PfSense als Router mit Access Point Anbindung für Gästewlan



  • Guten Abend Leute.

    Folgende Ausgangslage:

    • bestehendes Firmennetzwerk
    • WLAN für Gäste soll angebunden werden

    Folgende Überlegung:
    Ich möchte einen weiteren Server mit pfSense an den Router (Internetanschluss) hängen. Dort möchte ich dann einen Access Point ran hängen. Später sollen weitere folgen um das ganze Firmengelände abzudecken.
    Auf dem pfSense laufen dann Dinge wie DHCP, SquidGuard, Captive Portal.

    Ich habe bereits mit einem alten Laptop und einer alten EasyBox den Aufbau durchgespielt und auch schon ein Captive Portal gebastelt.
    Anbei eine (einfache) Grafik.

    Folgende Fragen habe ich nun:
    1. Ist mein Aufbau so richtig?
    2. Macht es Sinn direkt bei Netgate die pfSense Hardware zu kaufen oder reicht es einen Server mit den richtigen Spezifikationen zu besorgen?
    3. Hat jemand Erfahrung mit Ubiquiti UniFi Geräten als Outdoor Access Points in Zusammenspiel mit pfSense?

    Ich hoffe ich bereite hier niemanden Kopfschmerzen :D
    Liebe Grüße
    Leon



  • Moin,
    kann man grundsätzlich so machen.
    Mir stellt sich bei so etwas allerdings immer die Frage, warum man eine Gäste-WLAN nicht über die sicherlich bereits vorhandene FW Lösung-im Unternehmen realisiert. Ist halt doppelter Aufwand (Hardware, Konfiguration und Betreuung, usw.).
    Ob Du nun selbst eine Hardware zusammenstellst/-baust (z.B. auf Basis einer PC Engines APU2) oder eine fertige Hardware kaufst bleibt Dir überlassen. Muss halt die Anforderung erfüllen, auf die Du nicht näher eingegangen bist (z.B. Anzahl der User, Verfügbarkeitsanforderung). Wenn z.B. eine entsprechende Verfügbarkeit verlangt wird, würde ich z.B. eine HA-Lösung einsetzten.

    Die Unifi-AP nutze ich mittlerweile bevorzugt. Habe davon diverse im Privat- und Firmeneinsatz. Laufen sehr stabil und zuverlässig. Bei mehreren Unifi-AP braucht es halt den Unifi-Controller um die AP zentral verwalten zu können.
    Insgesamt erstmal nix, was allzu große Kopfschmerzen bereiten sollte.

    Gruß
    Dirk



  • Wenn du auf Unifi APs + Controller Software setzt, kannst du dir das ganze Thema mit einer zweiten pfSense sparen. Die Controller Software bringt schon ein Captive Portal und Voucher System mit. Du kannst selbst mit der Software die Gäste von deinem LAN trennen. Das ist zwar noch nur eine Software Trennung und keine physische Trennung aber man muss es halt in Relation zur Anforderung setzen.

    Die Frage die sich mir aber gerade stellt. Wie versorgst du das bestehende Firmennetzwerk mit WLAN? Da die Unifi APs ja mehrere SSIDs unterstützen, kann man darüber auch beides abdecken. Firmen-WLAN und Gäste WLAN. Meines Wissens, kannst du dann pro SSID bzw. Netzwerk auch VLANs setzen, damit du Firmen- von Gäste-WLAN sauber physisch trennen kannst.

    Alles in allem, bin ich selber mittlerweile großer Fan der Unfi Geräte + Software



  • @m0nji:

    Wenn du auf Unifi APs + Controller Software setzt, kannst du dir das ganze Thema mit einer zweiten pfSense sparen. Die Controller Software bringt schon ein Captive Portal und Voucher System mit. Du kannst selbst mit der Software die Gäste von deinem LAN trennen. Das ist zwar noch nur eine Software Trennung und keine physische Trennung aber man muss es halt in Relation zur Anforderung setzen.

    Es wurde ja SquidGuard erwähnt. Filterung geht so m.W. nach nicht mit den AP von Unifi.
    Aber ich hab mich auch schon gefragt, warum man für das Gastnetz so einen Aufwand betreiben will, wenn man eh schon eine Firmen-FW hat.

    Die Frage die sich mir aber gerade stellt. Wie versorgst du das bestehende Firmennetzwerk mit WLAN? Da die Unifi APs ja mehrere SSIDs unterstützen, kann man darüber auch beides abdecken. Firmen-WLAN und Gäste WLAN. Meines Wissens, kannst du dann pro SSID bzw. Netzwerk auch VLANs setzen, damit du Firmen- von Gäste-WLAN sauber physisch trennen kannst.

    Evtl. braucht er für das Firmennetz kein WLAN  ;). Gibt inzwischen schon diverse Firmen, wo WLAN's generell sehr kritisch gesehen werden (nicht erst seit KRACK!)
    Ja, UniFi AP unterstützen max. 4 SSID. VLAN geht sowieso.

    Alles in allem, bin ich selber mittlerweile großer Fan der Unfi Geräte + Software

    Ich auch! Preis/Leistung der UniFi-Produkte ist absolut überzeugend. Dazu eine sehr gute/regelmäßige Versorgung mit Updates.



  • Hallo, erstmal vielen Dank für die antworten.

    Mir ist beim lesen auch bewusst geworden das ein paar mehr Infos nicht schlecht wären.

    Ich bin nicht angestellter in der Firma. Ich wurde sozusagen als externer einbezogen um diese WLAN Lösung zu schaffen. Daher weiß ich auch ehrlich gesagt nicht inwieweit im Firmennetzwerk eine FW-Lösung existiert. Das wird von einer anderen Firma betreut.

    Das WLAN soll für "Bewohner" einer Einrichtung auf dem Firmengelände zur verfügung gestellt werden. Es sollen mindestens 30 Leute aktiv im Internet surfen können.

    Ich habe mich in diesem fall für pfSense entschieden weil ich noch ein RADIUS Server einbinden möchte. Für die RADIUS Datenbank möchte ich noch eine Webanwendung schreiben. Diese Webanwendung soll dann direkt weitere Verwaltungsaufgaben übernehmen. Außerdem gibt es noch ein paar andere Faktoren wie Squid, Squidguard, Loadbalancer(es wird aktuell überprüft ob noch ein zweiter DSL Anschluss dazu gekauft werden kann). Und dazu ist explizit eine physische Trennung vom Auftraggeber gewünscht.

    Für die Firma an sich ist aktuell kein WLAN im Einsatz und meines Wissens auch nicht geplant. Jedoch werde ich das mal anmerken. Durch VLAN und 2 SSIDs wäre das ja gut umsetzbar.

    Also 2 UniFi Geräte habe ich jetzt schonmal bestellt. Erstmal möchten wir die Reichweite testen.

    Liebe Grüße
    Leon


  • LAYER 8 Moderator

    Nichts desto trotz wäre es beim Einsatz der UniFi Hardware vielleicht nicht verkehrt, wenn man den Controller (gibts inzwischen in Form einer recht kompakten Stick-ähnlichen Hardware Appliance) direkt von UniFi mit dazu nimmt, da damit dann u.a. auch besseres Roaming, Rollout der APs etc. machbar ist. Und wenn man den am Start hat, kann der auch gleich als Portal herhalten. Deshalb kann man DAVOR dann trotzdem noch die pfSense reinhauen mit den ganzen Features die erwähnt wurden (auch wenn Proxy und Co. für mich Overkill sind bei sowas… Logging würde IMHO reichen, warum muss man den WLAN Zugang so totkontrollieren). Radius und Co. kann man dort dann ganz gut mit erschlagen.

    Gruß



  • @JeGr:

    Nichts desto trotz wäre es beim Einsatz der UniFi Hardware vielleicht nicht verkehrt, wenn man den Controller (gibts inzwischen in Form einer recht kompakten Stick-ähnlichen Hardware Appliance) direkt von UniFi mit dazu nimmt, da damit dann u.a. auch besseres Roaming, Rollout der APs etc. machbar ist. Und wenn man den am Start hat, kann der auch gleich als Portal herhalten. Deshalb kann man DAVOR dann trotzdem noch die pfSense reinhauen mit den ganzen Features die erwähnt wurden (auch wenn Proxy und Co. für mich Overkill sind bei sowas… Logging würde IMHO reichen, warum muss man den WLAN Zugang so totkontrollieren). Radius und Co. kann man dort dann ganz gut mit erschlagen.

    Gruß

    Den Controller kann man ja aber auch auf vorhandene Hardware installieren? Dafür muss man ja nicht zwingend die Hardware extra Beschaffen, oder?
    Ich hab gelesen dass schon ein Pi 3 ausreicht.

    Was heißt totkontrollieren… Gewisse Dinge (zb. pornografischer Inhalt oder Torrents) sollen geblockt werden. Ich möchte nicht jeden Nutzer auf Schritt und Tritt beobachten.

    Hat zufällig auch jemand Erfahrungen mit den UniFi Kameras?

    LG Leon



  • Wir verwenden auch die pfSense für die eigentliche Trennung Firmennetz/WLAN und WLAN Gastnetz. Totkontrolliert wird da gar nichts. Eher im Gegenteil. Das WLAN profitiert von den Sicherheitsmassnahmen mit (z.B. pfBlockerNG DNS-Blacklists böser Internet-Server usw.) Alle wichtigen Ports sind frei und wenn ein Mobile Dienst mal stottert, wird er auch freigegeben.

    (Allerdings sind es hier auch 5 Standorte und knapp 100 APs) :-)


  • LAYER 8 Moderator

    Was heißt totkontrollieren…

    Damit war überspitzt ausgedrückt die immer größere Neigung gemeint, Traffic immer mehr durch Proxies und Co durchzupipen und totzufiltern - die Annahme war gegeben durch die Erwähnung von Squid+Squidguard etc. An der Stelle filtere ich lieber auf Layer 3 als auf 7, vor allem weil ich (subjektiv, persönlich) keine Lust habe TLS aufzubrechen an einem Proxy um irgendwas zu filtern.

    Ich bin nicht dagegen, gerade im WLAN die Sicherheit zu erhöhen ;)


Log in to reply