Hallo zusammen,

Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.

Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.

Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).

Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).

Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:

Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any

Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?

Falls wer noch Office 2016 verwendet und das November 2024-Sicherheitsupdate installiert - danach werden Add-Ins nicht mehr geladen, weil der erste Buchstabe im Dateinamen abgeschnitten wird. Ich habe einen Workaround eines Lesers beschrieben.

Excel 2016 kann nach Nov. 2024 Update KB5002653 keine Add-Ins mehr laden

Hallochen Gemeinde!

Wird ein bestehendes Netzwerk mittels VLAN segmentiert, so wird bei den VLAN's regelmäßig für die zuzuweisenden IPv4-Adressbereiche folgende Struktur verwendet: A.B.VLANID.0/24 (ein 24er Netz natürlich nur, wenn das ausreichend ist; die VLANID kann selbstredend nur zwischen 1 und 254 liegen, wenn die VLANID mit der realen VLAN-Nummer identisch sein soll). Zumeist tragen die (zentralen) DHCP-Server die Daten der für die VLAN's vergebenen DHCP-Leases in die DNS-Datenbank ein. Bei solchen Eintragungen ist es durchaus sinnvoll, neben dem A-Record auch einen korrespondierenden PTR-Record abzulegen.

Überlicherweise würde die zum jeweiligen VLAN zugehörige Reverse-Lookupzone wie folgt lauten: VLANID.B.A.in-addr.arpa. Bei zwei oder drei VLAN's mag das noch nicht relevant erscheinen. Aber wird eine höhere Anzahl von VLAN's benötigt und gibt es dann noch mehrere Standorte, kann die Anzahl der entsprechenden Reverse-Lookupzonen schnell unübersichtlich werden, zumal die Rückwärtsschreibweise der Zonennamen deren schnelle Wahrnehmung zusätzlich erschwert.

Wie handhabt Ihr das? Legt Ihr dann zur Vereinfachung nur eine übergreifende Reverse-Lookupzone an? Um im Bespiel zu bleiben also ohne VLANID: B.A.in-addr.arpa
Was ist hier Best Practice?

Vielen Dank im Voraus für Eure Antworten und viele Grüße
HansDampf06