7
Vlan Isolation nötig in PFsense
Hi,
besitze einen Pfsense Router dieser ist über ein NIC mit einem Smart Switch verbunden.
Am Smart Switch hängt z.B AP und alles andere.
Für verschieden "Geräte" habe ich verschieden VLAN's erstellt.
Läuft auch soweit!
Im VLAN 10 kann ich alle Geräte im VLAN 10 sehen.
Im VLAN 30 kann ich nur Geräte im VLAN 30 sehen.
Das Guest WLAN ist z.B im VLAN 30... und ich kann keine Geräte im VLAN 10 sehen.
Jetzt meine Grundsatzfrage.
Ist eine VLAN Isolation in PFSense notwendig um z.B das Gast Wlan "abzusichern"?
Die VLAN trennen ja schon die LAN's!? oder habe ich da was falsch verstanden?
Sorry für diese Anfänger Frage
Danke
LG
besitze einen Pfsense Router dieser ist über ein NIC mit einem Smart Switch verbunden.
Am Smart Switch hängt z.B AP und alles andere.
Für verschieden "Geräte" habe ich verschieden VLAN's erstellt.
Läuft auch soweit!
Im VLAN 10 kann ich alle Geräte im VLAN 10 sehen.
Im VLAN 30 kann ich nur Geräte im VLAN 30 sehen.
Das Guest WLAN ist z.B im VLAN 30... und ich kann keine Geräte im VLAN 10 sehen.
Jetzt meine Grundsatzfrage.
Ist eine VLAN Isolation in PFSense notwendig um z.B das Gast Wlan "abzusichern"?
Die VLAN trennen ja schon die LAN's!? oder habe ich da was falsch verstanden?
Sorry für diese Anfänger Frage
Danke
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334177
Url: https://administrator.de/contentid/334177
Printed on: May 4, 2024 at 14:05 o'clock
7 Comments
Latest comment
Hi trollmar,
Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN 30.
Denn durch die VLANs trennst du 10 von 30 führst die aber mit der PFSense als Router wieder zusammen.
Grüße
Gansa28
Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN 30.
Denn durch die VLANs trennst du 10 von 30 führst die aber mit der PFSense als Router wieder zusammen.
Grüße
Gansa28
Versuche aus dem einen vlan mittels rdp zu einem Rechner im anderen vlan zu connecten (per ip) . Wenns nicht funktioniert ist alles gut
Hallo zusammen,
von einem VLAN auf das andere VLAN auch zugreifen können!? Wenn nicht ist doch alles ok so.
das LAN oder Geräte darin zugreifen können. Oder soll das bei Dir anders sein?
- Wenn die Geräte der Gäste nicht aufeinander zugreifen sollen ist es sinnvoll!
aufeinander zugreifen können, ganz wie Du es möchtest oder konfigurierst.
Gruß
Dobby
Im VLAN 10 kann ich alle Geräte im VLAN 10 sehen.
Im VLAN 30 kann ich nur Geräte im VLAN 30 sehen.
So soll es auch eigentlich sein, oder? Dazu setzt man doch VLANs ein meine ich damit oder sollen die VLAN TeilnehmerIm VLAN 30 kann ich nur Geräte im VLAN 30 sehen.
von einem VLAN auf das andere VLAN auch zugreifen können!? Wenn nicht ist doch alles ok so.
Das Guest WLAN ist z.B im VLAN 30... und ich kann keine Geräte im VLAN 10 sehen.
So soll es doch auch sein oder? Das Gäste WLAN soll in der Regel doch immer nur Internetzugang haben und nicht aufdas LAN oder Geräte darin zugreifen können. Oder soll das bei Dir anders sein?
Jetzt meine Grundsatzfrage.
Gibt es nicht hinsichtlich dieser Sache, denn es kommt immer darauf an was Du möchtest?Ist eine VLAN Isolation in PFSense notwendig um z.B das Gast Wlan "abzusichern"?
- Wenn die Geräte der Gäste aufeinander zugreifen sollen ist das nicht notwendig.- Wenn die Geräte der Gäste nicht aufeinander zugreifen sollen ist es sinnvoll!
Die VLAN trennen ja schon die LAN's!? oder habe ich da was falsch verstanden?
Nein, aber man kann auch dafür sorgen, je nach Firewallregel, das die VLANs untereinander Kontakt haben und die Geräteaufeinander zugreifen können, ganz wie Du es möchtest oder konfigurierst.
Gruß
Dobby
Zitat von @thomasreischer:
Versuche aus dem einen vlan mittels rdp zu einem Rechner im anderen vlan zu connecten (per ip) . Wenns nicht funktioniert ist alles gut
Versuche aus dem einen vlan mittels rdp zu einem Rechner im anderen vlan zu connecten (per ip) . Wenns nicht funktioniert ist alles gut
Was soll das denn für ein komischer Test sein, das wen n rdp kaputt ist, alles gut wäre?
Zum echten Testen stellt man in das eine Netz einen sniffer/responder und in das andere einen scanner.
lks
Erstmal vielen Dank für die vielen Antworten.
Vielleicht nochmal zur Klarstellung.
Ich möchte ein "sicheres" Gast Wlan aufsetzten.
Dieses Gast Wlan soll nur ins Internet.
Ja, alle VLAN's gehen über Tagging zum PFsense.
Da ich ja aktuell kein Gerät vom VLAN 30 (Gast VLan) im VLAN 10 (Private) sehen kann könnte man ja denken das alles "gut" ist.
Meine Frage ist Grundsätzlich und hat etwas mit dem Verständnis von Netzwerk zutun.
Also ohne FW regel wäre es "einfacher" möglich in das Netz von VLAN 10 zu kommen?
Weil im meinem einfachen Test mit FING konnte ich keinen unterschied feststellen ob nun FW Regel:
Deny >> Source Vlan 30 net >>to >> Destination VLAN 10 net
aktiv ist oder nicht.
Mit welcher Sniffer Scanner kombi kann ich da mal testen.
Wireshark als Sniffer auf dem rechner im Private VLAN und auf nem Smarthome ein Scanner im Gast VLAN?
LG
Vielleicht nochmal zur Klarstellung.
Ich möchte ein "sicheres" Gast Wlan aufsetzten.
Dieses Gast Wlan soll nur ins Internet.
Zitat von @gansa28:
Hi trollmar,
Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen >Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN >30.
Hi trollmar,
Man müsste jetzt noch bissel tiefer gehen, arbeitet die PFSense als GW für die VLANs? Also Jedes VLAN hat die PFSense als GW in Ihrem eigenen >Netzwerk? Wenn ja Müsste eine Firewall regel her die VLAN 30 Zugriffe auf VLAN 10 Blocken. Wenn Gewollt auch andersrum VLAN 10 nach VLAN >30.
Ja, alle VLAN's gehen über Tagging zum PFsense.
Da ich ja aktuell kein Gerät vom VLAN 30 (Gast VLan) im VLAN 10 (Private) sehen kann könnte man ja denken das alles "gut" ist.
Meine Frage ist Grundsätzlich und hat etwas mit dem Verständnis von Netzwerk zutun.
Also ohne FW regel wäre es "einfacher" möglich in das Netz von VLAN 10 zu kommen?
Weil im meinem einfachen Test mit FING konnte ich keinen unterschied feststellen ob nun FW Regel:
Deny >> Source Vlan 30 net >>to >> Destination VLAN 10 net
aktiv ist oder nicht.
Mit welcher Sniffer Scanner kombi kann ich da mal testen.
Wireshark als Sniffer auf dem rechner im Private VLAN und auf nem Smarthome ein Scanner im Gast VLAN?
LG
nmap/tcpdump für Tastaturfans
Angry ip Scanner/Wireshark für Mausfetischisten.
lks
Ich möchte ein "sicheres" Gast Wlan aufsetzten.
Das ist doch hier alles beschrieben wie das ganz genau zu machen ist mit der pfSense:WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das beantwortet alle Fragen....
In Bezug auf ein VLAN Umfeld findest du hier sogar noch ein Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du hast ja bis dato auch schon alles genau richtig gemacht. Kollege Dobby hat das oben ja auch schon entsprechend kommentiert.
Wenn das VLAN 30 dein Gast WLAN mit dem Captive Portal ist, dann ist das per se ja schon alles richtig.
Das einzige was dir dann noch fehlt am Gast VLAN Port der pfSense ist eine entsprechende Firewall Regel die den Gast Zugang zum privaten Netz und ggf. anderen VLAN verbietet ala:
BLOCK = Source: <gast_network> any Destination: <private_vlan> any
BLOCK = Source: <gast_network> any Destination: <anderes_vlan> any
PASS = Source: <gast_network> any Destination: <any> any
Fertig ist der Lack.
Die beiden o.a. Tutorials beschreiben das alles im Detail.
Einfach mal die Suchfunktion benutzen
