Wie trenne ich VLANs in der Pfsense (Anfänger)
Hallo liebe Administrator-Community.
Ich bitte um Nachsicht bei meiner Frage, ich bin ein absoluter Neuling auf dem Gebiet.
Ich habe heute eine Pfsene eingerichtet und soweit funktioniert auch alles.
Kurz das Setup: Fritzbox -> Hardware Pfsense -> normaler Switch -> an dem Switch hängt ein Computer und 1 Accesspoint. Der Accesspoint ist von Zyxcel und kann mehre WLAN´s/SSIDS ausstrahlen.
Ich habe nun 2 SSIDS/WLANS erstellt. 1 soll für Gäste sein und 2 für mich. Ich habe dann in der PFsense die VLANS konfiguriert und dann die VLAN ID in dem Zyxcel für das jweilige WLAN hinterlegt.
In den Firewall Regeln der beiden VLANs ist gerade die any Regel aktiviert.
Beide VLANS können sich gegenseitig anpingen, wie kriege ich die VLANs voneinander getrennt?
Welche Regeln muss ich wo ändern?
Verzeiht mir bitte, wenn meine Frage unstrukturiert und chaotisch ist.
Falls Ihr noch mehr Infos benötigt gerne melden.
Ganz lieben Dank schon mal im Voraus.
Ich bitte um Nachsicht bei meiner Frage, ich bin ein absoluter Neuling auf dem Gebiet.
Ich habe heute eine Pfsene eingerichtet und soweit funktioniert auch alles.
Kurz das Setup: Fritzbox -> Hardware Pfsense -> normaler Switch -> an dem Switch hängt ein Computer und 1 Accesspoint. Der Accesspoint ist von Zyxcel und kann mehre WLAN´s/SSIDS ausstrahlen.
Ich habe nun 2 SSIDS/WLANS erstellt. 1 soll für Gäste sein und 2 für mich. Ich habe dann in der PFsense die VLANS konfiguriert und dann die VLAN ID in dem Zyxcel für das jweilige WLAN hinterlegt.
In den Firewall Regeln der beiden VLANs ist gerade die any Regel aktiviert.
Beide VLANS können sich gegenseitig anpingen, wie kriege ich die VLANs voneinander getrennt?
Welche Regeln muss ich wo ändern?
Verzeiht mir bitte, wenn meine Frage unstrukturiert und chaotisch ist.
Falls Ihr noch mehr Infos benötigt gerne melden.
Ganz lieben Dank schon mal im Voraus.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5776671011
Url: https://administrator.de/forum/wie-trenne-ich-vlans-in-der-pfsense-anfaenger-5776671011.html
Ausgedruckt am: 24.04.2025 um 08:04 Uhr
6 Kommentare
Neuester Kommentar
Moinsen,
kann denn der unbekannte zwischengeschaltete switch VLAN? Ist der managed?
Allgemein:
wenn deine VLANs in der pfsense angelegt sind, ebenso auf dem (wenn er das denn kann) switch, dann trennst du die VLANs untereinander durch die anzulegenden Regeln.
Hierzu folgendes beachten:
- die Regeln werden immer am eingehenden Interface angelegt (also Regeln für VLAN x nach VLAN y immer am Interface VLAN x anlegen)
- Regeln werden von oben nach unten abgearbeitet
- trifft eine Regel zu, wird danach gehandelt und es findet keine weitere Bearbeitung des Regelwerks statt.
- wenn du an den jeweiligen VLAN Interfaces immer allow any-any hast, dann wird da effektiv nix getrennt, daher hier überlegen, ob das so soll
- bedenke auch, dass du dich nicht versehentlich aussperrst (dafür die Anti-Lock-Out Regel nutzen)
So als erste Idee...
Ansonsten gibt es hier vortreffliche Anleitungen und Tutorials von @aqui zum Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
kann denn der unbekannte zwischengeschaltete switch VLAN? Ist der managed?
Allgemein:
wenn deine VLANs in der pfsense angelegt sind, ebenso auf dem (wenn er das denn kann) switch, dann trennst du die VLANs untereinander durch die anzulegenden Regeln.
Hierzu folgendes beachten:
- die Regeln werden immer am eingehenden Interface angelegt (also Regeln für VLAN x nach VLAN y immer am Interface VLAN x anlegen)
- Regeln werden von oben nach unten abgearbeitet
- trifft eine Regel zu, wird danach gehandelt und es findet keine weitere Bearbeitung des Regelwerks statt.
- wenn du an den jeweiligen VLAN Interfaces immer allow any-any hast, dann wird da effektiv nix getrennt, daher hier überlegen, ob das so soll
- bedenke auch, dass du dich nicht versehentlich aussperrst (dafür die Anti-Lock-Out Regel nutzen)
So als erste Idee...
Ansonsten gibt es hier vortreffliche Anleitungen und Tutorials von @aqui zum Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Moin,
In den Firewall Regeln der beiden VLANs ist gerade die any Regel aktiviert.
In dem du diesen Unfug sein lässt
Haha Sorry im learning…was müsste den stattdessen dahin, falls du schon deinen Senf dazu geben willst :D
Moinsen,
da müssen aussagekräftige Regeln hin, die den Verkehr in deinem Fall dann erlauben/verbieten.
Wenn du zwischen den VLANs eh alles auf allow any-any setzt, dann kannst du die Trennung / Aufteilung auch sein lassen, denn dann darf eben alles überall hin.
Welche Regeln DU für DEIN setting brauchst, können wir dir nicht sagen. Wir wissen ja alle nicht, was du eigentlich genau regeln willst...
"Normalerweise" bzw. oft gesehen ist zB
fürs Interface VLAN PRIVAT:
allow----Source: VLAN Privat------Destination This Firewall--------Port 53 (DNS)
allow----Source VLAN Privat------Destination GAST VLAN (wenn du von Privat aufs Gast VLAN kommen musst)
oder eben
deny----Source VLAN Privat-------Destination GAST VLAN (wenn das getrennt sein soll)
usw.
Wenn dein VLAN Privat natürlich überall hin soll, dann geht any any, ist nur eben ein wenig am Sinn der VLANs vorbei....
Dann das Interface VLAN Gast regeln:
je nachdem, was deine Gäste dürfen sollen (surfen? Email? Playstore? usw) die Regeln anlegen
Da ich davon ausgehe, dass du den Gästen NICHT den Zugang zu VLAN Privat erlauben willst:
deny------Source VLAN Gast-----------Destination VLAN Privat------any ports
usw.
Tip: lies dir erstmal in Ruhe die hier vorhandenen Tutorials zum Thema durch! Ohne ein kleines Grundwissen wird das sonst nix. Da werden auch diverse Beispiel erklärt, Regeln besprochen usw. Gut ist auch, sich die Kommentare zu den Tutorials mal zu geben, denn da verstecken sich ebenfalls viele wichtige Hinweise. Kurz: du solltest selber ein Verständnis aufbauen, was du da tust und warum. Das wie ist eher leicht zu erledigen...
Ich habe auch bei NULL mit pfsense angefangen. Bevor ich das Teil auch nur aus der Verpackung genommen habe, habe ich mich durch die Tutorials hier gewühlt. Dann nochmal, und dann...genau...nochmal.
Erst als ich meinen genervten Freunden und Bekannte so ungefähr erklären konnte, was da so passiert, habe ich mit der Einrichtung begonnen...
"Schnell schnell" und wenig Vorwissen beißt sich sonst...
da müssen aussagekräftige Regeln hin, die den Verkehr in deinem Fall dann erlauben/verbieten.
Wenn du zwischen den VLANs eh alles auf allow any-any setzt, dann kannst du die Trennung / Aufteilung auch sein lassen, denn dann darf eben alles überall hin.
Welche Regeln DU für DEIN setting brauchst, können wir dir nicht sagen. Wir wissen ja alle nicht, was du eigentlich genau regeln willst...
"Normalerweise" bzw. oft gesehen ist zB
fürs Interface VLAN PRIVAT:
allow----Source: VLAN Privat------Destination This Firewall--------Port 53 (DNS)
allow----Source VLAN Privat------Destination GAST VLAN (wenn du von Privat aufs Gast VLAN kommen musst)
oder eben
deny----Source VLAN Privat-------Destination GAST VLAN (wenn das getrennt sein soll)
usw.
Wenn dein VLAN Privat natürlich überall hin soll, dann geht any any, ist nur eben ein wenig am Sinn der VLANs vorbei....
Dann das Interface VLAN Gast regeln:
je nachdem, was deine Gäste dürfen sollen (surfen? Email? Playstore? usw) die Regeln anlegen
Da ich davon ausgehe, dass du den Gästen NICHT den Zugang zu VLAN Privat erlauben willst:
deny------Source VLAN Gast-----------Destination VLAN Privat------any ports
usw.
Tip: lies dir erstmal in Ruhe die hier vorhandenen Tutorials zum Thema durch! Ohne ein kleines Grundwissen wird das sonst nix. Da werden auch diverse Beispiel erklärt, Regeln besprochen usw. Gut ist auch, sich die Kommentare zu den Tutorials mal zu geben, denn da verstecken sich ebenfalls viele wichtige Hinweise. Kurz: du solltest selber ein Verständnis aufbauen, was du da tust und warum. Das wie ist eher leicht zu erledigen...
Ich habe auch bei NULL mit pfsense angefangen. Bevor ich das Teil auch nur aus der Verpackung genommen habe, habe ich mich durch die Tutorials hier gewühlt. Dann nochmal, und dann...genau...nochmal.
Erst als ich meinen genervten Freunden und Bekannte so ungefähr erklären konnte, was da so passiert, habe ich mit der Einrichtung begonnen...
"Schnell schnell" und wenig Vorwissen beißt sich sonst...
Vielen lieben Dank für deine ausführliche Antwort! Ich denke, wie du schon geschrieben hast, ich muss mich weiterhin und intensiver mit dem Thema befassen. Selbst wenn du/Ihr mir die passende Antwort geben würdest dann hab ich zwar mein Anliegen gelöst aber wenn ich den Grund nicht verstehe oder es zumindest nicht Technisch nachvollziehen kann dann bin ich bei der nächsten Baustelle wieder hier und bitte um Lösung… Euch einen schönen Abend noch! Falls Ihr noch Links zu dem Thema habt gerne her damit.
Moinsen,
na dann...
Viel Erfolg beim Einsteigen!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
PfSense, VLAN (nach Tutorial von aqui) und Basis-Regeln
https://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller ...
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
;)
na dann...
Viel Erfolg beim Einsteigen!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
PfSense, VLAN (nach Tutorial von aqui) und Basis-Regeln
https://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller ...
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
;)
