3
Absicherung eines privaten Gastnetzes
Hallo zusammen,
Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.
Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.
Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).
Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).
Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:
Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any
Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?
Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.
Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.
Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).
Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).
Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:
Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any
Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669478
Url: https://administrator.de/contentid/669478
Ausgedruckt am: 14.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Client Isolation gilt niemals nur pro AP. Da hast du sicher etwas grundsätzlich missverstanden. Das wäre ja unsinnig und auch absurd wenn man in einem WLAN dies für alle Clients unterbinden will, denn es gibt ja nur sehr wenig WLANs die nur aus einem einzigen AP bestehen. Die gilt ganz besonders für Controller basierte WLANs und weisst du als gestandener Netzwerker ja auch selber. Niemand macht deshalb so absurde Klimmzüge mit ACLs auf der darunterliegenden Switchinfrastruktur.
Da solltest du also dein Isolation Setup nochmal genauer überprüfen...
Da solltest du also dein Isolation Setup nochmal genauer überprüfen...
Client Isolation per SSID isoliert nicht die Clients, unabhängig vom AP?
@aqui:
Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.
Client Isolation gilt niemals nur pro AP.
Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.
