3
VLans, Firewall und nun Proxy, wie gehe ich das ganze richtig an?
Hallo zusammen,
ich bin eigentlich Programmierer, wurde allerdings von meinem Chef beauftragt mich mit unser Netzwerkstruktur zu befassen und neu aufzubauen. Habt also bitte nachsicht falls ich mich an der einen oder anderen Stelle doof anstelle.
Folgende Situation:
Wir haben in unseren Büro räumlichkeiten mehrere Firmen. Diese waren bisher im selben Netzwerk, sollen aber nun voneinander getrennt werden und unterschiedliche Zugriffe erhalten.
Der bisherige Aufbau:
Ich habe eine PFSense Firewall mit insgesamt 6 Netzwerkschnittstellen, 4 davon gehen an unterschiedliche WAN's (Telefon, Internet1, Internet2, LTE). Ein Ethernet Kabel geht in die Switche und das letzte ist für die Ethernet Console vom Server. Ein DHCP Server steht incl Domaincontroller im Netzwerk zur verfügung.
Mithilfe von PFSense und den darin integrierten DHCP-Relay's habe ich VLan's aufgebaut. Alle in seperaten Bereichen mit eigenem DHCP Bereich:
VLan 0: 192.168.10.0/24; (Server und DHCP)
VLan 1: 192.168.11.0/24; (Firma 1 Mitarbeiter)
VLan 2: 192.168.12.0/24; (Firma 1&2 Telefone)
VLan 3: 192.168.13.0/24; (Firma 2 Mitarbeiter)
VLan 4: 192.168.14.0/24; (Chefs)
VLan 5: 192.168.254.0/24; (Guests)
Soweit sogut, die vergabe der IP-Adressen mittels DHCP funktioniert einwandfrei.
Nun möchte ich gerne den Internetverkehr regulieren.
Am liebsten wäre mir ein System mit dem ich bevor in Windows nicht die Proxyeinstellungen getätigt wurden absolut kein Internetverkehr möglich ist. Wie mache ich das?! Über eine Firewall regel in PFsense?!
Anschließend hätte ich gerne Gruppen die von den VLan's abstammen um den Internetverkehr der einzelnen Gruppen zu beschränken.
Zusätzlich wäre es sehr gut wenn ich für einzelne IpAdressen / Mac adressen / Computernamen (mir ist egal was davon) den Internetverkehr erweitern kann.
So das zum Beispiel Marketing mitarbeiter der Firma 2 auf facebook zugreifen kann, alle anderen in diesem Vlan aber nicht.
Wo und wie kann ich dies machen?
Ich habe mir bereits das Proxy tool in Pfsense angeschaut. Allerdings bin ich dort nicht wirklich zu dem gewünschten Resultat bekommen. Geht das gewünschte mit PFsense überhaupt?
Ich bin nicht google faul oder so aber ich glaube mir fehlen die Richtigen schlagwörter oder ich stell mich einfach dämlich an.
Wäre schön Falls jemand mal klar sagen könnte ob das geplante mit PFsense umsetzbar ist und wenn ja wie Tutorials, google schlagwörter und Co würden helfen
Vielen Dank und guten start in die Woche euch !
ich bin eigentlich Programmierer, wurde allerdings von meinem Chef beauftragt mich mit unser Netzwerkstruktur zu befassen und neu aufzubauen. Habt also bitte nachsicht falls ich mich an der einen oder anderen Stelle doof anstelle.
Folgende Situation:
Wir haben in unseren Büro räumlichkeiten mehrere Firmen. Diese waren bisher im selben Netzwerk, sollen aber nun voneinander getrennt werden und unterschiedliche Zugriffe erhalten.
Der bisherige Aufbau:
Ich habe eine PFSense Firewall mit insgesamt 6 Netzwerkschnittstellen, 4 davon gehen an unterschiedliche WAN's (Telefon, Internet1, Internet2, LTE). Ein Ethernet Kabel geht in die Switche und das letzte ist für die Ethernet Console vom Server. Ein DHCP Server steht incl Domaincontroller im Netzwerk zur verfügung.
Mithilfe von PFSense und den darin integrierten DHCP-Relay's habe ich VLan's aufgebaut. Alle in seperaten Bereichen mit eigenem DHCP Bereich:
VLan 0: 192.168.10.0/24; (Server und DHCP)
VLan 1: 192.168.11.0/24; (Firma 1 Mitarbeiter)
VLan 2: 192.168.12.0/24; (Firma 1&2 Telefone)
VLan 3: 192.168.13.0/24; (Firma 2 Mitarbeiter)
VLan 4: 192.168.14.0/24; (Chefs)
VLan 5: 192.168.254.0/24; (Guests)
Soweit sogut, die vergabe der IP-Adressen mittels DHCP funktioniert einwandfrei.
Nun möchte ich gerne den Internetverkehr regulieren.
Am liebsten wäre mir ein System mit dem ich bevor in Windows nicht die Proxyeinstellungen getätigt wurden absolut kein Internetverkehr möglich ist. Wie mache ich das?! Über eine Firewall regel in PFsense?!
Anschließend hätte ich gerne Gruppen die von den VLan's abstammen um den Internetverkehr der einzelnen Gruppen zu beschränken.
Zusätzlich wäre es sehr gut wenn ich für einzelne IpAdressen / Mac adressen / Computernamen (mir ist egal was davon) den Internetverkehr erweitern kann.
So das zum Beispiel Marketing mitarbeiter der Firma 2 auf facebook zugreifen kann, alle anderen in diesem Vlan aber nicht.
Wo und wie kann ich dies machen?
Ich habe mir bereits das Proxy tool in Pfsense angeschaut. Allerdings bin ich dort nicht wirklich zu dem gewünschten Resultat bekommen. Geht das gewünschte mit PFsense überhaupt?
Ich bin nicht google faul oder so aber ich glaube mir fehlen die Richtigen schlagwörter oder ich stell mich einfach dämlich an.
Wäre schön Falls jemand mal klar sagen könnte ob das geplante mit PFsense umsetzbar ist und wenn ja wie Tutorials, google schlagwörter und Co würden helfen
Vielen Dank und guten start in die Woche euch !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369272
Url: https://administrator.de/contentid/369272
Printed on: April 27, 2024 at 00:04 o'clock
3 Comments
Latest comment
Habt also bitte nachsicht f
Immer locker bleiben... mehrere Firmen. Diese waren bisher im selben Netzwerk,
Uhhhh...sehr gruselig ? Ehrlich ?? Alle auf einem Draht. Mag man sich gar nicht vorstellen so ein Horror Design...sollen aber nun voneinander getrennt werden und unterschiedliche Zugriffe erhalten.
Sehr vernünftig !und das letzte ist für die Ethernet Console vom Server
Müsste man nicht machen, denn der FW hat ja auch noch ne serielle Konsole.Sinvoller wäre ggf. die 2 Eternet LANs über einen 802.3ad / LACP Trunk auf einen VLAN Switch zu bringen.
Na ja...es gibt viele Optionen...
Ein DHCP Server steht incl Domaincontroller im Netzwerk zur verfügung.
Einer für alle unterschiedlichen Firmen ?Alle in seperaten Bereichen mit eigenem DHCP Bereich:
DHCP dann zentral vom DHCP Server ?VLan 0: 192.168.10.0/24; (Server und DHCP)
VLAN 0 gibte es nicht, das ist nicht definiert im 802.1q Standard ! Als Programmierer sehen wir dir das aber mal nach. Verwenden kannst du die VLAN IDs von 1 bis 4090.Zudem ist dein Design nicht optimal, man lässt um flexibel für erweiterungen zu sein immer Schritte zwischen den IDs also sowas wie 1, 10, 20... oder 1, 5, 10, 15, 20...usw.
Die ID ins dritte Byte der Netzadsresse bei einem 24er Prefix zu kodieren macht Sinn zur besseren Erkennbarkeit.
Soweit sogut, die vergabe der IP-Adressen mittels DHCP funktioniert einwandfrei.
Über den zentralen Server ?? Das geht dann aber nur mit DHCP Relay !Wie mache ich das?! Über eine Firewall regel in PFsense?!
Das kann man machen ! Dann gibst du HTTP und HTTPS outbound nur über die Proxy IP frei, erzwingst so den Proxy. Über die Package Verwaltung kannst du auch einen Proxy (Squid) direkt auf der FW laufen lassen. Beides ist denkbar.Anschließend hätte ich gerne Gruppen die von den VLan's abstammen um den Internetverkehr der einzelnen Gruppen zu beschränken.
Bahnhof ? Ägypten ? Sorry, aber da sist etwas wirr...Du meinst du willst eine Gruppe von IP Adressen die VLAN spezifisch sind mit gewissen Beschränkungen (Ports, Zielhosts usw.) ins Internet lassen.
Geht natürlich, aber das machst du ja dann über den Proxy zentral. Oder soll das vorher schon passieren also quasi das du VLAN spezifische IP Adressen nur auf bestimmte Dienste im Internet lässt ??
Auch das ist aber problemlos über die Firewall regeln möglich. Du musst dann nur darauf achten das diese Geräte über Mac Adress erzwungenes DHCP auch immer die die gleiche IP Adresse bekommen.
den Internetverkehr erweitern kann.
Geht ebenfalls problemlos über die FW Regeln oder den Proxy.Geht das gewünschte mit PFsense überhaupt?
Ja aber je nach Detailgrad immer in Verbindung mit dem Proxy wenn du so einen zentral betreibst.Tutorials:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Einer für alle unterschiedlichen Firmen ?
VLAN 0 gibte es nicht,
Bahnhof ? Ägypten ? Sorry, aber da sist etwas wirr..
Ich hätte gerne das ich die einzelnen vlans als Gruppe behandeln kann. Also für VLAN 1 Proxy regeln eintragen kann für VLAN 2 andere etc. Anschließend würde ich gerne einzelne PC's separat behandeln können. z.B. In 1er Vlan ist für alle Facebook gesperrt. PC mit Ip 192.168.10.5 darf aber rauf. Verstehst du was ich meine?
Ja aber je nach Detailgrad immer in Verbindung mit dem Proxy wenn du so einen zentral betreibst.
Danke für deine Hilfe schonmal
Also alles nicht ganz so kritisch
Das sagst du... ! 
Verstehst du was ich meine?
Ja. Das kannst du alles auf dem Router bzw. deiner Firewall mit dem Regelwerk machen. Am besten machst du dir einen Liste und gehst strategisch nach der vor, das vereinfacht die Sache.Meine Frage war eher kann ich das alles mit Pfsense stemmen
Das kannst du alles mit der pfSense stemmen solange kein URL Filtering dabei ist. Das geht nur über einen Proxy.Aber auch wenn du es mit einem Proxy machen musst reicht nur die pfSense, denn auf dieser kannst du über den Package Manager einen der mächtigsten Proxies als Zusatzpackage installieren, den Squid Proxy !
Du stemmst es also so oder so alles immer nur mit der pfSense !
PFsense bietet ja die Möglichkeit über Squid Proxy einen Proxy einzurichten.
Genau so ist es ! http://www.squid-handbuch.de/hb/