Op basis van bekendheid een interface op schieten? - Netwerken

woensdag 16 april 2014 20:32

Acties:

Topicstarter

Hoi Tweakers,

Ik zit met een lekkere uitdaging hier thuis en na heeeeeeeeel veel proberen vraag ik het hier maar even want ik kom er echt niet meer uit.

Mijn netwerk ziet er zo uit :

Mikrotik router -> Router (die zich gedraagt als AP + Switch)

De standaard DHCP pool op de Mikrotik is 192.168.2.*, dat werkt prima. Maar ik wil eigenlijk dat "gasten"(want m'n WiFi staat open) een ander IP (uit een andere pool) krijgen en niet naar het 192.168.2.* netwerk kunnen. Nu heb ik al van alles geprobeerd maar hoe je het went of keert, dat ding deelt eerst een IP uit en gaat dan pas verder kijken. Tenzij je volgens mij een pre-routing Mangle regel maakt.
Ik wil dus eigenlijk een mangle rule (of meerdere) die kijkt of t MAC adres matcht met het MAC adres wat daar staat. Als dat zo is mag het verkeer gewoon door, en anders moet hij hem naar de 2e bridge(virtuele interface op die Mikrotik) sturen waar een andere DHCP pool aanhangt.

Het idee is er dus wel, ik kan alleen niet uitvinden hoe ik met een regel (voor de client het IP krijgt) hem een andere bridge in kan trappen. Heeft iemand van jullie enig idee? Of hebben jullie een ander geniaal idee hoe ik dat probleem met 'gasten' op kan lossen?
I hope so!

Owner of DBIT Consultancy | DJ BassBrewer

woensdag 16 april 2014 20:42

Acties:

Verwijderd

Volgens mij wil je een Virtual AP. Ik kan er nu wel vanalles over gaan zeggen maar als je even Googlet heb je het zo uitgezocht.

woensdag 16 april 2014 20:43

Acties:

DennusB

Topicstarter

Verwijderd schreef op woensdag 16 april 2014 @ 20:42:
Volgens mij wil je een Virtual AP. Ik kan er nu wel vanalles over gaan zeggen maar als je even Googlet heb je het zo uitgezocht.

Ah, was handig om er even bij te vermelden idd : Die Mikrotik draait als appliance, virtueel dus. Ik kan dus op dat ding zelf geen virtuele AP's aanmaken!

Owner of DBIT Consultancy | DJ BassBrewer

woensdag 16 april 2014 22:34

Acties:

Gomez12

DennusB schreef op woensdag 16 april 2014 @ 20:32:
Het idee is er dus wel, ik kan alleen niet uitvinden hoe ik met een regel (voor de client het IP krijgt) hem een andere bridge in kan trappen. Heeft iemand van jullie enig idee?

Het probleem zit hem juist in het "een andere bridge in kan trappen", daarvoor is er ip-verkeer nodig en daarvoor is een ip-adres benodigd.

Maar kan je niet gewoon je dhcp naar je gasten-range zetten en dan je eigen apparatuur als static reservations in de 192.168.2.x range zetten. Dan krijgt ieder onbekend apparaat een gasten-ip .

Alleen de grote vraag is : Wat is het doel hiervan? Want de security van een dhcp oplossing is ongeveer 0,0 (iemand komt aanzetten met een handmatig ingesteld ip van 192.168.2.154 et voila hij is voorbij je dhcp server)
Als het je om security gaat moet je hele andere richtingen opdenken dan dhcp (die komt eigenlijk bijna automatisch wel goed), dan moet je meer richting VLAN etc gaan kijken

donderdag 17 april 2014 07:35

Acties:

Equator

Crew Council

#whisky #barista

Eens met Gomez. Je kan beter kijken naar een oplossing met een apart gasten SSID. OVerigens verplaats ik het topic naar Netwerken

donderdag 17 april 2014 07:41

Acties:

DennusB

Topicstarter

Equator schreef op donderdag 17 april 2014 @ 07:35:
Eens met Gomez. Je kan beter kijken naar een oplossing met een apart gasten SSID. OVerigens verplaats ik het topic naar Netwerken

Dat was de vorige situatie inderdaad, helaas blijkt iets in mijn netwerk VLAN's niet te supporten dus dat was niet aan de gang te krijgen. Dat zou inderdaad de beste oplossing zijn

Thanks voor het verplaatsen !

Gomez12 schreef op woensdag 16 april 2014 @ 22:34:
[...]

Het probleem zit hem juist in het "een andere bridge in kan trappen", daarvoor is er ip-verkeer nodig en daarvoor is een ip-adres benodigd.

Maar kan je niet gewoon je dhcp naar je gasten-range zetten en dan je eigen apparatuur als static reservations in de 192.168.2.x range zetten. Dan krijgt ieder onbekend apparaat een gasten-ip .

Alleen de grote vraag is : Wat is het doel hiervan? Want de security van een dhcp oplossing is ongeveer 0,0 (iemand komt aanzetten met een handmatig ingesteld ip van 192.168.2.154 et voila hij is voorbij je dhcp server)
Als het je om security gaat moet je hele andere richtingen opdenken dan dhcp (die komt eigenlijk bijna automatisch wel goed), dan moet je meer richting VLAN etc gaan kijken

Helemaal eens, het liefst heb ik ook 2 VLAN's. Maar op de een of andere manier komen pakketjes met de 4byte VLAN header niet door m'n router heen.... misschien heb jij enig idee hoe ik dat kan fixen?

[ Voor 52% gewijzigd door DennusB op 17-04-2014 07:42 ]

Owner of DBIT Consultancy | DJ BassBrewer

donderdag 17 april 2014 09:19

Acties:

ShadowAS1

IT Security Nerd

Het kan zijn dat je andere router (wat nu je AP is) niet met VLANs overweg kan. Ik raad zelf aan om dat onderdeel te vervangen door een écht access point met vlan support.
Ik heb zelf ook n tijd zitten kloten met Mikrotik en guest WiFi. Ik zal vanmiddag even de setup details posten

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 17 april 2014 11:15

Acties:

Pakjebakmeel

Dan zal je router/AP wel geen VLAN tagging ondersteunen of de configuratie klopt niet.. Ik zie zo snel even 2 correcte oplossingen:

1. 2 SSID's op je AP en dan verschillende VLANs op de SSID's zetten om die door te geven aan de Mikrotik. Daar configureer de beide VLAN tags op je binnenkomende interface, het VLAN van je guest wifi kun je alleen doorlaten naar de WAN kan met eventueel bandbreedte limieten.

2. Als je AP geen VLAN's ondersteund heb je een probleem, dan zullen alle clients altijd op hetzelfde layer2 netwerk zitten. Een oplossing zou zijn om een tweede fysieke interface aan je Mikrotik te hangen en daar een tweede access point op te hangen voor je guest wifi.

Tweede oplossing zou je kunnen realiseren met een el cheapo netwerk kaartje + el cheapo AP. 54g zal voldoende zijn omdat het alleen is om te browsen en je zult geen grote filetransfers doen. Dit heeft exact hetzelfde resultaat als met VLANs alleen dan fysiek.

Wellicht dat je middels ip reeksen en firewall rules kunt bereiken wat je wilt maar mooi is anders, ik zou dit zelf niet doen. Het bied namelijk ook geen enkele vorm van security gezien de clients op hetzelfde layer2 netwerk blijven.

Welk model merk router fungeert er als AP? Wellicht schept dat meer duidelijkheid over waarom je VLANs niet werken.

[ Voor 25% gewijzigd door Pakjebakmeel op 17-04-2014 11:28 ]

donderdag 17 april 2014 11:30

Acties:

DennusB

Topicstarter

Pakjebakmeel schreef op donderdag 17 april 2014 @ 11:15:
Dan zal je router/AP wel geen VLAN tagging ondersteunen of de configuratie klopt niet.. Ik zie zo snel even 2 correcte oplossingen:

1. 2 SSID's op je AP en dan verschillende VLANs op de SSID's zetten om die door te geven aan de Mikrotik. Daar configureer de beide VLAN tags op je binnenkomende interface, het VLAN van je guest wifi kun je alleen doorlaten naar de WAN kan met eventueel bandbreedte limieten.

2. Als je AP geen VLAN's ondersteund heb je een probleem, dan zullen alle clients altijd op hetzelfde layer2 netwerk zitten. Een oplossing zou zijn om een tweede fysieke interface aan je Mikrotik te hangen en daar een tweede access point op te hangen voor je guest wifi.

Tweede oplossing zou je kunnen realiseren met een el cheapo netwerk kaartje + el cheapo AP. 54g zal voldoende zijn omdat het alleen is om te browsen en je zult geen grote filetransfers doen. Dit heeft exact hetzelfde resultaat als met VLANs alleen dan fysiek.

Wellicht dat je middels ip reeksen en firewall rules kunt bereiken wat je wilt maar mooi is anders, ik zou dit zelf niet doen. Het bied namelijk ook geen enkele vorm van security gezien de clients op hetzelfde layer2 netwerk blijven.

Welk model merk router fungeert er als AP? Wellicht schept dat meer duidelijkheid over waarom je VLANs niet werken.

Thanks voor je uitgebreide post. Er draait momenteel een TP-Link TL-WR1043ND als AP (er zit dus geen kabel in de WAN poort, alleen in de LAN poorten). Hier draait OpenWRT op en die voorziet in VLAN configuratie, dus ik neem aan dat hij dat wel support? Of hoeft dat niet?

Owner of DBIT Consultancy | DJ BassBrewer

donderdag 17 april 2014 11:59

Acties:

Pakjebakmeel

Dit is wat jij wilt:

SSID zonder VLAN tagging voor interne clients. Deze komen binnen op de LAN interface van de Mikrotik en krijgen een 192.168.2.x/24 adres. Prima, dat heb je al.

Maak een tweede SSID voor gasten met VLAN tagging, geef hem bijvoorbeeld ID 3.
Maak een VLAN aan op de Mikrotik onder de LAN adapter en geef die ID 3.
Geef de VLAN interface een IP adres net zoals iedere andere normale interface, bijvoorbeeld 192.168.3.1/24 en configureer DHCP voor 192.168.3.x op deze interface.

Iedere client die aan je Guest wifi connect krijgt een IP Adres in 192.168.3.x/24 en is compleet geisoleert van je interne LAN. Nu moet je nog een firewall rule maken die toegang geeft tot het internet en niet meer dan dat.

In-interface = VLAN3
Out-interface = WAN
Action = allow

Klaar. Als het goed is heb je al een rule voor allow established connections en masquerading op de WAN interface. Tenzij je die hebt gebonden aan bepaalde interfaces zou dat moeten werken.

Hoe je dit precies moet configureren zou ik aan google vragen.

[ Voor 4% gewijzigd door Pakjebakmeel op 17-04-2014 12:03 ]

donderdag 17 april 2014 12:03

Acties:

DennusB

Topicstarter

Pakjebakmeel schreef op donderdag 17 april 2014 @ 11:59:
SSID zonder VLAN tagging voor interne clients. Deze komen binnen op de LAN interface van de Mikrotik en krijgen een 192.168.2.x/24 adres. Prima, dat heb je al.

Maak een tweede SSID voor gasten met VLAN tagging, geef hem bijvoorbeeld ID 3.
Maak een VLAN aan op de Mikrotik onder de LAN adapter en geef die ID 3.
Geef de VLAN interface een IP adres net zoals iedere andere normale interface, bijvoorbeeld 192.168.3.1/24 en configureer DHCP voor 192.168.3.x op deze interface.

Iedere client die aan je Guest wifi connect krijgt een IP Adres in 192.168.3.x/24 en is compleet geisoleert van je interne LAN. Nu moet je nog een firewall rule maken die toegang geeft tot het internet en niet meer dan dat.

In-interface = VLAN3
Out-interface = WAN
Action = allow

Klaar. Als het goed is heb je al een rule voor allow established connections en masquerading op de WAN interface. Tenzij je die hebt gebonden aan bepaalde interfaces zou dat moeten werken.

Oke dat klinkt goed. Alleen de vraag is dus hoe ik een VLAN interface kan maken op die OpenWRT router. Dat lijkt wel goed te gaan alleen kan ik vevolgens in een compleet ander scherm ook poorten nog op access, trunk of untag zetten. Het lijkt niet uit te maken wat ik daar kies. Wat is de juiste instelling? In mijn beleving moet dat trunk zijn!

Owner of DBIT Consultancy | DJ BassBrewer

donderdag 17 april 2014 12:14

Acties:

Pakjebakmeel

Geen ervaring met OpenWRT :-)

Je wilt een tweede SSID, die bridge je met je LAN interface op het AP. Alles wat binnenkomt wireless gaat er bedraad uit naar de Mikrotik. De Mikrotik moet het VLAN termineren dus de tags moeten op het verkeer blijven zitten tussen het AP en de Mikrotik. Zeker niet untaggen dus.

SSID --> Bridge --> Ether --> Mikrotik(LAN) --> LAN/WAN
SSID(ID3) --> Bridge --> Ether --> Mikrotik(VLAN3) --> WAN

Ik weet niet of je ook normaal verkeer over een trunk poort kunt gooien in OpenWRT. Anders zou je 2 VLANs moeten maken, 2 en 3. Voor 192.168.2.0/24 en 192.168.3.0/24. Op de mikrotik kun je dan LAN en VLAN2 onder een bridge hangen. VLAN3 kun je gescheiden laten en routen naar WAN.

Probeer is maar eens je VLAN3 werkend te krijgen..

donderdag 17 april 2014 12:19

Acties:

DennusB

Topicstarter

Pakjebakmeel schreef op donderdag 17 april 2014 @ 12:14:
Geen ervaring met OpenWRT :-)

Je wilt een tweede SSID, die bridge je met je LAN interface op het AP. Alles wat binnenkomt wireless gaat er bedraad uit naar de Mikrotik. De Mikrotik moet het VLAN termineren dus de tags moeten op het verkeer blijven zitten tussen het AP en de Mikrotik. Zeker niet untaggen dus.

SSID --> Bridge --> Ether --> Mikrotik(LAN) --> LAN/WAN
SSID(ID3) --> Bridge --> Ether --> Mikrotik(VLAN3) --> WAN

Ik weet niet of je ook normaal verkeer over een trunk poort kunt gooien in OpenWRT. Anders zou je 2 VLANs moeten maken, 2 en 3. Voor 192.168.2.0/24 en 192.168.3.0/24. Op de mikrotik kun je dan LAN en VLAN2 onder een bridge hangen. VLAN3 kun je gescheiden laten en routen naar WAN.

Probeer is maar eens je VLAN3 werkend te krijgen..

Thanks. Klinkt allemaal helder. Ik ga er even mee aan de slag ASAP en zal ook dan wat screenshots posten. Laatste vraag voor ik begin : Moet de kabel in die router in WAN of LAN? Want als ik hem alleen als switch wil moet hij in LAN, maar jij hebt het over WAN(of bedoelde je de WAN van de Mikrotik?)

Owner of DBIT Consultancy | DJ BassBrewer

donderdag 17 april 2014 12:27

Acties:

Pakjebakmeel

LAN want die ga je bridgen met wifi. WAN is een optionele interface voor als je wilt routeren. Bijvoorbeeld tussen je lan en wan ;-)

Je AP komt alleen in LAN zowel wifi als de LAN poort dmv de bridge. De bridge maakt van wifi en Lan 1 layer2 netwerk.

Edit, de wan op het AP blijft dus leeg..

[ Voor 7% gewijzigd door Pakjebakmeel op 17-04-2014 12:29 ]

maandag 21 april 2014 15:44

Acties:

DennusB

Topicstarter

Een vervolg, heb op mijn DD-WRT router eens wat dingen lopen proberen :

Afbeeldingslocatie: http://tweakers.net/ext/f/RMVMXM06ngjYVFBRn3XiEW8L/medium.png

Gevolg, ik zie SOMS wat pakketjes over het VLAN schieten lijkt het maar het werkt niet. Ik word toch niet VLAN 3 ingeschoten. Iemand enig idee wat er fout is aan bovenstaande settings?

Owner of DBIT Consultancy | DJ BassBrewer

maandag 21 april 2014 16:35

Acties:

Pakjebakmeel

Uhh beetje aparte bridging heb je gaande daar.. Er mist ook nogal wat context mbt de rest van de configuratie. Dat maakt het moeilijk om er wat zinnigs over te zeggen..

Je zou 2 SSID's willen maken, eentje voor intern en eentje voor guest, ik weet niet hoe DD-WRT hier mee omspringt maar ik verwacht dat hij voor ieder virtual AP een virtuele interface aanmaakt? Stel dat je dan deze interfaces hebt geconfigureerd:

ath0 (interne SSID)
ath0.1 (guest SSID)

Dan maak je een virtuele interface aan voor vlan3 zodat je deze LAN interfaces hebt:

eth1 (gewone untagged interface)
eth1.1 (tagged met ID3)

Je moet dan 2 bridges maken denk ik:

br0 (ath0,eth1)
br1 (ath0.1,eth1.1)

Alles wat binnenkomt op ath0 (intern) wordt eruit gegooid op eth1 (untagged gewoon naar je lan).
Alles wat binnenkomt op ath0.1 (guest) wordt eruit gegooid op eth1.1 (virtuele vlan3 interface)

Aan de kant van de Mikrotik heb je als het goed is al een werkende LAN interface, daar komt al het untagged (internal SSID) verkeer op binnen. Dan maak je een virtuele vlan3 interface aan en die hang je aan de LAN interface. Die configureer je als iedere andere interface, geef hem een IP adres en draai DHCP. Maak een firewall rule die verkeer naar het WAN toestaat, terugkomend verkeer valt als het goed is onder je bestaand 'accept established' rule.

Deze theorie lijkt me in orde maar misschien kan iemand met DD-WRT ervaring hier wat over zeggen, ik ken alleen de netwerk theorie en Mikrotik.

Als ik de "Current bridging table" goed intrepeteer heb je nu een bridge gemaakt tussen je LAN, WAN en Wireless interface. Dat gaat niet werken, daarnaast heb je een losse bridge met maar 1 interface en dat is volgens mij je tweede AP voor guest?

[ Voor 7% gewijzigd door Pakjebakmeel op 21-04-2014 16:38 ]