(W)LAN absichern/separieren

Wernieman · 03 April 2019, 10:46:38

Er hatz es doch expliziert gesagt, das Einteilen in Netze ist der erste Schritt zur zusätzlichen Absicherung. Natürlich kommt dann im 2. Schritt eine Absicherung durch Router/Firewall. Nur muß geht man bei solchen Einrichtugnen immer "Step-by-Step" vor, also in kleinen Schritten vorwärts. Bringt nichts, gleich den "Großen Schritt" zu wagen ...

Wuppi68 · 03 April 2019, 10:58:08

Zitat von: yersinia am 03 April 2019, 10:09:19
Cool! Sieht super aus! [Klugscheiss]Kleiner typo (hier):[/Klugscheiss]

Das Subnetting finde ich ganz spannend und sicher für den erfahrenen Laien mit einer Fritzbox sehr gut. Ich bin etwas über diese Aussage gestolpert:Ist der Sinn des ganzen Subnettings hier nicht eher, dass die Geräte der verschiedenen Subnetze eben nicht unbedingt untereinander kommunizieren sollen bzw. dürfen? Ok, es ist implizit weiter oben beschrieben:Aber ich habe das Gefühl, dass man hier nur eine Scheinsicherheit erhält, wenn man bei dem Konzept ohne Firewallregeln und VLANs bleibt. Ein Netzwerk-Client könnte theoretisch mit einer statischen IP in ein anderes Subnetz gelangen.

Zumal ich den Pflegeaufwand auch recht hoch halte - vergibt der DHCP automatisch die richtige IP an neue Netzwerkgeräte oder muss das manuell konfiguriert werden?

Wenn man PiHole aufsetzt, sollte man auch gleich über DNSCrypt (gute Anleitung oder direkt von der Quelle) nachdenken - sowie über freie DNS Server (hier oder hier zum Beispiel).

Wer sowieso Bastelfreudig ist und mit Linux nicht fremdelt, kann sich auch im Bereich OpenWRT (oder äquivalente alternativen Router Software) und zB unterstützte TP-Link-Router ansehen. Darüber kann man dann wesentlich flexibler und einfacher VLANs, Subnetze, etc. anlegen. Man kann auch mehrere WLAN-SSID generieren und diese verschiedenen VLANs zuweisen. Routing zwischen VLANs ist grundsätzlich nicht aktiviert, kann aber über Firewall Regeln einfach konfiguriert werden. Managed Switches lassen sich so auch sehr gut anbinden und nutzen.
Für Experten ist dies sowieso nur Spielerei. Da kommt man mit pfsense, IPFire usw und entsprechender Hardware weiter. Oder man nutzt direkt Business bzw semi-professionelle Geräte...

in diesem Wiki Beitrag soll die Migration beschrieben werden ... wenn die 16er Maske funktioniert, kann man im Normalfall auch danach problemlos auf die 24er Maske umstellen und es wird aus der Sache ein Schuh

Ist die Migration (mit oder ohne VLANs) vollzogen bekommen neue Geräte erst einmal das "Gastnetz" und haben darüber Internetzugang und müssen dann administrativ in das entsprechen Netz/VLAN gepackt werden ...

DNSCrypt ist cool, aber solange DNSSec noch nicht einmal flächendeckend verfügbar ist ...

Wichtig bei diesem Konzept ist, dass man entsprechend flexibel ist und entsprechen Erweiterungen/Umbau "unterbrechungsfrei" im laufenden Betrieb umsetzen kann und ganz klar für private Umgebungen

darkness · 03 April 2019, 11:24:44

Zitat von: Wuppi68 am 03 April 2019, 10:58:08
wenn die 16er Maske funktioniert, kann man im Normalfall auch danach problemlos auf die 24er Maske umstellen und es wird aus der Sache ein Schuh

So weit die Theorie. Ich habe damit gerade angefangen. Alles auf 172.16.[1-5].0/24 umgestellt. Jedes Netz für sich klappt auch. Nur zwischen den Netzen nicht.

Meine Idee war das ganze erst mal ohne VLAN umzustellen. Der Router steht noch auf L2-Routing (kann man beim 350 übrigens pro Port festlegen).

Ich habe 4 Interfaces angelegt:

Code Auswählen

 	VLAN 1	Static	172.16.1.254 	255.255.255.0 	Valid
	VLAN 2	Static	172.16.2.254 	255.255.255.0 	Valid
	VLAN 3	Static	172.16.3.254 	255.255.255.0 	Valid
	VLAN 4	Static	172.16.4.254 	255.255.255.0 	Valid

Nur leider klappt das nicht. Ich erreiche die 172.26.2.254 nilcht.

eth0:

Code Auswählen

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.2/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.16.2.1/24 brd 172.16.2.255 scope global eth0
       valid_lft forever preferred_lft forever

Wuppi68 · 03 April 2019, 11:33:30

looks strange ....

ist das Routing auf dem Switch auch eingeschaltet? Und hängt die Unix Kiste (Pi?) auch im richtigen VLAN? Du hast ja welche entsprechend konfiguriert

darkness · 03 April 2019, 11:40:24

ICh habe das Routing zumindest nicht ausgeschaltet.

Wenn ich es richtig sehe, hat der Pi kein VLAN. Dieser bekommt die IP statisch und da habe ich noch kein VLAN zugewiesen.
Wollte ich ändern, wenn alles wieder läuft.

Nur die DHCP-Geräte bekommen einen VLAN Tag.

yersinia · 03 April 2019, 12:10:22

Zitat von: darkness am 03 April 2019, 11:24:44
So weit die Theorie. Ich habe damit gerade angefangen. Alles auf 172.16.[1-5].0/24 umgestellt. Jedes Netz für sich klappt auch. Nur zwischen den Netzen nicht.

Meine Idee war das ganze erst mal ohne VLAN umzustellen. Der Router steht noch auf L2-Routing (kann man beim 350 übrigens pro Port festlegen).

Ich habe 4 Interfaces angelegt:
Code Auswählen Erweitern
VLAN 1 Static 172.16.1.254 255.255.255.0 Valid VLAN 2 Static 172.16.2.254 255.255.255.0 Valid VLAN 3 Static 172.16.3.254 255.255.255.0 Valid VLAN 4 Static 172.16.4.254 255.255.255.0 Valid

Nur leider klappt das nicht. Ich erreiche die 172.26.2.254 nilcht.

Ist die Subnetzmaske wirklich 255.255.255.0?
Laut Wiki Artikel sollte diese doch 255.255.0.0 sein, oder nicht?

ZitatDadurch das als Subnetmaske die 255.255.0.0 (entspricht /16) gewählt wurde, sind die Geräte auch weiterhin noch untereinander erreichbar.

EDIT
Und du hast wirklich VLANs eingerichtet?
Wenn ja, dann musst du die Ports entsprechen un/taggen um damit vernünftig zu kommunizieren zu können (=> https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen).
MWn wird der VLAN Tag am Port gesetzt. Hängt der PI direkt am Switch/Router, musst du den Port dem VLAN zuweisen und auf untagged setzen (= die Netzwerkpakete auf diesem Port haben keinen VLAN tag). Der Port, der mehrere VLANs haben kann (zB zum Router, anderer Switch usw) wird allen (betroffenen) VLANs zugewiesen und auf tagged gesetzt (= alle Netzwerkpakete auf diesem Port haben ein VLAN Tag).

In deinem Fall (Vorsicht: ich benutze eine trübe Glaskugel) wird es wahrscheinlich besser sein, VLANs erstmal aussen vor zu lassen.

darkness · 03 April 2019, 12:39:03

@yersinia

Den Wiki-Artikel bitte mal außen vor lassen. Das waren die ersten Schritte. Ich bin mittlerweile bei der Einrichtung der 24er Netzt.

@all

Ich bin mal zurück auf Anfang (also beim 16er Netz)

Folgendes Setup habe ich jetzt.

Port 1 --> Pi direkt
Port 2 --> PowerLAN (hier weiß ich noch nicht, ob das wirklich VLAN-Tag unterstüzt)
Port 7 --> Laptop direkt
Port 10 --> Fritzbox direkt

WLAN noch von der Fritzbox.

Da der DHCP auf dem Pi die Tags vergibt, klappt es dort natürlich.

Frage zu den VLAN-Tags: Ist der VLAN-Tag vom DHCP = VLAN-NAME im Cisco?

Da ich nicht weiß, ob VLAN-Tags richtig klappten, wollte ich erst mal das 24er Netz einrichten und schauen, dass alle Geräte untereinander erreichbar sind.
Oder sollte ich ich erst um das VLAN kümmern?

yersinia · 03 April 2019, 12:59:44

Zitat von: darkness am 03 April 2019, 12:39:03
Ich bin mal zurück auf Anfang (also beim 16er Netz)

Folgendes Setup habe ich jetzt.

Port 1 --> Pi direkt
Port 2 --> PowerLAN (hier weiß ich noch nicht, ob das wirklich VLAN-Tag unterstüzt)
Port 7 --> Laptop direkt
Port 10 --> Fritzbox direkt

WLAN noch von der Fritzbox.

Da der DHCP auf dem Pi die Tags vergibt, klappt es dort natürlich.

PowerLAN sollte VLAN tags unterstützen - oder anders ausgedrückt: den Netzwerkstream ansich unberührt lassen.
Ich bin mir nicht sicher ob der DHCP auch VLAN tags vergibt, mWn nicht. Man kann einen DHCP service für verschiedene VLANs nutzen, aber der Tag wird dort nicht gesetzt. Der DHCP vergibt mWn "nur" IP Adressen (und ein bisschen mehr). Dabei muss der DHCP für jedes VLAN einzeln konfiguriert werden.

Zitat von: darkness am 03 April 2019, 12:39:03Frage zu den VLAN-Tags: Ist der VLAN-Tag vom DHCP = VLAN-NAME im Cisco?

AFAIK nein. Wie gesagt, der DHCP vergibt mWn keine VLAN tags. VLAN sind, wie der Name sagt, virtuelle Strukturen auf physischer Hardware.
Der Router muss die VLANs definieren (dieser Routet auch nach WAN und in andere VLANs, der Switch segmentiert diese dann entsprechend der ID (tags)).

Zitat von: darkness am 03 April 2019, 12:39:03Oder sollte ich ich erst um das VLAN kümmern?

Ich weiss nicht, ob VLANs schon das richtige Thema für dich ist. In deinem Fall würde ich zunächst den Switch dumm stellen und schauen, das es erstmal normal läuft (vorallem physisch!). Dann kannst du mit den IP Bereichen im /16 Netz via DHCP arbeiten wie im Artikel beschrieben.
Um mit VLANs weiter zu abeiten wirst du mit der Fritzbox wahrscheinlich nicht weit kommen. MWn kann die Fritzbox kein VLAN - außer das Gastnetzwerk, und dieses müsstest du gesondert (extra Kabel) an den Switch anschließen.
Wenn der CISCO Switch auch routen kann, dann fang langsam an indem du alles auf VLAN 1 umstellst und dann sukzessive die Geräte in neue VLAN schiebst.

darkness · 03 April 2019, 13:04:32

Nur zum Verständnis. Welchen Artikel meinst du?

Wuppi68 · 03 April 2019, 14:44:55

hmmmm,

@yersinia: Klingt gut Deine Info

@Darkness:

DHCP kennt keine VLANs
zur Zeit sollte Dein Netz folgendermaßen aussehen:

Fritte:
IP 192.168.178.1/24 -> 255.255.255.0
Route 1: 172.16.0.0/16 --> 255.255.0.0 auf 192.168.178.2
Route 2: 192.168.x.0/24 --> 255.255.255.0 evtl. wenn die Fritte es kann auch 192.168.0.0/16 --> 255.255.0.0 auf 192.168.178.2

Switch:
Routing global eingeschaltet
Port Gi10:
- VLAN 1 (default)
- untagged
- IP Adresse: 192.168.178.2/24

Interface Vl1:
- IP Adresse 172.16.x.x/16

Port Gi1:
- VLAN1
- untagged

Port Gi2:
- VLAN1 default
- untagged
- trunk für die restlichen VLANs

Eigentlich sollte es jetzt laufen

Zum Testen würde ich den Laptop auf Port7 folgendermaßen konfigurieren

Laptop: feste IP 192.168.200.100/24; Gateway 192.168.200.1 kein VLAN --> Vl1
Switch Gi7: VLAN1 untagged; IP 192.168.200.1/24
Fritte: Route für 192.168.200/24 geht nach 192.168.178.2 (wenn nicht schon von oben mit 192.168/16 erledigt)

Wenn jetzt der Laptop funktioniert kannst Du schauen, ob Du den Laptop in ein eigenes VLAN packen kannst

Laptop: Konfig bleibt gleich
Switch: Gi7: VLAN666 untagged; no IP address !!!!!!!
Switch: VL666 IP 192.168.200.1

Alles OK?

darkness · 03 April 2019, 15:30:29

ah, jetzt lichtet sich etwas der Nebel.

Zitat, setze für die festen MAC Adressen auch direkt ein entsprechendes Tag

in dnsmasq

Code Auswählen

dhcp-option=tag:vlan5,3,192.168.178.1

hat mich in die irre geführt. Dachte das hängt auch schon mit vlan zusammen.

Werde testen und berichten.

yersinia · 03 April 2019, 15:46:08

Zitat von: darkness am 03 April 2019, 15:30:29in dnsmasq

Code Auswählen Erweitern
dhcp-option=tag:vlan5,3,192.168.178.1

hat mich in die irre geführt. Dachte das hängt auch schon mit vlan zusammen.

Korrekt, der tag gibt meines Verständnisses nach dem Netzwerk einen Namen/Id/tag:

ZitatThe optional set:<tag> sets an alphanumeric label which marks this network so that dhcp options may be specified on a per-network basis. When it is prefixed with 'tag:' instead, then its meaning changes from setting a tag to matching it. Only one tag may be set, but more than one tag may be matched.

(http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html)

Zitat von: Wuppi68 am 03 April 2019, 14:44:55
Switch: Gi7: VLAN666 untagged; no IP address !!!!!!!
Switch: VL666 IP 192.168.200.1

gefällt mit.

The evil VLAN.

EDIT:
Was mir noch einfällt, nicht immer sind die VLAN ids frei wählbar. Bei OpenWRT hatte ich schonmal Probleme damit und habe entsprechend nur fortlaufende VLAN ids... -.- Also wenn es mit VLAN666 aus irgendeinem Grund nicht klappt, erstmal mit 2, 3 usw versuchen...

Wuppi68 · 03 April 2019, 16:48:08

Zitat von: yersinia am 03 April 2019, 15:46:08
EDIT:
Was mir noch einfällt, nicht immer sind die VLAN ids frei wählbar. Bei OpenWRT hatte ich schonmal Probleme damit und habe entsprechend nur fortlaufende VLAN ids... -.- Also wenn es mit VLAN666 aus irgendeinem Grund nicht klappt, erstmal mit 2, 3 usw versuchen...

der Cisco kann das

der hat auch einen großen Gap zwischen dem Default (1) und Voice (50 oder 60) VLAN

und der würde sogar in Bielefeld mit dem vl42 klar kommen

back to topic

vermutlich würde es jetzt Sinn machen den DHCP Server auf den Cisco zu legen, damit das ganze VLAN Geraffel an nur einer Stelle im Netz zu administrieren ist

Und das forwarding aus den einzelen VLANs der DHCP Pakete würde komplett entfallen

darkness · 03 April 2019, 17:03:41

Zitat von: Wuppi68 am 03 April 2019, 14:44:55

Fritte:
IP 192.168.178.1/24 -> 255.255.255.0
Route 1: 172.16.0.0/16 --> 255.255.0.0 auf 192.168.178.2
Route 2: 192.168.x.0/24 --> 255.255.255.0 evtl. wenn die Fritte es kann auch 192.168.0.0/16 --> 255.255.0.0 auf 192.168.178.2

Switch:
Routing global eingeschaltet
Port Gi10:
- VLAN 1 (default)
- untagged
- IP Adresse: 192.168.178.2/24

Interface Vl1:
- IP Adresse 172.16.x.x/16

Port Gi1:
- VLAN1
- untagged

Port Gi2:
- VLAN1 default
- untagged
- trunk für die restlichen VLANs

Eigentlich sollte es jetzt laufen

Nur bedingt.

Dem Gi10 weise ich die Adresse 192.168.178.2/24 zu.

Zitat
VLAN 1 Static 172.16.2.254 255.255.0.0 Valid
GE10 Static 192.168.178.2 255.255.255.0 Valid

Auf dem pi entferne ich die Adresse:

Code Auswählen

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 172.16.2.1/16 brd 172.16.255.255 scope global eth0
       valid_lft forever preferred_lft forever

Danach ist das Internet/Fritzbox nicht mehr erreichbar. Ein ping vom Pi zur Box klappt nicht mehr.

Zum Verständnis.
Die IP 192.168.178.2/24 ist ja bisher als zweite Adresse auf dem PI. Dadurch das die Ports 1,2,10 im VLAN1 sind ist alles, was auf der 192.168.178.2 ankommt automatisch "im VLAN1". Technisch vielleicht nicht korrekt ausgedrückt, aber so habe ich es jetzt verstanden.

Das Trunk bei Port 2 bedeutet. Das hier alle VLAN Zusammengeschaltet werden?
Somit dann theoretisch das VLAN666 ereichbar sein sollte?

Edit:
Routing IPv4 ist global an:

IPv4 Interface
IPv4 Routing: Enable

Edit2
Muss ich auf L3 Routing umschalten? Nur ist danach kein Gerät mehr erreichbar

Wuppi68 · 03 April 2019, 19:05:39

Zitat von: darkness am 03 April 2019, 17:03:41
Nur bedingt.

Dem Gi10 weise ich die Adresse 192.168.178.2/24 zu.
Auf dem pi entferne ich die Adresse:

Code Auswählen Erweitern
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff inet 172.16.2.1/16 brd 172.16.255.255 scope global eth0 valid_lft forever preferred_lft forever

Danach ist das Internet/Fritzbox nicht mehr erreichbar. Ein ping vom Pi zur Box klappt nicht mehr.

Zum Verständnis.
Die IP 192.168.178.2/24 ist ja bisher als zweite Adresse auf dem PI. Dadurch das die Ports 1,2,10 im VLAN1 sind ist alles, was auf der 192.168.178.2 ankommt automatisch "im VLAN1". Technisch vielleicht nicht korrekt ausgedrückt, aber so habe ich es jetzt verstanden.

Das Trunk bei Port 2 bedeutet. Das hier alle VLAN Zusammengeschaltet werden?
Somit dann theoretisch das VLAN666 ereichbar sein sollte?

Edit:
Routing IPv4 ist global an:

IPv4 Interface
IPv4 Routing: Enable

Edit2
Muss ich auf L3 Routing umschalten? Nur ist danach kein Gerät mehr erreichbar

was sagen denn die Pings/Traceroutes?

Pi --> Switch
Pi --> Fritte
Switch --> Pi
Switch --> Fritte
Fritte --> Pi
Fritte --> Switch

und wie sehen die Routing Tabellen aus?
Pi, Switch und Fritte
Cisco: console login --> sh ip route

Das du das 192er Netz vom Pi weggenommen hast war richtig

Das sollte ja jetzt der Switch Routen

ich vermute hier noch ein Problem mit dem Switch und dem Routing .... das sollten wir jetzt als erstes in den Griff bekommen ... ohne Routing können wir nicht wirklich weitermachen

Um den Betrieb nicht extrem zu gewfährden, können wir den "alten" Zustand wieder herstellen und dem Switch die 192.168.178.3 geben. Eine Route auf der Fritte in ein "neues" 192er Netz setzen und dann ein neues VLAN definieren (42?); Gi7 kommt dann ins Vl42 und der PC dadran bekommt eine feste Adresse aus dem neuen Netz mit dem Gateway vom Interface Vl42 und als DNS dann 192.168.178.1.

Trunk bedeutet: Native VLAN untagged (default 1) und alle anderen VLANs nur getagged. Bei den Small Business Switches musst Du die anderen VLANs von Hand mit dazuhocken (zumindest bei der 300er Serie)

Viel Erfolg

Ralf

PS.: ggfls müssen wir zum klären des Routings mal auf die Tonspur wechseln