nocheinnoobmehr
Goto Top

Verständnisprobleme mit Aufbau einer Firewall, DHCP und IP-Ranges

Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.

Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients

Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).
Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.

Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?
Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?

Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom

Content-Key: 595594

Url: https://administrator.de/contentid/595594

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: Possibaer
Possibaer 12.08.2020 aktualisiert um 16:26:08 Uhr
Goto Top
Zitat von @nocheinnoobmehr:

Guten Tag, soviel Zeit sollte sein.

Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.

Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients

Reste-Verwertung? Bis auf den Switch natürlich.

Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).

Hat der PC den ein DSL-Modem?

Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.

Keine gute Idee. Damit baut du dir unter Umständen eine Endlosschleife im Netz.

Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?

Meiner Meinung nach definitiv NEIN!

Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?

Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt^^), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom

Kauf dir nen anständigen Business-Router mit Firewall und einen dazu passenden WLAN-AP, welcher VLAN und mehre SSID's kann.
DHCP dann natürlich über den Router. Der WLAN-AP wird so konfiguriert, dass er sich die IP's vom Router holt und durch reicht.
Und fertig.

VG
Mitglied: nocheinnoobmehr
nocheinnoobmehr 12.08.2020 um 16:56:17 Uhr
Goto Top
Zitat von @Possibaer:

Zitat von @nocheinnoobmehr:

Guten Tag, soviel Zeit sollte sein.
Asche über mein Haupt...sorry. Also ein "Moin" in die Runde.
Ich würde gerne das folgende Szenario einrichten, habe aber noch ein paar Fragen/Probleme:
Sämtlicher Netzwerkverkehr von aussen geht durch eine VM mit Firewall und dann in den Switch mit 2x VLAN; einmal Firma, einmal Gäste. WLAN soll der PC für die Firma stellen, die Fritzbox für Gäste.

Vorhandene Hardware:
Fritzbox 7490 - HP1920/24 Switch - Win10pro-PC, 3x NIC, 1x WLAN - einige Clients

Reste-Verwertung? Bis auf den Switch natürlich.

Eher nicht...kleiner Betrieb mit kleinem Budget.
Nun soll das WAN-Kabel von der Fritzbox in den PC. Dort läuft die FW (pfsense o.ä.) in einer VM (Virtualbox).

Hat der PC den ein DSL-Modem?
Ok, falsch ausgedrückt: Das LAN-Kabel aus der Fritzbox. :/

Aus dem PC geht das LAN-Kabel in den Switch als Uplink und versorgt VLAN1 und VLAN2 mit Internet.
Das 3. Kabel geht dann wieder vom Switch in den PC.

Keine gute Idee. Damit baut du dir unter Umständen eine Endlosschleife im Netz.
Ok, thx für den Denkanstoss

Ist so ein Szenario machbar bzw. einigermaßen sinnvoll?

Meiner Meinung nach definitiv NEIN!

Wo würde ich den DHCP-Server am Besten laufen lassen? Fritzbox, Switch oder pfsene?
Welche IP-Ranges sollten WAN, LAN und Gäste-LAN erhalten?

Da ich nicht der begnadete Netzwerkspezialist bin (wie man merkt
), wäre ich für Tipps oder Hilfe echt dankbar.
lg
Tom

Kauf dir nen anständigen Business-Router mit Firewall und einen dazu passenden WLAN-AP, welcher VLAN und mehre SSID's kann.
DHCP dann natürlich über den Router. Der WLAN-AP wird so konfiguriert, dass er sich die IP's vom Router holt und durch reicht.
Und fertig.
Da steckt ein Teil der Problematik. Als kleiner Betrieb können wir nicht einfach was in die Tonne drücken und mal eben neu kaufen, leider. Ausserdem: Was nutzt mir die tollste Hardware/Software, wenn ich das nicht einigermaßen überblicken kann und für jedes kleine Problem einen Netzwerk-Servicepartner holen muß.
Sorry, bin halt fast-DAU mit kleinem Netzwerk. ;)



VG
Mitglied: sascha46
sascha46 12.08.2020 um 17:45:46 Uhr
Goto Top
Wenn ihr nur ein Kleiner betrieb seid wäre vielleicht ubiquiti was für euch.
Kostet nicht die Welt und ist einfach zu konfigurieren.

Gruss Sascha
Mitglied: transocean
transocean 12.08.2020 um 17:49:27 Uhr
Goto Top
Moin,

lies mal hier.

Gruß

Uwe
Mitglied: nocheinnoobmehr
nocheinnoobmehr 12.08.2020 um 18:59:09 Uhr
Goto Top
Zitat von @sascha46:

Wenn ihr nur ein Kleiner betrieb seid wäre vielleicht ubiquiti was für euch.
Kostet nicht die Welt und ist einfach zu konfigurieren.

Gruss Sascha
Kannte ich noch nicht. Würde halt noch die Firewall fehlen.
...aber Danke für die Info!
Mitglied: nocheinnoobmehr
nocheinnoobmehr 12.08.2020, aktualisiert am 21.04.2022 um 15:55:46 Uhr
Goto Top
Sehr coole Anleitung! *respekt*

Eigentlich würde ich das genau so wollen, wie auf dem Bild aus der Anleitung von @aqui zu sehen ist.
Mitglied: sascha46
sascha46 12.08.2020 um 19:33:05 Uhr
Goto Top
Die bieten alles an, das tolle ist es ist alles aufeinander abgestimmt.

https://www.omg.de/ubiquiti-networks/unifi/unifi-voip/ubiquiti-unifi-sec ...
https://www.omg.de/ubiquiti-networks/unifi/unifi-security-gateway/ubiqui ...

Du kannst auch mit der Firewall und einem AP anfangen, und dann weiter aufrüsten.

Gruss Sascha
Mitglied: Herbrich19
Herbrich19 13.08.2020 um 03:02:19 Uhr
Goto Top
Gepriesen sei das Rauhe Haus,

Nun, ich sehe erst mal das Problem darin das die Fritzbox das Gäste WLAN macht. Wenn du wirklich auf der Fritte das Gäste WLAN Aktiv hast, dann ist alles ok. Wenn das Interne LAN (Heimnetz) der Fritzbox das Gäste-WLAN ist, dann kann man via Man in the Middle den ganzen Traffic zwischen der pfSense und der Fritzbox mitschneiden.

Ich würde die Fritzbox als DSL Modem nutzen und gar nicht weiter beachten. Heißt, Portweiterleitungen für Dienste die Fernzugriff brauchen und eventuell noch ein DDNS. Gut.

Dann würde ich fürs WLAN dedizierte Access Points nehmen. Unifi ist einfach einzurichten und hat sogar ein Capitive Portal. Glaube es gibt sogar ein UniFi Controller Packet für die pfSense (bin mir aber nicht sicher.)

So, die Gäste gehen dann übers Gäste WLAN was auf die entsprechende VLAN ID gemappt ist. Und genau so das Firmen Netzwerk. Die pfSense darf natürlich kein Traffic zwischen den beiden Netzwerken zulassen. Dann ist alles ok. Einzige Ausnahme ist eventuell das Capitive Portal was ich dann in eben durch ein Reverse Proxy ziehen würde, da der UniFi Controller im Firmen LAN steht. Alternativ eine DMZ für die Komponenten einrichten (Switch, UniFi Controller, Accesspoints und weitere Netzwerk Geräte).

LG, J Herbrich
Mitglied: aqui
Lösung aqui 13.08.2020 aktualisiert um 10:46:26 Uhr
Goto Top
Kauf dir nen anständigen Business-Router mit Firewall
Das wäre Blödsinn, denn für den TO bzw. seinen Anforderungen reicht eine kleine Firewall wie die PfSense auf einem APU Board vollends aus.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
So hat er sie auf einem eigenen Blech und in einer Kaskade mit der FritzBox auch sinnvoll gekoppelt. Siehe hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ein wasserdichtes und erprobtes Konzept für so ein KMU Design mit dem sich alle Anforderungen einfach und schnell umsetzen lassen.
Von Unifi kann man wegen des Zwangscontrollers (Vendor Lockin) und schlechter Perfomance nur dringendsten abraten !
Mitglied: sascha46
sascha46 13.08.2020 um 18:40:22 Uhr
Goto Top
@aqui

Das mit dem Zwangscontrollers (Vendor Lockin) kann man sehen wie man will, es setuern
alle Hersteller in diese Richtung.

Allerdings verstehe ich nicht, warum es bei den Ubiquiti Komponenten zu Performance Problemen
kommen soll.
Bisher bin ich mit der Ubiquiti Hardware zufrieden.

Und ober der Thread Ersteller (nocheinnoobmehr) mit dem aufsetzen der Pfsense und der dazugehörigen Konfiguration
klar kommt weiss ich nicht.

Aber das ist ja auch wie immer Geschmackssache.
Mitglied: aqui
aqui 14.08.2020 aktualisiert um 16:26:25 Uhr
Goto Top
Du setzt es vermutlich nur im Umfeld von Heimnetzen und Kleinstnetzen ein. Da kann man das machenobwohl die Zwangspolitik der HW klar dagegen spricht heutzutage. Auch das ein Hersteller keine eigenen Produkte sondern nur umgesäbelte Massenware verwendet ist kein gute Omen und ein NoGo für anspruchsvollere Netzwerk Projekte. Aber das muss letztlich jeder für sich entscheiden.
Es gibt definitiv bessere Hersteller mit innovativeren Produkten auf gleichem Preisniveau.
Mitglied: nocheinnoobmehr
nocheinnoobmehr 15.08.2020 um 14:28:09 Uhr
Goto Top
Bis hierhin schon mal vielen Dank für die Aufmerksamkeit. face-smile
Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.

Ich werde mich mehr mit den Grundlagen eines Netzwerkes befassen müssen.
Sollte ich dann noch Fragen haben, melde ich mich nochmal.
Mitglied: aqui
Lösung aqui 16.08.2020 aktualisiert um 17:57:32 Uhr
Goto Top
Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Dann tief Luft holen, ein kühles Getränk und das hiesige pfSense Tutorial bzw. seine weiterführenden Links nochmal gaaanz in Ruhe lesen... face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: nocheinnoobmehr
nocheinnoobmehr 17.08.2020 um 13:33:50 Uhr
Goto Top
Zitat von @aqui:

Irgendwie ist mir die Konfiguration von pfsense doch zu hoch und nach dem Thread bin ich eher noch verwirrter.
Dann tief Luft holen, ein kühles Getränk und das hiesige pfSense Tutorial bzw. seine weiterführenden Links nochmal gaaanz in Ruhe lesen... face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
@aqui
Genau das haben wir zu zweit am Wochenende gemacht.
(Ich hab Do.+Fr.=Sa.+So. und Sa.+So.=Mo.+Di., also ist für mich heute Mi.^^---Corona und Schichtdienst sei dank. face-sad )

Nun läuft pfsense in einer VM mit den 2 NICs und der Rechner wird über die 3. NIC versorgt. Einige Rules sind konfiguriert und funktionieren auch wie gewünscht, lediglich Teamviewer und Anydesk lassen sich nicht blocken, aber wir sind ja nicht die einzigen, die dieses "Problem" haben. Ist aber auch nicht kriegsentscheidend.

Nochmals vielen Dank dafür, dass du so umfassend dein Wissen teilst.
Mitglied: aqui
aqui 17.08.2020 um 15:47:13 Uhr
Goto Top
lediglich Teamviewer und Anydesk lassen sich nicht blocken
Was natürlich Unsinn ist. Das klappt wunderbar.
https://forum.netgate.com/topic/21205/solved-how-to-block-teamviewer
https://mediarealm.com.au/articles/block-teamviewer-network/
Sehr sinnvoll ist auch dafür pfBlockerNG aus der Packetverwaltung zu installieren:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Nochmals vielen Dank dafür, dass du so umfassend dein Wissen teilst.
Immer gerne.. face-wink
Mitglied: nocheinnoobmehr
nocheinnoobmehr 30.09.2020 um 14:15:47 Uhr
Goto Top
So, nochmal kurze Rückmeldung:

Der "Server" mit W10 ist produktiv im Einsatz und versorgt ~10 Clients im LAN mit der Warenwirtschaftssoft.
Gäste werden von der Fritz mit WLAN versorgt.
Der Server mit pfsense in einer VM und 2 NICs regeln den Verkehr und langsam werden wir auch Freunde.
(Ich hab gefühlt zwar erst 5% Nutzen von dem Potential der pfsense nutzen können, aber die sind schon der Hammer. Geiles Teil. face-smile )
Die 3. NIC im Server wird dann mit LAN vom Switch versorgt.

Nochmals vielen Dank für die Aufmerksamkeit und das hier auch die Möglichkeit ist, dass "kleine" Admins und Netzwerknoobs Fragen stellen dürfen. ;)