Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trennung von Usern im LAN bzw WLAN (pfsense)

Frage Sicherheit Firewall

Mitglied: endlichsommer

endlichsommer (Level 1) - Jetzt verbinden

29.06.2010, aktualisiert 18.10.2012, 8471 Aufrufe, 5 Kommentare

In einem Netz sollen bekannte User und Unbekannte User bzw. PCs voneinander getrennt werden, also am besten in zwei verschiedene Adressbereiche oder VLANs geschoben werden.

Hallo an alle,

ich habe folgendes Problem:

In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.

Was wir bisher gemacht haben:

Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.

Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".

Die Frage ist nun, wie man hier am besten vorgeht..?

Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.

Ich bin um jede Hilfe dankbar!
Mitglied: aqui
29.06.2010, aktualisiert 18.10.2012
Deine Pfsense Firewall muss 3 Interfaces haben: Bekannte User, Unbekannte User und das Internet bzw. Zugangs LAN.
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !

Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
30.06.2010 um 02:37 Uhr
Bei WLAN nimmt man einen AP mit Multi-SSID-Support und steckt einfach das Gast-WLAN in ein eigenes VLAN - fertig.

Dein Hauptproblem ist
Besucher sollen also ihr Laptop an eine LAN-Buchse

Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
Bitte warten ..
Mitglied: epiclulz
30.06.2010 um 07:31 Uhr
eine günstige methode wär es einen wlan-router einzusetzen und dessen nat zu nutzen. du konfigurierst einen "internet-zugang" und verweist die wan-schnittstelle auf deine firewall. dann alle ports sperren außer mail und http(s). der ip-kreis in dem gast-netzwerk kann beliebig sein.
Bitte warten ..
Mitglied: cardisch
30.06.2010 um 08:15 Uhr
Hi@all
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.

Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß

Carsten
Bitte warten ..
Mitglied: aqui
30.06.2010, aktualisiert 18.10.2012
Die Anmerkung ist eigentlich vollkommen überflüssig, denn sein Pfsense Captive Portal führt einen Syslog Server mit, der alle User Aktivitäten nachvollziehbar mitloggt. Wenn du das Hotspot_Tutorial wirklich zuende gelesen hättest wüsstest du es...
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.

Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst Pfsense - Ping von WAN zum LAN (10)

Frage von RalphT zum Thema Router & Routing ...

Router & Routing
Zugriff auf pfsense mit IPsec im WLAN (1)

Frage von maddig zum Thema Router & Routing ...

Router & Routing
Verschiedene VLANS mit OpenVPN - Trennung der Netze - PFSense

Frage von Marco-83 zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN zu LAN Switch oder Bridge (7)

Frage von Stefan3110 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (14)

Frage von ZeroCool23 zum Thema Windows 10 ...

Router & Routing
gelöst Getrenntes Routing bei VoIP und Daten (12)

Frage von Hobbystern zum Thema Router & Routing ...