Zwei getrennte Netzwerke, drei Lösungsmöglichkeiten?

KHR

Vielen Dank für die Hilfe.

KHR

Hallo liebe Community,

sorry ich muss meinen Thread nochmal rauskramen. :-)

Das mit der VLAN-Verteilung hat soweit funktioniert. Allerdings werde ich aus den Firewall-Regeln nicht so ganz schlau.

Konfiguriert ist das System in pfSense wie folgt:
In pfSense unter Interfaces/VLANs

• Interface em0, VLAN Tag 10
• Interface em0, VLAN Tag 20

In pfSense unter Interfaces/Interfaces Assignments

• Interface WAN, Networkport em1
• Interface VLAN10, Networkport VLAN10 on em0
• Interface VLAN20, Networkport VLAN20 on em0
• Interface LAN not assigned

Im 24Port Switch:

• LAN 1 Trunk und Tagged VLAN 10 und 20
• LAN 3 VLAN10
• LAN 4 VLAN20
  LAN 1 vom Switch ist verbunden mit pfSense em0. LAN 3 mit Rechner 1 und LAN 4 mit Rechner 2.
  (Diese Konfigruation dient mir als Test, um alles auszuprobieren, bevor ich das eigentliche pfSense System in Betrieb nehme).

Firewall-Regeln in pfSense:
Interface WAN:
1.    Protocol: *
      Source: RFC 1918 Networks
      Port: *
      Destination: *
      Port: *
      Gateway: *
      Queue: *
      Schedule:
      Description: Block Private Networks

2.    Protocol: *
      Source: Reserved, not assigned by IRNA
      Port: *
      Destination: *
      Port: *
      Gateway: *
      Queue: *
      Schedule:
      Description: Block Bogon Networks

Interface VLAN10:
1.    Action: Pass
      Protocol: IPv4 *
      Source: VLAN10 net
      Port: *
      Destination: VLAN10 net
      Port: *
      Gateway: *
      Queue: none
      Schedule:
      Description: VLAN10 talks to VLAN10

2.    Action: Pass
      Protocol: IPv4 TCP
      Source: VLAN10
      Port: *
      Destination: WAN net
      Port: 80 (HTTP)
      Gateway: *
      Queue: none
      Schedule:
      Description: VLAN10 talks to Internet HTTP

3.    Action: Pass
      Protocol: IPv4 TCP
      Source: VLAN10
      Port: *
      Destination: WAN net
      Port: 443 (HTTPS)
      Gateway: *
      Queue: none
      Schedule:
      Description: VLAN10 talks to Internet HTTPS

Interface VLAN20 ist equivalent zu Interface VLAN10 konfiguriert.

Allerdings bekomme ich so keine Internetverbindung. Eine Internetverbindung bekomme ich nur, wenn ich bei der zweiten und dritten Rule bei Source und Destination "Any" wähle. Was aber ja wieder dazu führt, dass ich von VLAN10 auf VLAN20 und von VLAN20 auf VLAN10 zugreifen kann.

Ich hoffe ihr könnt mir sagen, wo mein Denkfehler ist. :-)

Außerdem ist mir aufgefallen, dass pfSense auf dem WAN Port ständig Traffic hat. Auch wenn außer pfSense und der 24Port Switch nichts verbunden ist. Also die beiden Rechner nicht eingeschaltet sind.

Vielen Dank nochmal und viele Grüße,
KHR

JeGr

Hi,

Description: VLAN10 talks to VLAN10

Wofür muss das Netz mit sich selbst reden?? :o

Description: VLAN10 talks to Internet HTTP
        Description: VLAN10 talks to Internet HTTPS

Warum nur die beiden? Brauchst du nur HTTP/HTTPS? Das wäre aber etwas wenig?
Ansonsten - es sei denn deine pfSense macht intern alles - würden mir da Regeln zu DNS, NTP, DHCP etc. fehlen, die würde dann glücklicherweise die Regel 1 mit abdecken, auch wenn sie sonst keinen Sinn macht. Korrekt wäre da eher, aus LAN net auf LAN address (also die sense) die Sachen freizugeben, die man haben möchte wie eben DHCP, DNS, NTP etc. und ggf. noch die Web Ports (wenn Management in VLAN10 erlaubt sein soll und das nicht eh schon von der Anti-Lockout Regel erledigt wird).

Zudem hast du auf dem VLAN10 nirgends verboten, dass du mit VLAN20 reden darfst. Also klappt das natürlich auch (in Maßen) weiterhin. Wenn du die VLANs isolieren willst wäre sowas hier nötig:

1. allow VLAN10_net to VLAN10_address mit Ports auf TCP/UDP Diensten die notwendig sind (siehe oben). Alternativ auch any protocol und any port wenn dir das egal ist. Dann sollte VLAN10 auch sauber DHCP, DNS, NTP und Co für Infrastruktur machen können
2. BLOCK VLAN10_net to VLAN20_net
3. allow VLAN10_net to any (internet) -> da kannst du proto any und port any machen wenn du alles abgehend erlauben willst oder ggf. einschränken auf http/s etc. mit einem Alias.

VLAN20 dann natürlich 1:1 anpassen.

KHR

Hallo JeGr,

und mal wieder vielen Dank für deine Antwort.

Description: VLAN10 talks to VLAN10

Wofür muss das Netz mit sich selbst reden?? :o

Wenn ich diese Regel nicht setze, kann ich beispielsweise nicht auf einen Fileserver zugreifen, der sich in diesem VLAN befindet. Zumindest bei meiner Teststellung.

Wenn ich die Interfaces VLAN10 und VLAN20 in den Regeln unangetastet lasse, also keine Regeln vergebe, kann ich in den jeweilinge VLANs nichts. Kein Rechner kann mit einem anderen komunizieren. Auch nicht auf Fileserver, das Web Interface von pfSense, usw. Daher die VLAN10 talks to VLAN10 Rule. Dann funktioniert das. Anders irgendwie nicht.

Ich glaube, ich habe noch oder wieder einige Denkfehler in meinem System. :-)

Was ich möchte ist, dass VLAN10 und VLAN20 sich eine Internetverbindung teilen, also mit dem WAN Port kommunizieren. Untereinander sollen VLAN10 und VLAN20 nicht kommunizieren können. Von außen soll keines der beiden VLANs erreichbar sein.

Kannst du, oder ihr, mit Tipps geben? Vielleicht auch gerne Literatur zu pfSense? Damit ich mich besser einlesen kann? Ich werd irgendwie aus dem Online Manual und den vielen Youtube Videos nicht schlau.

[EDIT]
Was meinst du mit "allow VLAN10_net to VLAN10_address"? Meinst du die IP-Adresse von PC1? Eigentlich sollen, außer der Fileserver, alle die IP-Adresse per DHCP erhalten.
[\EDIT]
[EDIT2]
Hab ich selbst rausgefunden. VLAN10_address ist die IP Adresse mit der das Interface VLAN10 konfiguriert ist. Also beispielsweise 192.168.10.1 wenn ich das im Wiki von pfSense richtig verstanden habe.

Ich frag mich nun, was du mit allow VLAN10_net to any (internet) meinst. Was genau mit internet? Das WAN Interface? Oder wirklich zu "Any"?
[\EDIT2]

Vielen Dank nochmal und viele Grüße,
KHR

KHR

So, hab's nochmal überarbeitet.

Konfiguration ist jetzt folgende:
WAN Interface: Block Private Network, Block Bogon Network

VLAN10 Interface:
1. Allow IPv4 * VLAN10 net Port * –> VLAN10 address Port *, Gateway *
2. Block IPv4 * VLAN10 net Port * --> VLAN20 net Port *, Gateway *
3. Allow IPv4 TCP VLAN10 net Port * --> * Port *, Gateway * (also: allow all auf IPv4 TCP)

VLAN20 Interface:
wie VLAN10 Interface 1:1

Habe Bilder beigefügt, wie die Konfiguration ist.

Prinzipiell läuft's so. Die VLANs können nicht untereinander kommunizieren. Internet habe ich an beiden VLANs.

Fragen hierzu: Könnte man bei Punkt 3. auch Allow Any VLAN10 Port * --> * Port *, Gateway * machen? Ist das ein Sicherheitsrisiko? Ich denke nicht, da ja von Seite des WAN Ports alles geblockt wird, was in die Firewall reinkommt. Oder sehe ich das falsch?
Ist o.g. Konfiguration sicher von Seite des Internets? Ich denke wiederum schon, weil ja von Seite des WAN Ports alles geblockt wird. Oder sehe ich das falsch?

Außerdem interessiert mich noch der Traffic auf dem WAN Interface. Aufgefallen ist mir das, weil die ACT/LINK LED ständig blinkt. Hab auch auf den Traffic Graphs Traffic gesehen. Auch hier habe ich mal ein BIld der Traffic Graphs beigefügt (graph.png). Muss oder sollte ich mir wegen des ständigen Traffics auf dem WAN Interface Gedanken machen?

Ich hoffe, ihr bringt mal wieder Licht ins Dunkel. :-)

Vielen Dank und viele Grüße,
KHR

JeGr

So mal kurz zu den Regeln:

Generell: es wird am Ende immer implizit ein "block any" auf jedem Interface geschehen. Somit wäre bspw. momentan auf dem WAN die beiden Regeln "nicht notwendig", diese werden aber über die Haken beim Interface automatisch gesetzt. Tut niemand weh UND verhindert, dass später - sollte man auf WAN tatsächlich was reinlassen wollen - irgendwas reinkommt, was komisch wäre.

WAN: sieht OK aus
VLAN10 + VLAN20: genau das hatte ich gemeint :) allerdings:

Fragen hierzu: Könnte man bei Punkt 3. auch Allow Any VLAN10 Port * –> * Port *, Gateway * machen? Ist das ein Sicherheitsrisiko? Ich denke nicht, da ja von Seite des WAN Ports alles geblockt wird, was in die Firewall reinkommt. Oder sehe ich das falsch?

Genau das. Ich hatte auch mit ANY (Proto) gemeint. Du möchtest ja auch mal was im Internet anpingen o.ä. von einem PC, ergo muss auch UDP, ICMP etc. offen sein, sonst läuft da nix :) Nur TCP ist etwas "mutig" :)

Ist o.g. Konfiguration sicher von Seite des Internets? Ich denke wiederum schon, weil ja von Seite des WAN Ports alles geblockt wird. Oder sehe ich das falsch?

Siehe Kommentar zu WAN und Generell. Es kommt von außen eh nichts rein. Jede Gefahr wird somit also von innen verursacht, nicht von außen.

Muss oder sollte ich mir wegen des ständigen Traffics auf dem WAN Interface Gedanken machen?

Da keine Skala für WAN definiert ist, nehme ich an, dass es Bit/Sekunde oder Byte/Sekunde sind. Dann ist das zu vernachlässigen und in Ordnung. Das Internet ist kein stiller Ort. Nicht mehr. Es reden ständig irgendwelche Systeme übereinander und durcheinander. Das ist quasi dein Grundrauschen auf der Leitung. Du kannst es spaßeshalber mal mitschneiden, ist oftmals kein schöner Anblick ;)

Grüße

KHR

Hallo und mal wieder vielen vielen Dank für die Unterstützung! :-)

Dann hab ich's ja scheinbar noch noch verstanden. :-) Da ich über pfSense mehr erfahren möchte, werde ich mir warscheinlich das pfSense Buch kaufen (pfSense the definitive guide). Ist das zu empfehlen?

Das mit dem "Grundrauschen" ist einleuchtend, allerdings macht das mein Router von der Stange nicht. Zumindest blinkt dort nicht ständig die LED für WAN. Das hat mich einfach stutzig gemacht. Aber wenn du sagst, das wäre Grundrauchen, muss ich mir ja keine Gedanken machen.

Der Traffic, der auf dem anderen Interface generiert wird ist vermutlich die Verbindung zum Webinterface von pfSense, welches sich vermutlich ständig aktualisiert.

Viele Grüße,
KHR

hornetx11

@KHR:

Hallo und mal wieder vielen vielen Dank für die Unterstützung! :-)

Dann hab ich's ja scheinbar noch noch verstanden. :-) Da ich über pfSense mehr erfahren möchte, werde ich mir warscheinlich das pfSense Buch kaufen (pfSense the definitive guide). Ist das zu empfehlen?

Moin,

dem Buch kann ich bis auf das Alter nix schlechtes nachsagen.
Es handelt nicht nur die pfsense an sich ab, sonder erklärt auch einige Grundlagen.
ABER schau dir mal die Goldmitgliedschaft an. Die ist zwar etwas teurer, enthält aber das Buch in einer aktuelleren Version (Mai 2017 glaub' ich). Und Du unterstützt das Projekt.
Oder vielleicht über eine SG 1000 nachdenken. Hier gebt es Hardware und ein Jahr Gold mit Buch (ePub,PDF,…)

HornetX11 mobil

magicteddy

Moin,

Du hast gesehen das das Buch von 2009 ist?

-teddy

KHR

Ja, dass das Buch "etwas" älter ist, habe ich gesehen. :-)

Das mit der Gold Mitgliedschaft ist eigentlich eine gute Idee. Oder evtl. wirklich die SG 1000.

Ich frage mich, ob die SG 1000 für mich "ausreichend" ist. Ich denke die VLANs sind für die SG 1000 kein Problem. Ich möchte aber evtl. später mal das Virenscanner PlugIn nutzen. Ist da die SG 1000 noch ausreichend, oder ist das Leistungsmäßig nicht so toll? Hat die SG 1000 Gigabit LAN?

Zur Zeit nutze ich ein ASRock Q1900M (Intel Celeron Quad Core) mit 2GB RAM (DDR3) und zwei Intel PRO 1000 CT NICs. Klar, das System ist absolut oversized, hatte ich aber da. :-)

Würde die SG 1000 für VLANs und das AV PlugIn reichen?

Die SG 1000 wäre, auch was den Stromverbrauch betrifft (mein aktuelles pfSense System braucht ca 25W im idle) besser.

hornetx11

Moin,

@KHR:

Würde die SG 1000 für VLANs und das AV PlugIn reichen?

Ganz Bestimmt NICHT.
512MB RAM ist für den AV echt zu wenig.

Die Idee eine SG1000 zu nehmen war auch eine andere:
Für 50$ mehr als die reine Goldmitglieschaft erhält man einen Hardware Mehrwert.
Diese kann man dann z.B veräußern oder als "Secure Dongel" mit auf Reisen nehmen oder einen Heimarbeitzplatz anbinden, oder …

Mit freundlichen Grüßen
HotnetX11 mobil

magicteddy

Moin,

das mit dem AV Modul würde ich knicken, ClamAV ist in meinen Augen nur eine Notlösung mit mäßiger Erkennungsleistung, kann Dir aber ratzfatz die ganze Kiste mit 100% CPU Last weghängen. Folgen: Deine Internetverbindung kommt zu erliegen, der Haussegen aus dem Lot und das Nudelholz lernt fliegen. Das willst Du nicht wirklich  ;)

-teddy

JeGr

Was Teddy sagt mit dem Zusatz:

Hat die SG 1000 Gigabit LAN?

Nope. Die SG-1000 gibt zwar beide Anschlüsse als Gigabit in Hardware aus, schafft auf den Interfaces durch die interne Bus-Anbindung (ähnlich dem RasPi) kein Gigabit auf den Ports. Damit könntest du ggf. nicht mal eine große Kabel-Leitung vollständig ausnutzen, da die Ports beim Routing schon bei 200-400Mbps Schluß. Die eigene Website spricht da von:

Layer 3 forwarding performance using FreeBSD without a packet filter exceeds 400Mbps. Using pfSense with the default ruleset offers performance exceeding 200Mbps.

als etwas vage formulierte grobe Hausnummern. Sprich ~200Mbps sind drin, können auch mehr sein wenn nicht viel drauf läuft, aber das ist so die grobe Richtung. VPN brauchst du dann gar nicht diskutieren im dreistelligen Bereich ;)

KHR

Hallo,

ich muss nochmal diesen Thread rauskramen. Habe neulich was getestet und bin etwas verwirrt, was VLANs angeht.

In Bezug auf Reply Nummer 1 von JeGr
@JeGr:

…
Variante 1 ist ein Denkfehler/Unwissen von VLAN Handling. Sie funktioniert nicht.
...

Ich habe neulich mal einen alten Consumer Router an meinen 24Port Switch gesteckt, dort wo eigentlch die pfSense dransteckt mit VLAN Tagging usw.

JeGr schrieb, dass meine Unwissenheitsversion 1 nicht funktionieren sollte. Das Witzige ist, dass allerdings auch so alles funktionierte. Der Consumer Router hat keinerlei VLAN Tagging gemacht oder dergleichen. Der war im Werkszustand. Im Switch war alles so, wie vorher hier immer beschrieben. Zwei VLANs zugeordnet zu den jeweiligen Ports.

Auch hier war folgende Funktion:
Alle Geräte in ihren jeweiligen VLANs konnten miteinander kommunizieren. VLAN 10 aber nicht mit VLAN 20 und VLAN 20 nicht mit VLAN 10. Beide VLANs waren im selben IP Bereich (192.168.1.0/24).

War das jetzt nur ein Zufall, dass das so funktioniert hat (wie in meinem Eröffnungsport als Version 1 beschrieben), oder funktioniert es eigentlich doch so, aber man macht's halt nicht so, sondern mit verschiedenen IP Adressbereichen?

Viele Grüße,
KHR

JeGr

Beide VLANs waren im selben IP Bereich (192.168.1.0/24).

Das macht ja dann erst recht gar keinen Sinn. Man definiert einzelne VLANs mit Unterschiedlichen Netzen damit man sie trennen kann. Gleiche Netze machen an der Stelle keinen Sinn, weil kein Router der Welt die Netze dann sinnvoll routen könnte. Wie auch - er könnte sich ja nicht entscheiden, auf welchem Port mit welchem VLAN er die Pakete jetzt rausschicken soll, weil er für VLAN10 und 20 den gleichen IP Range hat und da diese gleichberechtigt sind könnte er das nicht zustellen.

Wenn das SO konfiguriert war, hast du es tatsächlich geschafft es schlichtweg so kaputt zu konfigurieren, dass es zufällig dann teils funktioniert hat, denn ein nur mit Tagging konfigurierter Port OHNE PVID (also ohne Fallback auf ein definiertes VLAN) könnte einem Gerät das kein VLAN konfiguriert hat eigentlich gar keine Pakete zustellen. Wahrscheinlich kam aber an der Stelle solch eine Konstellation zu tragen. Aber dass ein Router ohne Tagging an einem Tagged-only Port Pakete aus 2 unterschiedlichen VLANs annehmen sollte, halte ich für schier unmöglich. Dann war da definitiv irgendwo noch was anderes im Switch konfiguriert.

Gruß :)

KHR

Ich glaube dir, dass das so keinen Sinn macht. :-) Aber es funktioniert trotzdem so, wenn ich meinen alten Consumer Router dort anstöpsele. War ja nur ein Test, weil auch ein Arbeitskollege meinte, dass VLANs auch ohne devinierte dedizierte Netze funktionieren würde.

Kaputtkonfiguriert denke ich habe ich nichts im Switch. Dort sind nur die jeweiligen Ports den einzelnen VLANs zugeordnet. Nur einer ist Tagged. Nur der, der mit pfSense verbunden ist. :-) Alle anderen sind Untagged. WLAN, so habe ich mir später überlegt, brauche ich nur bei einem meiner VLANs.

Die PVID habe ich bei den Ports von VLAN10 auf 10 und bei den Ports von VLAN20 auf 20 gestellt. Der Taggedport von pfSense steht auf PVID 10 auf dem Switch. Das "Default VLAN 1" habe ich auf allen Ports deaktiviert, außer auf dem von mir definierten Konfigurationsport des Switches, weil das Management VLAN auf 1 steht. Der von mir in dieser Testkonfiguration angeschlossene Consumer Router kann von sich aus gar kein VLAN. Bzw. das Einzige, was ich dort im Zusammenhang mit VLANing finde ist ein Default VLAN 1, was ja sowieso Standard ist, wenn ich richtig informiert bin.

Wie gesagt, das war auch nur ein Test von mir. Mittlerweile steckt wieder alles an der pfSense. :-)

Aber ein paar dumme Fragen hätte ich evtl. doch noch dazu, weil's mich interessiert.
Der Switch arbeitet ja auf Layer 2. Somit macht der ja VLANing auf Layer 2. Die "Layer 3 Komponente" übernimmt pfSense, also das Aufteilen in die verschiedenen Subnetze 192.168.10.0/24 und 192.168.20.0/24. Wäre es nicht möglich, dass auch VLANing "nur" auf Layer 2 möglich ist? Also technisch?

Auch habe ich im Netz was über Private VLANs gelesen. Ist nicht genau das, was ich dann mit dem ollen Consumer Router gemacht habe? Ist nicht Private VLAN tatsächlich VLANing "nur" auf Layer 2? Oder bin ich da durcheinander?

Bin etwas verwirrt. Leider gibt's hierzu nur Informationen in Englisch.

Oder habe ich da was mit den PVIDs nicht verstanden? Sollte auf allen immer PVID 1 stehen? Habe dieses "Default VLAN 1" bei allen Ports von VLAN10 und VLAN20 deaktiviert. Macht man das nicht so?

[EDIT]
Was mich bei VLANs verwirrt ist, dass wenn ich mir im Netz Informationen über VLAN durchlese oder mir ein Video darüber auf YT angucke immer nur die Rede vom Switch und eigentlich nie vom Router ist in Bezug auf VLAN. Was ich bisher bei verschiedenen Informationen immer nur herauslesen konnte, war, dass man nur zur Kommunikation verschiedener VLANs untereinander einen Router (und somit ja auch verschiedene Netze) "braucht".

Somit würde ja, wenn ich die diversen Informationen von YT richtig interpretiere, eigentlich VLAN auf Layer 2 "reichen", wenn die unterschiedlichen "Netze"/VLANs nicht miteinander kommunizieren sollen. Daher auch meine Version 1 im ersten Thread.

Nun, wo ist mein Denkfehler oder meine Wissenslücke?

Ich bin wirklich sehr interessiert, was Netzwerke betrifft.
[/EDIT]

[EDIT2]
Mit VLAN auf Layer 2 meine ich "portbasiertes VLAN". Laut einem Artikel von Admin Magazin möglich. Beschrieben direkt auf der ersten Seite.

http://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller-LANs

[/EDIT2]

Viele Grüße,
KHR

KHR

@ JeGr

Deine Aussage "kaputtkonfiguriert" macht mich etwas stutzig.

Meine Konfiguration ist folgende.

pfSense Interface Assignment
NIC 1 als WAN
NIC 2 not assigned
VLAN10 auf NIC 2 (IP: 192.168.10.0/24)
VLAN20 auf NIC 2 (IP: 192.168.20.0/24)

pfSense Firewall VLAN10 (von oben nach unten)
1. Allow IPv4 * VLAN10 net Port * –> VLAN10 address Port *, Gateway *
2. Block IPv4 * VLAN10 net Port * --> VLAN20 net Port *, Gateway *
3. Allow IPv4 * VLAN10 net Port * --> * Port *, Gateway * (also auf any)

pfSense Firewall VLAN20
gleiche Konfiguration, wie VLAN10 nur mit VLAN20

24Port Switch
Port 1: Tagged VLAN10 und VLAN20 (hier ist pfSense angeschlossen) / PVID: 10
Port 2-10: Untagged VLAN10 (hier sind Rechner angeschlossen) / PVID: 10
Port 11-15: Untagged VLAN20 (hier sind Rechner angeschlossen) / PVID: 20
Port 16: Untagged VLAN20 (hier ist der Access Point angeschlossen) / PVID: 20
Port 17-23: diese Ports sind deaktiviert, gehören aber dem Default VLAN 1 an (hier sind logischerweise keine Geräte angeschlossen) / PVID: 1
Port 24: Untagged Default VLAN 1 (hier stecke ich einen Rechner an, wenn ich den Switch konfigurieren möchte) / PVID: 1

Die Port Security aller Ports steht auf 1-24, ist somit deaktiviert.

Die Konfigurationen von pfSense und dem Switch sollten doch so richtig sein, oder?

Vielen Dank nochmal,
KHR