Auf Accesspoint hinter der Pfsense zugreifen

PHB

@all,

hab da ein Thema mit dem ich nicht weiter komme.

Hier das Netz: ( Es handelt sich um ein Studentenwohnheim eines gemeinnützigen Vereins)
(Ich betreue das Netz als Ehrenamtlicher)

Alle Client hängen per WLAN an der Pfsense und müssen sich über das Captiv Portal authentifizieren.

Ich bin Remote (von Zuhause) mit dem Fritz Fernzugang mit der Fritzbox verbunden kann mich
auch die pfsense einloggen und alles konfigurieren.

Jetzt möchte ich mit eine temporäre Möglichkeit schaffen auf die Accesspooints hinter der pfsense zuzugreifen.
Jedoch möchte ich mir dadurch nicht durch die Hintertür die PFsense Einstellungen für die Clients verbiegen.

Im Captiv Portal unter allowed IP Adresse den Accesspoint eintragen

← 192.168.24.10 Accesspoint
← = All connections from the address are allowed

Virtuelle IP // Hier ist mein Tipphehler muss 192.168.201.10 sein

192.158.201.10/32 WAN IP Alias

1:1 NAT

WAN 192.168.201.10 192.168.24.10 *

Firewall Regel WAN

Protocol Source Port Destination Port Gateway Queue
IPv4 TCP * * 192.168.24.10 * * none

Die Idee war das ich mit der 192.168.201.10 nun den Accesspoint unter 192.168.24.10 erreichen kann.

Leider geht es so einfach nicht.

Würde mich über jede Hilfe freuen.

Vorab vielen Dank.

Gruß Peter

Rico

Hi Peter,

der Zugriff auf die Accesspoints selbst erfolgt einfach per Webinterface? Was hat dann das CP der pfSense damit zu tun?
Wenn ich dein Setup richtig verstanden habe, wäre für mich der sauberste/beste Weg den Remotezugang auf der Fritzbox zu deaktivieren und dafür OpenVPN auf der pfSense zu aktivieren.
Von da kannst du dann auf alle Hosts im pfSense LAN zugreifen.

-Rico

PHB

@rico said in Konnte mein Postiing nicht Löschen,:

Rico

@Rico

beim zweiten durchlesen meines ersten Postings ist mit ein Tipfehler aufgefallen. Es klappt jetzt.

Wollte mein Posting löschen, Du warst schneller, Danke für Deine Antwort.

Hab erst später gemerkt das Du schon geantwortet hast und hab mein Posting geleert.

Danke für Deinen Tip, daran werde ich mich versuchen, hoffe die FB lässt den VPN traffic durch.

Gruß Peter

JeGr

@phb said in Konnte mein Postiing nicht Löschen,:

Hab erst später gemerkt das Du schon geantwortet hast und hab mein Posting geleert.

Sowas finde ich generell etwas unschön, jetzt hat Rico auf nen Post geantwortet der leer ist und keiner weiß was da drinstand. Deshalb kann man eigentlich keine Postings löschen, weil sonst die Antworten hier verwaist im Forum rumdümpeln. Lasst andere doch einfach teilhaben an der Lösung und schreibt ggf. eure eigene Antwort drunter was es war - das hilft dann auch bei der Suche bei anderen, bei denen es vllt. so einfach sein kann :)

PHB

@jegr Js das ganze ist mir auch mega Peinlich.

Das erste Posting und gleich ins Fettnäpfchen getreten.

Hab das Original Posting wieder hergestellt und meinen Tippfehler markiert.

Es Funktioniert jetzt, aber die Rico vorgeschlagene Idee ist die viel elegantere Lösung.

Gruß Peter

JeGr

@phb said in Konnte mein Postiing nicht Löschen,:

@jegr Js das ganze ist mir auch mega Peinlich.
Das erste Posting und gleich ins Fettnäpfchen getreten.

Hey KEIN Problem - ich sag es nur weil es oft anders gehandhabt wird. Da hier im Forum aber nicht gern "gelöscht" wird aus zweierlei Gründen (Spam und um gegen Zensurvorwürfe kontern zu können), ist löschen von Userseite aus nicht drin ;) Da wird dann nur ausgeblendet - außer wie in dem Fall wenn es schon Antworten gab, damit diese nicht verwaisen können :)

Und jeder macht Fehler, so lernen wir immer dazu ;) Also kein Beinbruch!

NOCling

AP Management ist also im Client Netz?

Das kann man besser lösen, im Gastnetz sollte nur die FW als GW vorhanden sein.
Setzt dann aber einen Switch mit VLAN Funktionalität voraus.

the other

Moinsen,
eigentlich sollte für dein Netz der Aufbau so passen.
WAN>FB mit PWL wegen open VPN auf > pfsense>switch>LAN/WLAN

Das geht ja scheinbar auch.
Die Idee, sich da ggf. einen VLAN fähigen switch zu holen, find ich gut. Du könntest dann wie @NOCling geschrieben hat, den produktiven Clientverkehr sauber vom Management Verkehr trennen und alle Anmelde GUIs (pfsense, switch, AP etc) in das Management VLAN packen, das dann mit Regeln abschotten, so dass die "normalen" Clients da nicht drauf kommen nur du als admin über die IP des Clients, der eben für Administration gilt.
zB
VLAN1 für Netzwerkgeschwurbel
VLAN x -y für Clients (WLAN, LAN, Server, PCs, wie du es sinnig findest)
VLAN z fürs Management mit begrenzenden Regeln

Wenn dir das für den Hausgebrauch nicht bereits zu viel Overkill ist, dann kannst du auch die Clients im VLAN noch dynamisch ins richtige VLAN packen lassen (wenn der switch das kann).

Außerdem kannst du so zB Gastnetz und Heimnetz sauber aufdröseln, so dass sich Gäste eben nur noch übers CP auf ihr Gast(W)LAN schalten dürfen (mit MultiSSID-fähigen APs).

jm2c und nur aus Hobbykelleradminsicht...
Grüßle
the other

PHB

@NOCling @the-other ,

das mit dem VLAN ist ne gut Idee, ich muss mir erstmal den switsch anschauen.
(Ist ein kleiner HP 8 Port Gigabit switch)

Werde mir das auf die todo Liste setzten wenn ich mal wider vor Ort bin.

Wen der VLANs kann werde ich mich ggf. wegen der Konfiguration nochmal melden.

Gruß Peter