Multi-SSID mit VLANs im Unternehmensnetzwerk
-
Hallo Zusammen,
bisher hat mit das Lesen bestehender Themen und Tutorials immer ausgereicht, aber inzwischen bin ich an einem Punkt angekommen wo ich doch mal Fragen stellen muss.
Aktueller Stand:
Ich habe einen AccessPoint mit drei SSIDs "WIFI" (an VLAN1), "MOBILE" (an VLAN500) und "GUEST" (an VLAN400). An der pfSense sind LAN (mit den drei VLANs) und WAN konfiguriert. LAN ist an unseren Switch angeschlossen, WAN an einer DSL-Leitung die nichts mit unserem Unternehmensnetz zu tun hat.-> Clients die sich mit "WIFI" verbinden, werden vom globalen DHCP im Netz versorgt, und haben uneingeschränkten Zugriff auf das Netzwerk. Der Internetzugriff erfolgt hier über das Unternehmensnetz über den Proxy und den Content-Filter "irgendwo" auf diesem Planeten (outsourced Services)
-> Clients die sich mit "MOBILE" verbinden, bekommen ihre Adressen von der pfSense und haben nahezu uneingeschränkten Internetzugriff und keinen Zugriff in das Unternehmensnetz. Hierbei handelt es sich vornehmlich um Handys, Tablets usw.
-> Clients die sich mit "GUEST" verbinden, werden ebenfalls von der pfSense versorgt und haben nahezu uneingeschränkten Internetzugriff, bekommen jedoch noch das CaptivePortal vorgesetzt.
Untereinander sind die WLANs isoliert, Clients im Unternehmensnetzwerk kommen über die pfSense und die DSL-Leitung nicht in das Internet. Insgesamt eine relativ typische Installation.
Das ganze habe ich jeweils an drei Standorten installiert und funktioniert. Dennoch bleiben Fragen offen…#1:
VLAN:1 ist das Firmenweit gesetzte native VLAN an allen Switchports. Clients die sich mit dem o.g. "WIFI" verbinden und vom "Firmen-DHCP" versorgt werden, hocken also in VLAN1, bekommen aber unsere Standardrouter als Gateway vorgesetzt. Der Traffic tangiert die pfSense also nicht.Muss VLAN1 denn dann überhaupt an der pfSense konfiguriert werden?
#2:
der LAN Port der pfSense an dem alle drei VLANs konfiguriert sind hängt am Unternehmensnetzwerk. Der LAN-Port hat eine Adresse aus dem Netz des Standortes und über diese greife ich auch auf die pfSense zu, wenn ich mich an diesem Standort befinde.Aktuell kann ich nicht von StandortA auf die pfSense an StandortB zugreifen (keine ICMP-Antworten, kein HTTP, kein SSH), obwohl die Anti-Lockout-Regel dies ja zulassen müsste, da Source als : angegeben ist. Des Weiteren gibt es noch die beiden Standardregeln "Default allow LAN to any rule".
Klar, die IP-Netze der anderen Standorte gehören ja nicht zu "LAN Net". Also habe ich die Standorte mit Ihren IP-Netzen als Aliase definiert, und am LAN Port weitere Regeln mit diesen Aliasen definiert, die diese Netze zulassen sollen. Aber dennoch keine Chance.
Inzwischen sind diese zusätzlichen Regeln wieder raus, und die Filter-Logs umgestellt, sodass mir alles angezeigt wird. Beim Versuch auf eine pfSense von einem anderen Standort zuzugreifen, taucht dies im Filter-Log mit PASS auf, aber dennoch keine Reaktion per SSH, oder Rückmeldung im Browser wenn ich über HTTP darauf zugreife.
Was muss ich den tun, damit ich Standortübergreifend auf die pfSense zugreifen kann, damit ich nicht wegen Kleinigkeiten (Updates, Logs, Voucher-Ausdrucke, …) durch die Weltgeschichte reisen muss?
Vielen Dank
-
Hi,
#1: nein. Alles was ungetaggt da ankommt, geht in LAN rein und endet da, wenn nichts weiter erlaubt ist. "any to any" läßt dann auch Traffic in die VLANe 500 und 400 zu. Auf den deaktivierten DHCP ist zu achten.
#2: Route für die Antwortpackete ist vorhanden? :o Ich schätze mal, dass die einen anderen Weg gehen (wollen)…Gruß
pfadmin -
^das und
wenn in der pfSense nur das eigene WAN als Gateway konfiguriert ist (default), dann weiß sie ja nicht, wohin sie Pakete, die über einen anderen Router zu ihr kommen, beantworten soll.
Also erst den anderen Router als eine weitere Gateway IP eintragen (nicht default machen, Monitoring kannst Du vermutlich ausschalten) und dann eine Static Route zum entfernten subnet über dieses Gateway setzen.