Kleines Projekt



  • Hi,

    zurzeit existiert ein Internetzugang über einen Speedport, der als Router und Modem fungiert. Accesspoint ist ein WRT54GL der durch 841ND's ersetzt werden soll.
    Nun möchte ich das Netz komplett trennen.
    Es steht ein Server mit 2 Netzwerkkarten und mehrere Cisco Switche (VLAN fähig) zu Verfügung.

    Privat
    Geschäftlich
    Gast

    Gast soll nur Zugriff auf das Internet haben, nichts anderes, also Port 80 und 443. Privat und Geschäftlich sollen vollen Zugriff auf das Netz haben, aber immer noch getrennt voneinander sein.

    Ist es Möglich, dass ein Accesspoint mit WPA und RADIUS Server das automatisch einteilt?

    Benutzerliste:
    Privat1 -> Netz Privat
    Privat2 -> Netz Privat
    Geschäftlich1 -> Netz Geschäftlich
    Geschäftlich2 -> Netz Geschäftlich
    Gast1 -> Netz Gast
    Gast2 -> Netz Gast

    Also wenn ich mich mit dem Benutzername Privat1 einlogge soll der auch in das Netz Privat und nur mit den Rechnern, die auch am Switch im Privatnetz hängen, kommunizieren können.

    Habe schon etliches gelesen (http://wiki.openwrt.org/doc/recipes/guest-wlan), bin aber grundsätzlich noch nicht ganz sicher wie ich das lösen sollte.

    OpenWRT kann ja auch als Firewall fungieren, d.h. Regeln erstellen, dass nur Port 80 und 443 funktioniert.
    Ist das überhaupt möglich mit WLAN und VLANs?

    Speedport als Modem einrichten und pfsense als Router und einwählen lassen? Oder Speedport als Modemrouter und exposed host? 2 NAT?
    3 SSIDs mit WPA2 Radius oder reicht auch eine SSID und die Erkennung erfolgt automatisch in welches Netz es geht?

    Hab mal etwas skizziert dazu, damit man das etwa bildlich hat.

    Zudem gibt es noch einen Drucker, der auch mit eingebunden werden soll. Allerdings nur von Netz Privat und Geschäftlich nutzbar, wie realisierbar?

    Gruß


  • LAYER 8 Moderator

    Hallo und Willkommen,

    Ist es Möglich, dass ein Accesspoint mit WPA und RADIUS Server das automatisch einteilt?

    Das hängt vom AP ab. Können deine designierten Access Points mit VLANs und multiplen SSIDs umgehen? Von dem was ich nach kurzer Suche gesehen habe, handelt es sich um einen sehr "günstigen" AP der das nicht kann, damit würde ich das sein lassen und andere APs nutzen um das korrekt aufzuziehen. Wenn du hier sparst kannst du höchstens mit sehr umständlichem Gefriemel zum Ziel kommen. Zudem verstehe ich nicht ganz warum an den APs gespart wird, wenn man gleichzeitig Server mit 2 NICs und Cisco Switches hat ;)

    Also wenn ich mich mit dem Benutzername Privat1 einlogge soll der auch in das Netz Privat und nur mit den Rechnern, die auch am Switch im Privatnetz hängen, kommunizieren können.

    Wäre mit dem richtigen Equipment möglich, nicht aber mit irgendwelchen "günstig" APs. Mit entsprechenden Kisten, die VLAN-fähig sind und MultiSSIDs beherrschen, ist das simpel: Man konfiguriert wie du oben farblich schon gemacht hast 3 verschiedene SSIDs, konfiguriert diese auch auf entsprechende VLANs und konfiguriert dann den Port des/der APs am Switch für diese 3 VLANs (Trunk mode). Loggt sich dann ein Gerät bei SSID_Privat ein, kommt er ins VLAN privat und kann dementsprechend auch nur mit anderen Privat Geräten reden (es sei denn die Firewall/pfSense erlaubt was anderes).

    OpenWRT kann ja auch als Firewall fungieren, d.h. Regeln erstellen, dass nur Port 80 und 443 funktioniert.
    Ist das überhaupt möglich mit WLAN und VLANs?

    Hier verstehe ich die Frage nicht. Was hat a) mit b) zu tun? So ich es verstehe willst du hier die APs mit OpenWRT "hinfrickeln", dass sie das tun, was man eben normalerweise mit VLANs, SSIDs und Logins löst. Ich würds sein lassen, das wird nichts (oder nicht sehr schön und wartbar).

    Speedport als Modem einrichten und pfsense als Router und einwählen lassen? Oder Speedport als Modemrouter und exposed host? 2 NAT?

    Sofern es ohne Einschränkungen geht, Modem und pfSense wählen lassen. Ist IMMER die bessere Variante wenn die pfSense direkt die Netze managen kann als wenn sie nachgeschaltet ist.

    3 SSIDs mit WPA2 Radius oder reicht auch eine SSID und die Erkennung erfolgt automatisch in welches Netz es geht?

    Siehe oben. Ich weiß nicht was du mit OpenWRT hinfummeln möchtest, aber sinnvoll geht sowas (meines Erachtens - man darf mich gern verbessern) nur mit VLANs, getrennten SSIDs und ordentlicher Auth. Für Gäste würde bspw. eine SSID mit WPA2-AES und zentralem Schlüssel genügen (den rotiert man einfach 1x im Monat o.ä.), SSIDs Privat/Geschäftlich kann mann dann als WPA2Enterprise machen mit Radius pro User (dann braucht man hier auch nix rotieren, sondern ggf. nur den User sperren).

    Hab mal etwas skizziert dazu, damit man das etwa bildlich hat.

    Das hast du in der Tat sehr schön gemacht. Pluspunkte für gute Kanaltrennung/-verwaltung (1/6/11) :) - hoffentlich hast du niemand in der Nähe der auf 2,7 oder 13 sendet :/

    Zudem gibt es noch einen Drucker, der auch mit eingebunden werden soll. Allerdings nur von Netz Privat und Geschäftlich nutzbar, wie realisierbar?

    Wo ist das Problem? Der wird eben in eines der Netze gestellt (wo er am meisten Sinn macht?) und entsprechend der Regeln auf der pfSense freigegeben vom anderen Netz. Done :)

    Ich weiß auch nicht was du als Server hast (ich vermute da soll pfSense drauf?) aber wenn der nur halbwegs dick ist, ist er fast schon verschwendet, denn die Skizze sieht für mich nicht so aus, als müsste der mehr wie 100MBit wuppen. Außerdem hast du bei viel Traffic von Privat<->Geschäftlich einen Flaschenhals in der Hardware.

    Grüße
    Jens



  • Oh, das ging ja richtig fix. Danke :)

    OpenWRT mit einem TP-Link 841ND kann m.E.n. Multiple SSIDs + VLANs. Siehe z.B. hier: https://forum.openwrt.org/viewtopic.php?id=51669
    FreeRadius könnte zum Beispiel auf dem OpenWRT Router laufen oder auch auf dem Server auf dem pfsense laufen soll.

    Zudem gibt es noch einen Drucker, der auch mit eingebunden werden soll. Allerdings nur von Netz Privat und Geschäftlich nutzbar, wie realisierbar?

    Wo ist das Problem? Der wird eben in eines der Netze gestellt (wo er am meisten Sinn macht?) und entsprechend der Regeln auf der pfSense freigegeben vom anderen Netz. Done :)

    Hast du ein Beispiel inkl. Beispiel IP Adressen bzw. Subnetze für die ganzen Netze, damit ich mir das vorstellen kann, was genau du damit meinst? Habe pfSense noch nie zuvor benutzt. Ich dachte das wäre eine Sache eines VLANs, also dass zwischen den VLAN geroutet werden muss und dass der Drucker in ein eigenes Subnetz sollte, da ja die Rechner Privat und Geschäftlich nicht miteinander kommunizieren sollten, sondern die beiden Bereiche nur mit dem gemeinsam genutzten Drucker.

    Ich weiß auch nicht was du als Server hast (ich vermute da soll pfSense drauf?) aber wenn der nur halbwegs dick ist, ist er fast schon verschwendet, denn die Skizze sieht für mich nicht so aus, als müsste der mehr wie 100MBit wuppen. Außerdem hast du bei viel Traffic von Privat<->Geschäftlich einen Flaschenhals in der Hardware.

    Der Server soll nur als Firewall fungieren. Was da durch kommt ist VDSL 50 Mbps, nichts weiter. Ja verschwendet wird er schon sogesehen, aber das spielt keine Rolle, da neue Anschaffungen sich erstmal rentieren müssten, vorhanden ist er ja, genauso wie die Cisco Switche älteren Baujahres.

    Wo ist denn der Flaschenhals? Müssen die Pakete durch pfSense durch, wenn sie von einem VLAN ins andere wollen?`Dafür ist doch der Switch da?

    Danke für deine Antworten :)

    LG

    // Ergänzung:
    http://wiki.openwrt.org/doc/uci/network/switch
    Youtube Video

    Also man kann zwischen Tagged und Untagged wählen.

    Das ist der Aufbau eines TP-Link Routers, der auch intern WAN und LAN mit VLANs trennt.


  • LAYER 8 Moderator

    Aah deshalb. Gut das ist dann natürlich eine Variante, die andere wäre z.B. UniFi (Ubiquity) APs zu nehmen und den (kostenlosen) Controller dafür zu nutzen. Evtl. nicht ganz so kostengünstig, allerdings gibt es mWn aich günstige 3er Packs an APs und da die Controller Software nichts kostet, durchaus eine Überlegung wert.

    Aber ja, von dem was ich kurz überflogen habe, würde das dann wohl gehen, dass SSIDs direkt in ein getaggtes VLAN gemappt werden, was genau das ist, was du brauchst.

    Hast du ein Beispiel inkl. Beispiel IP Adressen bzw. Subnetze für die ganzen Netze, damit ich mir das vorstellen kann, was genau du damit meinst? Habe pfSense noch nie zuvor benutzt. Ich dachte das wäre eine Sache eines VLANs, also dass zwischen den VLAN geroutet werden muss und dass der Drucker in ein eigenes Subnetz sollte, da ja die Rechner Privat und Geschäftlich nicht miteinander kommunizieren sollten, sondern die beiden Bereiche nur mit dem gemeinsam genutzten Drucker.

    Ja natürlich separieren VLANs Netze wie ein quasi Switch/Firewall. Deshalb tauchen VLANs wie ein echtes Interface auf der pfSense auf und werden auch so behandelt.

    Wo ist denn der Flaschenhals? Müssen die Pakete durch pfSense durch, wenn sie von einem VLAN ins andere wollen?`Dafür ist doch der Switch da?

    Nein, VLANs trennen Netze, als wären es mehrere Switche. Dein Switch wird deshalb nicht plötzlich zum Router. Das ist die Aufgabe eines Routers (drum heißt er so), nicht eines Switches, Pakete zwischen verschiedenen Netzen (und das sind VLANs) weiterzuleiten. Wenn deine Switche genug Saft haben und das vom Feature Set her können, wäre es denkbar, dass man die VLANs dort terminiert, aber glaub mir, du WILLST auf Ciscos oder Junipern nicht auf der Konsole irgendwelche Paketfilter-Regeln verwalten, denn das ist wirklich grausam. Zumal du mit der pfSense was hast, was genau diesen Job hat. Wäre also doppelt gemoppelt und würde sich nur in wirklich großen Netzen rentieren (Stichwort Core Network/Router Konzept). Deshalb ist das LAN Interface der Flaschenhals, da alle 3 VLANs (Privat, Business, Gast) über dieses Interface ins Internet gehen (was kein Problem ist, da hier eh nur 50MBit zur Verfügung stehen), aber bspw. auch Privat<->Geschäft geroutet wird (sofern es da Traffic gibt).

    Deshalb ist Netzwerk-Architektur auch kein so einfaches Thema wie viele (nicht du) immer denken, und ein Grund, warum man sich bei der Planung von manchen größeren Konstrukten vllt. durchaus jemand mit ins Boot holen sollte, damit das kein Eigentor wird ;)

    Viele Grüße



  • kostenloser WLAN Controller? Von den UniFi Dingern hab ich schonmal gehört.

    Zwischen den VLANs Privat und Geschäftlich wird geroutet, also muss das ja über den Server laufen. Ich muss mal schauen, ob die Ciscos auch Layer 3 fähig sind.
    Da werden an sich keine großen Daten getauscht, nur Internet eigentlich.

    Das Class C Netz sollte eigentlich ausreichen.

    Privat 192.168.1.0
    Geschäftlich 192.168.2.0
    Gast 192.168.3.0

    Der DHCP vergibt dann die Adressen ab 192.168.x.10 bis 250 = 240 Hosts pro Netz.

    D.h. ich konfiguriere an den Cisco Switchen 4 Trunkports: AP1, AP2, AP3 und für die Verbindung zum Server.
    Beim Server mit pfSense muss dann ebenfalls ein Trunk eingerichtet werden.

    Unter welcher IP wäre dann eigentlich der pfSense und Speedport erreichbar? Sollte es ein spezielles Management Netz extra geben?


  • LAYER 8 Moderator

    kostenloser WLAN Controller? Von den UniFi Dingern hab ich schonmal gehört.

    Ja, im Gegensatz zu vielen anderen Herstellern ist bei UniFi der Controller Software und kann auf einer beliebigen Kiste laufen, bspw. auch eine Arbeitsstation oder eine APU. Er muss eigentlich auch nur aktiv bleiben wenn spezielle Features wie Handover o.ä. aktiv sind, ansonsten genügt es die APs zu deployen und der Controller kann dann wieder gestoppt werden.

    Zwischen den VLANs Privat und Geschäftlich wird geroutet, also muss das ja über den Server laufen.

    Genau

    Ich muss mal schauen, ob die Ciscos auch Layer 3 fähig sind.

    Das mag ein Weg sein, aber das möchtest du nicht wirklich.

    Da werden an sich keine großen Daten getauscht, nur Internet eigentlich.

    Wenn die Netze untereinander eh keine Daten austauschen (nicht viel zumindest) ist es auch kein Problem.

    Das Class C Netz sollte eigentlich ausreichen.

    Inwiefern? Für was?

    Der DHCP vergibt dann die Adressen ab 192.168.x.10 bis 250 = 240 Hosts pro Netz.

    Sofern du keine statischen Geräte brauchst? Also sowas wie Druckserver o.ä. sollten KEINE dynamische IP haben, wenn man die Dinger einrichtet und entsprechend auch ständig erreichen möchte. Ist doof, wenn die dann doch mal ne andere IP haben.

    D.h. ich konfiguriere an den Cisco Switchen 4 Trunkports: AP1, AP2, AP3 und für die Verbindung zum Server.

    Jup

    Beim Server mit pfSense muss dann ebenfalls ein Trunk eingerichtet werden.

    Nö. Die VLANs werden einfach auf dem Interface konfiguriert. Anschließend muss man die in "Interface assign" noch zuweisen und benennen. Dann kann man die VLANs bedienen (mit Regeln etc.) wie normale Interfaces.

    Unter welcher IP wäre dann eigentlich der pfSense und Speedport erreichbar? Sollte es ein spezielles Management Netz extra geben?

    pfSense: theoretisch von jedem Netz aus, aus dem man es möchte. Da man dafür spezifische Regeln anlegen kann von welcher IP aus lässt sich das ganz gut einrichten.
    Speedport: Hat der überhaupt eine IP wenn er als Modem betrieben wird? Wenn ja, kann man diese IP/das Subnetz auf der pfSense routen oder ggf. ausgehend NATten, dann ist der auch erreichbar.

    Sollte es ein spezielles Management Netz extra geben?

    Sowas macht immer Sinn, allerdings sollte man es als OOB Netz einplanen (out of band) und somit ggf. außerhalb der Ciscos stecken (also jeder verwendete Cisco + pfSense in extra Switch), damit man alles noch erreichen um zu fixen, wenn irgendwas kaputt konfiguriert wird. Allerdings bräuchtest du dann auch eine 3. NIC im Server um das sauber zu bauen.
    Ansonsten könnte man ein Mgmt VLAN definieren und dieses zusätzlich auf der pfSense und den Switchen auflegen. Im Hardware-Fehlerfall ist dann aber nichts mehr zu holen (nur Info). In dieses VLAN kann man dann auch die Kisten stellen, die Mgmt machen dürfen.



  • Das Class C Netz sollte eigentlich ausreichen.

    Inwiefern? Für was?

    Für die Anzahl der benötigten Hosts.

    Nö. Die VLANs werden einfach auf dem Interface konfiguriert. Anschließend muss man die in "Interface assign" noch zuweisen und benennen. Dann kann man die VLANs bedienen (mit Regeln etc.) wie normale Interfaces.

    Das Interface muss aber VLAN fähig sein, richtig?

    D.h. ich konfiguriere an den Cisco Switchen 4 Trunkports: AP1, AP2, AP3 und für die Verbindung zum Server.

    Jup

    Und die restlichen Ports (z.B. Ports 13-24 -> VLAN 1, Ports 25-36 VLAN 2, Ports 37-48 VLAN 3) sind portbased(?) oder untagged, also fest eingerichtet bzw zugewiesen.

    Sofern du keine statischen Geräte brauchst? Also sowas wie Druckserver o.ä. sollten KEINE dynamische IP haben, wenn man die Dinger einrichtet und entsprechend auch ständig erreichen möchte. Ist doof, wenn die dann doch mal ne andere IP haben.

    Statische Geräte sollen Geräte sein wie der Drucker z.B.

    Sollte es ein spezielles Management Netz extra geben?

    Sowas macht immer Sinn, allerdings sollte man es als OOB Netz einplanen (out of band) und somit ggf. außerhalb der Ciscos stecken (also jeder verwendete Cisco + pfSense in extra Switch), damit man alles noch erreichen um zu fixen, wenn irgendwas kaputt konfiguriert wird. Allerdings bräuchtest du dann auch eine 3. NIC im Server um das sauber zu bauen.
    Ansonsten könnte man ein Mgmt VLAN definieren und dieses zusätzlich auf der pfSense und den Switchen auflegen. Im Hardware-Fehlerfall ist dann aber nichts mehr zu holen (nur Info). In dieses VLAN kann man dann auch die Kisten stellen, die Mgmt machen dürfen.

    Gut 3. NIC gibt es nicht, also fällt das erstmal weg. Aber das Management VLAN macht grundsätzlich sinn?

    Speedport: Hat der überhaupt eine IP wenn er als Modem betrieben wird? Wenn ja, kann man diese IP/das Subnetz auf der pfSense routen oder ggf. ausgehend NATten, dann ist der auch erreichbar.

    Gute Frage, weiß ich (noch) nicht. Irgendwie muss das Ding ja dann erreichbar sein, weil wie soll man sonst von Modem auf Routerbetrieb umstellen? Ich hoffe der kann das überhaupt..
    http://www.administrator.de/forum/keine-vdsl-modems-verfügbar-und-kein-pppoe-bei-routern-183448.html
    http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

    Das macht mich ja jetzt erstmal stutzig

    Wobei hier gibt jemand grünes Licht, sollte sich also als Modem nutzen lassen.
    https://forum.pfsense.org/index.php?topic=72200.0


  • LAYER 8 Moderator

    Das Interface muss aber VLAN fähig sein, richtig?
    Die NIC muss, aber die meisten sind das.

    Und die restlichen Ports (z.B. Ports 13-24 -> VLAN 1, Ports 25-36 VLAN 2, Ports 37-48 VLAN 3) sind portbased(?) oder untagged, also fest eingerichtet bzw zugewiesen.
    Die restlichen Ports müssen sinnvollerweise untagged VLAN 1, 2 oder 3 sein, da deine Endgeräte nichts von VLANs wissen (sollen) und demzufolge nicht taggen. Ich würde aber VLANs 10, 20, 30 nehmen, da 1 häufig als default VLAN benutzt wird und man möchte Überschneidungen mit Default vermeiden (sonst hast du bspw. unkonfigurierte Ports die automatisch im privaten LAN sind, weil Privates VLAN = 1 ist)

    Statische Geräte sollen Geräte sein wie der Drucker z.B.
    Richtig, das sage ich ja. Solche Geräte sollten statische IPs bekommen, deshalb ist es nicht unbedingt sinnvoll fast das komplette Netz für DHCP zu konfigurieren.

    Aber das Management VLAN macht grundsätzlich sinn?
    Ja tut es.

    wie soll man sonst von Modem auf Routerbetrieb umstellen? Ich hoffe der kann das überhaupt..
    häufig so, dass wenn die keine Verbindung aufbauen können (oder du WAN abziehst), dass sie auf der LAN Seite automatisch eine IP und einen DHCP Server hochziehen. Wenn man die IP kennt, kann man diese entsprechend routen/NATten..

    Der heise Artikel ist zudem fast 7 Jahre alt und nicht mehr aussagekräftig.



  • pfSense unterstützt ja auch FreeRADIUS als Package, d.h. ich muss es nicht extra installieren.
    -> https://doc.pfsense.org/index.php/FreeRADIUS_2.x_package

    https://doc.pfsense.org/index.php/Using_EAP_and_PEAP_with_FreeRADIUS

    Bin mal gespannt, ob das hinhaut mit den Accesspoints  ;D



  • Hier meine Switch Config:

    sh running-config
    Building configuration...
    
    Current configuration : 1418 bytes
    !
    version 12.1
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname Peter
    !
    !
    ip subnet-zero
    !
    ip ssh time-out 120
    ip ssh authentication-retries 3
    !
    spanning-tree mode pvst
    no spanning-tree optimize bpdu transmission
    spanning-tree extend system-id
    !
    !
    !
    !
    interface FastEthernet0/1
    !
    interface FastEthernet0/2
     switchport access vlan 10
     switchport mode access
    !
    interface FastEthernet0/3
     switchport access vlan 10
     switchport mode access
    !
    interface FastEthernet0/4
     switchport access vlan 10
     switchport mode access
    !
    interface FastEthernet0/5
     switchport access vlan 10
     switchport mode access
    !
    interface FastEthernet0/6
     switchport access vlan 20
     switchport mode access
    !
    interface FastEthernet0/7
     switchport access vlan 20
     switchport mode access
    !
    interface FastEthernet0/8
     switchport access vlan 20
     switchport mode access
    !
    interface FastEthernet0/9
     switchport access vlan 20
     switchport mode access
    !
    interface FastEthernet0/10
    !
    interface FastEthernet0/11
     switchport mode trunk
    !
    interface FastEthernet0/12
     switchport mode trunk
    !
    interface Vlan1
     ip address 192.168.1.2 255.255.255.0
     no ip route-cache
    !
    interface Vlan10
     no ip address
     no ip route-cache
     shutdown
    !
    interface Vlan20
     ip address 192.168.20.2 255.255.255.0
     no ip route-cache
     shutdown
    !
    ip http server
    !
    line con 0
    line vty 0 4
     login
    line vty 5 15
     login
    !
    !
    end
    
    

    Eine Fritz!box (192.168.178.1) ist an WAN mit Static IPv4 192.168.178.254 angeschlossen.
    IPv4 Upstream Gateway hab ich 192.168.178.1 eingetragen.
    Ich hab den pfSense an den Port 12 angeschlossen und den Accesspoint an Port 11.

    Ein Testrechner an Port 1 erhält vom DHCP die IP 192.168.1.x
    Das Internet funktioniert, alles top. Kann die FritzBox auf 192.168.178.1 nicht erreichen, gut.
    Ich kann die pfSense Oberfläche erreichen.
    Ein Testrechner an Port 4 erhält vom DHCP die IP 192.168.10.x
    Internet funktioniert nicht, kann auch den pfSense auf 192.168.10.1 nicht erreichen.

    Der Accesspoint ist in VLAN10 und VLAN20 erreichbar
    192.168.10.3 und 192.168.20.3, kann auch von einem Client der am Switch hängt darauf zugreifen.

    Muss ich bei den VLAN Interfaces noch ein Gateway eintragen, damit das Internet funktioniert, oder sind noch weitere Firewallregeln erforderlich?


Log in to reply