Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anfänger Setup

    Deutsch
    6
    26
    2.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • -flo- 0-
      -flo- 0
      last edited by

      Ich schließe mich der Meinung der Vorredner an. Das ist Overkill (und sicher kein "Anfänger-Setup" :-)).

      Man muß doch nicht die gesamte Zugriffssteuerung durch VLANs regeln. Es können auch mehrere Hosts gemeinsam in einem Netzwerk laufen, ohne daß diese aufeinander Zugriff haben müssen. Jeder PC und NAS bringt dafür Bordmittel mit.

      Wenn Du NAS und PCs jeweils in eigene VLANs packst, behinderst Du Dich total. Das Browsing im Netzwerk geht dann nicht, z.B. zu Netzwerk-Shares. Manche Drucker brauchen mDNS, die gehen nur im selben Netzwerk, und und und.

      Bei Windows (eigentlich überall) gehört übrigens eine adäquate Absicherung gegen Malware dazu. (Ist der Rest bei Euch Apple-HW btw.?)

      Mein Tipp: Ein VLAN für alle PC, NAS, ggf. Netzwerkdrucker. Ein zweites VLAN (editiert, da stand WLAN) für den Rest, also alles, was Du nicht selbst sauberhalten möchtest oder kannst / dem Du nicht vertrauen kannst (Mobilgeräte von Gästen oder Kindern, zweifelhafte Webcams, sonstiger IoT-Schrott, etc.)

      1 Reply Last reply Reply Quote 0
      • M
        mims
        last edited by

        Ich habe produktiv ein MacBook, meine Freundin (hoffentlich "noch") Windows 10. Dazu dann Android Smartphones und ein paar Ubuntu Instanzen (als VM). Auf den Raspberry Pis läuft raspbian und auf Synology die DSM Software.

        Wenn möglich würde ich es einfach gerne vermeiden, das mit Bordmitteln an jedem Gerät einzeln einstellen zu müssen… so kam ich ursprünglich auf VLAN bzw. bin natürlich auch für andere Vorschläge offen :) Schön wäre es allerdings, wenn ich das zentral steuern könnte (und dachte, dass das in pfSense doch möglich sein müsse). Sofern möglich, brauche ich gar kein VLAN mehr. Dann könnte alles in ein Netz und was nicht miteinander reden darf, bekommt entsprechende Restriktionen.

        Auf Bordmitteln (wenn ich den Begriff jetzt richtig deute) halte ich da einfach nicht viel. Gerade wenn es irgendwelche Würmer oder Crypto-Geschichten sind, die ggf. darauf ausgelegt sind, so etwas zu umgehen. Wenn die Firewall einfach jeglichen Traffic "schluckt" oder unterbindet, egal, was das Gerät nun macht, kann -meiner laienhaften Einschätzung nach- doch kein großes Risiko mehr bestehen..?

        1 Reply Last reply Reply Quote 0
        • M
          monstermania
          last edited by

          @mims
          Theoretisch ist es ja eine pfiffige Idee alles per VLAN zu trennen, aber in der Praxis kann so etwas dann ganz schnell ganz schön nerven.
          Einfaches Beispiel: Du willst mal eben Miracast/Chromecast nutzen um Inhalte von Deinem Smartphone/Tablet auf Dein Smart-TV zu streamen. Versuch das mal über VLAN hinzubekommen. Nicht, dass es nicht irgendwie geht, aber einfach ist das nicht.
          Und natürlich ist die Aussage von -flo- absolut richtig. Wozu haben denn heutzutage alle OS eine Firewall an Bord?

          Ich würde mich daher auf auf m.E. sinnvolle Netzwerke beschränken.
          z.B.

          • LAN + evtl. internes WLAN (für alle Geräte denen ich vertrauen kann)
          • WLAN (Gäste)
          • DMZ (für Geräte, die auch aus dem Internet erreichbar sind)
          • IoT + evtl. WLAN (spielwiese für alle Devices)

          Über die FW-Regeln kannst Du dann den Verkehr zwischen den Netzen regeln. In den einzelnen Netzen kannst Du z.B. die Devices über Gruppen zusammen fassen und darüber den Zugriff in das Internet/andere Netzwerk steuern). So habe ich das zumindest bei mir gemacht.
          Kommt ein neues Device im mein internes LAN/WLAN kann das Teil erstmal (fast) gar nichts (kein Internet). Es muss zunächst einer/mehrer Gruppe(n) zugewiesen werden um z.B. Internet, Mail, VPN, FTP WhatsApp, usw. freizuschalten. Die Gruppenmitglieder habe ich per fester DHCP-Lease realisiert. Innerhalb der Netzwerk können die Geräte prinzipiell aufeinander zugreifen, sofern es nicht die lokale Firewall auf den Geräten unterbindet.
          So reicht mir das.  ;)

          Gruß
          Dirk

          PS: Selbst eine Sicam-Webcam kann ich so auf Intranet festnageln.  8)

          1 Reply Last reply Reply Quote 0
          • M
            mims
            last edited by

            Nur mal rein für mein Verständnis: wir gehen jetzt mal von der Kamera aus, die gar nichts dürfen soll. Allerdings ohne VLAN.

            Kann ich in der Firewall eine Regel anlegen, die folgendermaßen aussieht:
            Macbook IP: 192.168.1.11
            Cam IP: 192.168.1.55
            benötigte Ports: 8080, 80

            Quelle: 192.168.1.55
            Ziel: *
            Verbindung: verboten

            Quelle: 192.168.1.11
            Ziel: 192.168.1.55
            Port Ziel: 8080, 80
            Verbindung: erlaubt

            Quelle: *
            Ziel: 192.168.1.55
            Port Ziel: 8080
            Verbindung: erlaubt

            4.
            Quelle: *
            Ziel: 192.168.1.55
            Port Ziel: *
            Verbindung: verboten

            Ich kann das gerade nicht testen, da nur mein Macbook mit pfsense verbunden ist, alle anderen Geräte laufen, bis ich das produktiv einsetzen kann, noch über die FB.

            Jetzt müssten doch grundsätzlich alle Geräte erst mal auf Port 8080 der Kamera zugreifen dürfen; mein Hauptrechner darf zudem auf Port 80 zugreifen. Die Kamera kann auf gar nichts selbst zugreifen.

            Ist das grundsätzlich sinnvoll, oder viel zu kompliziert gedacht? Ich nehme an, dass die Firewall Regeln auch in irgend einer Datei editiert werden können; lege ich mir also diese Regeln zuerst an, dann habe ich ein Template. Kommt ein weiteres Gerät dazu, das selbst auf nichts zugreifen darf, aber auf das andere Geräte zugreifen sollen, kann ich einfach direkt die Regeldatei erweitern (copy, paste, edit), sodass ich nicht immer vier Regeln in der GUI von Hand anlegen muss…?

            Dein Beispiel passt bei mir aus verschiedenen Gründen nicht:

            • WLAN (Gäste) fällt weg.
              Den Aufwand will ich mir einfach nicht geben, wer hier zu Besuch ist, hat die Wahl zwischen mobilen Daten oder mal ganz in Ruhe ohne Smartphone nen Kaffee trinken ;)
            • DMZ fällt weg
              Ich möchte für alles, was von außerhalb des Netzwerks zugreifen wird, ausschließlich VPN verwenden. Sobald ich (denn vermutlich werde ich eh der einzige sein, der das permanent nutzt) dann von außerhalb mit dem VPN Netzwerk verbunden bin, habe ich ja Zugriff auf alle lokalen Services. Zumindest aktuell sehe ich keinen Grund, warum ich irgendwelche Services auch ohne VPN nach außen verfügbar machen sollte

            Mein Problem ist gerade, dass ich das nicht so wirklich einfach testen kann...... wenn ich "mal kurz" alle Geräte über pfsense laufen lasse und rumprobiere, geht vermutlich erst einmal irgend etwas nicht und ich muss zur Beschlichtigung doch wieder den Billigrouter aktivieren ;)

            Das mit den Gruppen finde ich allerdings interessant. "Normale" Geräte bekommen dann erst einmal nur die Ports, die sie tatsächlich brauchen (Internet, Mail, Telegram würden meiner Freundin zB komplett ausreichen). Je nach Bedarf wird das für andere Geräte erweitert.
            Wenn mehrere Gruppen pro Nutzer möglich sind ist das ja alles gar kein Problem.

            DHCP Lease muss ich noch schauen... ich habe jetzt einen Ubiquiti AC PRO eingesetzt und den C7 in den Ruhestand geschickt. Es scheint so, als bekämen die Geräte trotzdem weiterhin ihre IPs von der Fritzbox und nicht vom AC (denn der AC sollte eigentlich Adressen im Bereich 192.168.1.* vergeben, die verbundenen Geräte haben aber trotzdem welche im von der FB vergebenen Bereich).

            Sicam sagt mir jetzt nichts. Aber das Verbieten des Internetzugriffs (also rein im Intranet verfügbar machen) schafft ja sogar meine FB. Da muss pfsense das ja locker können :)

            1 Reply Last reply Reply Quote 0
            • magicteddyM
              magicteddy
              last edited by

              Moin,

              Quelle: 192.168.1.11
              Ziel: 192.168.1.55

              Nein, Du kannst die Regel zwar anlegen, aber sie greift nicht.
              Das Netz (grün) ist das gleiche als kommunizieren die Geräte direkt miteinander und brauchen den Router dafür nicht. (Bridge und krude Netzmasken jetzt mal ausgenommen :P)

              -teddy

              @Work Lanner FW-7525B pfSense 2.7.2
              @Home APU.2C4 pfSense 2.7.2
              @CH APU.1D4 pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • -flo- 0-
                -flo- 0
                last edited by

                So geht es im Prinzip:

                • Zwei Netze 192.168.1.0/24 (VLAN 1) und 192.168.2.0/24 (VLAN 2)

                • 192.168.1.11 kommt in VLAN 1.

                • Aus der 192.168.1.55 wird eine 192.168.2.55, das Gerät kommt in VLAN 2.

                Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

                Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.