wie kann ich den Zugriff auf das blaue Netz des IPfires über LAN absichern? Wenn ich mich mit einem Laptop direkt ins blaue Netz über LAN verbinde, dann erhalte ich sofort Zugriff aufs Internet, ohne Sicherheitskontrolle.
Wir haben inzwischen auch die WLAN-Lösung mit Unifi-APs am laufen und ich finde es super :). Der WLAN-Zugriff darüber auf blau wird über den RADIUS-Server kontrolliert. Das funktioniert alles.
Gibt es eine Möglichkeit den Zugriff auf blau über Kabel auch irgendwie darüber zu kontrollieren?
das geht im blauen Netz des IPFire nicht so einfach.
Eine saubere Lösung ist, ein weiteres Netz einzuführen und einen Router
zwischen die Netze zu setzen. Das kann z. B. der Unifi-Controller sein.
Das blaue Netz geht dann nur vom IPFire zum Controller, die LAN-Buchsen
und die Access-Points liegen in einem eigenen Netz, das der Controller
aufspannt. Auf diesem müsste dann DHCP-Server + Routing laufen.
wie kann ich den Zugriff auf das blaue Netz des IPfires über LAN
absichern? Wenn ich mich mit einem Laptop direkt ins blaue Netz über LAN
verbinde, dann erhalte ich sofort Zugriff aufs Internet, ohne
Sicherheitskontrolle.
Wir haben inzwischen auch die WLAN-Lösung mit Unifi-APs am laufen und
ich finde es super :). Der WLAN-Zugriff darüber auf blau wird über den
RADIUS-Server kontrolliert. Das funktioniert alles.
Gibt es eine Möglichkeit den Zugriff auf blau über Kabel auch irgendwie
darüber zu kontrollieren?
kann das unifi nicht?
… nee, der Radius auth läuft im AP, und am Netzwerkkabel geht das am AP
vorbei…
Also vielleicht doch noch einen Coova dazu stellen?
Zunächst danke für eure Einschätzung der Sachlage.
Den Coova habe ich parallel am Laufen. Dachte zunächst, dass ich den dank Unifi abschalten kann.
Ich fasse also ein mögliches gemeinsames Szenario zusammen: Wlan → Unifi; Kabel → Coova.
Das Wlan-Netz mit Unifi befindet sich aber noch im Auf - und Ausbau. Habe es zunächst nur in einem Stockwerk installiert, um zu testen. Der Ausbau steht nun in der kommenden Zeit an. Wenn dies dann im ganzen Haus verfügbar sein wird, dann benötige ich die Kabellösung vielleicht gar nicht mehr…
Bei der Unifi Lösung ist es ja so, dass die APs immer das untagged VLAN als Managementnetz nutzen. Wenn du wie von @jrichter vorgeschlagen für ein Unifi-Management Netz einrichtest. Das kann beim Controller als tagged VLAN ankommen. Entweder macht der Unifi für dieses Netz ein DHCP Server auf (z.B. 192.168.x.0/24). Bei den APs kommt dann untagged diese Netz raus. Die APs selbst haben keinen Internetzugriff können aber mittlerweile wieder relativ komfortabel die Firmware lokal vom Controller ziehen:
Für SSIDs ins blaue bzw. grüne Netz und u.U. noch ein offenes Freifunk für Gäste bekommen dann das entsprechende VLAN getagged. Somit sind $Menschen die ein lanfähiges Gerät anstöpseln „nur“ im Unifi-Managementnetz ohne Internetzugriff. Klar mit etwas know how kann man dann auch wieder die VLANs erreichen - aber nicht einfach so.
Mit dem Managementnetz betreiben wir das von Anfang an und abgesehen von den jüngsten Problemen mit den Unifi AP AC Pro läuft das super.
Viele Grüße
Christoph
PS Den Coova konnten wir so komplett in Ruhestand schicken.