Projekt: FritzBox raus und pfSense rein
-
Hallo zusammen
Ich habe die Fritzbox und das Management in AccessPoints irgendwie satt.
Da dachte ich mir ich sollte mal etwas in die Richtung unternehmen.Aufgaben die es zu bewältigen gilt (neben den Standards wie Sicherheit von aussen, Portforwarding, etc.):
- Alle ManagementAufgaben soll die pfSense erledigen (DHCP, DNS, Gateway, etc.)
- Einwahl via OpenVPN soll ermöglicht werden
- Ich möchte lediglich folgende Komponenten in Zukunft einsetzen:
Modem -> pfSense (Mac Mini) -> evtl. Switch (pro Etage) -> AccesPoint (pro Etage) fürs WLAN - Als grösste Herausforderung sehe ich das Bereitstellen eines Gast-LAN
Ich möchte die Kinder nicht im selben Netz haben wie meine ganze IT und auch Gäste sollen via Gast-WLAN Internetzugriff bekommen. (Hier weiss ich noch nicht wie ich das umsetzen könnte)
Als Hardware möchte ich einen etwas älteren MacMini verwenden mit einem i5 Prozessor.
Installiert ist die pfSense schon. Aktuell fehlt es mir am 2 LAN Anschluss (da wollte ich einen FireWire - LAN Adapter kaufen)Nun die grossen Fragen:
Geht das so wie ich mir das vorstelle oder übersehe ich wichtige Details?
Wie kann ich den Punkt abgetrenntes Kinder/Gäste-Netz realisieren?Danke für Eure Unterstützung.
Details zum Mac Mini:
-
@jathagrimon firewire und sense, versuche es aber ich denke das wird nicht klappen (genauso wie thunderbold, usb - am besten mal die forum suche nutzen)
- ich persönlich würde keine apple hardware dafür nehmen.
im notfall kauf dir einen €300,- pc mit pcie ethernet karten (kein realtek, findest du auch genug beiträge zu). dein ganze vorhaben ist hier schon unzählige male behandelt wurden (mit empfehlungen usw.)
hier mal ein beispiel wie ich e3s bei mir am laufen habe, mein gäste (w)lan ist in einem eigenen vlan. wenn du wenig netzwerk erfahrung hast lies dich am besten erstmal in diese themen ein und für die sense themen kannst du ja die forum suche nutzen wie schon geschrieben wurde das schon unzählige male behandelt.
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════ pfSense 2.5.2 ═╗ Stand: ─ ─ ┐ ┌────────────────┐ ┌────────────────┐ ║ ║ │ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ 29.12.2021 │ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ └────────────────┘ └───┬─────────┬──┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘ - ich persönlich würde keine apple hardware dafür nehmen.
-
@jathagrimon
Hallo!Bevor du in zusätzliche Hardware investierst, mach einen Blick in die FreeBSD 12.3-RELEASE Hardware Notes, um dich von der Unterstützung in pfSense zu überzeugen.
Was da nicht gelistet ist, würde ich nicht kaufen.Kinder- und Gäste-WLAN soll vermutlich im ganzen Haus verfügbar sein. Ich würde dafür WLAN AccessPoints mit mehreren SSIDs einsetzen. Diese sind dann auch VLAN-fähig und können jede SSID auf ein getrenntes VLAN legen, das dann auf der pfSense terminiert wird. D.h., auf der pfSense kannst du dann alle Zugriffe zwischen den Netzwerksegmenten (WLANs) kontrollieren.
Ein Gäste-WLAN darf dann typischerweise nur ins Internet.Auch könnten VLAN-fähige Etagen-Switche interessant sein, wenn abgesehen von WLAN-APs auch verkabelte Geräte getrennten Netzwerksegmenten zugewiesen werden sollen.
Auch IoT Geräte sollen nur die nötigsten Zugriffe bekommen und von anderen, vertrauenswürdigen Geräten strikt getrennt werden.
-
Danke für Eure Hinweise.
Ich musste nochmal den Beitrag anpassen. Es handelt sich bei der Hardware um einen Mac Mini aus dem Jahr 2011 welcher bei mir noch nutzlos rumliegt.
Er ist schön klein, leise, passt hinter den Fernseher neben das Modem und ich müsste lediglich einen Adapter FireWire zu LAN kaufen um einen 2ten LAN Anschluss zu bekommen. Ich möchte eben keinen "grossen" PC als Firewall aufsetzen (das finde ich irgendwie unpassend).
Die i Cores von Intel werden zudem ja auch unterstützt.Aus der Skizze habe ich gesehen dass ich die Firewall nicht ganz rauswerfen kann, da die noch die VoiP Themen bedienen muss. Das sollte das aber auch alles sein.
Mit der Konfig in der pfSense bin ich recht vertraut. Nur VLANs habe ich noch nicht verwendet. Meine Switches unterstützen aber auch VLans. WIrd sich also finden. Bisher habe ich die pfSense immer nur virtualisiert betrieben und musst mir keine Gedanken über die Hardware machen. Daher wollte ich das vorher abklären.
Die Probleme bisher waren eben fehlende MacAdressenfilterung bei der Fritzbox usw. um wirklich die Trennung sauber zu realisieren.
-
@jathagrimon Mit VLANs sollte auch der eine NIC-port reichen, wenn Du daran einen entsprechenden VLAN-fähigen Switch packst. (Router on a stick)
-
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Die Probleme bisher waren eben fehlende MacAdressenfilterung bei der Fritzbox usw. um wirklich die Trennung sauber zu realisieren.
Damit kannst du einzelne Clients im Inet einschränken oder Vollzugriff geben, mehr nicht.Mit VLANs baust du quasi virtuell eigene, völlig getrennte Netzwerke auf Layer 2 Basis auf.
So können sich die verschiedenen Geräteklassen gar nicht mehr untereinander sehen.Im WLAN gibt es dafür L2 Isolation, dann können sich die Gäste nur noch mit dem Gateway unterhalten, so sollte es im Gästenetz umgesetzt werden.
Sollte dann wirklich ein Gast mal Schade Code einschleppen, kann er sich nicht auf andere Geräte verbreiten, lediglich ins Internet könnte er dann mit dem C&C Server sprechen.Kommt hier ein DNS/IP Filter hinzu (pfBlockerNG), der auch im Gastnetz greift, hat er auch dahin keinen Kontakt.
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Aus der Skizze habe ich gesehen dass ich die Firewall nicht ganz rauswerfen kann, da die noch die VoiP Themen bedienen muss
Du kannst die Fritz einfach dahinter im LAN betreiben und als VoIP Anlage und DECT Station nutzen.
Je nach Fritzbox und Anforderungen kann ein NAT notwendig werden oder Multihoming der Frtiz, willst du die Fritz Fone App auch extern per VPN nutzen.Das mit dem Irgendwas to LAN extern Adapter vergiss es einfach, wenn du mit dem einen LAN Port und VLANs für WAN, und die einzelnen VLANs nicht klar kommst. Kaufe andere Hardware! Oder aber du bist so fit, dass du dir einfach eigene Treiber compilierst, ggf. anpasst und an den Kernel der Sense hängst.
Das geht dann aber immer nur bis zum nächsten Update, dann hast wieder Code Jenga.
Reicht dir max 1GBit Gesamtdurchsatz aus, für LAN to LAN und LAN to WAN Kommunikation kannst du so erstmal starten.Vor allem wenn die Kiste rum liegt.
-
Moin,
Apple Hardware lässt sich auch gebraucht gut verkaufen
, hau weg das Obststück und Du hast schon fast eine APU 3D4 zusammen. Meine APU2 rennt wie doof absolut stressfrei ohne Gefrickel, ist kleiner, braucht weniger Strom und ist extrem leise. Da sie nichts besonderes macht klappt es auch mit einem Gbit Internetanschluss ohne nennenswerte Einbußen.-teddy
@Work Lanner FW-7525B pfSense 2.7.2
@Home APU.2C4 pfSense 2.7.2
@CH APU.1D4 pfSense 2.7.2 -
@magicteddy said in Projekt: FritzBox raus und pfSense rein:
Meine APU2 rennt wie doof absolut stressfrei ohne Gefrickel, ist kleiner, braucht weniger Strom und ist extrem leise.
Und hat 3 integrierte, sehr gut unterstützte Netzwerkschnittstellen.
-
Und einen uralten SoC, der längst von der Zeit überholt wurde.
Da gibts mit den IPUs deutlich interessantere Kisten.
-
@nocling Klar, aber auch deutlich teurer, damit für meine Anwendung 0 Mehrwert da das vorhandene System nicht am Limit läuft.
-
Danke für die Hinweise.
Ja verkaufen und reich werden hatte ich schon drüber nachgedacht. Aber für die Kiste bekomm ich max. 100 Euro und da ist eine saubere Hardware von netgate eben doch noch einiges teurer.
Da Obst ja oft sehr leise ist, hab ich damit auch kein Problem.Der Netzwerkadapter ist nun eingetroffen und ich habe jetzt WAN mit 1 Gbit/s und LAN mit ebenso 1Gbit/s (reicht mir privat voll aus).
Grundkonfig ist erledigt und jetzt muss ich mir die VLAN Themen anschauen.
Habe jetzt mal als Test ein Guest VLAN am LAN angelegt und ein DHCP Server läuft da auch schon drin.
Für mich ist noch etwas unklar wie man den Anschluss steuert (also woher weiss das System dass der PC im Gästezimmer in das GastVLAN soll)? Ist das dann im Managed Switch je Port einstellbar auf welcher VLANID der läuft? Und beim WLAN muss dann im AccessPoint definiert werden? -
@jathagrimon dein gästelan einfach eine ssid anlegen mit einem eigenen vlan und diesen auch entsprechen auf dem switch und in der firewall konfigurieren (beispiele findest du einige hier im forum).
wenn du einen usb-lan adapter gekauft hast bei problemen bitte nicht im forum jammern wir haben dich gewarnt (es kann laufen (nicht stabil) muss aber nicht)
hier noch ein screenshot wie es bei mir im ap (controller) konfigurtiert ist.
-
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Ist das dann im Managed Switch je Port einstellbar auf welcher VLANID der läuft?
Genau. Auf den beiden verbundenen Geräten, also erstmal pfSense und Switch, werden die VLANs am jeweiligen Port konfiguriert. Auf einem Port und einer Leitung können mehrere VLANs liegen, was der eigentliche Sinn der Sache ist.
Sind auf einer Leitung mehrere VLANs, müssen die Paket für jedes entsprechend getaggt sein.Am Switch kannst du für jeden einzelnen Port einstellen, zu welchem VLAN er gehören soll, getaggt oder ungetaggt.
Und beim WLAN muss dann im AccessPoint definiert werden?
Kommt darauf an, ob dein WLAN-AP VLAN-fähig ist. Ist er das, kann er auch mehrere SSIDs und kannst du ihm die Pakete getaggt weiterreichen. Falls nicht, dann eben ungetaggt.
-
@micneu :
Es ist ein "Thunderbolt to Gigabit Ethernet Connector" von Apple.
Aktuell könnte ich noch Einfluss darauf nehmen welcher Anschluss das WAN und welcher für das LAN verwendet werden soll. Oder spielt das keine Rolle?@viragomann :
Ich kann aber schon den Mixed-Mode fahren?
Habe sicher noch Switches welche das nicht unterstützen. Die könnte ich dann einfach im Büro nutzen und dann sozusagen untagged die Daten an die pfSense leiten?
Ich würde also planen nur für Gäste und Kinder eigene VLANs zu erstellen und den Rest ohne VLAN zu betreiben. -
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Aktuell könnte ich noch Einfluss darauf nehmen welcher Anschluss das WAN und welcher für das LAN verwendet werden soll. Oder spielt das keine Rolle?
Wenn beide Adapter gleich toll in FreeBSD unterstützt werden und beide auch VLAN-fähig sind, sollte es egal sein.
Ich kann aber schon den Mixed-Mode fahren?
Damit meinst du wohl, tagged und untagged auf einer Leitung. Funktioniert normalerweise, empfohlen wird aber, dies zu vermeiden.
Du kannst aber als ersten Switch einen VLAN-fähigen anschließen und auf diesem dann einen dummen auf einem untagged Port.
-
Ja das meine ich mit Mixed-Mode. Ich habe mich jetzt mal ins Thema Tagging eingelesen.
Ich habe 2 Switches welche VLAN unterstützen und einen unmanaged Switch.
Unsicher bin ich jetzt ob das so funktionieren kann?Vor allem ob eine Doppelbelegung auf einem Port Sinnvoll oder eher ein Nachteil ist.
Beispiel: Ich würde den GastPC auf Port 8 anschliessen der sowohl VLAN1 und mein GastVLAN 99 bereitstellt. Wenn ich nun mal einen Engpass mit den Ports habe, kann ich dann einfach den GastPC abhängen und den Anschluss im VLAN1 nutzen ohne etwas umzustellen?
Ich frage darum weil (so wie ich jetzt gelernt habe) eine Doppelbelegung auf einem Port möglich ist. Das habe ich eben auch in der Config der Switches gesehen.Ich würde IEEE 802.1Q aktivieren. Bitte um Einspruch falls das keine gute Idee sein sollte. Laut Internet soll das ja nur Vorteile mit sich bringen.
Hier mal eine Skizze wie es aktuell ausschaut:
Nachtrag: Woher weiss denn der Switch oder die pfSense dass jetzt der GastPC oder ein normaler PC angeschlossen wurde???
-
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Vor allem ob eine Doppelbelegung auf einem Port Sinnvoll oder eher ein Nachteil ist.
Beispiel: Ich würde den GastPC auf Port 8 anschliessen der sowohl VLAN1 und mein GastVLAN 99 bereitstellt. Wenn ich nun mal einen Engpass mit den Ports habe, kann ich dann einfach den GastPC abhängen und den Anschluss im VLAN1 nutzen ohne etwas umzustellen?
Ich frage darum weil (so wie ich jetzt gelernt habe) eine Doppelbelegung auf einem Port möglich ist. Das habe ich eben auch in der Config der Switches gesehen.Eine Doppelbelgung mit VLANs ist nur getaggt möglich. Nur so können die Netze auf einem anderen Gerät wieder auseinandergehalten werden.
Wenn du auf einem Switch-Port einen PC anschließt, ist das im Normalfall nicht getaggt. Da kann also nur ein Netz am Port sein.
Im Switch müssen dann Pakete, die von dem angeschlossenen PC reinkommen, getaggt werden. Das ist ein gesonderte Einstellung, die gemacht werden muss.Abgesehen davon gibt es im Switch üblicherweise die Möglichkeiten, einen bestimmten Port zu einem bestimmten VLAN hinzuzufügen, und das entweder getaggt oder nicht getaggt. Der PC wäre nicht getaggt.
Das VLAN1 solltest du generell nicht verwenden. Es wird meist mit Nicht-VLAN gleichgesetzt, also ungetaggt.
-
Dass man einen PC nicht taggen kann ist mir klar.
Mir ging es nur um die Überlegung wie das erkannt wird ob nun ein PC oder ein Gast am Port hängt wenn man die Doppelbelegung verwendet.Wie steht es denn mit einem AP welcher mehrere WLANs bereitstellt (eben auf unterschiedlichen VLANIDs). Da wäre eine Doppelbelegung auf einem Port am Switch ja ein muss?
Sorry dass ich soviel frage, kann es leider nicht mal eben durchtesten. Werde mal sehen ob ich das nicht mit dem Packet Tracer von Cisco vorab testen kann.
-
@jathagrimon wie das mit einem AP und VLAN funktioniert habe ich dir doch oben ein bild von meinem ap in den post gehängt. da kannst du sehen das bei mir das VLAN33 genutzt wird für diese SSID.
die musst du natürlich in dem AP Konfigurieren (keine ahnung ob das deine können, ich setze UBNT ein) -
@jathagrimon said in Projekt: FritzBox raus und pfSense rein:
Dass man einen PC nicht taggen kann ist mir klar.
Ist ja nicht zwingend so. Man kann in den meisten PC Betriebssystemen ebenfalls die Netzwerkschnittstelle für VLAN konfigurieren, ist aber eher unüblich.
Also der PC hängt bspw. am Switch Port 3. Dieser ist dem VLAN10 zugeordnet als untagged, während reinkommende Pakete getaggt werden. Letzteres wird in der Switch Konfig meist PVID genannt.
Da gibt es nichts zu erkennen, sondern du musst wissen, dass der Port 3 zum VLAN10 gehört.
(Möglicherweise gibt es Techniken in Switchen, die einen Port anhand der MAC-Adresse des angeschlossenen Gerätes zuordnen. Aber auch müsste erst konfiguriert werden und wird von deinen Switchen vermutlich nicht unterstützt.)Mir ging es nur um die Überlegung wie das erkannt wird ob nun ein PC oder ein Gast am Port hängt wenn man die Doppelbelegung verwendet.
Nochmals, mehrere VLANs auf einer Leitung und Port ist nur möglich, wenn alle getaggt sind. Das nennt man meist "Trunk".
Ein solch ein Trunk besteht dann zwischen dem internen Interface der pfSense und dem angeschlossenen Switch. Z.B. VLAN10 (LAN) und VLAN30 (GastLAN).
Ein Trunk kann zwischen dem Switch und dem VLAN-fähigen (Multi-SSID) WLAN-AP eingerichtet werden. Z.B. ebenso VLAN10 (LAN) und VLAN30 (GastLAN).
Dann hast du am AP eine SSID für dein vertrauenswürdiges LAN und eine für das GastLAN.
Am Switch können einzelne Ports zusätzlich dem VLAN10 (LAN) zugewiesen sein, um diese Geräte im selben Netz zu haben.
