ich suche nach einer passenden Regel für das Gäste WLAN.
Eigentlich möchte, dass die Geräte aus dem Gäste WLAN nur ins Internet dürfen.
Alle weitere Verbindungen sollen geblockt werden.
Nach einigen Google Treffer finde ich immer nur recht komplexe Regeln.
Gibt es nicht eine Art Regel wenn aus dem Gäste VLAN dann erlaube nur Internet.
Der Rest wäre damit ja nicht definiert und automatisch abgelehnt oder?
Du meinst eine Regel die im Gäste-WLan der pfsense nur Web-Dienste erlaubt?
Das ist an sich sehr einfach. Per default ist in der sense ja erst mal alles verboten. Daher musst du nur die Ports TCP 80 und 443 für IPv4 und IPv6 für alle Geräte im Gast-Netz freigeben. Alles andere bleibt dann weiterhin gesperrt.
Aber: Gäste wollen ja meist mehr, also z.B. auch mal eMails abrufen via Pop3 oder IMAP und auch versenden via SMTP. Also musst du auch diese Ports erlauben. Allein dadurch werden die Regeln dann schon umfangreicher.
Und damit die Gäste auch nicht in die anderen Zonen deiner Firewall auf Port 80 und 443 verbinden können solltest du für die Regel noch das WAN Gateway eintragen, dann darf nur über dieses rauskommuniziert werden.
Wenn du dann noch paranoid bist: eine weitere Regel drunter die denselben Traffic verbietet, diesmal ohne WAN Gateway. Die ist aber nur für’s Gemüt, hits wird die keine erzeugen.
Das sollte auch ohne WAN Gateway gehen. Die pfsense arbeite die Regeln ja der Reihenfolge nach ab. Was zuerst zutrifft, das gilt. Steht also oben als erstes eine Regel, die die allen ipv4+6 Traffic aus dem Gast Subnetz ins LAN Subnetz untersagt, dann wird die auch al erstes angewendet wenn es sich um Traffic auf TCP 80 oder 443 handelt
Die Freigaberegel für TCP 80 oder 443 aus dem Gastnetz muss dann danach kommen und würde nur für das noch gelten was nicht zuvor (also oberhalb stehend) schon untersagt wurde.
Gibt es mehr Netze als Gastnetz und LAN muss man das für die weiteren zu schützenden Netze natürlich wiederholen, also etwa fürs WLAN auch vor der Freigaberegel für TCP 80 oder 443 aus dem Gastnetz.
Danke, dass du mir erklärst wie eine Firewall funktioniert!
Steht also oben als erstes eine Regel, die die allen ipv4+6 Traffic aus dem Gast Subnetz ins LAN Subnetz untersagt, dann wird die auch al erstes angewendet wenn es sich um Traffic auf TCP 80 oder 443 handelt
@vii90 Oder halt in dieser Regel für die entsprechenden Ports bei der Destination einen Alias mit Negierung auswählen der alle Netze beinhaltet, wo die Gäste nicht hinkommen sollen.
Ich muss zugeben, dass ich noch etwas brauche um es besser zu verstehen.
Als erstes habe ich jetzt mal verschiedene Regeln gemacht, die sagen aus dem Gast VLAN darf kein anderes VLAN oder LAN Subnetz betreten werden.
Das ist sicherlich nicht ausgereift schafft aber erstmal einen ähnlichen Effekt.
Dabei habe ich jetzt mal Protokolle ausgewählt.
Die letzte Regel lautet aus dem Gast VLAN nach Any ist erlaubt.
Ich sehe jetzt erstmal nur den Nachteil, dass alle Gast Geräte untereinander noch kommunizieren können.
Ein Nachteil den ich erstmal akzeptieren.
Bisher sind meine Geräte wie PlayStation und co im Gästenetz. Weil die brauchen sonst keinen Zugriff zu anderen Geräten.
Aber wenn ich das reden untereinander im Subnetz nicht verhindern kann, macht es vielleicht Sinn für diese Geräte ein eigenes Netz zu schaffen.
Ja, aber dafür noch ein extra Netz zu machen, muss ja nicht unbedingt sein. Die PS etc. hast du ja auch unter deiner Kontrolle, so würde ich eher denken.
Verhindern kannst du das schon, nur nicht mit der pfsense.
Möglich ist das mit einem geeigneten WLAN AP. Meiner (von Netgear) spannt bis zu drei WLAN’s auf, also jeweils mit eigener SSID. Für diese drei WLAN’s kann ich im Netgear-AP festlegen ob die Geräte in den drei WLAN’s die anderen 2 WLANS’s erreichen können und zudem ob die Geräte innerhalb eines der drei die anderen Geräte im selben WLAN erreichen dürfen.
Ich habe eines dieser drei WLAN’s so konfiguriert dass die dort befindlichen Geräte nicht untereinander kommunizieren dürfen. Diese könne daher nur den LAN-Port der pfsense erreichen, an dem der WLAN-AP angeschlossen ist.
Über die strategische Vergabe per DHCP von fixen oder dynamischen IP-Adressen an die Geräte die sich am Netgear anmelden kann ich dann über die Firewall-Rules wiederum festlegen welche Geräte was beim Zugriff ins WAN oder die anderen LAN’s dürfen und was nicht. Da dieser AP auch noch drei LAN-Anschlüsse hat, kann man darüber auch noch direkt bis zu drei kabelgebundene Geräte in diese Regeln einbinden (nutze ich aber nicht).
Wenn also ohnehin der Kauf eines WLAN-AP in der nächsten Zeit anstehen sollte, etwa weil der bisherige aktuelle WLAN-STandards nicht supportet, würde ich mir dann an deiner Stelle einen besorgen der diese Trennung auch beherrscht. Zudem gibt es am Markt auch WLAN-AP’s, die VLAN-ID’s supporten. Die können mehrere WLAN’s aufspannen die unterschiedliche VLAN-ID’s haben. Das unterstützt mein AP leider nicht. Solche AP’s kosten ab ca. 130 Euro aufwärts.
Das ist aber wieder irgendeine Pseudo-Lösung von Netgear. Da werden wahrscheinlich /32 an die Clients vergeben und dann Routen gesetzt auf die pfSense. Das geht natürlich, aber nicht mit einem normalen DHCP.
Also weiß nicht genau wie du das mit der /32 meinst.
Hab jetzt mein Notebook mal dort in der SSID angemeldet.
inet 192.168.102.9 netmask 255.255.255.224 broadcast 192.168.102.31
Das ist ganz normal das was ich für dieses Netzwerksegment in der pfsense festgelegt habe, nämlich ein /27-Netz.
Ein ping auf einen der Comet WIFI (Heizkörperthermostate) die ich unter anderem dort isoliere ergibt genau das was ich erreichen will:
ping 192.168.102.11
PING 192.168.102.11 (192.168.102.11) 56(84) bytes of data.
From 192.168.102.9 icmp_seq=1 Destination Host Unreachable
From 192.168.102.9 icmp_seq=2 Destination Host Unreachable
From 192.168.102.9 icmp_seq=3 Destination Host Unreachable
^C
— 192.168.102.11 ping statistics —
5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4101ms
Ich kann die Dinger weder anpingen noch sonst wie erreichen. Die dürfen (und müssen) lediglich mit deren Server irgendwo im WAN kommunizieren, auf dem die Heizzeiten hinterlegt sind.
Und der Netgear kann zwar auch andere Betriebsmodi, ist aber ganz normal im AP-Modus
Davon gehe ich auch aus.
Da es genau das macht was ich will, habe ich mich damit aber nicht weiter befasst. Aber wie ich schrieb gibt es ja auch die Option einen WLAN-AP mit VLAN-Support zu kaufen. Würde ich mir heute einen neu kaufen würde ich so einen nehmen. Als ich den Netgear kaufte, war das aber für mich kein Thema, denn die damals von mir noch verwendete IPFire kann nur eine VLAN-ID je NIC. Also hätte der Mehrpreis für den VLAN-fähigen AP zu dem Zeitpunkt wenig Sinn ergeben. Nun mit der pfsense ist das anders. Und da der Netgear-AP mit Wi-Fi 6E für meine Bedürfnisse auch ausreichend schnell ist, sehe ich keinen Grund den nun schon wieder zu ersetzen.