[Fli4l_dev] Gäste WLAN absichern bzw. abtrennen

Peter Schiefer newsgroup at lan4me.de
Mi Nov 23 19:45:04 CET 2016 

Hallo Boris,

Am Wed, 23 Nov 2016 17:53:22 +0100 schrieb B. Sprenger:

> Dazu müsste ich also auf dem fli4l eine eth0.3 und eth0.5 anlegen (VLAN3 
> für "normales Netz" und VLAN5 für die Gäste)
> 
> Kann ich das dann so schreiben?
> IP_NET[1]='172.17.0.1/16'    # IP address of your n'th ethernet card
> {
>    DEV='eth0.3'

hier würde ich ergänzen:
     COMMENT='normales_Netz'
> }
> 
> IP_NET[2]='172.29.0.1/16'    # IP address of your n'th ethernet card
> {
>    DEV='eth0.5'
     COMMENT='Gäste'
> }

bei fli4l 4.0.0 (unserer Entwicklerversion) kannst Du das so schreiben -
damit dir aber die vlan-devices zur Verfügung stehen must du in der config
des Pakees Advanced_networking die vlans definieren:
OPT_VLAN_DEV='yes'              # activate VLAN 802.1Q, yes or no
VLAN_DEV_N='2'                  # number of VLAN devices
VLAN_DEV_1_DEV='eth0'
VLAN_DEV_1_VID='5'              # eth0.5 -> Gäste
VLAN_DEV_2_DEV='eth0'
VLAN_DEV_2_VID='3'              # eth0.3 -> normales Netz

> 
> In die INPUT-Chain kommt dann folgendes?
> PF_INPUT[]='IP_NET_2 ACCEPT'  # allow all hosts in the local network to
>                                # access the router
> 
Damit können dann Gäste auf alle Dienste des fli4l zugreifen


wenn Du das nicht willst - also nur DNS und DHCP solltes du diese Regel
weglassen.
DHCP wird in der INPUT-Chain geöffnet, wenn bei der Range-Definition im
Paket dns_dhcp die Referenz zum Netz angegeben ist -> NET='IP_NET_2'

DNS wird in der INPUT-Chai  geöffnet für das Gäste-LAN wenn du das folgende
setzt -> DNS_LISTEN[]='IP_NET_2_IPADDR'
 
> FORWARD bleibt dann leer?
> bzw. nur folgender Eintrag:
> PF_FORWARD[]='IP_NET_1 ACCEPT

und wie sollen Pakete vom Gäste LAN geroutet werden?

mit
PF_FORWARD[]='if:any:{Name des Circuits} ACCEPT'

erlaubst Du, das Routing von jedem Quellnetz zum Internet möglich wird.

> 
> Und bei POSTROUTING muss vermutlich folgender Eintrag getätigt werden?
> PF_POSTROUTING[]='IP_NET_2 MASQUERADE'

PF_POSTROUTING[]='if:any:{Name des Circuit} MASQUERADE'

würde ich eher nehmen, damit auch das normale Netz ins Internet kann

 
> Natürlich muss dann in der dns_dhcp.txt noch der DHCP-Server aktiviert 
> werden.

korrekt

> Vermutlich muss auch auf den Switchen VLAN aktiviert und konfiguriert 
> werden.

wozu - an eth0 liegen die getaggten Pakete an - diese kommen doch zu deinen
AccessPoints und werden dort an die bridge zur jeweiligen ESSID gebunden
 
> Wären das die Eingriffe in den Konfigurationsdateien auf dem fli4l, oder 
> habe ich etwas vergessen bzw. falsch verstanden?

siehe meine Kommentare

Gruß Peter

Mehr Informationen über die Mailingliste Fli4l_dev