Thuisnetwerk met Pfsense - Netwerken

dinsdag 12 maart 2013 09:59

Acties:

0 Henk 'm!

Team Manager NAB Racing

Topicstarter

Na het verkrijgen van een nieuwe huurwoning zijn wij thuis bezig om ons netwerk helemaal mooi te maken. Het bleek dat de router van Ziggo niet helemaal was wat we er van hoopten, dus hebben we een pfsense bak ingezet.

Wat we nu willen bereiken is dat het WiFi netwerk afgescheiden wordt van het LAN-netwerk. Het moet echter wel mogelijk zijn om verbinding te leggen vanaf het WiFi netwerk naar het LAN, en vice versa (volledig open communicatie)

Het idee is dat het WiFi netwerk netwerkadressen krijgt in een andere range. Wat ik probeer te bereiken is dat ik met een SNMP-monitoring tool duidelijk kan krijgen welke ip-adressen in het WiFi net zijn uitgegeven, en welke zich in het LAN bevinden.

De volgende netwerken worden toegepast (had ik in ieder geval in mijn hoofd zitten)
LAN: 192.168.0.0/24
WiFi: 192.168.1.0/24
WAN (WAN IP, internet)

Mijn idee was dat de router een static-route moet maken tussen 192.168.0.0/24 en 192.168.1.0/24. Verder schakelt Pfsense al automatisch verkeer naar de WAN-interface toe (als het goed is). De DHCP server van Pfsense moet wel leases uitgeven op de LAN en WiFi interface.

Toegevoegd een afbeelding van een groffe netwerktekening zoals die in mijn hoofd zit:
Afbeeldingslocatie: https://dl.dropbox.com/u/23328562/Network_nabhq.png

Afbeeldingslocatie: https://dl.dropbox.com/u/23328562/Network_nabhq.png

Hebben jullie misschien tips over hoe het beter kan, of kan iemand misschien bevestigen dat dit gaat werken, of zie ik iets over het hoofd?

All-Round nerd | iRacing Profiel

dinsdag 12 maart 2013 10:17

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Ik weet niet of je daar SNMP voor nodig zal hebben hoor.
Als je een extra NICje erbij zet op de pfSense bak (let er wel op dat het een fatsoenlijke is, anders kun je van die leuke problemen krijgen)
Dan kun je bijvoorbeeld dit doen:

eth0 -> WAN
eth1 -> LAN1 (Hier laat je alle bedrade apparaten op binnen)
eth2 -> LAN2 (Hier laat je alle wireless apparaten op binnen)

Vervolgens pas je in de firewall rules van pfSense even het e.e.a. aan zodat LAN<->LAN communicatie toegestaan wordt

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 maart 2013 10:24

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

Dat was inderdaad ook het idee, maar wat ik mij vooral af vroeg is, de netwerktekening en die static route, gaat dat werken? Het is immers een concept. We gaan SNMP inderdaad toepassen op de Pfsense bak, maar ik wil in mijn stats ook kunnen zien welke hosts er actief zijn op WiFi. Voor SNMP gaan we The Dude of Nagios gebruiken.

All-Round nerd | iRacing Profiel

dinsdag 12 maart 2013 10:29

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

SNMP staat hier naar mijn mening los van

En als jij je WiFi en Bedraad gewoon op twee gescheiden poorten laat binnen komen dan kun je die beiden poorten een andere DHCP range geven, zo ben je er van gegarandeerd dat je WiFi clients in 192.168.1.x komen en je bedrade in 192.168.0.x komen.
En je hoeft daar als het goed is geen route voor te maken, alleen het algemene subnet van de router moet dan hoger liggen. Dus: Je pakt dan:

IP Range: 192.168.0.0-192.168.1.254 (/23) en dan kun je vervoglens LAN1 een DHCP scope van 192.168.0.2-192.168.0.254 geven (met 192.168.0.1 gereserveerd voor de router) en LAN2 192.168.1.0-192.168.1.254

Dan t heeft dus als resultaat dat je clients 'gescheiden' blijven maar wel gewoon met elkaar kunnen communiceren. En wat jij met SNMP wil weet ik niet, maar je hoeft in principe alleen maar te kijken welke clients een IP van 192.168.1.X hebben.

Ondertussen even mijn 'paint-skillz' losgelaten

we hebben hier niet echt iets beters op school. Dit is een voorbeeldje van hoe je het zou kunnen aanpakken.
Afbeeldingslocatie: http://dl.dropbox.com/u/91218446/crappyschetsje.bmp

Afbeeldingslocatie: http://dl.dropbox.com/u/91218446/crappyschetsje.bmp

[ Voor 11% gewijzigd door ShadowAS1 op 12-03-2013 10:37 ]

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 maart 2013 10:37

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

Ik heb even wat uitgezocht en dat lijkt beter te gaan werken ja. Thanks alvast! Als we resultaat hebben kom ik er even op terug. Kwa ip-communicatie heb je helemaal gelijk, staat in principe los van de netwerkarchitectuur, als het maar werkt.

All-Round nerd | iRacing Profiel

dinsdag 12 maart 2013 11:25

Acties:

0 Henk 'm!

DJSmiley

ShadowAS1 schreef op dinsdag 12 maart 2013 @ 10:29:
SNMP staat hier naar mijn mening los van

En als jij je WiFi en Bedraad gewoon op twee gescheiden poorten laat binnen komen dan kun je die beiden poorten een andere DHCP range geven, zo ben je er van gegarandeerd dat je WiFi clients in 192.168.1.x komen en je bedrade in 192.168.0.x komen.
En je hoeft daar als het goed is geen route voor te maken, alleen het algemene subnet van de router moet dan hoger liggen. Dus: Je pakt dan:

IP Range: 192.168.0.0-192.168.1.254 (/23) en dan kun je vervoglens LAN1 een DHCP scope van 192.168.0.2-192.168.0.254 geven (met 192.168.0.1 gereserveerd voor de router) en LAN2 192.168.1.0-192.168.1.254

Dan t heeft dus als resultaat dat je clients 'gescheiden' blijven maar wel gewoon met elkaar kunnen communiceren. En wat jij met SNMP wil weet ik niet, maar je hoeft in principe alleen maar te kijken welke clients een IP van 192.168.1.X hebben.

Ondertussen even mijn 'paint-skillz' losgelaten we hebben hier niet echt iets beters op school. Dit is een voorbeeldje van hoe je het zou kunnen aanpakken.
[afbeelding]

Als je er 1 /23 van maakt, zullen de beide lan poorten 'als switch' moeten fungeren, omdat je er dan dus *wel* 1 groot netwerk van maakt. En dus kunnen ze onderling bij elkaar, maar heb je (dus) ook maar 1 dhcp server mogelijk.

Je moet juist wel gaan segmenteren, dus 192.168.0.0/24 voor prive, en 192.168.1.0/24 voor wifi guests. Dan kunnen ze beiden afzonderlijk werken. Onderlinge communicatie kun je dan dmv routing doen op je PFsense bak.

Maar goed, een beetje router kan dat ook (multi-zone of met vlans). Tenzij je al een geschikte bak hebt die toch al draait is een pfsense machine kwa stroomverbruik misschien nogal een dure gadget. (of je moet een echt zuinige bak bouwen, maar van dat geld koop je ook een mikrotik/draytek/sonicwall oid of desnoods een dd-wrt ding)

En waarom wil je wifi in een apart subnet? Bedenk wel dat dit niet altijd goed werkt. Airplay (Bonjour), DLNA enz om maar een paar dingen te noemen werken niet out-of-the-box cross subnet. Als je dus een nasje en appletv bekabeld hebt, kun je via een iphone en bv tv met wifi dus al niet streamen.

Ik zou eerder voor een multi-SSID gaan, 1 private en 1 public (met apart subnet) als je echt een gastenoplossing oid wilt maken.

dinsdag 12 maart 2013 13:04

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

Het wordt geen gastenoplossing. We hebben een fileserver staan en een HTPC, maar die worden bekabeld aangesloten en komen dus in dat net. Ik wil alleen kunnen monitoren wat voor apparaten er aan WiFi verbonden zijn. Via WiFi moet het op een laptop mogelijk zijn om de bekabelde fileserver te benaderen (die dus in een ander net staat)

All-Round nerd | iRacing Profiel

dinsdag 12 maart 2013 14:05

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Dan ben ik het toch niet helemaal met DJSmiley eens.

pfSense stelt je in staat om per-NIC een andere DHCP scope/server te draaien.
Dus op één subnet ga je geen conflicterende DHCP servers krijgen, omdat de DHCP-Server voor Wireless clients geen data gaat sturen over de NIC waar de bedrade client's op zitten. En vice-versa.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 maart 2013 14:20

Acties:

0 Henk 'm!

DJSmiley

ShadowAS1 schreef op dinsdag 12 maart 2013 @ 14:05:
Dan ben ik het toch niet helemaal met DJSmiley eens.

pfSense stelt je in staat om per-NIC een andere DHCP scope/server te draaien.
Dus op één subnet ga je geen conflicterende DHCP servers krijgen, omdat de DHCP-Server voor Wireless clients geen data gaat sturen over de NIC waar de bedrade client's op zitten. En vice-versa.

Ja, alleen noem jij een /23. Dan moeten ze dus wel 1 netwerk zijn, anders kunnen ze onderling nooit communiceren (immers, zowel 192.168.0.1 en 192.168.1.1 vallen binnen die /23)
Een client

Als TS dus een 2-tal /24 ingebruik neemt, dan gaat dat idd op, en kun je dus ook per subnet een dhcp draaien. En dan zal PFSense dus routeren tussen wifi en lan.

Als er een wired client is met 192.168.0.10/255.255.254.0 (dus in het geval van de genoemde /23) verwacht die een wifi client (192.168.1.10/255.255.254.0) dus in hetzelfde netwerk, en zal ie deze nooit naar de gw sturen: Dus zal pfsense ook niet routeren). Tenzij dan dus lan1 en lan2 direct aan elkaar hangen zal er onderling niets te communiceren zijn.

Of ik begrijp je verkeerd, dat kan natuurlijk ook

dinsdag 12 maart 2013 17:01

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Het kan ook dat ik jou verkeerd begrijp

Want wat ik vanuit pfSense begrijp is dat op die fysiek gescheiden manier de clients wel met elkaar kunnen communiceren, maar dat pfSense voorkomt dat er gegevens van de DHCP server over de poort van de ander gaan. Of bedenk ik het dan zo scheef

?

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 15 maart 2013 11:41

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

Alles draait ondertussen dus ik zal even toelichten hoe het is gegaan (dan weten we ook wat nu wel werkt en wat niet.

Als eerste heb ik de aanpak van ShadowAS1 aangenomen. Deze uitgevoerd, DHCP-scope ingesteld, maar helaas. Zoals DJSMiley al suggereerde gaan de DHCP-offers over beide NIC's heen. Met als resultaat: een bekabeld systeem kreeg een IP-adres die voor WiFi bestemd was. De firewall was incorrect ingesteld voor routering, met als gevolg dat bekabelde computers geen internettoegang hadden.

Daarna heb ik alles opnieuw gedaan en de aanpak van DJSMiley gehanteerd. Dit werkte in eerste instantie niet. PfSense stelt automatisch je LAN-interface in om te routeren met je WAN-interface. Echter, als je een OPT-1 interface instelt blokkeert hij standaard al het verkeer. Na een instelling in de firewall is dit opgelost en het netwerk werkt inmiddels stabiel.

De volgende interfaces worden gebruikt
LAN: 192.168.0.0/24
WiFi: 192.168.1.0/24
VPN: 192.168.3.0/24 (was eigenlijk een typ-o maar maakt niet zoveel uit, is een virtuele interface)
WAN: DHCP (krijgt IP van modem/bridged router).

Als ik nog aanpassingen maak zal ik het hier ook plaatsen, altijd handig voor toekomstige PfSense gebruikers. Sowieso werkt de OpenVPN server op dit moment nog niet. Dit lijkt hem ook te zitten in de NAT-regels / Firewall rules. Daar ga ik binnenkort naar kijken.

All-Round nerd | iRacing Profiel

vrijdag 15 maart 2013 13:45

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Hmm, dan had ik het toch fout. Ik heb het ook nooit in de praktijk geprobeerd maar het was een aanname van dingen die ik in pfsense had zien staan. Toch goed om te weten dat dat dus niet gaat werken

EN laat hier maar mooi staan ja

kan ik misschien ook ooit nog eens gebruiken.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.