Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trennung von Usern im LAN bzw WLAN (pfsense)

Mitglied: endlichsommer

endlichsommer (Level 1) - Jetzt verbinden

29.06.2010, aktualisiert 18.10.2012, 8644 Aufrufe, 5 Kommentare

In einem Netz sollen bekannte User und Unbekannte User bzw. PCs voneinander getrennt werden, also am besten in zwei verschiedene Adressbereiche oder VLANs geschoben werden.

Hallo an alle,

ich habe folgendes Problem:

In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.

Was wir bisher gemacht haben:

Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.

Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".

Die Frage ist nun, wie man hier am besten vorgeht..?

Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.

Ich bin um jede Hilfe dankbar!
Mitglied: aqui
29.06.2010, aktualisiert 18.10.2012
Deine Pfsense Firewall muss 3 Interfaces haben: Bekannte User, Unbekannte User und das Internet bzw. Zugangs LAN.
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !

Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
30.06.2010 um 02:37 Uhr
Bei WLAN nimmt man einen AP mit Multi-SSID-Support und steckt einfach das Gast-WLAN in ein eigenes VLAN - fertig.

Dein Hauptproblem ist
Besucher sollen also ihr Laptop an eine LAN-Buchse

Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
Bitte warten ..
Mitglied: epiclulz
30.06.2010 um 07:31 Uhr
eine günstige methode wär es einen wlan-router einzusetzen und dessen nat zu nutzen. du konfigurierst einen "internet-zugang" und verweist die wan-schnittstelle auf deine firewall. dann alle ports sperren außer mail und http(s). der ip-kreis in dem gast-netzwerk kann beliebig sein.
Bitte warten ..
Mitglied: cardisch
30.06.2010 um 08:15 Uhr
Hi@all
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.

Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß

Carsten
Bitte warten ..
Mitglied: aqui
30.06.2010, aktualisiert 18.10.2012
Die Anmerkung ist eigentlich vollkommen überflüssig, denn sein Pfsense Captive Portal führt einen Syslog Server mit, der alle User Aktivitäten nachvollziehbar mitloggt. Wenn du das Hotspot_Tutorial wirklich zuende gelesen hättest wüsstest du es...
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.

Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Outlook-Trennung nach Wechsel von LAN zu WLAN

Frage von Leo-leExchange Server3 Kommentare

Hallo Forum, einer unserer Standorte wechselt gern mal vom LAN in ihren Besprechungsraum ins WLAN und stellt jedes mal ...

LAN, WAN, Wireless

Frage bezüglich Trennung von LAN+WLAN und Gäste-WLAN

gelöst Frage von geqoooLAN, WAN, Wireless6 Kommentare

Hallo zusammen, da ich hauptberuflich Anwendungsentwickler bin und mich mit Netzwerktechnik nicht so gut auskenne habe ich hier mal ...

LAN, WAN, Wireless

APU1D4 pfSense 2.2.2 WLAN mit LAN Bruecken klappt nicht

gelöst Frage von kiwianaLAN, WAN, Wireless7 Kommentare

Hallo, ich habe inzwischen einiges gelesen, unter anderem die ausfuehrliche Anleitung hier: aber irgendwas klappt bei mir nicht oder ...

LAN, WAN, Wireless

Trennung von Netzwerkbereichen via V-Lan

gelöst Frage von UwoerlLAN, WAN, Wireless19 Kommentare

Hallo, in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden. Allerdings sollen die Netzwerkbereiche der einzelnen Familien voneinander getrennt ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 9 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 11 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 11 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...