Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trennung von Usern im LAN bzw WLAN (pfsense)

Frage Sicherheit Firewall

Mitglied: endlichsommer

endlichsommer (Level 1) - Jetzt verbinden

29.06.2010, aktualisiert 18.10.2012, 8536 Aufrufe, 5 Kommentare

In einem Netz sollen bekannte User und Unbekannte User bzw. PCs voneinander getrennt werden, also am besten in zwei verschiedene Adressbereiche oder VLANs geschoben werden.

Hallo an alle,

ich habe folgendes Problem:

In unserem Netzwerk gibt es ca. 100 Rechner, welche sich an einer Domäne anmelden. Einige Clients sind dabei über LAN, andere über Wlan verbunden. Soweit stellt das ganze ja kein Problem da. Neu ist jedoch, das nun ein Gastzugriff für fremde Rechner da sein soll. Besucher sollen also ihr Laptop an eine LAN-Buchse oder per Wlan Zugriff erhalten. Dieser Zugriff beschränkt sich jedoch nur auf das Internet! Es soll kein Zugriff auf unser Netzwerk möglich sein.

Was wir bisher gemacht haben:

Bei uns läuft eine Firewall mit pfsense. Dort haben wir Captive Portal angeschaltet. Alles ist schön eingerichtet und funktioniert auch ganz gut. Hier kommt jedoch kein Radius Server als Authentifizierung zum Einsatz, sondern der interne Usermanager von pfsense. Clients die wir kennen, stehen mit ihrer MAC auf der Whiteliste in pfsense. Alle anderen müssen sich einloggen, bzw. zuerst registrieren.

Das Problem ist jedoch, dass alle Clients in einem IP-Bereich liegen. Uns Bekannte, aber auch "Fremde".

Die Frage ist nun, wie man hier am besten vorgeht..?

Sollten wir einen Radius-Server aufsetzen, wenn ja mit Userfilterung, oder doch nur MAC-basierend? Oder gibt es noch andere Möglichkeiten? Statische IPs für die bekannten Clients wären natürlich auch möglich, und der DHCP in pfsense liefert nur den Unbekannten PCs eine IP. Dies halte ich jedoch für etwas unelegant.

Ich bin um jede Hilfe dankbar!
Mitglied: aqui
29.06.2010, aktualisiert 18.10.2012
Deine Pfsense Firewall muss 3 Interfaces haben: Bekannte User, Unbekannte User und das Internet bzw. Zugangs LAN.
Alle 3 Interfaces arebiten in unterschiedlichen IP Netzen, denn die Pfsense Firewall arbeitet als Router !
Du musst also zwingen Bekannte und unbekannte User auf 2 Interfaces mit jeweils eigenem IP Netz separieren !

Beispiele wie das mit oder ohne VLANs zu realisieren ist findest du im Detail in diesen Tutorials: (Bei VLANs reichen auch nur 2 Interfaces, da du das LAN Interface in 2 VLANs aufsplittest !)
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
30.06.2010 um 02:37 Uhr
Bei WLAN nimmt man einen AP mit Multi-SSID-Support und steckt einfach das Gast-WLAN in ein eigenes VLAN - fertig.

Dein Hauptproblem ist
Besucher sollen also ihr Laptop an eine LAN-Buchse

Denn die einzige Möglichkeit im LAN Computer wirklich genau zu identifizieren ist Domain Isolation und das ist relativ kompliziert.
Einfacher ist 802.1x, aber das ist bei kabelgebundenen Netzwerken nicht wirklich sicher...
Bitte warten ..
Mitglied: epiclulz
30.06.2010 um 07:31 Uhr
eine günstige methode wär es einen wlan-router einzusetzen und dessen nat zu nutzen. du konfigurierst einen "internet-zugang" und verweist die wan-schnittstelle auf deine firewall. dann alle ports sperren außer mail und http(s). der ip-kreis in dem gast-netzwerk kann beliebig sein.
Bitte warten ..
Mitglied: cardisch
30.06.2010 um 08:15 Uhr
Hi@all
Nur eine kleine Randnotiz, da ich an sich von der Materie nicht viel verstehe, diese ist aber nicht ganz unwichtig.

Das Problem mit der Billiglösung:
Als Anbieter des Internetzugangs bist du haftbar für deine Gäste, wenn die sich schmutzige Sachen angucken, fällt das auf deine IP zurück.
Ergo ist ein protokollieren heutzutage unabdingbar, dementsprechend benötigt man zwingend eine zentrale Zugangsstelle für alle Gäste und Angestellte, mit der man, wnen die Jungs in gün vor einem stehen, nachweisen kann, wer wan was gemacht hat.
Gruß

Carsten
Bitte warten ..
Mitglied: aqui
30.06.2010, aktualisiert 18.10.2012
Die Anmerkung ist eigentlich vollkommen überflüssig, denn sein Pfsense Captive Portal führt einen Syslog Server mit, der alle User Aktivitäten nachvollziehbar mitloggt. Wenn du das Hotspot_Tutorial wirklich zuende gelesen hättest wüsstest du es...
Genau das ist ja auch der tiefere Sinn eines Captive Portals bzw. Hotspots.

Wie bereits gesagt ist die Lösung für endlichsommer kinderleicht mit einem 3ten Interface oder mit einem VLAN (siehe Tip von dog !) für die Gäste. Ist in den beiden o.a. Tutorials ja auch alles haarklein beschrieben.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Outlook-Trennung nach Wechsel von LAN zu WLAN
Frage von Leo-leExchange Server3 Kommentare

Hallo Forum, einer unserer Standorte wechselt gern mal vom LAN in ihren Besprechungsraum ins WLAN und stellt jedes mal ...

LAN, WAN, Wireless
Frage bezüglich Trennung von LAN+WLAN und Gäste-WLAN
gelöst Frage von geqoooLAN, WAN, Wireless6 Kommentare

Hallo zusammen, da ich hauptberuflich Anwendungsentwickler bin und mich mit Netzwerktechnik nicht so gut auskenne habe ich hier mal ...

LAN, WAN, Wireless
APU1D4 pfSense 2.2.2 WLAN mit LAN Bruecken klappt nicht
gelöst Frage von kiwianaLAN, WAN, Wireless7 Kommentare

Hallo, ich habe inzwischen einiges gelesen, unter anderem die ausfuehrliche Anleitung hier: aber irgendwas klappt bei mir nicht oder ...

LAN, WAN, Wireless
Trennung von Netzwerkbereichen via V-Lan
gelöst Frage von UwoerlLAN, WAN, Wireless19 Kommentare

Hallo, in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden. Allerdings sollen die Netzwerkbereiche der einzelnen Familien voneinander getrennt ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 14 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 17 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...