Zwei Baustellen ISC->KEA / old FW Rules versus new

Started by 0zzy, February 17, 2026, 03:55:58 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
March 02, 2026, 01:46:18 PM #15
Quote from: 0zzy on March 01, 2026, 01:37:32 PMWIFI MGMT teilt dem UNIFI-Controller in VLAN X mit das in VLAN Y ein UFO hängt.
Kannst mal aufmalen, was du damit meinst.

Ich habe so einen Konstrukt bei mir zuhause laufen ( OPNSense , Unifi-Switch/AP, Unifi-Controller als VM auf Proxmox und KEA als DHCP )

Ich vermute, deine Verbindung  Switch - AccessPoint ist falsch konfiguriert, der braucht einen Trunk mit dem Management-VLAN(1) und allen VLAN, welche der AP per WLAN verteilen soll. Die Zuweisung WLAN <-> VLAN machst ja im Unifi-Controller.
Der AP kmmuniziert mit dem Controller eben über das VLAN1
Today at 01:09:19 PM #16 Last Edit: Today at 01:32:00 PM by 0zzy
ich drösel das mal verständlich auf.
IPs habe ich mit absicht mal weg gelassen.

KEA läuft nun, hat ein wenig gedauert bis ich die Doku verinnerlicht hatte und verstanden wie ich das in OPNSense umsetze.
Testen von Kea auf einer FreeBSD VM war erst mal einfacher (Übung macht den Meister und so ;) ).

hier meine Netzwerktopologie:

                                                           ┌─────────────────────┐
                                                           │   INTERNET (WAN)                                                   │
                                                           │   igc0 (Public IP)                                                         │
                                                           └──────────┬──────────┘
                                                                                                          │
                                                        ┌───────────┼─────────-┐
                                                         │                                                                                          │
                       ┌───────▼────────┐                   ┌───────▼────────┐
                      │   GeoIP Block                                          │                   │  Threat Feeds  │
                      │  (133 countries                                        │                   │ (FIREHOL, etc) │
                      │   263k IPs)                                                │                   └───────┬────────┘
                     └───────┬────────┘                                                       │
                                                       │                                                                                             │
                                                       └────────────┬─────────┘
                                                                                                              │
                                                                 ┌──────────▼──────────┐
                                                                 │   FIREWALL RULES                                                  │
                                                                 │  • SYN Proxy                                                                │
                                                                 │  • Rate Limiting                                                          │
                                                                  │  • State Tracking                                                        │
                                                                  └──────────┬──────────┘
                                                                                                                 │
                                                                  ┌──────────▼──────────┐
                                                                  │   SURICATA IPS                                                           │
                                                                  │  • Netmap (IPS)                                                           │
                                                                  │  • 24,591 rules                                                               │
                                                                  │  • Hyperscan                                                                 │
                                                                  └──────────┬──────────┘
                                                                                                                 │
        ┌──────────────────────────────┼──────────────────────────┐
        │                                                                                                                               │                                                                                                               │
        │                                                                                                                               │                                                                                                               │
┌───────▼────────┐          ┌──────────▼──────────┐                               ┌─────────▼──────┐
│  LAN (LANPROD)                                │          │   VALHALLA (opt3)                                                    │                               │  WireGuard VPNs                                │
│  vlan0.11                                                   │          │   Media/IoT VLAN                                                     │                               │  WG0/WG2/WG3_TOR                     │
│  • Workstations                                     │          │   • LibreELEC                                                               │                               │  • Remote Access                                 │
│  • Servers                                                │          │   • Smart Devices                                                        │                               │  • Tor Routing                                          │
│  • Management                                   │          │   • Squid Proxy                                                              │                               └────────────────┘
└────────────────┘          └─────────────────────┘
                                  │                                                                                              │
                                  │                                                                                              │
┌───────▼────────┐          ┌──────────▼──┐
│  LANPROD (opt6)                                │          │   IOT_WIFI (opt7)                      │
│  • Production                                          │          │   • IoT Devices                            │
│  • Docker                                                  │          │   • Internet Only                        │
│  • Caddy                                                  │          └─────────────┘
└────────────────┘
                                 │
┌───────▼────────┐          ┌──────────────┐
│  LANDMZ (opt9)                                   │          │  GUESTNET (opt4)                       │
│  • DMZ Services                                     │          │  • Guest WiFi                                  │
│  • Public Apps                                        │          │  • Isolated                                        │
└────────────────┘          └──────────────┘
                                 │
┌───────▼────────┐          ┌─────────┐
│ TOR_NET (opt10)                                 │          │  LANTEST (opt8)     │
│  • Tor Proxy                                             │          │  • Testing                    │
│  • Transparent                                        │          └─────────┘
└────────────────┘

Key Services & Servers:

Interface   Name        Type           VLAN   Network           Purpose
igc0           WAN        Physical           -   Public IP   Internet gateway
vlan0.11   LAN         VLAN           11   192.168.x.0/24   Primary LAN
igc2           WIFI        Physical           -   -           WiFi Access Points
opt1           WIFI (mgmt)  VLAN           -   -           AP Management
LANMGMT           -        VLAN           -   -   Management VLAN
WIFIMGMT   -        VLAN           -   -   WiFi Management


Network Segmentation Strategy:

Service                           Location   Interface   IP/Alias   Purpose
UniFi Controller                Server           LAN           UNI_SRV           WiFi management
U6 Access Point                   Hardware   WIFI           U6_AP           WiFi AP


Network Segmentation Strategy:

Zone           Trust Level   Interfaces   Outbound Access         Inbound Access
Management   HIGHEST           LAN, LANMGMT   Full                 SSH from admin IPs only
Internal   MEDIUM           VALHALLA (opt3)   Filtered via Squid    LAN only


Die Ufos hängen im WifiMgmt Netz, sie beziehen Ihre IP von dort.
Alle VLANs im WIFI werden an der OpnSense vergeben.

Heisst jedes WIFI Netz bekommt eigene Settings verpasst.

Der Management-Traffic (Provisionierung, SSH, SNMP der APs) läuft isoliert über WIFIMGMT. Ein Angreifer, der ein User-WLAN knackt, sieht die APs selbst also nicht einmal.

Das Tagging passiert direkt am AP und am Switch: Der UniFi Controller pushed die SSIDs mitsamt ihren VLAN-Tags (z.B. Guest, IoT, Valhalla) auf die APs. Der Switchport, an dem das Ufo hängt, läuft als Trunk (Native VLAN = WIFIMGMT / Tagged VLANs = der Rest).

Der DHCP/Gateway-Endpunkt ist die OPNsense. Da Kea nun läuft, kannt ich jedem Interface/VLAN völlig autarke Scopes, DNS-Server (z.B. Unbound mit DoT) und Lease-Times zuweisen.

Alles bis auf Administrativen zugriff für bestimmte Accounts ist Isoliert vom restlichen Netzwerk.


Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
Print
Go Up Pages 1 2
User actions