Netgate SG-1000 microFirewall

Author Topic: Anfänger Setup  (Read 571 times)

0 Members and 1 Guest are viewing this topic.

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #15 on: March 08, 2018, 12:57:40 pm »
Quote
Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)
Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

VPN: ja! Läuft momentan auf meiner Synology, die deshalb einen bestimmten Port freigegeben bekommen hat. Würde ich gerne vermeiden. VPN dann für insgesamt sechs Clients, davon im Normalfall max. 3 gleichzeitig verbunden (eher 1-2). Um mobil Werbung etc. zu blockieren bin ich momentan beim Verlassen meines LAN automatisch per VPN wieder damit verbunden. Aktuell nutze ich OpenVPN, aber auch hier bin ich offen was Änderungen angeht (wenn Ihr der Ansicht seit bzw. mir erklärt, warum ein anderes Protokoll besser wäre :) ).

Ansonsten halt pfBlocker-ng und HAproxy oder squid für einfachere Zuordnung der Dienste (siehe unten: xy.foo.bar statt 192.168.1.65:8098/meindienst/admin).

Dann eben VLAN, habe mir das ungefähr so vorgestellt:
VLAN0 (Safe Space)
==> mein Hauptrechner, NAS, Backup-NAS, ggf. mein Smartphone
==> Zugriff hierauf von anderen VLAN verboten, bzw. ggf. einzelne Ports für einzelne Nutzer anderer VLAN freigeschaltet
==>
==> Internet: ja

VLAN1 (User)
==> alle andere Personen im Haushalt; Zugriff von VLAN0 möglich, einzelne Services zu VLAN0 für einzelne User entsprechend freigeschaltet
==> Internet: ja

VLAN2 (Geräte)
==> FireTV, Raspberry Pis, Kleinkram, etc., Drucker, Scanner
==> Geräte untereinander nicht vernetzt
==> einzelne Geräte (z.B. FireTV) haben Zugriff auf einzelne Services von VLAN0 (z.B. Plex darf natürlich auf das NAS zugreifen, Pis kriegen ggf. eine Netzwerkfreigabe für das Sichern von Konfigurationsdateien, ...)
==> vielleicht irgendwann mal der lang ersehnte dedizierte Bitcoin Miner ;)
==> Internet: ja

VLAN3 (yeah: no!)
==> IP Cams, Testgeräte, "no trust" Geräte
==> Geräte dürfen weder untereinander, noch in andere VLAN kommunizieren; Ausnahme: NAS aus VLAN0 darf auf die Kameras zugreifen
==> Internet: nein!


VLAN4 (Netzwerkkram)
==> Hier würde ich dann nur die Ubiquity Unify Geräte einbinden (aktuell geplant 1x Access Point, 1x managed Switch für VLAN, später kommt defintiiv ein 2. AP hinzu)
==> Internet: ja

Die Idee dahinter ist, dass ich aus VLAN0 auf alles Zugreifen kann (Geräte konfigurieren, "Fern"wartung per SSH, etc. pp). VLAN3 würde ich nutzen, damit ich Geräte verwenden kann, die ich normalerweise nicht in mein Netzwerk lassen würde (z.B. China IP Cams, statt Geräte, bei denen ich sicher sein kann, dass sie nix Seltsames in meinem Netzwerk versuchen, sofern man sich da überhaupt sicher sein kann)........
Wer bestimmte Services braucht (alle User kriegen bsp. nextcloud für Dokumente, Kalender, Kontakte, einige bekommen Netzwerkfreigaben für weitere Dateien und/oder zum Datenaustausch), darf auch von außerhalb VLAN0 auf diese Services zugreifen - und nur auf diese (Idee dahinter ist, dass ich auch getrost die Windows-Rechner bestimmter User, die sonst gnadenlos im Gastnetz hängen, zumindest soweit ins Netzwerk integriere, dass sie von lokalen Services profitieren können).

Dies nur zur Erklärung, wieviel VLAN überhaupt geplant ist.

Wenn ich da mit der aktuell "besten" APU hinkomme, was afaik die APU2C4 sein müsste, dann würde ich darauf zurückgreifen.

Quote
Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.
Steht alles aktuell in meinem Büro. Ich hoffe, mittelfristig ein eigenes Zimmer (oder eine Ecke) hierfür zu finden, wo die Lautstärke dann gar keine Rolle spielt. Solange muss ich da durch :/ ^^


Bezüglich der Ubiquity Geräte: mittelfristig soll jedes Zimmer eine 2er LAN Dose bekommen; WLAN ist dann eigentlich nur noch für die Smartphones und diverse ESP8266 wirklich notwendig, daher brauche ich da jetzt nicht die Ultra-Performance. Es soll nicht stocken, aber je weniger Geräte WLAN überhaupt benötigen, umso glücklicher bin ich. Daher muss es da nicht das allerbeste Gerät sein. Wenn jetzt, wie bei den von mir bereits genannten AP, die Preise so dicht aneinander liegen, würde ich trotzdem lieber auf das "bessere" Gerät zurückgreifen. Da gehen Eure Meinungen hier ja etwas auseinander. Ist das wirklich reine persönliche Ansichtssache,, welches Gerät besser ist - oder kann man mir die Entscheidung doch auch objektiv gesehen irgendwie leicht machen?

Euer Vorschlag, dann auch auf einen Switch von Ubiquity zu setzen, finde ich grundsätzlich gut. Der US-24-250W hat 24 Ports und PoE; schlägt mit knapp 400 EUR zu Buche, würde aber erst einmal ausreichen - und wenn ich später doch noch Ports brauche, kann ich entweder noch einen non-PoE dazu nehmen (es braucht ja nicht jedes einzelne Gerät tatsächlich PoE), oder es wäre doch bestimmt auch möglich, einen meiner vorhandenen Switches mit dem Gerät zu verbinden - solange alle Geräte, die über den zusätzlich angeschlossenen Switch laufen, sich im selben VLAN befinden, wie der Port am Ubiquiti, an dem der Switch hängt... richig?


Kauf-Gedanken soweit:
ich behalte das 19" Gehäuse für die APU, verbaue solange ich noch teste meine APU1D und steige später (wenn es produktiv werden soll) auf die APU2C4 um; dazu kommt erst einmal ein Ubiquity AP (welcher??).

Was sagt Ihr denn zu meinen grundsätzlichen Voraussetzungen? Brauche ich überhaupt wirklich VLAN? Wenn ich beispielsweise auch direkt in pfSense festlegen könnte (kann ich??)
* Gerät A darf nicht ins Internet, hat keinen Zugriff/Verbindung auf andere Geräte
* Gerät B darf ins Internet, darf zugreifen auf Port 1234 von Gerät XY, hat keinen Zugriff auf andere Geräte
* etc.
Dann könnten sich ja theoretisch doch alle Geräte im selben VLAN befinden. Hauptsächlich geht es mir darum, dass potenziell "nicht unbedingt ungefährliche" Geräte trotzdem in mein LAN können, ohne ggf. Schäden zu verursachen.

Sorry, ist jetzt ganz schön lang geworden... ich möchte nur sicher gehen, genau das passende Setup zu erstellen, ohne am Ende Funktionen zu missen, aber natürlich trotzdem auch die Ausgaben nach Möglichkeit gering zu halten.

Grüße

Offline -flo-

  • Sr. Member
  • ****
  • Posts: 392
  • Karma: +31/-0
    • View Profile
Re: Anfänger Setup
« Reply #16 on: March 08, 2018, 01:47:36 pm »
Bei mehr als einem [Anm.: AP] kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

Statt eines Raspi (da tut's mit Einschränkungen sogar ein Pi2) oder dem Cloudkey geht auch eine VM. Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3336
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Anfänger Setup
« Reply #17 on: March 08, 2018, 03:38:49 pm »
> Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich. :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline monstermania

  • Jr. Member
  • **
  • Posts: 40
  • Karma: +2/-0
    • View Profile
Re: Anfänger Setup
« Reply #18 on: March 09, 2018, 02:44:54 am »
@mims
Irgendwie verliere ich vor lauter VLAN den Überblick.  ;)
Aber mal im Ernst. VLAN dienen ja dazu über die gleiche HW Netzwerke getrennt voneinander betrieben zu können. Nur sollte man dabei auch die Praxis bzw. den Aufwand nicht außer acht lassen.
So wie ich das sehe benötigst Du bei Deinem geplanten Konstrukt (wahrscheinlich) in jedem Netz auch WLAN. D.H. Du müsstest in jedem Netz auch einen WLAN-AP bereitstellen. Die Unifi-AP können z.B. nur 4 unterschiedliche WLAN SSID bereitstellen.
Für Gäste habe ich jetzt bei Deiner Planung gar nichts finden können.
Und logischerweise kannst Du in jedem Netz auch individuell steuern, welche Devices ins Internet können oder eben auch nicht.

Ich befürchte nur, dass Du Dich etwas übernimmst.  ???
Mir persönlich wäre Deine Planung für ein Heimnetz viel zu aufwändig. Wer soll dabei dauerhaft den Überblick behalten?
Ich selbst habe ein LAN/WLAN in dem alle meine privaten Geräte laufen. Auf der FW ist dann individuell geregelt welche Devices was dürfen (z.B. Internet per trans. Proxy, VPN, WhatsAPP, usw.). Zusätzlich gibt es dann ein Gäste-WLAN für alle unsere Gäste (nur Internetzugriff).
Eine DMZ hab ich auch, aber mangels Geräten darin ist die nicht im Einsatz.
So reicht mir das. Und selbst bei diesem einfachen Konstrukt sind ettliche Stunden Arbeit drauf gegangen, bis endlich alle Regeln gepasst haben bzw. Dienste sauber konfiguriert waren.
Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

Machbar ist (fast) Alles. Nur nicht Alles was machbar ist, ist auch sinnvoll.
Ich halte mich da lieber an die Regel: KISS (Keep it small and simple)

Gruß
Dirk

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #19 on: March 13, 2018, 06:31:36 am »
Quote
Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.
Genau so habe ich das auch geplant. Extra nen Raspi würd ich dafür ungern aufsetzen, aber es gibt verschiedene Docker Images (auch eins von linuxserver.io, die mich bis jetzt noch nie enttäuscht haben), welches ich verwenden würde.

Quote
Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich.
Ups. Okay... ^^ aktuell läuft hier 1&1 DSL 100; gemessen habe ich da gerade mal 93 Mbit/s down und 33 Mbits/s up...

@monstermania: sofern ich unter pfSense für jedes Gerät festlegen kann a) welche Geräte darauf zugreifen können (inkl. bestimmte Ports pro Gerät), b) auf welche Geräte das Gerät selbst zugreifen darf, und c) ob das Gerät ins Internet darf, schmeiße ich VLAN gerne direkt wieder aus meiner Konfigurationsidee raus :)

Vielleicht kannst Du (bzw. Ihr) mir das netterweise an einem Beispiel erklären:

device0 = mein Hauptrechner
-> hat Zugriff auf alle Geräte im Netzwerk
-> hat Zugriff auf internet
-> kein Zugriff auf dieses Gerät von anderen Geräten im Netzwerk
----> Ausnahme: mein Smartphone darf auf Port 8080 (und nur den) zugreifen

device1 = NAS1
--> hat Zugriff auf device[x,y,z] (diese haben aber keinen eigenen Zugriff auf das NAS)
--> hat Zugriff auf das Internet
--> device0 hat vollen Zugriff auf dieses Gerät
--> andere Geräte haben (je nach IP/MAC bzw. ggf. anderer, eindeutiger Vorgabe) nur auf bestimmte Ports/Services dieses NAS Zugriff

device2 = PC Freundin
-> hat Zugriff auf device1 [Port 6000, 7722, 8844, 9000]
-> hat Zugriff auf das Internet
-> hat keinen Zugriff auf andere Devices im Netzwerk

device[3,4,5] = "unsichere China Cams"
-> haben keinen Zugriff auf andere Devices im Netzwerk
-> haben keinen Zugriff auf das Internet
-> alle (bzw. bestimmte Devices) haben vollen Zugriff auf diese Geräte bzw. ggf. nur bestimmte Ports dieser Geräte

Mir geht es insbesondere um die folgenden zwei (aus meiner Sicht) Probleme:
1. meine zuletzt gekaufte China Cam hatte irgend einen komischen Port offen; Recherche ergab, dass es sich dabei entweder um xy (vergessen, sorry, aber nen harmlosen Dienst) oder einen Wurm handelt, der versucht, weitere Geräte im Netzwerk zu infizieren (mit wasauchimmer)
====> solche Geräte würde ich gerne trotzdem verwenden, solange sie keinen Schaden anrichten können. Wenn dieser komische Port tatsächlich einen Wurm im Netzwerk verbreiten möchte, dies aber nicht kann, (weil absolut keinen Zugriff auf jegliche Devices und deren Ports), und ich gleichzeitig beispielsweise die Kamera trotzdemin meine Surveillance Station einbinden kann (notfalls via http bzw. JPEG Push), sodass sie nichts anrichten kann, bin ich zufrieden.

2. im Netzwerk befindet sich ein Windows PC. Da ich diesen nicht andauernd überprüfen kann, aber auch nicht möchte, dass er ggf. mit im schlimmsten Fall bsp. einem Cryptolocker infiziert wird und den im Netzwerk verbreitet, möchte ich auch diesen abschotten
====> hängt aktuell im Gäste-WLAN; dadurch kann er aber weder von pi-hole profitieren (Werbung etc. wird nicht geblockt, da das Gäste-WLAN nicht den in der fb gesetzten DNS Server übernimmt), noch kann ich überhaupt eine Netzwerkfreigabe/Zugriff auf nextcloud/whatever erteilen, da das Gäste-WLAN eben vollständig isoliert ist. Ich würde dem PC aber gerne eine handvoll Ports bestimmter Geräte freigeben, nur halt keinen "Freifahrtschein" für alle Devices und deren Ports.


Quote
Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)
Genau davor graut mir nämlich auch schon :D


Offline -flo-

  • Sr. Member
  • ****
  • Posts: 392
  • Karma: +31/-0
    • View Profile
Re: Anfänger Setup
« Reply #20 on: March 13, 2018, 07:07:33 am »
Ich schließe mich der Meinung der Vorredner an. Das ist Overkill (und sicher kein "Anfänger-Setup" :-)).

Man muß doch nicht die gesamte Zugriffssteuerung durch VLANs regeln. Es können auch mehrere Hosts gemeinsam in einem Netzwerk laufen, ohne daß diese aufeinander Zugriff haben müssen. Jeder PC und NAS bringt dafür Bordmittel mit.

Wenn Du NAS und PCs jeweils in eigene VLANs packst, behinderst Du Dich total. Das Browsing im Netzwerk geht dann nicht, z.B. zu Netzwerk-Shares. Manche Drucker brauchen mDNS, die gehen nur im selben Netzwerk, und und und.

Bei Windows (eigentlich überall) gehört übrigens eine adäquate Absicherung gegen Malware dazu. (Ist der Rest bei Euch Apple-HW btw.?)

Mein Tipp: Ein VLAN für alle PC, NAS, ggf. Netzwerkdrucker. Ein zweites VLAN (editiert, da stand WLAN) für den Rest, also alles, was Du nicht selbst sauberhalten möchtest oder kannst / dem Du nicht vertrauen kannst (Mobilgeräte von Gästen oder Kindern, zweifelhafte Webcams, sonstiger IoT-Schrott, etc.)
« Last Edit: March 13, 2018, 10:03:01 am by -flo- »

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #21 on: March 13, 2018, 08:21:08 am »
Ich habe produktiv ein MacBook, meine Freundin (hoffentlich "noch") Windows 10. Dazu dann Android Smartphones und ein paar Ubuntu Instanzen (als VM). Auf den Raspberry Pis läuft raspbian und auf Synology die DSM Software.

Wenn möglich würde ich es einfach gerne vermeiden, das mit Bordmitteln an jedem Gerät einzeln einstellen zu müssen... so kam ich ursprünglich auf VLAN bzw. bin natürlich auch für andere Vorschläge offen :) Schön wäre es allerdings, wenn ich das zentral steuern könnte (und dachte, dass das in pfSense doch möglich sein müsse). Sofern möglich, brauche ich gar kein VLAN mehr. Dann könnte alles in ein Netz und was nicht miteinander reden darf, bekommt entsprechende Restriktionen.

Auf Bordmitteln (wenn ich den Begriff jetzt richtig deute) halte ich da einfach nicht viel. Gerade wenn es irgendwelche Würmer oder Crypto-Geschichten sind, die ggf. darauf ausgelegt sind, so etwas zu umgehen. Wenn die Firewall einfach jeglichen Traffic "schluckt" oder unterbindet, egal, was das Gerät nun macht, kann -meiner laienhaften Einschätzung nach- doch kein großes Risiko mehr bestehen..?

Offline monstermania

  • Jr. Member
  • **
  • Posts: 40
  • Karma: +2/-0
    • View Profile
Re: Anfänger Setup
« Reply #22 on: March 13, 2018, 08:48:51 am »
@mims
Theoretisch ist es ja eine pfiffige Idee alles per VLAN zu trennen, aber in der Praxis kann so etwas dann ganz schnell ganz schön nerven.
Einfaches Beispiel: Du willst mal eben Miracast/Chromecast nutzen um Inhalte von Deinem Smartphone/Tablet auf Dein Smart-TV zu streamen. Versuch das mal über VLAN hinzubekommen. Nicht, dass es nicht irgendwie geht, aber einfach ist das nicht.
Und natürlich ist die Aussage von -flo- absolut richtig. Wozu haben denn heutzutage alle OS eine Firewall an Bord?

Ich würde mich daher auf auf m.E. sinnvolle Netzwerke beschränken.
z.B.
- LAN + evtl. internes WLAN (für alle Geräte denen ich vertrauen kann)
- WLAN (Gäste)
- DMZ (für Geräte, die auch aus dem Internet erreichbar sind)
- IoT + evtl. WLAN (spielwiese für alle Devices)

Über die FW-Regeln kannst Du dann den Verkehr zwischen den Netzen regeln. In den einzelnen Netzen kannst Du z.B. die Devices über Gruppen zusammen fassen und darüber den Zugriff in das Internet/andere Netzwerk steuern). So habe ich das zumindest bei mir gemacht.
Kommt ein neues Device im mein internes LAN/WLAN kann das Teil erstmal (fast) gar nichts (kein Internet). Es muss zunächst einer/mehrer Gruppe(n) zugewiesen werden um z.B. Internet, Mail, VPN, FTP WhatsApp, usw. freizuschalten. Die Gruppenmitglieder habe ich per fester DHCP-Lease realisiert. Innerhalb der Netzwerk können die Geräte prinzipiell aufeinander zugreifen, sofern es nicht die lokale Firewall auf den Geräten unterbindet.
So reicht mir das.  ;)

Gruß
Dirk

PS: Selbst eine Sicam-Webcam kann ich so auf Intranet festnageln.  8)
« Last Edit: March 13, 2018, 08:57:56 am by monstermania »

Offline mims

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Anfänger Setup
« Reply #23 on: March 17, 2018, 08:47:07 am »
Nur mal rein für mein Verständnis: wir gehen jetzt mal von der Kamera aus, die gar nichts dürfen soll. Allerdings ohne VLAN.

Kann ich in der Firewall eine Regel anlegen, die folgendermaßen aussieht:
Macbook IP: 192.168.1.11
Cam IP: 192.168.1.55
benötigte Ports: 8080, 80

1.
Quelle: 192.168.1.55
Ziel: *
Verbindung: verboten

2.
Quelle: 192.168.1.11
Ziel: 192.168.1.55
Port Ziel: 8080, 80
Verbindung: erlaubt

3.
Quelle: *
Ziel: 192.168.1.55
Port Ziel: 8080
Verbindung: erlaubt

4.
Quelle: *
Ziel: 192.168.1.55
Port Ziel: *
Verbindung: verboten

Ich kann das gerade nicht testen, da nur mein Macbook mit pfsense verbunden ist, alle anderen Geräte laufen, bis ich das produktiv einsetzen kann, noch über die FB.

Jetzt müssten doch grundsätzlich alle Geräte erst mal auf Port 8080 der Kamera zugreifen dürfen; mein Hauptrechner darf zudem auf Port 80 zugreifen. Die Kamera kann auf gar nichts selbst zugreifen.

Ist das grundsätzlich sinnvoll, oder viel zu kompliziert gedacht? Ich nehme an, dass die Firewall Regeln auch in irgend einer Datei editiert werden können; lege ich mir also diese Regeln zuerst an, dann habe ich ein Template. Kommt ein weiteres Gerät dazu, das selbst auf nichts zugreifen darf, aber auf das andere Geräte zugreifen sollen, kann ich einfach direkt die Regeldatei erweitern (copy, paste, edit), sodass ich nicht immer vier Regeln in der GUI von Hand anlegen muss...?

Dein Beispiel passt bei mir aus verschiedenen Gründen nicht:
- WLAN (Gäste) fällt weg.
Den Aufwand will ich mir einfach nicht geben, wer hier zu Besuch ist, hat die Wahl zwischen mobilen Daten oder mal ganz in Ruhe ohne Smartphone nen Kaffee trinken ;)
- DMZ fällt weg
Ich möchte für alles, was von außerhalb des Netzwerks zugreifen wird, ausschließlich VPN verwenden. Sobald ich (denn vermutlich werde ich eh der einzige sein, der das permanent nutzt) dann von außerhalb mit dem VPN Netzwerk verbunden bin, habe ich ja Zugriff auf alle lokalen Services. Zumindest aktuell sehe ich keinen Grund, warum ich irgendwelche Services auch ohne VPN nach außen verfügbar machen sollte


Mein Problem ist gerade, dass ich das nicht so wirklich einfach testen kann...... wenn ich "mal kurz" alle Geräte über pfsense laufen lasse und rumprobiere, geht vermutlich erst einmal irgend etwas nicht und ich muss zur Beschlichtigung doch wieder den Billigrouter aktivieren ;)

Das mit den Gruppen finde ich allerdings interessant. "Normale" Geräte bekommen dann erst einmal nur die Ports, die sie tatsächlich brauchen (Internet, Mail, Telegram würden meiner Freundin zB komplett ausreichen). Je nach Bedarf wird das für andere Geräte erweitert.
Wenn mehrere Gruppen pro Nutzer möglich sind ist das ja alles gar kein Problem.

DHCP Lease muss ich noch schauen... ich habe jetzt einen Ubiquiti AC PRO eingesetzt und den C7 in den Ruhestand geschickt. Es scheint so, als bekämen die Geräte trotzdem weiterhin ihre IPs von der Fritzbox und nicht vom AC (denn der AC sollte eigentlich Adressen im Bereich 192.168.1.* vergeben, die verbundenen Geräte haben aber trotzdem welche im von der FB vergebenen Bereich).

Sicam sagt mir jetzt nichts. Aber das Verbieten des Internetzugriffs (also rein im Intranet verfügbar machen) schafft ja sogar meine FB. Da muss pfsense das ja locker können :)

Offline magicteddy

  • Sr. Member
  • ****
  • Posts: 408
  • Karma: +27/-1
    • View Profile
Re: Anfänger Setup
« Reply #24 on: March 17, 2018, 10:51:39 am »
Moin,

Quote
Quelle: 192.168.1.11
Ziel: 192.168.1.55

Nein, Du kannst die Regel zwar anlegen, aber sie greift nicht.
Das Netz (grün) ist das gleiche als kommunizieren die Geräte direkt miteinander und brauchen den Router dafür nicht. (Bridge und krude Netzmasken jetzt mal ausgenommen :P)

-teddy
« Last Edit: March 17, 2018, 10:54:43 am by magicteddy »
@Work Lanner FW-7525B pfSense 2.4.3
@Home APU.2C4 pfSense 2.4.3
@CH APU.1D4 pfSense 2.4.3

Offline -flo-

  • Sr. Member
  • ****
  • Posts: 392
  • Karma: +31/-0
    • View Profile
Re: Anfänger Setup
« Reply #25 on: March 17, 2018, 11:44:58 am »
So geht es im Prinzip:

  • Zwei Netze 192.168.1.0/24 (VLAN 1) und 192.168.2.0/24 (VLAN 2)
  • 192.168.1.11 kommt in VLAN 1.
  • Aus der 192.168.1.55 wird eine 192.168.2.55, das Gerät kommt in VLAN 2.

Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.