Mehrere LAN-Interface
-
Hallo,
als Netzwerknoob frage ich mich, was es bedeutet, mehrere LAN-Interface an der pfSense zu betreiben. Bei einem einfachen Homerouter sind die weiteren Ports ja defacto wohl ein Switch. Was aber passiert in pfSense, wenn ich mehrere Interface habe. Sind diese dann noch untereinander verbunden? Sind das schon vlans?
Hintergrund ist der, dass ich einzelne Rechner von IPv6 Internet ausschließen möchte. Wenn ich nun mehrere Interfaces hätte und bei einem z.B. IPv6 nicht auf Track stellen würde, sondern es deaktiviere, könnte das helfen? Aber was bedeutet das für mein Netzwerk insgesamt? So auf die schnelle finde ich dazu nichts. Wäre schön, wenn mich wer auf die richtige Spur bringt, was mehrere LAN-Interface überhaupt bedeutet.
-
@Bob-Dig said in Mehrere LAN-Interface:
Bei einem einfachen Homerouter sind die weiteren Ports ja defacto wohl ein Switch.
Richtig.
@Bob-Dig said in Mehrere LAN-Interface:
Was aber passiert in pfSense, wenn ich mehrere Interface habe.
erstmal gar nichts bis du sie aktivierst, zuweist und ne IP drauf klebst.
@Bob-Dig said in Mehrere LAN-Interface:
Wenn ich nun mehrere Interfaces hätte und bei einem z.B. IPv6 nicht auf Track stellen würde, sondern es deaktiviere, könnte das helfen?
Auf dem Interface gibts dann kein IPv6 Routing (local net traffic mit fe80 ist ja noch was anderes). Und folgedem kommt auch kein Paket via v6 raus.
Wäre schön, wenn mich wer auf die richtige Spur bringt, was mehrere LAN-Interface überhaupt bedeutet.
Auch nichts anderes, als wenn du in deinen Server oder Client mehrere Interfaces einbaust. Erstmal also nix, wenn du sie aktivierst und dann IPs drauf packst, dann kann man sie entsprechend benutzen. Als WAS du sie nutzt (WAN, LAN, DMZ, Server Separation, whatever) ist ja einzig dir überlassen und hängt von deinen IP Bereichen und den Rechten ab.
Grüße
-
Ein Vorteil ist, dass man mehrere Netzwerke komplett voneinander trennen kann und das diese eigene Firewall/NAT/Snort/Suricata Regeln haben. So was lässt sich auch mit VLANs umsetzen, dazu benötigt man aber VLAN fähige Hardware, wie z.B. Switches. Gern wird die 3. Schnittstelle für eine DMZ genutzt. Damit hat man ein komplett getrenntes / isoliertes Netz für z.B. Webserver mit eigenen Sicherheitsanforderungen. Geräte die von einer LAN Schnittstelle auf Komponenten in der DMZ zugreifen möchten, benötigen dazu auch entsprechende Firewall Regeln.
-
Ok, wie kann ich mir das vorstellen. Ich vergebe eine andere Netmask(?) und trenne damit die Netze voneinander? Gibt es automatisch Firewallregeln, die diese NICs in pfSense trennen oder müsste ich das erst selbst machen? Kann die weitere NIC auch einfach wie bei einem Homerouter als Switch dienen, auch wenn weniger performant, oder gar gleich performant?
Oder um zu meinem eigentlichen IPv6 Problem zurück zu kommen. Ich würde nur eine weitere IPv4 im selben Netz für die zweite NIC vergeben und würde dort dann IPv6 drauf deaktivieren. Dann würden alle Rechner ansonsten ohne Probleme mit den "alten" Rechner kommunizieren oder ist das z.B. nicht möglich? Sry, mir fehlen halt die Grundlagen. Mit ein paar mehr Infos würde ich es vielleicht einfach testen.
Wobei ich auch schon mal von statischen Routen gehört habe, aber noch nie so eine genutzt habe. -
@Bob-Dig
Das ist vermutlich ein Anwendungsfall, den man so schnell nicht wieder finden wird, aber das kannst du so machen.
Auf dem einen Interface aktivierst du IPv6, bei dem anderen nicht. Dann vergibst du jedem Interface eine IPv4 Adresse aus unterschiedlichen Netzen. Damit die 2 Netze sich per IPv4 gegenseitig Unterhalten können, muss noch eine any Firewall Regel vom Interface1 zu 2 und noch eine vom Interface2 zu 1 erstellt werden. Das Routen übernimmt der Router
Beispiel
Interface1 -> 192.168.1.254/24
Firewall Regel Interface1
Schnittstelle: Interface1
Adressfamilie: IPv4
Protokoll: any
Quelle: Interface1 net
Ziel: Interface2 netInterface2 -> 192.168.2.254/24
Firewall Regel Interface2
Schnittstelle: Interface2
Adressfamilie: IPv4
Protokoll: any
Quelle: Interface2 net
Ziel: Interface1 net -
@nonick Cool, dann werde ich das mal versuchen. Wobei ich gerade merke, dass ich die Rechner so einfach nicht separieren werde können, da muss ich erst noch was virtualisieren. Ziemlich viel Aufwand für den Zweck, aber wird mal Zeit wieder was dazuzulernen.
-
@Bob-Dig Wobei, habe ich dann auch mehrere DHCP Server oder wie werden die IPs dort (im zweiten Segment?) vergeben?
-
@Bob-Dig Du kannst unter DHCP Server für jedes Interface einen aktivieren. Damit hast für jedes Netzwerk einen DHCP Server.
-
@nonick Danke, ich sehe schon, ich muss mich einfach trauen. Theorie ist ja jetzt soweit klar.
Wenn ich jetzt ein Interface nur für die Server mache, hätte das auch den Vorteil, dass auch nur darauf Suricata laufen müsste usw. Wird bestimmt spannend. -
@Bob-Dig said in Mehrere LAN-Interface
Wenn ich jetzt ein Interface nur für die Server mache, hätte das auch den Vorteil, dass auch nur darauf Suricata laufen müsste usw.
Und schon bist du damit nicht mehr weit weg von einer DMZ.
-
@nonick Hmm. Ich will aber auch aus meinem LAN auf die Server zugreifen können. Mit NAT-Reflection wäre das vielleicht dann noch möglich, ist aber wohl nicht empfohlen?!
-
@Bob-Dig said in Mehrere LAN-Interface:
NAT-Reflection
Das macht man nicht, dafür gibt es in der Sense die DNS Überschreibung. Damit wird die öffentliche IP-Adresse vom Domainnamen innerhalb des eigenen Netzes in die private IP-Adresse des Server aufgelöst.
LAN auf die Server zugreifen können
Das ist doch schon mit der oben aufgeführten Firewall Regel möglich. Natürlich wäre da statt einer any Regel eine angepasste besser.
-
So heute war ich dann mal so frei und dachte mir, kopiertse die Einstellungen von LAN für das neue Interface (opt1) und jetzt kann ich dort nicht Track Interface einstellen, weil angeblich die IPv6 Prefix ID 0 schon für LAN vergeben sei, gleichzeitig ist als Eingabe aber auch nur 0 zulässig. Und schon steht ich auf dem Schlauch.
Komme absolut nicht weiter, was die iPv6 Vergabe auf mehreren Interfacen betrifft.
-
Konnte inzwischen im Hauptbereich klären, dass wohl Essig ist und mein toller ISP Pyur mal wieder pyuren Bullshit macht bzw. nur einen 64 Prefix vergibt. D.h. es bleibe bei mir wirklich nur ein Interface mit IPv6.
Hab es dann jetzt so final umgesetzt, Server sind am dual stack Interface, der Rest am IPv4 Interface.
