pärchen zur Firewall auch.
So angesteckt ist das NAS aus Layer 2 Sicht also immer im selben IP Netzwerk wie alles Gäste. Wie willst du da eine Trennung realisieren ??? Das ist technisch unmöglich und sagt dir ja auch schon der normale Netzwerkverstand !
Hast du allerdings die Option VLANs auf dem Devolo einzurichten und kannst den Ports VLANs zuordnen kannst du das trennen und das NAS in einseparates VLAN setzen und das dann über einen dedizierten VLAN Port auf der Firewall entsprechend isolieren und mit Regeln nur die IP Zugriffe erlauben die du willst.
Wie das geht steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn der Devolo wirklich MSSID fähig ist wie du das beschreibst sollte das problemlos klappen.
Sollte der Devolo aber einen aktive VLAN Trennung nicht supporten, dann hilft dir ein kleiner Workaround:
Die Devolos supporten in der Regel alle die Übertragung von VLAN getaggten Paketen. Damit kannst du dann die Trennung auch realisieren mit ein klein wenig mehr HW Aufwand in Form eines kleinen zusätzlichen Switches.
Du beschaffst dir einen kleinen preiswerten 5 Port VLAN Switch wie z.B. den NetGear GS105E:
https://www.amazon.de/Netgear-GS105E-200PES-konfigurierbar-IGMP-Snooping ...
(Wichtig hier das "E", denn der non E Switch ist nicht VLAN fähig !!)
Auf diesem Switch konfigurierst du 2 VLANs eins für das Gästenetz und AP und eins für dein NAS.
Zusätzlich einen Tagged Port der beide VLANs tagged via Devolo an die Firewall transportiert.
Diesen Tagged Port steckst du an den Devolo und übertragst ihn über das D-LAN wie gesagt Tagged an den pfSense Port, der dann wieder beide VLANs eingerichtet hat (Siehe o.a. Tutorial)
Somit bedient dann ein FW Port das Gäste WLAN mit CP wie gehabt und einer das NAS Netzwerk auf dem du dann alle Zugriffsregeln definierst.
Im Grunde ist die Lösung, egal wie du sie umsetzt, sehr einfach und schnell gemacht und dein NAS bleibt so vor bösen Gästen sicher geschützt !
Hallo aqui,
vielen Dank für dein Feedback. Viele deiner unzähligen Beiträge/Tutorials zum Thema VLAN/pfsense habe ich bereits mit Begeisterung durchstudiert, es hapert bei mir aber noch an einer erfolgreichen Umsetzung. Ursprünglich habe ich gehofft, eine Alternative zum VLAN zu finden. Da es technisch (außer mit dem separaten Switch) anders nicht realisierbar ist, werde ich mich nochmal intensiv mit VLAN´s beschäftigen und weiter probieren. Sollten Fragen auftreten, würde ich diesen Thread nutzen um Stk. für Stk. zum Ziel zu kommen
Grüße I.
vielen Dank für dein Feedback. Viele deiner unzähligen Beiträge/Tutorials zum Thema VLAN/pfsense habe ich bereits mit Begeisterung durchstudiert, es hapert bei mir aber noch an einer erfolgreichen Umsetzung. Ursprünglich habe ich gehofft, eine Alternative zum VLAN zu finden. Da es technisch (außer mit dem separaten Switch) anders nicht realisierbar ist, werde ich mich nochmal intensiv mit VLAN´s beschäftigen und weiter probieren. Sollten Fragen auftreten, würde ich diesen Thread nutzen um Stk. für Stk. zum Ziel zu kommen
Grüße I.
es hapert bei mir aber noch an einer erfolgreichen Umsetzung.
Na denn ! Dann ist es ja allerhöchste Zeit das du jetzt mal damit anfängst 
habe ich gehofft, eine Alternative zum VLAN zu finden
Wie sollte das gehen wenn du nur einen D-LAN Link hast ?!Du kannst natürlich auch per Materialschlacht und wie oben schon vorgeschlagen) mit einem weiteren Devolo Pärchen das NAS an einen separaten Firewall Port bringen. Auch das ist natürlich möglich, birgt aber die Gefahr das sich beide D-LAN Adapter beeinflussen und in der Performance stören.
Generell ist das aber natürlich auch möglich. Technisch für dich natürlich wenig herausfordernd
Und...du musst es ggf. nicht wenn der Devolo die VLAN Option bietet oder auch wenn nicht ist ein kleiner VLAN Switch billiger.
würde ich diesen Thread nutzen um Stk. für Stk. zum Ziel zu kommen
Wir bitten darum !! Auch dich machen wir noch zum VLAN Profi !Das ist kein Hexenwerk also keine Angst.
Guten Abend @all,
ich habe nun VLAN auf dem devolo wireless aktiviert und die VLAN ID200 (Nr16) für das GaesteWLAN angelegt. Anschliessend habe ich dem AccessPoint GaesteWLAN (AP2 und testweise AP Gastzugang) dieses VLAN zugeordnet.
Im nächsten Step habe ich ein VLAN auf der OPT Schnittstelle mit der ID200 angelegt, den DHCP Server aktiviert und eine "Alles erlauben"-Regel angelegt. Der Zugriff auf HTTP-Seiten funktionierte schon mal. Anschließend wurde Squid für die neue VLAN_Schnittstelle aktiviert und nun komm ich leider nicht weiter.
Sobald ich versuche über den Proxy ins www zu gelangen komme ich leider nicht weiter. Momentan schauen meine Regeln so aus:
Und die NAT Regeln so:
Könntest du hier mal einen Blick drüber werfen?
ich habe nun VLAN auf dem devolo wireless aktiviert und die VLAN ID200 (Nr16) für das GaesteWLAN angelegt. Anschliessend habe ich dem AccessPoint GaesteWLAN (AP2 und testweise AP Gastzugang) dieses VLAN zugeordnet.
Im nächsten Step habe ich ein VLAN auf der OPT Schnittstelle mit der ID200 angelegt, den DHCP Server aktiviert und eine "Alles erlauben"-Regel angelegt. Der Zugriff auf HTTP-Seiten funktionierte schon mal. Anschließend wurde Squid für die neue VLAN_Schnittstelle aktiviert und nun komm ich leider nicht weiter.
Sobald ich versuche über den Proxy ins www zu gelangen komme ich leider nicht weiter. Momentan schauen meine Regeln so aus:
Und die NAT Regeln so:
Könntest du hier mal einen Blick drüber werfen?
Komme nur leider von meinem LAN Netzwerk nun nicht mehr auf das NAS bzw. die Weboberfläche des devolo Adapters ... 
Ich vermute mal, ich muss auf der OPNsense noch das VLAN mit der ID1 anlegen. Oder?
Ich vermute mal, ich muss auf der OPNsense noch das VLAN mit der ID1 anlegen. Oder?
Ist an deinem LAN Netzwerk eine Firewall Regel aktiviert die das verhindert ?
Oben sieht man das du einen Regel hast die besagt "Zugriff auf lokale Netzwerke verbieten" Damit blockst du natürlich auch sofort dein Zugang ins lokale LAN !!!
Hier musst du auf dem NAS Segment und auch auf dem AP segement davor erste einen Ausnahme definieren die die NAS IP und beim AP die AP IP ins lokale LAN erlauben.
Ist ja klar ansonsten können die Antwortpaket ja niemals den Weg zurückfinden ins LAN weil sie geblockt sind.
Hier ist also dein FW Regelwerk dann falsch.
Im Zweifel immer erst OHNE Regelwerk und Proxy die generelle IP Connectivity testen !!!
Wenn das alles klappt, dann kannst du langsam die Schotten dichtmachen.
So verhinderst du sicher das du 2 mögliche Baustellen hast. Fehler im IP Routing und Fehler im Regelwerk was dir dann doppelte Fehleroptionen beschert !!
Also sinnvollerweise immer strategisch vorgehen und erst das eine dann das andere.
So weisst du dann sicher das es wenn es denn kneift, immer nur am FW Regelwerk liegen kann.
Oben sieht man das du einen Regel hast die besagt "Zugriff auf lokale Netzwerke verbieten" Damit blockst du natürlich auch sofort dein Zugang ins lokale LAN !!!
Hier musst du auf dem NAS Segment und auch auf dem AP segement davor erste einen Ausnahme definieren die die NAS IP und beim AP die AP IP ins lokale LAN erlauben.
Ist ja klar ansonsten können die Antwortpaket ja niemals den Weg zurückfinden ins LAN weil sie geblockt sind.
Hier ist also dein FW Regelwerk dann falsch.
Im Zweifel immer erst OHNE Regelwerk und Proxy die generelle IP Connectivity testen !!!
Wenn das alles klappt, dann kannst du langsam die Schotten dichtmachen.
So verhinderst du sicher das du 2 mögliche Baustellen hast. Fehler im IP Routing und Fehler im Regelwerk was dir dann doppelte Fehleroptionen beschert !!
Also sinnvollerweise immer strategisch vorgehen und erst das eine dann das andere.
So weisst du dann sicher das es wenn es denn kneift, immer nur am FW Regelwerk liegen kann.
Hallo aqui,
danke für deine Unterstützung. Ich habe für das GästeWLAN (VLAN200) und die DLAN+Ethernet-Schnittstelle als VLAN1 eingerichtet und anschließend beide Schnittstellen auf der OPNsense angelegt. Im nächsten Step wurden für beide der DHCP Server aktiviert und je eine allgemeine "Alles-erlauben"-Regel angelegt. Und siehe da, der Zugriff auf VLAN1 (NAS), dlan-Adapter und VLAN200 sind möglich.
Ich konzentriere mich jetzt erstmal auf VLAN200. Im nächsten Step habe ich folgende Regeln angelegt:
1) block --> VLAN200_GaesteWLAN auf LANNetzwerk
2) block --> VLAN200_GaesteWLAN auf NAS
3) allow --> VLAN200_GaesteWLAN (DNS/HTTP/HTTPS/SMTP/POP3/IMAP ....)
Nun können Gäste im WLAN surfen ohne Zugriff auf lokale Ressourcen zu haben. Nun kommen wir zu dem Punkt, wo ich im Moment noch hänge.
Im nächsten Step aktiviere ich den Squid-WebProxy auf der VLAN200_GaesteWLAN Schnittstelle und definiere eine weitere Regel um den kompletten Verkehr auf den Proxy zu leiten:
4) allow IPv4 TCP VLAN200_GaesteWLAN Netzwerk * 127.0.0.1 3128 * NAT Datenverkehr an den Proxy leiten
Zusätzlich habe ich die folgende NAT-Regel angelegt:
VLAN200_GAESTEWLAN TCP VLAN200_GaesteWLAN Netzwerk * * * 127.0.0.1 3128 Datenverkehr an den Proxy leiten
Der Zugriff auf Internetseiten funktioniert und der Proxy loggt brav die Zugriffe. Nun haben aber leider die Gäste wieder Zugriff auf das lokale Netzwerk + NAS. Der Proxy umgeht scheinbar die Blockregeln.
Das Grundgerüst scheint also schonmal zu funktionieren. Kannst du einen Fehler in den Regeln bzw. NAT-Regeln erkennen??
Danke und Grüße
danke für deine Unterstützung. Ich habe für das GästeWLAN (VLAN200) und die DLAN+Ethernet-Schnittstelle als VLAN1 eingerichtet und anschließend beide Schnittstellen auf der OPNsense angelegt. Im nächsten Step wurden für beide der DHCP Server aktiviert und je eine allgemeine "Alles-erlauben"-Regel angelegt. Und siehe da, der Zugriff auf VLAN1 (NAS), dlan-Adapter und VLAN200 sind möglich.
Ich konzentriere mich jetzt erstmal auf VLAN200. Im nächsten Step habe ich folgende Regeln angelegt:
1) block --> VLAN200_GaesteWLAN auf LANNetzwerk
2) block --> VLAN200_GaesteWLAN auf NAS
3) allow --> VLAN200_GaesteWLAN (DNS/HTTP/HTTPS/SMTP/POP3/IMAP ....)
Nun können Gäste im WLAN surfen ohne Zugriff auf lokale Ressourcen zu haben. Nun kommen wir zu dem Punkt, wo ich im Moment noch hänge.
Im nächsten Step aktiviere ich den Squid-WebProxy auf der VLAN200_GaesteWLAN Schnittstelle und definiere eine weitere Regel um den kompletten Verkehr auf den Proxy zu leiten:
4) allow IPv4 TCP VLAN200_GaesteWLAN Netzwerk * 127.0.0.1 3128 * NAT Datenverkehr an den Proxy leiten
Zusätzlich habe ich die folgende NAT-Regel angelegt:
VLAN200_GAESTEWLAN TCP VLAN200_GaesteWLAN Netzwerk * * * 127.0.0.1 3128 Datenverkehr an den Proxy leiten
Der Zugriff auf Internetseiten funktioniert und der Proxy loggt brav die Zugriffe. Nun haben aber leider die Gäste wieder Zugriff auf das lokale Netzwerk + NAS. Der Proxy umgeht scheinbar die Blockregeln.
Das Grundgerüst scheint also schonmal zu funktionieren. Kannst du einen Fehler in den Regeln bzw. NAT-Regeln erkennen??
Danke und Grüße
Und siehe da, der Zugriff auf VLAN1 (NAS), dlan-Adapter und VLAN200 sind möglich.
Tadaaa...! Klasse, dann funktioniert das erstmal grundsätzlich.Was dein regelwerk anbetrifft hast du hier die First match wins Regel beachtet ??
Das heisst die Reihenfolge deiner Regelstatements muss stimmen. Die Blocking Regel zum LAN und NAS müssen VOR den Proxy Regeln kommen.
Was unklar ist ist die Tatsache warum du ein NAT Statement definierst. Outbound wird doch so oder so alles geNATet durch die Default regel für den LAN Port.
Möglich ist das das eigentlich überflüssig NAT dann die Filterregel obsolet macht da sie ja die Absender IP manipuliert und damit möglicherweise die Regel aushebelt.
Da musste man jetzt mal einen internen Paket Walkthrough sehen was die Firewall logisch zuerst macht.
M.E. musst du gar kein NAT machen sondern es müsste reichen wenn die Clients den Traffic an die FW IP Adresse schicken mit Port 3128 und die Default regel dann das NAT outbound erledigt.
Das Problem ist auf alle Fälle keins mehr im IP Forwarding und du hast absolut Recht das das Grundgerüst sauber funktioniert.. Es kann nur was mit der Regellogik bzw. dem m.E. falschen zu tun haben.
Hallo aqui,
es geht langsam voran
Du hast Recht, die NAT Regel wird scheinbar nicht benötigt, habe sie testweise deaktiviert und anschließend das Regelwerk für VLAN200_GaesteWLAN etwas umgebaut:
Der Zugriff auf die lokalen Ressourcen sind unterbunden und surfen/mailen und sonstwas funktioniert... Nun werfe ich wieder einen Blick auf die Logs vom Proxy und was sehe ich ... nix ;-( er schickt also wieder den Traffic am Proxy vorbei ins WAN...
Der Proxy (transparent) ist für VLAN200_GaesteWLAN und auch das normale LAN aktiv... Im normalen LAN läuft es seit Monaten völlig normal, daher würde ich hier eine Fehlkonfiguration eher ausschließen...
Irgendwo steckt in meinen Regeln noch ein Wurm drin ... .-( hättest noch ne Idee?
EDIT: Habe nun die NAT Regel testweise wieder aktiviert. Und schon sehe ich wieder die Einträge im Protokoll des Proxy´s. Gleichzeitig hebelt der NAT-Eintrag aber wieder die Block-Regeln auf die lokalen Ressourcen aus. Mhmm, es muss doch eine Möglichkeit geben beides zu realisieren.... Block-Regeln auf lokale Ressourcen und gleichzeitig die Verwendung des Proxy´s.
es geht langsam voran
Du hast Recht, die NAT Regel wird scheinbar nicht benötigt, habe sie testweise deaktiviert und anschließend das Regelwerk für VLAN200_GaesteWLAN etwas umgebaut:
Der Zugriff auf die lokalen Ressourcen sind unterbunden und surfen/mailen und sonstwas funktioniert... Nun werfe ich wieder einen Blick auf die Logs vom Proxy und was sehe ich ... nix ;-( er schickt also wieder den Traffic am Proxy vorbei ins WAN...
Der Proxy (transparent) ist für VLAN200_GaesteWLAN und auch das normale LAN aktiv... Im normalen LAN läuft es seit Monaten völlig normal, daher würde ich hier eine Fehlkonfiguration eher ausschließen...
Irgendwo steckt in meinen Regeln noch ein Wurm drin ... .-( hättest noch ne Idee?
EDIT: Habe nun die NAT Regel testweise wieder aktiviert. Und schon sehe ich wieder die Einträge im Protokoll des Proxy´s. Gleichzeitig hebelt der NAT-Eintrag aber wieder die Block-Regeln auf die lokalen Ressourcen aus. Mhmm, es muss doch eine Möglichkeit geben beides zu realisieren.... Block-Regeln auf lokale Ressourcen und gleichzeitig die Verwendung des Proxy´s.
er schickt also wieder den Traffic am Proxy vorbei ins WAN...
Das ist ja eigentlich unmöglich wenn du am Interface inbound TCP 80 und TCP 443 blockierst und einzig nur TCP 3128 durchlässt also nur Proxy Traffic. Dann kann er unmöglich den Traffic am Proxy vorbeischicken.Setz doch einfach mal eine Block Regel auf die NAT IP für TCP 80. Ggf. greift das Regelwerk erst nach dem NAT Prozess und dann musst du auch die entsprechende geNATete IP verwenden.
Mhmm, was genau meinst du damit?
Soll ich 2 Regeln definieren, welche alles auf TCP Port80 bzw TCP Port443 blockieren und diese dann nach der Regel für die Weiterleitung auf den Proxy legen? Hab leichte Probleme deine Info zu verstehen sorry
Grüße I.
Soll ich 2 Regeln definieren, welche alles auf TCP Port80 bzw TCP Port443 blockieren und diese dann nach der Regel für die Weiterleitung auf den Proxy legen? Hab leichte Probleme deine Info zu verstehen
sorryGrüße I.
Wenn du TCP 80 und 443 blockierst kann doch kein Traffic mehr am Proxy vorbei ins Internet gehen, denn der wird ja dann blockiert.
Es reicht ja wenn TCP 3128 durchgeht. Die beiden Ursprungsports sollte man so oder so blockieren sonst kommt ja auch jeder ins Internet der nur vergessen hat den Proxy zu definieren.
Genau das willst du ja mit dem Proxy verhindern !
Es reicht ja wenn TCP 3128 durchgeht. Die beiden Ursprungsports sollte man so oder so blockieren sonst kommt ja auch jeder ins Internet der nur vergessen hat den Proxy zu definieren.
Genau das willst du ja mit dem Proxy verhindern !
Hallo aqui,
danke für deinen unermütlichen Einsatz. Ich habe 2 Blockregeln für HTTP/HTTPS angelegt, leider komme ich aus dem VLAN200_GaesteWLAN noch immer auf die lokalen Ressourcen sobald der Proxy aktiv ist. Wenn ich den Proxy deaktiviere würden die Regeln funktionieren.
Hier mein aktueller Stand... Unter pfsense habe ich was von Bypass-Regeln gefunden. Auf der OPNsense sind diese leider nicht auffindbar...
Komme leider nicht weiter.... Hast noch eine Idee?
danke für deinen unermütlichen Einsatz. Ich habe 2 Blockregeln für HTTP/HTTPS angelegt, leider komme ich aus dem VLAN200_GaesteWLAN noch immer auf die lokalen Ressourcen sobald der Proxy aktiv ist. Wenn ich den Proxy deaktiviere würden die Regeln funktionieren.
Hier mein aktueller Stand... Unter pfsense habe ich was von Bypass-Regeln gefunden. Auf der OPNsense sind diese leider nicht auffindbar...
Komme leider nicht weiter.... Hast noch eine Idee?
noch immer auf die lokalen Ressourcen sobald der Proxy aktiv ist.
Das bedeutet ja das der Proxy dann die lokalen Interface Regeln komplett aushebelt sobald er aktiv ist.Was gibst du denn auf den Clients als Proxy Ziel IP an ?? Das lokale Interface der Firewall ??
Das nährt den Verdacht das die Proxy Funktion dann VOR dem Filter regelwerk greift, sprich also die Daten zuerst an den Proxy geforwardet werden.
In so fern aber auch irgendwie komisch, denn dann wäre es mal interessant zu wissen was mit anderem Traffic passiert der nicht TCP 80 oder 443 basiert ist wie z.B. FTP, ICMP, Mail usw. usw.
Diesen Traffic kann die FW ja nicht auf den Proxy forwarden, denn der ist ja einzig nur für HTTP Traffic zuständig.
Fragt siech dann wie man diesen Traffic dann filtern soll.
Oder der wird am Proxy gebypasst und für den greift dann wieder die normale inbound Filterregel am Interface.
Wenn dem so ist dann müsstest du ggf. mal die Absender IP des Proxies als Source (Absender) eingeben und als Ziel dann das lokale Netz. Ggf. filtert das denn HTTP Traffic.
Ist aber auch jetzt nur geraten...muss das selber mal checken im Labor...
Guten Morgen aqui,
der Squid läuft bei mir als transparenter Proxy, daher braucht an den Clients kein Proxy hinterlegt werden. Labor? klingt spannend :D
Vielen Dank für deine tolle Hilfe.
Grüße I.
der Squid läuft bei mir als transparenter Proxy, daher braucht an den Clients kein Proxy hinterlegt werden. Labor? klingt spannend :D
Vielen Dank für deine tolle Hilfe.
Grüße I.
Hallo aqui,
konntest schon etwas in Erfahrung bringen?
Grüße I.
Nachtrag:
Ich habe mir eine 2.te APU2C4 bestellt und testweise pfsense installiert. Anschließend die identischen Dienste/Rules und Konfigurationen angelegt. Hier tritt der o.g. Fehler nicht auf, bedeutet also dass WebProxy und die Block-Rules auf die lokalen Ressourcen auf dem VLAN200_GaesteWLAN funktionieren.... Scheint also eher ein Problem der opnsense zu sein. Falls jemand eine Idee hat, wie ich dieses lösen kann, würde ich mich nachwievor sehr freuen, da meine OPNsense bisher absolut stabil läuft wäre es schade.
konntest schon etwas in Erfahrung bringen?
Grüße I.
Nachtrag:
Ich habe mir eine 2.te APU2C4 bestellt und testweise pfsense installiert. Anschließend die identischen Dienste/Rules und Konfigurationen angelegt. Hier tritt der o.g. Fehler nicht auf, bedeutet also dass WebProxy und die Block-Rules auf die lokalen Ressourcen auf dem VLAN200_GaesteWLAN funktionieren.... Scheint also eher ein Problem der opnsense zu sein. Falls jemand eine Idee hat, wie ich dieses lösen kann, würde ich mich nachwievor sehr freuen, da meine OPNsense bisher absolut stabil läuft wäre es schade.
Deshalb hatte ich das hier nie gemerkt, denn ich teste nur mit pfSense. Die Software ist erheblich stabiler und verlässlicher !
Bedeutet das dein Problem mit pfSense gelöst ist.
Einen Bug bei Opensense können ja nur die Entwickler fixen. Also am besten da einen Case aufmachen.
Bedeutet das dein Problem mit pfSense gelöst ist.
Einen Bug bei Opensense können ja nur die Entwickler fixen. Also am besten da einen Case aufmachen.
1
Ok, Fehler ist reportet. Ich werd mal das nächste Update von OPNsense abwarten und dann nen neuen Versuch starten. Bis dahin bleibt die pfsense stehen.
Vielen Dank für deine tolle Unterstützung, VLAN mit pfsense und dem devolo Adapter laufen sehr stabil.
Grüsse I.
Vielen Dank für deine tolle Unterstützung, VLAN mit pfsense und dem devolo Adapter laufen sehr stabil.
Grüsse I.
