VLAN + Aruba + Time-for-Kids



  • Hallo,

    der IT'ler und ich sind so langsam am verzweifeln und wir hoffen, dass ihr etwas Licht in unser pfSense-Dunkel bringen könnt.
    Grundsätzlich soll die pfSense nur das CaptivePortal bereitstellen - keine Filterung usw!

    Im Anhang habe ich versucht das Netzwerkkonzept zu illustrieren.

    Vom Aruba-Controller gehen 2 Kabel in die pfSense - einmal das Lehrernetz (192.50.0.0/24) und einmal das Schülernetz(172.50.0.0/23).
    Die Schnittstelle Lehrer hat auf der pfSense die IP 192.50.0.2, auf dem Aruba-Controller 192.50.0.1. 192.50.0.2 ist auf dem Aruba für die APs der SSID "Lehrer" als Standardgateway eingetragen.
    Die Schnittstelle Schüler hat auf der pfSense die IP 172.50.0.2, auf dem Aruba-Controller 172.50.0.1. 172.50.0.2 ist auf dem Aruba für die APs der SSID "Schüler" als Standardgateway eingetragen.

    Die Schnittstelle WAN der pfSense hat bei uns die IP 10.10.11.2/24 und ist mit 1 Kabel direkt mit dem Router (Time-for-Kids zur Contentfilterung) verbunden, dessen Schnittstelle die IP 10.10.11.1/24 hat.

    Folgendes Problem. Da wir nur 1 Kabel zwischen Router und pfSense zur Verfügung haben, versuchen wir die IP-Adressen des Lehrer- und Schülernetzes über VLAN  an den Router weiterzugeben. Die IP-Adressen der Clients im WLAN müssen auf dem Router ankommen, um auf dem Router bestimmen zu können, dass 192.50.0.0/24 nicht gefiltert wird, und einfach so ins Internet weiter darf aber 172.50.0.0/23 über den Proxy gejagt werden muss, der die Inhaltsfilterung durchführt.
    Leider kommen wir mit der Einrichtung der VLANs auf der pfSense nicht klar.
    Ich habe 2 VLANs eingerichtet. ID20 = Lehrer, ID30=Schüler. Ich weiß aber nicht, welche IP die bekommen müssen, geschweige denn, welchem Interface sie zugewiesen werden müssen.
    Müssen dann auf noch (Gateway)Anpassungen auf dem Aruba-Controller gemacht werden?

    Vielen Dank für jedwede Mühe!

    Tino



  • Hallo,

    erstmal vorweg: öffentliche IPs im internen Netz zu verwenden ist nicht gerade geschickt. 172.50.0.0/23 ist öffentlich, das priv. 172er Subnetz geht von 172.16.0.0 bis 172.31.255.255.

    Wenn zwischen dem Lehrer- und dem Schüler-Netz kein Routing benötigt wird, also beide nur ins Internet kommen sollen, würde ich die VLANs weglassen. Dann liegen einfach beide Netze an einem Interface am Router, die Schüler bekommen eine IP aus ihrem Netz und diese werden am Router entsprechend über den Proxy geschickt. Daran können sie ohnehin nichts verbiegen.
    Zur Sicherheit kann man auf der pfSense am Schüler-Interface nach dem Schüler-Netz filtern.
    Damit sollte es, wie gewünscht, funktionieren.

    Grüße



  • Hallo viragoman,

    danke für deinen Hinweis, ich werde das 172er Netz ändern.  ;)

    Bitte korrigiere mich, aber 2 Netze an einem Interface funktioniert mMn doch nicht. Zwischen Router und pfSense verläuft nur ein Kabel. Dem Router, der entscheidet ob Proxy oder nicht, ist dadurch immer nur die IP der WAN-Schnittstelle bekannt (hier: 10.10.11.2) egal ob das Paket jetzt auf dem Schüler-WLAN oder Lehrer-WLAN kommt. Wenn aber immer die selbe eine IP ankommt, dann kann ich der Firewall nicht sagen, was über den Proxy rennen soll und was nicht.
    Deswegen dachte ich, benötige ich VLANs zwischen Router <–> pfSense.

    DHCP für das WLAN macht übrigens der Aruba-Controller.

    LG



  • Dem Netzwerkkabel wird es ziemlich gleichgültig sein, welche IPs drüber gehen. Auf der pfSense kannst du weitere Netze auf einem Interface konfigurieren (Firewall > Virtual IP), Windows und Linux können das auch. Ob es dein Router kann, kann ich dir nicht sagen.

    Der Router sollte ja anhand der Quell-IP filtern, bzw. routen, und diese unterscheiden sich ja für Schüler und Lehrer, oder kann der nur virtuelle Interfaces unterscheiden? Wäre seltsam.

    Egal ob vLAN oder nicht, am Router musst du natürlich auch statische Routen für die beiden Netze anlegen, damit sie an die pfSense 10.10.11.2 geroutet werden. Und auf pfSense muss der Router als Upstream-Gateway angegeben werden (in der WAN-Konfig).

    Edit:
    Ah ja, jetzt verstehe ich deine Bedenken. Du meinst, dass die pfSense die Quelladresse auf die WAN-IP übersetzt. Das tut sie standardmäßig auch, muss sie aber nicht. Gehe auf Firewall > NAT > Outbound und setze es auf "disabled", dann bleiben die Quell-IPs original und du hast sie am Router verfügbar.



  • Hallo,

    danke für deine Mühe. Genau das, was du in deinem Edit beschrieben hast, meinte ich.

    Ich habe jetzt auf der Schnittstelle "WAN" eine VirtualIP angelegt - 192.50.0.3/24 für die Lehrer und 172.50.0.3/24 für die Schüler.
    Im Router habe ich 2 statische Routen eingetragen: 192.50.0.0/24 auf 10.10.11.2 über 10.10.11.1 (Gateway) und das gleiche für die Schüler 172.50.0.0/24 auf 10.10.11.2 über 10.10.11.1 (Gateway).

    Clients hinter der pfSense kommen aber immer noch nicht ins Internet. Die Clients bekommen ihre IP, ihren DNS-Server und ihr Gateway (Lehrer zum Beispiel 192.50.0.2, was das Interface auf der pfSense ist, für dieses Netz). Sie kommen aber nicht durch die pfSense durch, was sie aber müssen, da der DNS z.B. ganz woanders hängt.

    Die pfSense kommt ins Internet. Ich kann alles über die WAN-Schnittstelle anpingen, auch den DNS und irgendwelche Webseiten. Nur alles was hinter der pfSense hängt kommt nicht durch. Auf allen Schnitstellen ist ein Scheunentor aufgespannt, da die pfSense nur das CaptivePortal machen soll.

    LG



  • @BGS:

    Ich habe jetzt auf der Schnittstelle "WAN" eine VirtualIP angelegt - 192.50.0.3/24 für die Lehrer und 172.50.0.3/24 für die Schüler.

    Wozu denn das? Das heißt ja, du hast das gleiche Netz an zwei Schnittstellen der pfSense. Wie soll sie dann da routen können? Da macht sie einfach gar nichts, wenn ein (Antwort-)Paket für eines der beiden Netze am WAN ankommt, wofür auch, das Paket ist ja schon im richtigen Netz.

    Nimm diese virtuellen Netze wieder vom WAN weg und lasse nur die 10.10.11.2. Der Router routet die Paket dahin und die pfSense weiß schon, was damit zu tun ist.

    Übrigen, 172.50.0.3/24 ist immer noch öffentlich.

    Grüße



  • Huhu,

    danke für deine Geduld.
    Ich habe jetzt alles rausgenommen. Die IPs der 2 Netzte kommt auf der Firewall an, das ist schon einmal super!  ;D

    Aber so ganz will es noch nicht, aber es wird langsam …
    Wenn ich von der Lehrerschnittstelle auf der pfSense irgendwo hinpinge (im Beispiel unten 8.8.8.8), dann wird angezeigt, dass er 3 Pakete lossendet, aber keine 3 zurückbekommt. Die ICMP-Pakete werden auch von der Firewall des Routers geloggt und durchgelassen. Ich habe auch noch einmal die statischen Routen angehängt - da bin ich echt unbedarft ...

    LG

    ![Ping Google.png](/public/imported_attachments/1/Ping Google.png)
    ![Ping Google.png_thumb](/public/imported_attachments/1/Ping Google.png_thumb)
    ![Firewall Router.png](/public/imported_attachments/1/Firewall Router.png)
    ![Firewall Router.png_thumb](/public/imported_attachments/1/Firewall Router.png_thumb)
    ![statische Route.png](/public/imported_attachments/1/statische Route.png)
    ![statische Route.png_thumb](/public/imported_attachments/1/statische Route.png_thumb)



  • Die statischen Routen am Router sind falsch.

    Richtig wäre:
    Quellnetz: alle
    Zielnetz: 192.50.0.0/24
    Gateway: 10.10.11.2  (WAN der pfSense)
    und daselbe nochmal mit dem Schülernetz als Ziel.

    Das Quellnetz ist ja in diesem Fall das Internet und das Gateway, da wo der Router die Pakete hinschicken soll, die pfSense.



  • Hi, sowiet funktioniert das jetzt alles gut. Ich kann auf der pfSense von der Lehrerschnittstelle alles hinter der WAN-Schnittstelle pingen, auch ins Internet. Schüler das gleiche. Das Schülernetz habe ich auf 172.18.0.0/23 geändert :-)

    Der Aruba-Controller (192.50.0.1/24) und alles was dahinter liegt, ist von der WAN-Seite noch nicht pingbar. Benötige ich auf diesem auch noch eine Route? Der Aruba-Controller hat die IPs der Schnittstellen (Lehrer 192.50.0.2/24) als Gateways eingerichtet.

    LG



  • Hi,

    freut mich, dass der Internet-Zugriff von den internen Netzen nun soweit klappt.

    @BGS:

    Der Aruba-Controller (192.50.0.1/24) und alles was dahinter liegt, ist von der WAN-Seite noch nicht pingbar.

    Ich habe jetzt keinen Dunst, wofür ihr das benötigt, warum der Controller vom Internet aus erreichbar sein soll.

    Euer Router ist ebenso wie die pfSense eine Firewall, die standardmäßig keine Verbindungen von außen zulässt. Soll ein Gerät von außen erreichbar sein, macht man üblicherweise eine Portweiterleitung, d.h. ein oder mehrere bestimmte Ports werden auf eine interne IP weitergereicht. Eine entsprechende Firewall-Regel, die den Zugriff erlaubt, ist mit dieser Weiterleitung meist verknüpft, aber nicht zwingend sichtbar.
    Soll das Gerät komplett im Internet stehen, bieten Router dafür oft eine DMZ-Funktion an, d.h. es werden sämtliche Pakete unabhängig vom Port auf eine bestimmte Adresse weitergeleitet.

    Mache solche Weiterleitungen nur, wenn es unbedingt nötig ist und wenn die Zugriffe soweit sicher sind!
    Ohne zu wissen, welche Zwecke diese Weiterleitung erfüllen soll, ist es schwierig, passende Empfehlung zu geben. Aber bspw. soll Port 80 TCP auf den Aruba-Controller weitergeleitet werden, brauchst du am Router nur die Weiterleitung des Ports auf 192.50.0.1 einrichten (ich gehe davon aus, dass eine zusätzliche Regel am Router nicht benötigt wird). Auf der pfSense muss dann noch eine Firewall-Regel eingerichtet werden, die den Zugriff erlaubt. Eben von Quelle any nach Ziel 192.50.0.1 Port 80 TCP. Wenn die pfSense aber ohnehin keine Firewall-Aufgaben übernehmen soll, wie anfänglich geschrieben, kannst du aber die Filterung in den Advanced-Settings ganz abschalten oder per Regel am WAN alles erlauben.
    Die Routen sind schon richtig gesetzt.

    LG



  • Hallo, hallo, hallo  :D :D

    nach einem reboot der pfSense funktioniert alles einfach wunderbar wie es soll. Danke danke danke.
    Und alles nur wegen 2 statischen Routen …

    Ich musste den DNS-Server noch als "Allowed IP" eintragen, damit Geräte beim Verbinden das CaptivePortal erhalten.

    Vielen Dank für deine Mühe.  ;D ;D ;D



  • Da es dann jetzt doch etwas tiefer in eine andere Richtung ging, habe ich unter https://forum.pfsense.org/index.php?topic=121462.0 einen neuen Thread eröffnet, damit dieser evtl. später besser gefunden wird.+

    LG