Clients auf Internet Zugriff beschränken



  • Hallo zusammen!

    Mit der Zeit haben sich einige Geräte wie Alexas und WLAN-Steckdosen angesammelt, die sich allesamt in meinem LAN tummeln. Eigentlich möchte ich nicht, dass diese Geräte uneingeschränkten Zugriff auf mein Netzwerk haben. Was wäre die optimale Lösung dafür?

    • Diesen Geräten mit einer einfachen FW-Regel den Zugriff auf LAN unterbinden, oder

    • Die Geräte in ein VLAN packen, oder

    • Ein eigenes Netz dafür erstellen, in dem sich nur diese Geräte befinden.

    Danke vorab!

    Gruß
    Thomas



  • Hallo,

    grundsätzlich kannst du den Zugriff der jeweiligen Geräte nur dann auf der pfSense kontrollieren, wenn deren Pakete sie auch passieren. Pakete von LAN zu LAN gehen normalerweise nicht über den Router, außer die beiden Geräte sind an gebrückten Interfaces angeschlossen.
    Eine Aufteilung auf unterschiedliche Netzwerke nach Risikoklasse ist daher auf jeden Fall ratsam und oft unumgänglich.

    Das heißt, ich würde sämtliche Geräte, die nicht auf andere LAN-Geräte zugreifen dürfen, in ein eigenes Netz packen. Ob virtuell (VLAN) oder Hardware ist dabei weniger entscheidend und hängt von deinen Gegebenheiten ab. Wenn du die Möglichkeit hast, ein eigenes Hardware-Netz dafür einzurichten, dann mach das. Anderenfalls teilen sich die Geräte eben die Hardware, aber auch bei VLANs muss aller Traffic den Router passieren, um auf eine IP außerhalb des eigenen Netzes zuzugreifen.

    Um den Zugriff aufs Internet zu beschränken, richte ich auf der pfSense einen Alias mit sämtlichen RFC1918 Netzen ein, weil ich nur solche intern verwende.
    Diesen verwende ich dann in einer Pass-Regel als invertiertes Ziel (invert. angehakt). Diese Regel erlaubt dann eben nur Zugriff auf alles, was nicht RFC1918 ist. Alternativ kannst du aber auch eine Block-Regel ohne Invertierung erstellen.

    Mit dem RFC1918 Alias bin ich save, auch wenn ich mal ein zusätzliches Netz einrichte oder eines ändere.

    Wenn die Geräte die pfSense als DNS Server verwenden (Standardeinstellung), musst du diesen DNS-Zugriff (TCP/UDP 53) aber noch in einer gesonderten Regel erlauben. Das mach ich mit einer gemeinsamen Floating Rule für alle Netze zusammen. Wenn du am Interface eine Block-Regel für RFC1918 einsetzt, muss in der Floating "Quick" angehakt sein, damit sie vorgezogen wird.

    Grüße



  • Vielen Dank für die umfassende Antwort - hat mir sehr geholfen. Klar, der Traffic in einem Netz geht nicht über die FW, daher hilft die Regel nicht - hätte ich selber drauf kommen können.

    Die beste Lösung ist mit Sicherheit jene des getrennten Netzes, was grundsätzlich machbar wäre, da alle betroffenen Clients über das gleich WLAN kommen, welche ich über den Switch an einen eigenen Port an die pfSense senden könnte. Leider habe ich ein kleines Problem. Ein Gerät (Drucker) ist auch in diesem Netz,, den will ich aber nicht abtrennen, da er für alle User erreichbar sein soll.

    Zwei Möglichkeiten:

    Der Drucker ist auch in dem isolierten Netz und ich schaffe es, dass andere Clients darauf zugreifen können. Sollte eigentlich funktionieren oder ...

    Gibt es eine Möglichkeit allen Geräten, die keinen Zugriff im LAN haben sollen einen VLAN Tag zuzuweisen, z. B. Im Rahmen der IP Zuweisung?

    Danke vorab.

    Thomas



  • Hast du nicht das Bedürfnis und die Möglichkeit, mehrere WLANs einzurichten, bspw. eines für "sichere" Geräte wie Notebook und eines für IoT?
    Ich habe es so und das sichere WLAN habe ich mit dem LAN gebrückt und alle Geräte, ob Kabel oder WLAN, sind im selben Netz.

    Aber wie auch immer, der Drucker sollte nicht das Problem sein. Der Drucker könnte in beiden Netzen sein. Der Zugriff von Geräten im anderen Netz muss dann eben manuell eingerichtet werden, weil er nicht automatisch gefunden wird, aber das macht man ja nur ein mal. Und auf der Firewall muss der Zugriff erlaubt werden.

    VLAN per automatischer Konfiguration geht meines Wissens nicht. Das VLAN auf den Geräte selbst zu konfigurieren ist aber ohnehin nicht der beste Weg. Das sollte der Switch bzw. der AP machen, so dass die angeschlossenen Geräte bezügliche des Netzes gar keine Optionen haben.

    Grüße



  • Ich habe bereits ein "sichers" WLAN (WPA Enterprise/FreeRadius) und eines für die IoT's. Das Problem ist, dass der Drucker kein WPA2 Enterprise kann, daher muss er ins "unsichere" Netz.

    Wie bekomme ich den Drucker in beide Netze?

    Gruß
    Thomas



  • @esquire1968-0 said in Clients auf Internet Zugriff beschränken:

    Das Problem ist, dass der Drucker kein WPA2 Enterprise kann

    Ah ja, leider ein verbreitetes Defizit.

    Mit "Der Drucker könnte in beiden Netzen sein" sein habe ich gemeint, entweder im sicheren oder im unsicheren.
    Wenn du ihn ins IoT-Netz gibst, musst du eben die Druckerkonfiguration deiner Rechner anpassen und die neue IP einsetzen.
    Auf der Firewall hast du vermutlich am LAN Interface ohnehin alles erlaubt.

    Grüße


Log in to reply