Unifi AP und Gastnetzwerk
-
Hallo,
ich habe mir einen Unifi AP geholt, um u.a. ein vom Heimnetz getrenntes Gastnetzwerk einzurichten. Mittlerweile habe ich es geschafft, nur würde ich gerne nachfragen, ob ich soweit alles richtig umgesetzt habe und noch einige kleine Fragen dazu stellen. Ich hoffe auch, dass ihr eure Erfahrungen mit den Unifi AP's hier teilen könnt.
Den UAP habe ich direkt mit dem NIC der pfSense verbunden, es sind insgesamt 3 SSID's eingerichtet (privat 2,4GHz & 5GHz und gast 2,4GHz). Für das Gastnetz habe ich in der pfSense ein VLAN angelegt und dieses entsprechend in dem UAP für die Gast-SSID festgelegt. Soweit funktioniert alles, die Frage ist: muss ich für meine privaten SSID's auch ein eigenständiges VLAN anlegen?
Nun würde ich gerne in der pfSense eigentlich nur 2 Regeln anlegen. Die Gäste dürfen ins Internet und dürfen nicht auf das Heimnetz oder sonstige Interfaces zugreifen.
Ich dachte zunächst an: "Pass" => Destination "WAN net" und "Block" => Destination "!WAN net", aber das will irgendwie nicht. Kann man so etwas einrichten oder geht es nur durch Ausschließen (Block => "Heimnetz net", Block => "… net" usw.)?Das Gastnetzwerk im UAP ist unter "Purpose" als "Guest" gekennzeichnet und unter "Wireless Networks" => Gast-SSID ist die User Group "guest" (habe ich selbst angelegt) ausgewählt. So habe ich mir gedacht, dass in den Übersichten (bspw. Insights) die Gast-Geräte (welche über die Gast-SSID mit dem UAP verbunden sind) auch entsprechend hervorgehoben werden. Kann mir hier jemand an dieser Stelle helfen?
Wollte zunächst das Band Steering Feature nutzen, aber irgendwie hat das nicht so funktioniert, wie ich es mir vorgestellt habe. Geräte, die nur einige Meter entfernt waren, befanden sich im 2,4GHz Netz und einige aus dem anderen Stockwerk sind hin und her gesprungen oder konnten sich problemlos im 5GHz Netz einbuchen. Insgesamt wurde aber hauptsächlich das 2,4GHz Netz genutzt, statt dem laut Einstellungen bevorzugten 5GHz. Habt ihr evtl. auch ähnliche Erfahrungen damit gemacht oder funktioniert bei euch dieses Feature einwandfrei?
Würde mich über eure Tipps und Antworten sehr freuen!
-
Nun würde ich gerne in der pfSense eigentlich nur 2 Regeln anlegen. Die Gäste dürfen ins Internet und dürfen nicht auf das Heimnetz oder sonstige Interfaces zugreifen.
Ich dachte zunächst an: "Pass" => Destination "WAN net" und "Block" => Destination "!WAN net", aber das will irgendwie nicht. Kann man so etwas einrichten oder geht es nur durch Ausschließen (Block => "Heimnetz net", Block => "… net" usw.)?Hi,
das WAN net ist nicht das Internet, wo du hin willst. Also auf dem Gäste Interface Block Source "any" destination "Heimnetz net", pass Source "Gaeste_net" destination "any"Gruß
pfadmin -
Hi und danke für die Antwort!
Ok, habe ich mir schon gedacht. Der Hintergrund warum ich das irgendwie so lösen wollte, war der folgende: ich habe mehrere Interfaces, wo das Gästenetzwerk drauf nicht zugreifen dürfen sollte. Natürlich kann man all diese, genau wie du beschreibst, blockieren (das habe ich jetzt übriges auch so gelöst).
Jedoch wenn man ein neues Interface erstellt, so hat das Gastnetzwerk automatisch Zugriff auf dieses und falls man dann versehentlich vergisst das neue Interface zu sperren, dann hat man eine Sicherheitslücke und muss deswegen immer sehr aufpassen. -
Geschickter wäre es dann es so zu machen:
Regel 1: pass-> Lannet anyport lanaddress 53port (dns)
Regel 2: block->Lannet anyport RFC1918 anyport
Regel 3: pass-> Lannet anyport anyaddress 80port (http)
Regel 4: pass-> Lannet anyport anyaddress 443port (https)
Regel 5: block->anyaddress anyport anyaddress anyport (ALL Blocked)RFC1918 ist ein Alias und definiert: 192.168.0.0/16 || 172.16.0.0/12 || 10.0.0.0/8
Nach diesen Regeln muss in anderen Vlan's keine Blockregel erstellt werden und dennoch uneingeschränkter Internet access.
Sollte doch ein Dienst in ein anderes Vlan greifen dürfen ist die Regel zwischen 1 und 2 gut aufgehobenQuelle: https://www.administrator.de/frage/pfsense-firewall-wan-rule-stehe-schlauch-232210.html
Regel 3, 4 und 5 mußt du halt ändern, zb. löschen und nur eine pass lannet any any any
Gruß
pfadmin -
Ja, das ist genau das, wonach ich gesucht habe. Vielen Dank dafür!
Verstehe ich es richtig, dass mit dieser Regel eigentlich auch gleichzeitig die komplette Kommunikation der Gastgeräte untereinander unterbunden werden sollte (solange der IP Bereich des Gastnetzes innerhalb des RFC1918 liegt)?
Zumindest bin ich davon ausgegangen, aber mit der iPad Netzwerk Scanner App - Fing, werden alle angeschlossenen Gastgeräte gefunden und einige kann ich problemlos anpingen. Was könnte das Problem sein? -
Hi,
nein, die Gäste untereinander können uneingeschränkt miteinander reden, da sie im gleichen Subnetz sind und somit die pfsense nicht brauchen (maximal als DHCP Server beim einschalten). Einzig der Accesspoint kann so eingestellt sein, dass dies verhindert wird. Evtl gibt es da noch Sachen die man über die Adressvergabe (DHCP) machen kann, sind mir aber unbekannt. Solltest du dann nochmal separat hier anfragen.Gruß
pfadmin -
Dein AP muss das machen, wobei ich nicht weiß, ob die Unify Dinger das könnten.
-
Danke euch beiden! Ja, die Unifi AP's kann man echt gut einrichten und vor allem bieten sie auch wirklich viele Einstellungsmöglichkeiten, mit denen man sehr gut seine Vorstellungen umsetzen kann (im Gegensatz zur z.B. eierlegenden Wollmilchsau - der FritzBox, mit der ich mein Vorhaben zum Gastnetzwerk vergessen konnte…).
Man kann halt wohl bis zu 4 SSID's erstellen und diese bei Bedarf als Gastnetzwerk (mit Zugriffsbeschränkungen und Geschwindigkeitsreduzierungen) über VLAN einrichten. Ich habe es zunächst auch im AP eingerichtet, wollte es später aber lieber alles in der pfSense zentralisiert haben und deswegen den Hacken bei Gastnetzwerk rausgenommen. Jetzt wieder gesetzt, aber alle anderen Einstellungen gelöscht (das, was nun die pfSense übernimmt) und schon läuft es, wie es soll - die Geräte sehen sich untereinander nicht mehr und es werden auch bspw. keine Bonjour Broadcasts von fremden Geräten mehr empfangen.
Eine Frage zum pfSense Traffic Shaper / Limiter hätte ich in dem Zusammenhang aber noch:
Ich habe 2 Limiter in / out eingerichtet und entsprechend bei der pass-Regel angewendet. Danach laden manche Seiten (ich glaube meist https) aber quälend langsam.
Bei manchen bleibt die Seite weiß und wird erst nach über 20 Sekunden auf einmal komplett geladen, bei anderen wird ein Teil "vorgeladen" und nach einer gewissen Zeit zu Ende geladen (habe jetzt sogar über 1 Minute nachgemessen). Der Speedtest braucht auch erst einige Sekunden Anlaufzeit, zeigt dann aber die richtigen Werte an (wie im Limiter festgelegt).Hat jemand eine Idee, was die Ursache für so ein Verhalten sein kann?