Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem)

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 5 Posters 748 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      McFlury
      last edited by McFlury

      Guten Tag,

      wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
      Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.
      Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem
      Netzwerk anrichten.

      Wie kann ich dies mit pfsense unterbinden?
      Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
      in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

      Wie stelle ich das an?

      McFlury

      jahonixJ 1 Reply Last reply Reply Quote 0
      • mike69M
        mike69 Rebel Alliance
        last edited by mike69

        @mcflury said in Öffentliche Räume mit pfsense trennen (LAN-LAN Problem):

        Guten Tag,

        wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
        Innerhalb dieses Gebäudes befinden sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.
        Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem
        Netzwerk anrichten.

        Wie kann ich dies mit pfsense unterbinden?
        Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
        in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

        Wie stelle ich das an?

        McFlury

        Captive Portal den Zugriff managen lassen. Je nach Anzahl der User über das lokale Usermanagement oder über eine RADIUS Authentication. Bringt alles die Sense mit.

        Mike

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • jahonixJ
          jahonix @McFlury
          last edited by

          @mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem):

          Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
          in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

          Port-Security macht eigentlich der Switch, nicht der Router.

          Du kannst im DHCP-Server natürlich für alle eigenen Geräte Einträge generieren und dem DHCP-Server anschließend sagen, dass nur Geräte mit einer MAC Adresse aus der Liste zugelassen sind. Alle anderen (so auch neue Eigengeräte...) bekommen erstmal keine IP.

          Schützt aber nicht davor, dass jemand einfach eine IP auf seinem Gerät einträgt und ausprobiert.

          1 Reply Last reply Reply Quote 0
          • M
            McFlury
            last edited by

            Ich hab mich heute etwas schlau gelesen über dieses 802.1x.
            Habt ihr damit schon eure Erfahrungen gemacht? Wißt ihr, wie man da vorgehen müsste? Brauche ich wirklich
            einen Radius-Server noch dazu? Das scheint doch ein etwas aufwendiger Prozess zu sein. Wäre sehr hilfreich für
            mich, wenn ihr mir die einzelnen Schritte grob auschreiben könntet, wie ich vorgehen müsste.

            Danke
            McFlury

            magicteddyM 1 Reply Last reply Reply Quote 0
            • magicteddyM
              magicteddy @McFlury
              last edited by magicteddy

              Moin,

              Brauche ich wirklich einen Radius-Server noch dazu? Das scheint doch ein etwas aufwendiger Prozess zu sein.

              Natürlich brauchst Du einen Radius dafür, wer soll denn sonst entscheiden wer darf und wer nicht?
              Brauchst Du die Anschlüsse? Wenn nein: Patchkabel abziehen fertig, Problem kostenlos und sicher gelöst.
              Sind die Dosen alle auf ein Patchpanel geführt?

              Einen Radius aufzusetzen ist kein Problem, auch nicht sonderlich aufwändig, aber die restliche Infrastzruktur muss auch mitspielen, ist das gegeben? Hier ist was zu lesen: Sicherheit: Netzwerk Zugangs Kontrolle mit FreeRadius für LAN Switches oder WLAN mit 802.1x
              danach musst Du Eure Switche mit dem Radius verheiraten ...

              Und mal so am Rande und das ist wirklich nicht böse gemeint: Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem Netzwerk anrichten.
              Wenn ich das lese und Deine Bemerkung zum Radius: Sollte da nicht Jemand mit Erfahrung ran? Nicht das du nachher alles lahm legst und Deine frsitlose Kündigung bekommst. Ein öffentlich zugänglicher Bereich mit Zugriff auf euer Netz ist imho grob fahrlässig. Entweder die Dosen abschalten oder vom Firmennetz abtrennen!

              -teddy

              @Work Lanner FW-7525B pfSense 2.7.2
              @Home APU.2C4 pfSense 2.7.2
              @CH APU.1D4 pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                @mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem):

                wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
                Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.

                Da muss ich Teddy im Post vor mir zustimmen. Das Problem ist IMHO hier in den 2 Sätzen schon umfassend beschrieben. Das ist eine Konstellation, die es eben so nicht geben darf. Entweder man hat ein einziges Netz - mit allen negativen Konsequenzen wie dem geschilderten Problem - oder man führt VLANs ein. Dafür sind sie da. Und dann kann man auf dem extra VLAN für den öffentlichen Raum ein Portal anmachen und der Rest vom LAN hat seine Ruhe und Sicherheit. Halbwegs.

                Zumal man bedenke: wenn die Switche nicht mal VLAN könnten - dann können Sie 802.1x Port Security schon 2x nicht :)

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.