VLAN als Access Port (nicht Trunk) nutzen.



  • Hallo,

    ich habe bei meiner Config 2 VLANs definiert. Jeweils auf unterschiedlichen Interfaces. Ich nehme aus Sicherheitsgründen nicht ein Interface für beide als Trunk.
    Nun möchte ich die beiden Interfaces in den jeweiligen Access Port des jeweiligen VLANs in meinem Switch (Cisco) nutzen.
    Dies funktioniert jedoch leider nicht. Erst wenn ich sie in einem Trunk Port betreibe funktioniert es.
    Anders wäre es mir jedoch lieber. Geht das? Bzw. kann man die VLAN Interfaces bei pfSense nur in einem Trunk Port betreiben?
    Die andere Möglichkeit wäre ich konfiguriere den Switch so, dass die jeweiligen Trunk Ports nur EIN VLAN zulassen.



  • Hat niemand ne Idee?
    Bzw. wie macht ihr das? Auch ausschließlich in einem Trunk-Port am Switch?



  • Normalerweise verwendet man nur einen Port um die Firewall und den Switch zu verbinden.
    Aus "Sicherheitsgründen" 2 verschiedene Ports zu verwenden würde ich eher als Voodoo definieren.
    Weil: wozu dann überhaupt ein VLAN, brauchst ja gar nicht wenn du pro VLAN einen physischen port nimmst  :D

    also: am besten du verwendest (wie jeder andere) die beiden VLANs auf einem Port.

    dein ursprünglicher plan sollte auch funktionieren, da hast du wahrscheinlich irgendwo einen fehler in der config.
    kenne mich leider mit cisco-terminologie zu wenig aus.



  • Ich sehe das genau so.

    @groovesurfer:

    Jeweils auf unterschiedlichen Interfaces. Ich nehme aus Sicherheitsgründen nicht ein Interface für beide als Trunk.

    Für dieses Tun könnten nur Performancegründe sprechen. Wenn die beiden beteiligten Geräte VLANs beherrschen und von dir administriert werden, sehe ich keine Sicherheitsbedenken.



  • Warum definierst Du denn VLANs, wenn sie sowieso über separate Interfaces auf einen Switch laufen?
    Wenn ich davon ausgehe, dass Dein Cisco gemanaged ist, dann kannst Du sie doch untagged dahin schicken und erst den Uplink-Port zum AP entsprechend taggen.
    Welche Switch-Serie hast Du denn?



  • Warum definierst Du denn VLANs, wenn sie sowieso über separate Interfaces auf einen Switch laufen?

    Offensichtlich habe ich kurzzeitig mein Gehirn ausgeschalten  :o Ist wohl die bessere Methode bei pfSense auf VLANs zu verzichten und das ganze VLAN-Thema über die anderen Netzwerk-Komponenten zu machen.

    Normalerweise verwendet man nur einen Port um die Firewall und den Switch zu verbinden.
    Aus "Sicherheitsgründen" 2 verschiedene Ports zu verwenden würde ich eher als Voodoo definieren.

    Ist es nicht möglich, dass jemand sich Zugang zu meinem Management VLAN verschafft, indem er sich die gewissen Tags anhängt? Ist bestimmt höhere Schule, aber doch bestimmt möglich. Somit würde ich schon behaupten dass es sicherer ist, wenn ich 2 physikalisch getrennte Porte ohne VLAN, wie oben beschrieben nutze.

    Ich nutze pfSense mit öffentlichen WLAN Systemen. Somit muss ich mir schon meine Gedanken machen.


  • Moderator

    Ist es nicht möglich, dass jemand sich Zugang zu meinem Management VLAN verschafft, indem er sich die gewissen Tags anhängt? Ist bestimmt höhere Schule, aber doch bestimmt möglich.

    Auf einem NIC auf dem kein VLAN definiert ist? Hö? Nö. Zudem müsste der Switch das mitmachen - wenn Switche als AccessPort definiert sind, dann werden auch manuell gesetzte VLAN Tags weggeworfen. Und ja, da hat sich einer beim Entwurf von VLAN Tagging schon Gedanken gemacht ;)



  • Nein ich meine, wenn ich einen Trunkport bei pfSense und dem Switch definiere an dem pfSense hängt und 2 VLANs (z.B. 5 - Management und 6 - Public ) zulässt. Ob es nicht dann jemandem möglich ist, der eigentlich im VLAN 6 sein sollte, auch ins VLAN 5 zu kommen.
    Stichwort VLAN Hopping https://en.wikipedia.org/wiki/VLAN_hopping


  • Moderator

    Genau und wie ich gesagt habe ist das kein pfSense oder VLAN Problem, sondern das deines Switches: "… switch spoofing and double tagging. Both attack vectors can be easily mitigated with proper switch port configuration..."

    Ein doppeltes Tagging ist genauso unzulässig wie ein falsches VLAN Tag oder ein Tag wo keines erwartet wird und der Switch muss das eben entfernen.



  • Klar, das ist ein Switch Problem.
    Unterm Strich wurdest Du/Ihr also sagen, ob ich nun 2 phsikalisch getrennte Interfaces oder einen Trunk Port bei der Verbindung pfSense - Switch nehme ist sicherheitstechnisch das selbe. Da der User über einen Access Point verbunden wird, der ja auch beide VLAN Infos hat und auch an einem Trunkport hängt.