miuliu
Goto Top

Netzwerkszenario für VLAN-Netz mit Büro, Gäste und Privat-Netz

Hi,

ich würde gerne den folgenden Netzwerkvorschlag diskutieren:

eb18b547430bd601007cc260958599b3

Ich habe die folgenden generellen Fragen:
- Kann das so funktionieren?
- Wie kann man es besser machen?
- Welche Lücken kann es geben?
- Wie gut sind die einzelne Netzwerke voneinander getrennt?
- Was sollte man dringend bei den Einstellungen der jeweiligen Geräte beachten?

Und die folgenden speziellen Fragen:
- Kann ich die pfsense so konfigurieren, so dass der DHCP-Server abhängig vom jeweiligen VLAN, den richtigen Router als Gateway konfiguriert?
- Kann ich in der pfsense den Zugriff über OPENVPN auf VLAN10 und VLAN40 beschränken?
- Wie würde eine geeignete Regel bzw. Route für den Zugriff aus Home/Privat auf den Drucker und auf den NAS aussehen? Der Verbindungsaufbau soll jeweils nur aus den Home Netz auf Drucker und NAS möglich sein und nicht andersherum.
- Gibt es Alternativen, wie ich die Unmanaged Access Points 192.168.20.13 und 192.168.30.6 einbinden könnte?
- Welche Einstellungen sind im 192.168.10.4 nötig, damit er das Routing ins Internet für VLAN30 übernimmt?
- Wie kann ich am besten die NAS als Syslog-Server für alle Komponenten verwenden (ist ja im VLAN10) und nicht im
Management VLAN40?

Text-Beschreibung des Szenarios:
- Gäste, Büro und Privat (Home) sollen sich die Infrastruktur teilen
- Alle drei Parteien sollen nicht gegenseitig aufeinander zugreifen können, außer mit ein paar Ausnahmen (wird später noch erklärt).
- Es bestehen zwei Internetanschlüsse: 1x DSL (Langsam ohne Datenvolumenbeschränkung), 1x Hybrid LTE/DSL (Schnell aber mit Volumenbeschränkung)
- Gäste: Clients sind im Diagramm grün gekennzeichnet
- Gäste: Sollen nur über Captive Portal und über Voucher auf das Internet zugreifen können und sonst keine weiteren Dienste in Anspruch genommen werden
- Gäste: Die An- und Abmeldung, vergebene IP und MAC soll im CP in pfSense im Syslog-Server gespeichert werden.
- Gäste: Sollen untereinander nicht kommunizieren können (AP Isolation im jeweiligen WLAN AP aktiviert)
- Gäste: Sollen nur über den langsamen DSL-Router (192.168.30.4) ins Internet können
- Gäste: Keinerlei Zugriff auf andere Geräte im Netzwerk
- Büro: Clients sind im Diagramm rot gekennzeichnet
- Büro: Sollten untereinander kommunizieren können und direkt ins Internet über den schnellen Hybrid-Router (192.168.178.1)
- Büro: Sollen nicht mit Gäste oder mit Privat (HOME) kommunizieren können
- Privat: Clients sind im Diagramm gelb gekennzeichnet
- Privat: Sollen untereinander kommunizieren können und direkt ins Internet über den schnellen Hybrid-Router (192.168.178.1)
- Privat: Sollen nicht mit Gäste oder mit Büro kommunizieren können, mit folgender Ausnahme: Es soll ein Zugriff auf das NAS und den Drucker möglich sein
- Mgmt: Das Management LAN soll zur Konfiguration aller Geräte verwendet werden
- Über OPENVPN soll ein Zugriff auf VLAN10 und VLAN40 möglich sein.
- Die Struktur ist durch die örtlichen Gegenheiten weitesgehend vorgegeben. Folgende Änderungen wären möglich: pfsense mit CISCO SG300 (192.168.10.3) tauschen. Die anderen Geräte sind über mehrere Stockwerke bzw. Häuser verteilt.


pfsense:
- Die pfsense soll als DHCP, DNS und CP fungieren für alle VLANs
- Das CP wird nur für VLAN30 aktiviert
- Das Routing zwischen den einzelnen VLANs erfolgt nur über die pfsense und sonst in keinem anderen Gerät
- Routing ins WAN nur von VLAN10, 20 und 40
- Firewall-Regeln für den gegenseitigen beschränkten/geöffneten Zugriff werden hier hinterlegt.
- DHCP-Server vergibt 192.168.178.2 als Gateway für VLAN10,20 und 40
- DHCP-Server vergibt 192.168.30.4 als Gateway für VLAN30

CISCO SG300 (192.168.10.3):
- Die Homegeräte werden ins VLAN20 gepackt. Nur Pakete mit VLAN20 sind erlaubt und ungetaggte Pakete werden bei Empfang mit 20 getaggt.
- Die Bürogeräte werden ins VLAN10 gepackt. Nur Pakete mit VLAN10 sind erlaubt und ungetaggte Pakete werden bei Empfang mit 10 getaggt.
- Zur pfsense und zweiten Router werden nur getaggte Pakete erlaubt
- Der Unmanaged AP (192.168.30.6) wird ins VLAN 30 gepackt. Nur Pakete mit VLAN30 sind erlaubt und ungetaggte Pakete werden bei Empfang mit 30 getaggt.

CISCO SG300 (192.168.30.5):
- Nur getaggte Pakete für VLAN30 und VLAN40 erlaubt

NAS (192.168.10.10):
- Die NAS soll als File-SErver (für Büro und Privat) dienen
- Die NAS soll als Syslog-Server für alle Netzwerk-Komponenten dienen


Das ist jetzt sehr viel Text. Aber vielleicht findet sich ja jemand, der Mitleid mit mir hat und mich bei meinen Fragen und Sorgen unterstützen kann. Demjenigen danke ich für den Aufwand bereits im Voraus.

Content-Key: 286768

Url: https://administrator.de/contentid/286768

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: brammer
brammer 27.10.2015 um 10:36:08 Uhr
Goto Top
Hall,

der Aufbau sieht erst mal sauber aus.

Aber, ich würde keine 192.168.x.x Adressen verwenden...
Für eventuelle VPN Verbindungen ist das unter umständen nicht die optimale Lösung.
Nimm Adresse aus dem Netz 10.x.x.x
10.172.x.x oder sowas...

Ob du dauerhaft mit den Lancom L54g glücklich wirst.... bei dem bisschen WLAN Bandbreite ist fraglich!

brammer
Mitglied: aqui
aqui 28.10.2015 um 10:29:49 Uhr
Goto Top