Gast Wlan bei einem AP über die PFSense

kreidei

Hallo !

Hätte eine Frage ob möglich oder nicht. Ich benutze die PFsense als Router in meinem Heimnetzwerk und
habe hinter der Sense einen AP hängen der mein Haus mit Wifi versorgt. Dieser AP kann auch einen
Gastzugang machen mit Trennung vom Netzwerk nur Internet.

Aber natürlich kann das ja nicht funktionieren da ich ja keinen zugriff auf das Netzwerk habe
und deshalb auch nicht auf die Sense zugreifen kann die ja als Getway und DNS Router handelt.

Habe jetzt gelesen wenn man eine Sense benutzt sollte das aber trotzdem möglich sein.
Ist es möglich und wie ?

tommytiger

Hi kreidei,

was für einen AP hast du denn da zur Verfügung?
Man kann die Trennung durch verschiedene VLAN durchführen in dem du ein VLAN für privat und eins für das Gastnetz einrichtest.
Die meisten AP's können VLAN und auch Multi SSID wodurch so eine Trennung gut funktioniert.

Über das Captive Portal könntest du die Berechtigungen noch weiter einschränken, damit nicht jeder sich bei dir einloggen kann und irgendwelche illegalen Sachen über deine IP/ auf deine Kosten durchführt. Die Gesetzeslage ist ja leider noch lange nicht so, dass man einfach so ein öffentliches WLAN zur Verfügung stellen kann ohne, dass früh um 6 dir das BKA die Wohnung stürmt, nur weil jemand was illegales über deinen Anschluss gemacht hat. ^^

kreidei

Ja entweder ein Netgear WNR3500L der einenen Gastzugriff inklusive Netzwerksperre in der Standard Firmware hätte oder ein Linksys WRT54GL mit DD WRT Firmware Software.

jahonix

Beim Linksys mit DD-WRT Firmware sollte das gehen, wenngleich ich das nie funktionierend konfiguriert bekommen habe.
Beim Netgedöns vermutlich nur, wenn am WAN der Internetzugang hängt und das Gerät selbst NATtet.

tommytiger

Also bei einem AP mit OpenWRT habe ich es selber schon eingerichtet. Über das OpenWRT wurden verschiedene WLAN SSID erstellt, die jeweils auf unterschiedliche VLAN's gebridged waren. Damit schafft man eine Saubere Trennung von Gast und Privat WLAN.

kreidei

Anderer Denkansatz.

Da ich ja nicht der Fan bin von zwei Netzwerke auf der selben Antenne.
Ich habe ja zwei Router zur Verfügung kann ich den einem (z.b.: 192.168.1.20) nicht durch die Sense klar machen,
du dafrst nur WAN aber kein LAN über die IP Adresse ??

Sorry bin echt ein Neuling auf der Sense erst am Feitag bekommen.

tommytiger

klar, dass geht natürlich auch, dass du 2 verschiedenen Netze hast. Die Pfsense fungiert hierbei als Router. In dem Gastlan/WLAN verbietest du dein Privates Netz und machst zum Schluss eine Any (Gastnetz) to Any Regel, damit du nach draußen (also any) darfst. Damit kannst du dich von dem Gastnetz abkapseln. Ich persönlich mag die doppelte Verwendung von Geräten nicht wegen der doppelten Strahlung und den doppelten Stromkosten  ;), die hat man ja auch so schon, wenn man alles HA aufsetzt ^^

kreidei

Ja aber geht das nur wenn ich ein eigenes LAN mache ?
Habe nur ein komplettes LAN in meinem Haus auf dieses Lan Patch hängen vier Geräte drauf.

Kann ich nicht den Client direkt ansprechen mit seiner IP ?

tommytiger

Ja es muss ein anderes Netz sein. Wenn du z.b. ein 192.168.0.0/24 hast, dann kannst du ja dem Gastnetz z.b. ein 192.168.5.0/24 geben.
Das ist wichtig, da du, wenn du alle über ein Netz lösen wolltest, den Gast nicht aussperren kannst.
Wenn alle im gleichen Netz sind, dann kann sich jeder über Layer 2 anpingen und das geht dann nur über die Switch und nicht über die PFSense die für das routing und die entsprechenden Firewall regeln zuständig ist. Was weiterhin zu empfehlen ist, ist es in separierten VLANs aufzutrennen, damit ein Angreifer nicht einfach sich selber eine IP in deinem Netz gibt um dann in dem Privaten Bereich mit zu surfen.