pataya
Goto Top

VLAN Routing - L3 oder Firewall?

Moin,

nach ner Menge Lesestoff zum Thema bin ich nicht wirklich fündig zu meinem Vorhaben gekommen:

Mein Netzwerk soll in VLANs aufgeteilt werden.
Da Bilder mehr als tausend Worte sagen, hier ein Plan des aktuellen Netzes:

diagramm1
Hier noch ein unmanaged-Switch.


Daraus soll nun folgendes werden:

diagramm2
Dann theoretisch mit L2-Switch.


Nun möchte ich beispielsweise von einzelnen Geräten aus VLAN40 auf das NAS zugreifen, allerdings nicht komplett sondern nur auf einzelne Ports (bspw. 445 SMB).
Außerdem soll z. B. Client1 aus VLAN30 mit einem definierten Client aus VLAN40 kommunizieren dürfen, mit anderen aber nicht.

Ideen zur Umsetzung:
1) Alles über die pfSense routen und mit der Firewall kontrollieren.
Problem: Das aktuelle APU1D4-Board schafft durch die schwache Hardware maximal 43 MB/s Durchsatz zwischen zwei VLANs, was mir für ein GBit-LAN zu wenig ist.
Alternativ: neue Hardware für pfSense mit LAG zum L2-Switch.

2) L3-Switch (dachte an einen Cisco SG300) besorgen und direkt routen. ACLs auf TCP/UDP-Portebene benutzen (geht doch, oder)?
"Problem": unkomfortabel durch ACLs

Ist es sinnvoller neue Hardware für pfSense zu besorgen oder gar unproduktiv über ACLs zu arbeiten?
Vielleicht stehe ich aber auch komplett aufm Schlauch und es gibt andere sinnvolle Ideen?
Danke im voraus.

Gruß

Content-ID: 321000

Url: https://administrator.de/forum/vlan-routing-l3-oder-firewall-321000.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

michi1983
michi1983 14.11.2016 um 23:57:23 Uhr
Goto Top
Hallo,

also beim APU1D4 schafft ~ 700Mbit/s mit aktiviertem PowerD.

Gruß
pataya
pataya 15.11.2016 um 00:12:35 Uhr
Goto Top
Und aktiven Filtern? Habe aktuell nur einen Test mit 1 Gbit Trunk probiert und kam (ohne PowerD) auf ca. 345 Mbit/s.
Da müsste das Maximum ja 500 Mbit/s sein, richtig?

Ich denke selbst 700 Mbit/s sind mir zu wenig. Da lädt mal ein Backup aus dem Netz mit 100 Mbit/s und möchte gleichzeitig noch große Daten zwischen Client und NAS herschieben... face-smile
Herbrich19
Herbrich19 15.11.2016 um 01:58:55 Uhr
Goto Top
Hallo,

Ich würde eine Firewall bevorzugen weil man damit durchaus mehr möglichkeiten hätte. Und du hast ja auch schon pfSense da womit du dasss VLAN Routing übernehmen könntest inclusive das Setzen der Firewall Policy.

Gruß an die IT-Welt,
J Herbrich
108012
Lösung 108012 15.11.2016 um 03:17:21 Uhr
Goto Top
Hallo zusammen,

Nun möchte ich beispielsweise von einzelnen Geräten aus VLAN40 auf das NAS zugreifen,
allerdings nicht komplett sondern nur auf einzelne Ports (bspw. 445 SMB).
Dann lege zum Einen benutzer an und beschränke Ihre Rechte oder aber bzw. zusätzlich wäre
es nicht schlecht so etwas einen Layer3 Switch erledigen zulassen, denn wozu soll man denn
mehrere Gigabyte durch die pfSense Firewall durchschleusen bzw. leiten? Der Layer3 Switch
macht das heute schon mit annähernd "wire speed"!

Außerdem soll z. B. Client1 aus VLAN30 mit einem definierten Client aus VLAN40
kommunizieren dürfen, mit anderen aber nicht.
Dann mach den Klienten aus VLAN40 doch zu Mitglied im VLAN30 und VLAN40 und fertig ist der Lack.

Mit den Switch ACLs kann man das auch gut abdecken und sie belasten nicht so sehr den Durchsatz
und der Switch erleichtert quasi die Firewall um einige Aufgaben und somit ist sie dann auch wieder in
der Lage mehr oder andere Aufgaben zu übernehmen.

Ideen zur Umsetzung:
1) Alles über die pfSense routen und mit der Firewall kontrollieren.
Wenn man nur einen Routingpunkt im Netzwerk hat dann steht und fällt mit diesem dann auch alles!
Hat man zwei Routingpunkte und der am WAN fällt aus, funktioniert das LAN immer noch und man kann
in der Regel auch weiterarbeiten. Und nochmal wozu mehrere GBs am Tag durch die Firewall leiten?

Problem: Das aktuelle APU1D4-Board schafft durch die schwache Hardware maximal 43 MB/s
Durchsatz zwischen zwei VLANs, was mir für ein GBit-LAN zu wenig ist.
Allerdings ist das auf der einen Seite mager, nur eine 1 GBit/s Verbindung bringt im realen Leben und
im Netzwerk eben auch nur höchstens den theoretischen Höchstwert und das sind dann wohl nach
Adam Riese und Eva Zwerg 125 MB/s denn 125 MB/s * 8 = 1000 MBit/s

Alternativ: neue Hardware für pfSense mit LAG zum L2-Switch.
Schon besser nur es würde dann wohl eher ein LAG vom NAS zum Switch aushelfen so wie ich das sehe
und nicht zu der Firewall. Man kann sicherlich über neue Hardware nachdenken, das auch schon ein guter
Ansatz, und das sicherlich für Switch und pfSense! Denn mit einem D-Link DGS1510-20 der so um die 320 €
kostet, kann man das NAS mittels 10 GBit/s anbinden und dann sieht es schon wieder ganz anders aus.
Dann kann die pfSense Hardware sogar so bleiben!

2) L3-Switch (dachte an einen Cisco SG300) besorgen und direkt routen. ACLs auf TCP/UDP-Portebene
Das wäre in diesen Szenario auch mein Ansatz.

benutzen (geht doch, oder)?
Klar.

"Problem": unkomfortabel durch ACLs
Naja bei den von Dir eingezeichneten PC und WLAN APs sollte das aber noch zu machen sein.

Ist es sinnvoller neue Hardware für pfSense zu besorgen....
Das macht jeder mit sich selber ab! Und sicherlich ist das auch immer eine Geldfrage.

.....oder gar unproduktiv über ACLs zu arbeiten?
In einem Betrieb mit 6000 Geräten sicherlich. nur schau Dir doch bitte einmal Deine Zeichnung an
und dann sag uns noch einmal das es unproduktiv wäre sich dort ein bis zwei Nachmittage hinzusetzen
und die ACLs anzulegen!?

Vielleicht stehe ich aber auch komplett aufm Schlauch und es gibt andere sinnvolle Ideen?
Danke im voraus.
Jeder wie er will und bezahlen kann, ich höre auch hier in diesem Forum nur all zu oft "teuer kann jeder"
und genau das stimmt eben nicht, weil es schlicht hinweg falsch ist! Dafür muss man nämlich zwei Sachen
haben, zum Einen genug Geld und zum Anderen muss man auch den Willen haben es auszugeben für solche
Sachen wie Hardware und nein das ist beides eher selten der Fall! Jeder größere Intel Core i3 oder Core i5
bzw. ein keiner Intel Xeon E3 machen das alles mit links nebenbei, nur das kostet eben Geld und Strom und
das hat nicht jeder bzw. ist er nicht immer bereit so viel auszugeben.

also beim APU1D4 schafft ~ 700Mbit/s mit aktiviertem PowerD.
Das ist so richtig, aber wir reden dann auch "nur" von reinen WAN - LAN Durchsatz und nicht
vom VLAN Routing, bzw. der VLAN Routing Leistung der APU1D4!! Das ist eben schon einmal
ganz was anderes.

Es ist immer so eine Sache was man mit IPerf und/oder NetIO gemessen bekommt und was dann
effektiv noch am Ende im realen Einsatz zur Verfügung steht.

Ich würde eine Firewall bevorzugen weil man damit durchaus mehr möglichkeiten hätte.
Zwei Geräte bieten nicht mehr Möglichkeiten als eines?

Und du hast ja auch schon pfSense da womit du dasss VLAN Routing übernehmen könntest
inclusive das Setzen der Firewall Policy.
Und die bringt ihm nur 43 MB/s und das reicht ihm nicht, was nützt es denn wenn es nicht schneller wird
und man kann behaupten "das macht alles die Firewall", also dann lieber einen Layer3 Switch wie den
Cisco SG300-10 oder SG300-20 und dann den die VLANs routen lassen und mehr Durchsatz im
VLAN haben.


Gruß
Dobby
Herbrich19
Herbrich19 15.11.2016 um 05:55:44 Uhr
Goto Top
Hallo,

Naja, pfSense auf I386 Hardware ist sicherlich nicht gerade ein hoher Durchsatz an Ethernet Speed. Aber ein Cisco Router könnte eine gute Firewall sein.

Und 2 Routing Punkte? Hmm ja, ok aber was ist wen ein Switch ausfällt? Gut natürlich könnte man den Router redundant auslegen aber ich meine wen es um hohe Redundanz geht dann müsste man ja auch an sich jedes System mit 2 Dedizierten Ethernet Leitungen anbinden.

Ich habe mal mein V-Lan Routing mit einen Cisco 3600 Multiservice Router von Cisco durchgeführt. War an sich auch sehr cool. War aber auch kein GB Netzwerk.

Gruß an die IT-Welt
J Herbrich
StefanKittel
StefanKittel 15.11.2016 um 08:35:07 Uhr
Goto Top
Moin,

wenn Du rein routen möchtest kannst Du das mit den Switchten tun.
Die Du filtern möchtest dann eine Firewall.

Ein APU2C4 kommt auf knapp 1GBit solange Du keine wilde Sachen machst.
Siehe aktuelle CT.

Sonst halt eine Firewall mit mehr Bums.

Stefan
aqui
Lösung aqui 15.11.2016 aktualisiert um 09:11:57 Uhr
Goto Top
Naja, pfSense auf I386 Hardware ist sicherlich nicht gerade ein hoher Durchsatz an Ethernet Speed.
Solch eine simple Pauschalaussage ist natürlich wie so oft Blödsinn, denn mit den richtigen Komponenten ist genau das die richtige Plattform. Und mal ganz abgesehen davon nutzen sogut wie ALLE embeddeten Komponenten ja auch genau diesen Unterbau. Es kommt halt wie immer auf die NIC Hardware an.
Wenn man hier keine Billigchips verwendet schafft die FW damit immer wirespeed im L3 Forwarding.
Das APU1D ist ja nichts anderes und mit 700Mbit ist das so gut wie Wirespeed. Beim APU2 ist es dann Full Wirespeed.

Letztendlich hast du dir oben ja schon selbst die Antwort zu deinem Thread gegeben. Du musst dich zwischen 2 grundlegenden Dingen entscheiden:
  • 1.) Zentrales Routing mit einer FW als sog. "Router on a stick" mit dem Nachteil das gerouteter Inter VLAN Traffic immer 2mal über den Trunk Link zur Firewall geht aber mit dem Vorteil einer bequemen und zentralen Konfiguration und das sehr granular. Dieses Szenario erfordert dann auch entsprechende FW Hardware wie APU2 z.B. es reicht aber ein einfacher L2 VLAN Switch mit einfacher Konfig.
  • 2.) VLAN Routing über einen L3 Switch: Vorteil hier das der L3 Switch das immer im Wirespeed macht aber mit dem Nachteil das es für jeden VLAN Port eine entsprechende Accessliste geben muss. Dazu kommt das die ACLs nicht stateful sind wie bei der FW. Für die WLANs reicht dann eine normale FW Performance.

Jetzt musst du für dich entscheiden was du von diesen 2 Szenarien höher bewertest bzw. was für dich und dein Einsatzszenario die größere Relevanz hat.
Diese Bewertung können logischerweise niemals 100 fremde Leute in einem Forum für dich machen die niemals die Sicherheit und Detailanforderung deiner Anwendungen beurteilen können. In so fern ist die Frage nach dem "was besser ist" wie immer sinnfrei in so einem Umfeld.
Das kannst letztlich nur du selber entscheiden wenn du die Rahmenbedingungen kennst und bewertest.

Dein Grundproblem ist das du diese Überlegungen nicht VORHER in Ruhe gemacht habe nach dem Motto wo will ich hin mit meiner Zielkonfig. Dann im Schnellverfahren den nächsten billigen Switch gekauft und nun hast du da natürlich Präzedenzen geschaffen die du umschiffen musst. Der Ursprungsfehler liegt also mitnichten in der HW sondern wie immer mal wieder in einer sorgfältigen Planung.
pataya
pataya 15.11.2016 um 09:26:44 Uhr
Goto Top
Vielen Dank schon mal für die Antworten.

Zitat von @108012:

Naja bei den von Dir eingezeichneten PC und WLAN APs sollte das aber noch zu machen sein.
Die Zeichnung ist etwas zusammengefasst dargestellt. Insgesamt handelt es sich um ca. 25 Geräte im Netzwerk.
Allerdings haben ja nicht alle Sonderregeln was den Aufwand der ACL wohl relativ übersichtlich hält.

Zitat von @108012:

Allerdings ist das auf der einen Seite mager, nur eine 1 GBit/s Verbindung bringt im realen Leben und im Netzwerk eben auch nur höchstens den theoretischen Höchstwert
Stimmt, ist in meinen Überlegungen anscheinend untergegangen. Eine stärkere Hardware mit pfSense und 2 Gbit LAG kommt ja im VLAN-Routing maximal auf 1 Gbit/s richtig? Wenn also, wie schon beschrieben, ein Download über WAN mit 100 Mbit/s läuft, ist die Bandbreite von 1 Gbit/s von NAS zu Client ja garnicht mehr gegeben. Anders als beim Switch.

Verständlich oder zu viel Zahlengewirr? face-big-smile

Zitat von @Herbrich19:

Und 2 Routing Punkte? Hmm ja, ok aber was ist wen ein Switch ausfällt? Gut natürlich könnte man den Router redundant auslegen aber ich meine wen es um hohe Redundanz geht dann müsste man ja auch an sich jedes System mit 2 Dedizierten Ethernet Leitungen anbinden.

Zwei Rountingpunkte halte ich für das (private) interne Netz auch für Overkill. War aber glaube anders von @108012 gemeint, oder?


Also läuft es vermutlich auf einen L3-Switch hinaus und die alte pfSense-Hardware bleibt. Reicht ja für den WAN-Traffic (und Firewall) auch vollkommen aus.
aqui
aqui 15.11.2016 aktualisiert um 09:30:06 Uhr
Goto Top
Reicht ja für den WAN-Traffic (und Firewall) auch vollkommen aus.
Und für den WLAN Traffic !!!
Denn du willst ja vermutlich das Gast WLAN über das Captive Portal der pfSense laufen lassen !?
Das darf dann logischerweise kein IP Interface auf dem L3 Switch bekommen sondern muss über die FW IP in dem VLAN laufen.
Das APU1 reicht aber auch dafür noch vollkommen aus und schafft das locker.
pataya
pataya 15.11.2016 aktualisiert um 09:58:30 Uhr
Goto Top
Zitat von @aqui:

  • 1.) Zentrales Routing mit einer FW als sog. "Router on a stick" mit dem Nachteil das gerouteter Inter VLAN Traffic immer 2mal über den Trunk Link zur Firewall geht aber mit dem Vorteil einer bequemen und zentralen Konfiguration und das sehr granular. Dieses Szenario erfordert dann auch entsprechende FW Hardware wie APU2 z.B. es reicht aber ein einfacher L2 VLAN Switch mit einfacher Konfig.
  • 2.) VLAN Routing über einen L3 Switch: Vorteil hier das der L3 Switch das immer im Wirespeed macht aber mit dem Nachteil das es für jeden VLAN Port eine entsprechende Accessliste geben muss. Dazu kommt das die ACLs nicht stateful sind wie bei der FW. Für die WLANs reicht dann eine normale FW Performance.
Mit 2x Trunk LAG (APU hat ja maximal 2 freie Ethernetports abzüglich einem WAN) ist ja dann aber auch eine maximale Bandbreite von 1 Gbit/s fürs gesamte Netzwerk gegeben, oder?
Und Hardware mit mehreren Ethernetports (bspw. 3x LAG) lohnt sich im Vergleich zu dem Aufpreis von L2 auf L3 vermutlich nicht.

Zitat von @aqui:

Dein Grundproblem ist das du diese Überlegungen nicht VORHER in Ruhe gemacht habe nach dem Motto wo will ich hin mit meiner Zielkonfig. Dann im Schnellverfahren den nächsten billigen Switch gekauft und nun hast du da natürlich Präzedenzen geschaffen die du umschiffen musst. Der Ursprungsfehler liegt also mitnichten in der HW sondern wie immer mal wieder in einer sorgfältigen Planung.
Das stimmt so nicht ganz. Den aktuellen Bestand gibt es schon seit einiger Zeit.
Deshalb mache ich mir ja jetzt genau die Überlegungen bevor ich irgendwelchen Quatsch zusammenschuster.

Zitat von @aqui:

Und für den WLAN Traffic !!!
Möglicherweise auch das. Aktuell läuft das Gastnetz nur über WPA2, reicht für die paar Menschen aktuell auch.
aqui
aqui 15.11.2016 aktualisiert um 13:09:39 Uhr
Goto Top
ist ja dann aber auch eine maximale Bandbreite von 1 Gbit/s fürs gesamte Netzwerk gegeben, oder?
Jein....
Die Link Aggregierung auf Basis 802.3ad LACP basiert immer auf einem Hashing Verfahren. Sprich je nachdem ob der Hash über die IP Adresse oder Mac Adresse gebildet wird werden dann Source - Destination Adress Paare (Kommunikationspartner) im Netz mal auf den einen mal auf den anderen Link gelegt.
Es passiert also sowas wie eine Verteilung auf die beiden Links. Die ist aber durch die Verschiedenartigkeit der Mac Adressen niemals homogen in der Verteilung sondern immer ungleich.
Du kannst aber wenigstens auf pfSense Seite auf Round Robin umschalten, was dann hier immer Fifty - Fifty verteilt:
https://doc.pfsense.org/index.php/LAGG_Interfaces
Es entlastet aber in der Tat so den VLAN internen Traffic erheblich mit wenig Aufwand, das stimmt.
Aktuell läuft das Gastnetz nur über WPA2
Ist aber Blödsinn, denn so ist das WPA Passowrt ja quasi öffentlich, denn jeder der es kennt gibt es völlig unkontrolliert weiter. In D ist sowas gefährlich (Störerhaftung)
Zudem auch sinnfrei, denn dann könntest du das Netz auch gleich ganz offen lassen oder am Eingang ein Schild anbingen Das WLAN Passwort ist....
Eigentlich unverständlich, denn wenn du schon eine pfSense einsetzt ist das Captive Portal mit 4 Mausklicks und Einmalpasswörtern im Handumdrehen eingerichtet und damit hättest du Rechtssicherheit und Kontrolle.
Muss aber letztlich jeder selber wissen... face-wink
108012
108012 15.11.2016 um 13:20:45 Uhr
Goto Top
Hallo nochmal,

Ein APU2C4 kommt auf knapp 1GBit solange Du keine wilde Sachen machst.
Siehe aktuelle CT.
Was man mit einer pfSense misst also via NetIO oder iPerf an Nummern heraus bekommt
ist eben nicht immer das, was man dann unter realen Umständen im Netzwerk bzw. im s.g.
real life geliefert bekommt, worauf ich eigentlich hinaus will ist folgendes:
- Gemessen mit iPerf auf einer APU2C4 = 933 MBit/s von PC1 (Server) zu PC2 (Klient)
und mit dem TCP/IP overhead der noch oben auf kommt hat man dann schon fast ein volles GBit/s.
- Aber wenn ich dann im echten leben (real life) von möglichen 125 MB/s nur 43 MB/s erreiche ist das
eben nicht mehr so prall. Klar oder ich würde da doch auch noch einmal nachfragen oder wissen wollen
woran es denn "hinken" könnte.

Stimmt, ist in meinen Überlegungen anscheinend untergegangen. Eine stärkere Hardware mit
pfSense und 2 Gbit LAG kommt ja im VLAN-Routing maximal auf 1 Gbit/s richtig?
Das kommt wiederum auf Dein LAG an, wenn das statisch ist und Round Robin verwendet
dann werden beide Leitungen (Netzwerkkabel) gleichzeitig gefüllt und genutzt, ist es eine
LAG (LACP) und activ/passiv ist das nicht so, dann wird die zweite Leitung nur in Benutzung
genommen wenn die erste "voll" ist oder aber ausfällt! Es kommt da schon ein wenig auf die Konfiguration an die man benutzt, aber ich denke das @aqui kann da noch mehr zu sagen als
ich das vermag.

Wenn also, wie schon beschrieben, ein Download über WAN mit 100 Mbit/s läuft, ist die
Bandbreite von 1 Gbit/s von NAS zu Client ja garnicht mehr gegeben. Anders als beim Switch.
Bitte unterscheide hier auch WAN - LAN und LAN - LAN Verbindungen! Das ist nicht das gleiche
und schon gar nicht das selbe. Ein Beispiel dazu:
- Am WAN habe ich 50 MBit/s anliegen und im Downloadbereich erzeile ich damit ~6,0 MB/s
also gut und gerne runde ~48,0 MBit/s plus dem TCP/IP overhead bin ich dann auch auf den
vollen 50 MBit/s die ich miete.
- Im LAN und zusammen mit viel QoS, VLANs, ACLs oder gar vielen Firewallregeln für das LAN
bekommt man dann aber eben auch nur wieder Deine 43 MB/s von möglichen 125 MB/s hin
und so sieht man das zwar am WAN auch ein wenig durch SPI/NAT/Firewallregeln entfällt aber
im LAN Bereich sicherlich die ein oder andere Einstellung viel härter auf den Durchsatz geht.

Zwei Rountingpunkte halte ich für das (private) interne Netz auch für Overkill. War aber glaube
anders von Dobby gemeint, oder?
Das mag vielen Leuten so gehen und ja auch der Preis eines Layer3 Switches will immer wieder
gerechtfertigt sein, gar keine Frage, nur wenn ich mit dem SG300-26 oder gar SG300-48 dann
gleich auf 98 MB/s Durchsatz von einem VLAN in das nächste habe sieht die Welt schon wieder
ganz anders aus! Und bei der kleinen APU Kiste ist der RAM fest verlötet und kann leider nicht
erweitert werden und wenn dann GB weise von den Klienten zum NAS geschaufelt werden und
zurück ist das auch nicht so der "Bringer" denn das entfällt alles wenn der Switch das erledigt.

Dann lieber Snort, tinyDNS, Squid, pfBlockerNG, ClamAV und andere packete auf der pfSense
installieren und den LAN Part den Switch erledigen lassen. Da hat man gefühlt mehr Freude dran
als seine ganzen PC Backups durch die Firewall laufen zu lassen.

Also läuft es vermutlich auf einen L3-Switch hinaus und die alte pfSense-Hardware bleibt.
Reicht ja für den WAN-Traffic (und Firewall) auch vollkommen aus.
Nichts muss aber alles kann! Man kann den WLAN AP auch direkt an die pfSense anbinden
und dann dort zwei VLANs anlegen und dann dort einmal das Gäste und Firmeneigene WLAN
aufsetzen.

Gruß
Dobby
pataya
pataya 15.11.2016 um 13:51:12 Uhr
Goto Top
Bei dem Download/NAS Beispiel geht's mir darum, dass ich, sofern alles über die pfSense geroutet wird, ja generell auch mit einem 2er LAG logischerweise nicht die Bandbreite bekomme, die der Switch liefern würde.

Beispiel (wirklich sehr vereinfacht...):
pfSense VLAN Routing:
diagram1

VLAN Routing über Switch:
diagram2

Zitat von @aqui:

Ist aber Blödsinn, denn so ist das WPA Passwrt ja quasi öffentlich
Jaja, wollte mich auch immer mal mit dem CP auseinandersetzen... hast ja auch ne super Anleitung dazu. face-smile
Wobei WLAN und Störerhaftung wohl auch eine never-ending story ist...
108012
108012 15.11.2016 um 16:37:49 Uhr
Goto Top
Alles kann und nichts muss, man kann das aja auch kombinieren und hat dann einen
hohen VLAN Durchsatz, aber eben auch das Captive Portal für WLAN Gäste und einen
Radius Server für interne Mitarbeiter.

Gruß
Dobby


pataya
pataya
pataya 15.11.2016 um 17:52:47 Uhr
Goto Top
So, Cisco SG300 ist bestellt und darüber wird dann auch geroutet. Wie ich das WLAN benutze werde ich mir noch überlegen, hat aber mit dem eigentlichen "Problem" ja auch nichts zu tun.

Vielen Dank für die Kommentare und Hinweise.

Gruß
aqui
aqui 15.11.2016 aktualisiert um 18:00:58 Uhr
Goto Top
Eigentlich gibts da doch nichts zu überlegen...?! Captive Portal und Einmalpasswörter, was sonst !
hat aber mit dem eigentlichen "Problem" ja auch nichts zu tun.
Mmmhhh.. indirekt schon.. face-wink
Herbrich19
Herbrich19 20.11.2016 um 20:49:13 Uhr
Goto Top
Gut, die Firewall sollte Capitive Portals supporten, unter Linux / pfSense sehr einfach unter Windows mit ISA nur mit teuren zusatz Produkten möglich.

Gruß an die IT,
J Herbrich