Lokales VPN zwischen Heimnetz und Gastnetz
-
Moin,
ich möchte kein zusätzliches Gast WLAN einrichten und habe mir überlegt ob es möglich ist, intern eine VPN Verbindung zu erstellen zwischen Meinem Heimnetz (192.168.2.0/24) und meinem WLAN Netz (172.16.1.0/24)
Ist das mit pfSense machbar?
Danke in vorraus :) -
intern eine VPN Verbindung zu erstellen zwischen Meinem Heimnetz (192.168.2.0/24) und meinem WLAN Netz (172.16.1.0/24)
Worüber? Beide Netze terminieren ja sehr wahrscheinlich auf deiner pfSense? Worüber willst du dann einen Tunnel spannen? Und warum?
-
Naja das WLAN soll vom LAN getrennt sein, damit gäste nicht auf daqs NAS usw. zugreifen können. Allerdings möchte ich schon mit meiem Handy oder Notebook auf die Geräte im LAN zugreifen können.
Vielleicht ist VPN da ja auch der falsche Weg… -
Dafür gibt es Firewall Regeln.
Wenn du es sauber haben möchtest und du die Möglichkeit hast, kannst du das Gastnetz in ein eigenes (virtuelles) Subnetz bringen und dieses auf der pfSense entsprechend berechtigen.
Wenn nicht, arbeite mit statischen DCHP Mappings für Geräte, die Zugriff haben sollen und erlaube diesen die Zugriffe per Firewall Regel. -
Ich werd mir das mal ansehen, melde mich dann ggf. noch einmal.
Besten Dank :)
-
Naja das WLAN soll vom LAN getrennt sein, damit gäste nicht auf daqs NAS usw. zugreifen können. Allerdings möchte ich schon mit meiem Handy oder Notebook auf die Geräte im LAN zugreifen können.
Da wären entweder 2 verschiedene SSIDs (evtl getrennt via VLAN und nicht nur IP Range) oder eben 2 WLANs sinnvoll für. Manches Mal hat man ja eh schon ungewollt noch ein zweites, bspw. wenn man vor der pfSense noch einen Providerrouter mit WLAN hat. Diesen "mißbrauche" ich dann gerne mal für Gäste "on demand" - wird also auch nur angemacht, wenn Gäste da sind :) Echtes WLAN mit Zugriff auf LAN gibts dann nur für autorisierte Geräte.
-
Die Kiste ist da und ich hab festgestellt: Ich bin nur ein dummes Äffchen :(
Gibt es irgendwo eine Beispielconfig zum runterladen oder ein gutes Tutorial für dummies?
Meine Anforderungen:
WAN: Wollte die FritzBox 7390 als Modem einsetzen, geht aber scheinbar mit dem aktuellen FritzOS nicht mehr, also Macht die Box die Einwahl und pfSense ist in der DMZ
LAN: ganz normal Internet usw. + VPN Server
WLAN: wie oben beschrieben. Die Lösung mit eine Regel für alle die vom WLAN aufs LAN zugreiefen dürfen finde ich gut/besser als 2 WLANP.S. Gibt es für Version 2.3.2 kein _Unifi Package mehr?
-
bei administrator.de hat aqui viele gute Howtos veröffentlicht…
-
Moin,
so langsam bekomme ich ein Gefühl dafür… aber ich denke mir fehlt etwas grundsätzliches...
selbst wenn ich alle meine Rules deaktiviere habe ich keine Verbindung zwischen meinen beiden Netzen (LAN 192.16.28.0 und WLAN 192.168.31.0)
und im Firewall Log steht auch nichts.Ich habe gelesen das ich dafür einen static Gateway eintragen muss, aber entweder mach ich das falsch, oder das hilft nicht :-/
Irgendwelche Ideen?
-
Wenn du alle Rules deaktivierst, ist automatisch alles dicht. default bei einer FW ist, alles zu sperren, was nicht freigegeben wurde.
Ein static gateway ist falsch. Das Gateway ist immer die pfsense mit der jeweiligen IP des Gateways (192.168.28.1 und 192.168.31.1), außer am WAN Port der pfsense, da ist es die fritzbox.Hast du einen Tipfehler in der IP vom LAN?
Gruß
pfadmin -
Wenn du alle Rules deaktivierst, ist automatisch alles dicht. default bei einer FW ist, alles zu sperren, was nicht freigegeben wurde.
Ein static gateway ist falsch. Das Gateway ist immer die pfsense mit der jeweiligen IP des Gateways (192.168.28.1 und 192.168.31.1), außer am WAN Port der pfsense, da ist es die fritzbox.Hast du einen Tipfehler in der IP vom LAN?
Gruß
pfadminJa nachdem ich heute noch etwas Zeit hatte mich weiter einzulesen bin ich auch drauf gekommen.
Leider kann ich grad nicht testen, aber folgende Regeln hab ich mir jetzt erarbeitet/ausgedacht ;) Siehe Attachments
-
Beim WLAN die erste Rule löschen, bei LAN die Rule mit dem "Hosts mit LAN Zugriff"
-
Ja jetzt können aber alle aus dem WLAN auf mein LAN zugreifen…
das möchte ich ja nicht -
Beim WLAN die erste Rule löschen, bei LAN die Rule mit dem "Hosts mit LAN Zugriff"
bt25 hat sich wohl was dabei gedacht, als er die Regeln mit dem Alias "Hosts mit LAN Zugriff" erstellt hat, aber was?
@bt25
So toll erklärt hast du ja nicht, was du genau vor hast. Ich schätze mal, "Hosts mit LAN Zugriff" beinhaltet Geräte, die Zugriff bspw. auf das NAS haben sollen.
Soweit ich deine ersten Postings verstanden habe, sind das alles WLAN-Geräte. Wenn so, ist die Regel mit dem Alias am LAN tatsächlich überflüssig. Wenn nicht und alle Zielgeräte am LAN Interface hängen (was ich vermute), auch.Am WLAN musst du in der Regel mit "Hosts mit LAN Zugriff" die Destination nach "LAN net" ändern. So wie sie aktuell gesetzt ist, blockiert sie nur den Zugriff auf die pfSense.
-
Beim WLAN die erste Rule löschen, bei LAN die Rule mit dem "Hosts mit LAN Zugriff"
bt25 hat sich wohl was dabei gedacht, als er die Regeln mit dem Alias "Hosts mit LAN Zugriff" erstellt hat, aber was?
@bt25
So toll erklärt hast du ja nicht, was du genau vor hast. Ich schätze mal, "Hosts mit LAN Zugriff" beinhaltet Geräte, die Zugriff bspw. auf das NAS haben sollen.
Soweit ich deine ersten Postings verstanden habe, sind das alles WLAN-Geräte. Wenn so, ist die Regel mit dem Alias am LAN tatsächlich überflüssig. Wenn nicht und alle Zielgeräte am LAN Interface hängen (was ich vermute), auch.Am WLAN musst du in der Regel mit "Hosts mit LAN Zugriff" die Destination nach "LAN net" ändern. So wie sie aktuell gesetzt ist, blockiert sie nur den Zugriff auf die pfSense.
Endlich einer der mich versteht ;)
Hier noch einmal der Plan in hoffentlich verständlichen Worten:
re0 WAN –> DSL
re1 LAN --> NAS, Rechner, ...
re2 WLAN --> WLAN AP --> Handy, Notebook,... und eben die Handys der GästeUnd jetzt möchte ich das meine WLAN Clients Zugriff auf das WLAN haben, die meiner Gäste aber nicht.
Ich bin davon ausgegangen das alles was nicht Erlaubt ist geblockt wird und das die Rules sich auf das beziehen was in das Interface von außen rein kommt. also dachte ich ich muss von dem was in das LAN Interface vom WLAN Interface her rein kommt diejenigen blocken die nicht im Alias sind.
Dem scheint aber nicht so :-/@EDIT:
Ich glaub jetzt hab ich es!
Siehe Attachment.
Werde Testen und berichten
-
Ich bin davon ausgegangen das alles was nicht Erlaubt ist geblockt wird und das die Rules sich auf das beziehen was in das Interface von außen rein kommt.
Genau so verhält es sich.
also dachte ich ich muss von dem was in das LAN Interface vom WLAN Interface her rein kommt diejenigen blocken die nicht im Alias sind.
Aber nicht so. Du musst du Regeln immer an dem Interface erstellen, an dem der Traffic in die pfSense reinkommt, hier also am WLAN Interface.
Mit deiner letzten Regel sollte das so funktionieren, wie du es möchtest. Mit der Block-Regel am WLAN und Destination = "LAN net" hätte es allerdings auch funktionieren müssen.
