Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trennung von Usern im LAN bzw WLAN (pfsense)

Frage Sicherheit Firewall

Mitglied: endlichsommer

endlichsommer (Level 1) - Jetzt verbinden

29.06.2010, aktualisiert 18.10.2012, 8066 Aufrufe, 5 Kommentare

In einem Netz sollen bekannte User und Unbekannte User bzw. PCs voneinander getrennt werden, also am besten in zwei verschiedene Adressbereiche oder VLANs geschoben werden.

Hallo an alle,

ich habe folgendes Problem:

In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.

Was wir bisher gemacht haben:

Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.

Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".

Die Frage ist nun, wie man hier am besten vorgeht..?

Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.

Ich bin um jede Hilfe dankbar!
Mitglied: aqui
29.06.2010, aktualisiert 18.10.2012
Deine Pfsense Firewall muss 3 Interfaces haben: Bekannte User, Unbekannte User und das Internet bzw. Zugangs LAN.
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !

Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
30.06.2010 um 02:37 Uhr
Bei WLAN nimmt man einen AP mit Multi-SSID-Support und steckt einfach das Gast-WLAN in ein eigenes VLAN - fertig.

Dein Hauptproblem ist
Besucher sollen also ihr Laptop an eine LAN-Buchse

Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
Bitte warten ..
Mitglied: epiclulz
30.06.2010 um 07:31 Uhr
eine günstige methode wär es einen wlan-router einzusetzen und dessen nat zu nutzen. du konfigurierst einen "internet-zugang" und verweist die wan-schnittstelle auf deine firewall. dann alle ports sperren außer mail und http(s). der ip-kreis in dem gast-netzwerk kann beliebig sein.
Bitte warten ..
Mitglied: cardisch
30.06.2010 um 08:15 Uhr
Hi@all
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.

Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß

Carsten
Bitte warten ..
Mitglied: aqui
30.06.2010, aktualisiert 18.10.2012
Die Anmerkung ist eigentlich vollkommen überflüssig, denn sein Pfsense Captive Portal führt einen Syslog Server mit, der alle User Aktivitäten nachvollziehbar mitloggt. Wenn du das Hotspot_Tutorial wirklich zuende gelesen hättest wüsstest du es...
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.

Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Notebook LAN WLAN LTE trennen (2)

Frage von HansB3rt zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
Multifunktions(Farb)-Laser Drucker (Lan-Wlan) fähig (3)

Frage von wescraven07 zum Thema Drucker und Scanner ...

Exchange Server
Outlook-Trennung nach Wechsel von LAN zu WLAN (3)

Frage von Leo-le zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...