vrijdag 1 januari 2016 20:42

Acties:
  • 0 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
Hallo iedereen,

Dit is mijn huidige netwerk setup: http://i.koningnet.nl/2016-01-01_21-06-37.jpg
Ik heb twee Ubiquiti UniFi AP's, een pfSense router en een TP-LINK TL-SG108E Managed Gigabit Switch.
Ik heb een privé draadloos netwerk, en een gastnetwerk. Met de huidige configuratie kunnen mijn gasten rustig bij mijn NAS, netwerkprinter etc. komen, dit is natuurlijk niet de bedoeling.
Dus mijn vraag is: hoe kan ik er voor zorgen dat het gastnetwerk op een VLAN komt, zodat gasten geen toegang hebben tot mijn netwerk, maar púúr toegang hebben tot internet.
Moet ik hiervoor ook nog bepaalde VLAN-related dingen instellen in mijn pfSense box?

Bij voorbaat dank.

Groet, Max

[ Voor 4% gewijzigd door MaxTheKing op 29-01-2021 14:31 ]

vrijdag 1 januari 2016 21:33

Acties:
  • +1 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Trunk aanleggen naar je pfsense doos vanaf je managed switch, op je pfsense doos twee vlan interfaces (1 en 2), firewall rules om te zorgen dat 2 niet bij 1 kan. In je AP's een extra ssid aan maken en dat tagged vlan 2 naar buiten sturen. Trunk ook doortrekken naar je unmanaged switch (zorg dat native vlan=1 zonder tag werkt) en je 2e AP (idem) natuurlijk.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 2 januari 2016 02:12

Acties:
  • +1 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
Bedankt voor je reactie.
Misschien ook nog even handig om te zeggen;
Mijn pfSense router heeft maar één LAN poort, ik weet niet of dit een probleem vormt voor VLAN's?

zaterdag 2 januari 2016 02:15

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Nee dat is het hele punt van vlan trunks.

[ Voor 19% gewijzigd door CyBeR op 02-01-2016 02:15 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 2 januari 2016 02:43

Acties:
  • +1 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Je weet dat 'pfsense guest vlan' in Google gooien tenminste 10 resultaten met complete howto's oplevert waarvan er over het algemeen twee van pfSense zelf zijn? :p

zaterdag 2 januari 2016 12:16

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:56

Rolfie

je hebt UniFi AP, waarom configureer je hierop gewoon niet direct een gasten SSID? De AP zorgt er dan meteen voor dat je "gasten" niet op je huidige netwerk komen.

Werkt een stuk sneller dan een pfsense firewall te configureren.

zaterdag 2 januari 2016 18:58

Acties:
  • 0 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
Daar was ik bekend mee inderdaad, dat de UniFi's een gast SSID aan kunnen maken, echter krijgen clients op het gastnetwerk dan een IP van dezelfde DHCP server als het prive netwerk, en kunnen ze nog steeds een IP scanner gebruiken om het gehele netwerk in beeld te brengen. Dit probeer ik juist te voorkomen.

zaterdag 2 januari 2016 19:54

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Nu online

jadjong

Lan-nterface aanmaken in pfsense met vlan-id xxx op de huidige netwerkaart. In de switch een vlan aanmaken met hetzelfde ID en deze tagged instellen op de poort van pfsense en de port van jouw accespoint. Gastnetwerk via de unifi-manager hetzelfde ID geven. Nu heb je met een beetje mazzel een gescheiden netwerkje.
Het enige wat je nog moet doen is in pfsense een 2e DHCP-server aanmaken en in de firewall instellen dat men wel met de wan-poort mag kletsen maar niet met de andere lan-interface.

zaterdag 2 januari 2016 22:18

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 10:14

kosz

SSID Guest, Guest policy aanmaken met een acl, die noemen ze restricted networks in een Ubiquiti geloof ik. Zet daar alle RFC1918 adressen in
10/8
172.16/12
192.168/16

Iedereen die zich op Guest heeft aangemeld kan niet naar bovenstaande adressen, dus alleen naar internet.
Misschien makkelijker dan met vlans rommelen als dat niet je ding is.

zaterdag 2 januari 2016 22:22

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:56

Rolfie

MaxTheKing schreef op zaterdag 02 januari 2016 @ 18:58:
Daar was ik bekend mee inderdaad, dat de UniFi's een gast SSID aan kunnen maken, echter krijgen clients op het gastnetwerk dan een IP van dezelfde DHCP server als het prive netwerk, en kunnen ze nog steeds een IP scanner gebruiken om het gehele netwerk in beeld te brengen. Dit probeer ik juist te voorkomen.
Heb je het al eens geprobeerd? Want de accesspoint zet er een ACL op welke, het verkeer op je local netwerk blockeerd.

zondag 3 januari 2016 13:30

Acties:
  • 0 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
Rolfie schreef op zaterdag 02 januari 2016 @ 22:22:
[...]


Heb je het al eens geprobeerd? Want de accesspoint zet er een ACL op welke, het verkeer op je local netwerk blockeerd.
Heb het inderdaad geprobeerd, gasten kunnen dan inderdaad niet meer bij mijn NAS, netwerkprinter etc. komen, maar kunnen nogsteeds het netwerk in beeld brengen dmv een network scanner, dit probeer ik te voorkomen.

zondag 3 januari 2016 13:31

Acties:
  • 0 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
kosz schreef op zaterdag 02 januari 2016 @ 22:18:
SSID Guest, Guest policy aanmaken met een acl, die noemen ze restricted networks in een Ubiquiti geloof ik. Zet daar alle RFC1918 adressen in
10/8
172.16/12
192.168/16

Iedereen die zich op Guest heeft aangemeld kan niet naar bovenstaande adressen, dus alleen naar internet.
Misschien makkelijker dan met vlans rommelen als dat niet je ding is.
Ik ben niet erg bekend met VLAN's inderdaad, maar als ik de reacties zo lees, lijkt het me niet al te lastig om het op te zetten.

zondag 3 januari 2016 18:35

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:56

Rolfie

MaxTheKing schreef op zondag 03 januari 2016 @ 13:30:maar kunnen nogsteeds het netwerk in beeld brengen dmv een network scanner, dit probeer ik te voorkomen.
Hoe bedoel je deze? Want ze mogen als het goed is een verkeer op je lokale netwerk zien.
MaxTheKing schreef op zondag 03 januari 2016 @ 13:31:Ik ben niet erg bekend met VLAN's inderdaad, maar als ik de reacties zo lees, lijkt het me niet al te lastig om het op te zetten.
Dit is niet hoe je met VLAN's omgaat. Dit is een ACL welke bepaalde IP ranges tegenhoud. VLAN's zijn niet complexer en je moet een firewall gaan beheren.

maandag 4 januari 2016 11:09

Acties:
  • 0 Henk 'm!
  • MaxTheKing
  • Registratie: December 2014
  • Laatst online: 07-07 14:19

MaxTheKing

Topicstarter
Rolfie schreef op zondag 03 januari 2016 @ 18:35:
[...]

Hoe bedoel je deze? Want ze mogen als het goed is een verkeer op je lokale netwerk zien.


[...]

Dit is niet hoe je met VLAN's omgaat. Dit is een ACL welke bepaalde IP ranges tegenhoud. VLAN's zijn niet complexer en je moet een firewall gaan beheren.
Prima. Dus ik kan het beste gewoon geen VLAN's gebruiken, en gewoon de ingebouwde gastnetwerk functie van de accesspoints gebruiken?

maandag 4 januari 2016 13:21

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:56

Rolfie

MaxTheKing schreef op maandag 04 januari 2016 @ 11:09:Prima. Dus ik kan het beste gewoon geen VLAN's gebruiken, en gewoon de ingebouwde gastnetwerk functie van de accesspoints gebruiken?
Jep. dat is het snelst en gemakkelijkst.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq