Multihomed MS DHCP Server und Multi SSID WLAN
-
Hallo, ich habe eine Umgebung gebaut…. Ich beschreibe mal was jetzt läuft.
Domänenzugehöriger DHCP Server, als VM, Multihomed. Jede NIC guckt in einen VLAN.
Ich verteile, an rein, interne Netze, Adressen, alle diese Netze werden von einen großen Router geroutet.
Dann gibt es mehrere WLANs. Alle SSIDs werden in ein VLAN von den Accesspoints gepackt. Die DCHP-Anfragen werden dann von der VM beantwortet.
Zwei der WLANs sind für "externe" Zwecke vorgesehen. Ein WLAN ermöglicht Gästen den direkten Weg in das Internet, die pfSense ist hier CP, und NAT-Router ins WAN. Wobei die Adressen hier von einen Server kommen, der "intern" ist, zumindest mit ein Teil seiner Bindungen ja u. a. in der Domäne.
Das andere WLAN soll es Externen ermöglichen Teilbereiche meines LANs zu erreichen. Hier ist die habe ich im Moment ein Routing über den Router und zusätzliche die pfSense. Final soll die pfSense alleine routen und somit das Nadelöhr sein, wo der Traffic in die LANs gelangt. der zweite Pfad fliegt dann von dem Router wieder runter.So weit alles kein Problem. Läuft als Dev-Umgebung zu meiner Zufriedenheit.
Final spiele ich mit dem Gedanken, dass ich die zwei SSID als "offen" betreibe und über das CP und die Firewall an sich alles manage.
Dennoch steht ja in beiden Netzen der MS Windows Server, der auf DHCP Anfragen Antwortet und im Moment mit einer Windows Firewall und aktuellen Patches ausgestattet ist. Dabei fühle ich mich nicht sooo gut.
Jetzt habe ich überlegt, dass ich mit einen DHCP-Relay arbeite, das die DHCP Anfragen und Antworten durch die pfSense müssen und der MS Windows Server auf dem Layer gar nicht erreichbar ist.
Kann die pfSense "Multi-DHCP-Relaying" und wenn ja, wie ist es sinnhaftigerweise zu Konfigurieren. Wenn nein, das schlagt ihr vor?
Generell nehme ich jeden Input zu diesen Thema an!Danke
-
Was ist an der Anordnung denn "Multi-DHCP-Relaying"? Dein DHCP Windows Server soll nicht im gleichen VLAN wie die WLANs stehen. Das ist OK. Er muss aber auf einem anderen Interface für die pfSense erreichbar sein. Wenn er das ist: DHCP Relay anmachen für das/die entsprechenden (VLAN-)Interfaces und als Destination Server die IP des WinDHCPServer eintragen für das Netz wo ihn die pfSense sieht. Sollte somit kein Problem sein.
Was ich an der Angelegenheit nicht ganz verstehe ist, dass du recht große Bemühungen betreibst mit Domäne, mehrere WLANs etc. dann aber alle WLANs in das gleiche VLAN packst. Gerade wenn du Gäste, Externe und Interne WLAN Clients abwickelst, haben diese komplett andere Bedürfnisse. Beispiel aus einer Firma, wo wir so etwas konfiguriert haben:
WLAN soll es geben für
- Interne nach Freigabe, dann aber wirklich ins LAN gebridged, damit man "normal" arbeiten kann mit allen Zugriffen (für Laptops von Mitarbeitern)
- Intern mit beschränktem Zugriff aber freiem Internet für bspw. Mobilgeräte von Mitarbeitern, die Mails/Internet etc. haben und ggf. auf beschränkte interne Ressourcen (Exchange, Wiki, o.ä. zugreifen wollen)
- Externe, die an diversen Projekten Mitarbeiten (Anforderung ca. Mischung aus 1 und 2)
- Gäste
Das wurde unter anderem gelöst durch: Authentifizierung durch Radius, Ticketing (so wie pfSense und CP), Freischaltung durch Gruppenzugehörigkeit, unterschiedliche VLANs, Routing, WPA2 Enterprise.
Vielleicht ein Denkanstoß :)
Grüße
-
Nein, alle WLANs haben ihr eigenes VLAN.
Übersicht zum Verständnis:
1. WLAN ist ein Radius gesteuertes WLAN. Alle meine Kollegen aller Niederlassungen müssen drei Bedingen erfüllen, dass Sie überhaupt in das WLAN kommen. a: Zertifikat im Bauch, b: Host muss einer bestimmten AD-Gruppe angehören, c: angemeldeter Domänenuser muss auch einer bestimmten Gruppe angehören.
Am Ende des Subnetzes wo diese Clients hinkommen (VLAN2150) steht eine MS TMG 2010 die vereinfacht gesagt gerade folgendes macht: Kenne ich den Host aus dem Internen DHCP dann darf er ausgesuchte Ziele und Netze erreichen.2. WLAN wie 1. nur könnte man hier einen Schlüssel eingeben. Wird aber nicht genutzt. Clients landen ebenfalls im VLAN2150.
3. WLAN. Hat sein Gateway nicht auf den großen Router, sondern muss von pfSense geroutet werden. Dieses WLAN verbindet Clients per Voucher direkt in das öffentliche Internet. Habe über unseren Standort dazu 34 APs montiert, die alle tagged Traffic in das VLAN 2180 forwarden, damit die pfSense dann ins WAN NATet. Hier geht es um Besucher, z. B. ein Vertriebler der das VPN seiner Firma aufsuchen will.
4. WLAN. Hat das Ziel z. B. Lieferanten von uns, die gelieferten und betriebenen Geräte erreichbar zu machen. Hier habe ich zur Zeit ein Mehrpfadigkeit durch zwei Gateways, weil ich nicht den ganzen Tag damit zur Zeit zubringen kann hier was zu bauen. Die "Externen" sind Grundsätzlich vertraueneswürdig, habe aber keinen grund auch grundsätzliche alle 27 Netze hier im haus und die 182 in den anderen Standorten grundsätzlich erreichbar zu machen. Der Traffig wird hier mit dem VLAN 2170 getaggt und kann sowohl vom Hauptrouter als auch der pfSense gesehen werden. der Router soll das aber in naher Zukunft nicht mehr können, sondern nur noch die beiden pfSensen (Cluster) sehen, die in den Transportnetz auf den Router routen und das was von den pfSensen nocht kommt an Ihre Ziel zu lassen.
"Multi-DHCP-Relay"
Der DHCP hat jetzt sieben NICs in der VM. Jede NIC steht in einen VLAN. Nur eine NIC "Servernetz-NIC" hat ein Gateway. Die weiteren sechs NICs warten den ganzen Tag auf DHCP-Request-Broadcast.Im DHCP-Relay-Menu der pfSense kann ich nur ein Ziel angeben für alle Interfaces der pfSense. Das ist mein Problem. Ich kann ja leider nicht auf jedes OPT-NIC der pfSense ein Relay legen.