Vil det fungere for dig, hvis du byttede om på pfsense og d-link ip adresse?
D-Link'ens dhcp server ved nok godt at 10.0.0.x ligger før 10.0.1.x når du bruger 255.255.0.0 som subnet.
Dvs. D-Link faktisk giver korrekt IP adresse ud :)
--
Asus SABERTOOTH X58 - Xeon x5660 @ 4,4 ghz - 12 GB RAM - RX580 8GB - Corsair HX1000W - Lian Li PC-A70B - Vandkøling - Dell UltraSharp 2707WFP
--
Sidst redigeret 03-07-2017 14:39
Har tænkt på det må være nødløsningen. Men det ville være bedre hvis jeg kunne gøre det omvendt, da det giver bedst mening :)
--
PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske.
Hvad hvis du lader din pfsense være DHCP server?
Tror ikke du kan definere dhcp range på en d-link..
--
Asus SABERTOOTH X58 - Xeon x5660 @ 4,4 ghz - 12 GB RAM - RX580 8GB - Corsair HX1000W - Lian Li PC-A70B - Vandkøling - Dell UltraSharp 2707WFP
#0 Jeg tvivler på at du kan løse det, uden at sætte din router til at køre i samme subnet som din pfsense, da routeren er bygget til at gøre som den gør. Så skal du hacke routeren eller på anden vis, modificere firewaren.
Hvorfor vil du have din router til at køre på 10.0.1.1 og ikke 10.0.0.2? Det er umildbart uden betydning som jeg ser det, for funktionaliteten af det setup.
Vil du lave et skærmprint af hvor du har sat routeren til at køre AP-mode?
--
Intel 5930k w Noctua NH-D15, MSI Game G6 GTX 980ti, ASRock X99M Extreme 4, Samsung m2 512, Bitfinex Prodigy w Noctua NF-P12 PWM, Corsair 860i PSU
Årsagen til det er at jeg gerne vil have alle på wifi til at have ip 10.0.1.xxx for at kunne styre dem i pfsense.
Den har kun bidged mode og ikke accesspoint mode desværre.
--
PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske.
0#
Kig på dit LAN Subnet på DLINK'en.
/mvh
--
IDGAF!
Puha, det er længe siden jeg arbejdede med netværk, men det ser ud til at din Dlink gør præcis hvad du beder den om.
Hvis du sætter Subnet Mask til 255.255.255.0, så vil den begynde at smide ud på det korrekte subnet -
tror jeg :)
--
Gæstebruger, opret dit eget login og få din egen signatur. #5
Du får vel problemer med 2x DHCP servere på samme netværk.
Kan en løsning være, at tage router funktionen i brug, og så lade pfsense se alle wifi's med en ip?
--
Asus SABERTOOTH X58 - Xeon x5660 @ 4,4 ghz - 12 GB RAM - RX580 8GB - Corsair HX1000W - Lian Li PC-A70B - Vandkøling - Dell UltraSharp 2707WFP
#6 hvis jeg sætter den til /24 så kan de vel ikke se dem på 10.0.0.xxx?
#8 så det bliver et ekstern netværk? så kan jeg ikke få adgang mellem f.eks. min stationær og chromecast.
--
PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske.
#5 Hvilken gateway adresse for dine klienter, når de tilslutter sig dit WIFI?
Men hvad/hvorfor vil du styre (på) dine klienter, ud over hvilken IP adresse de får?
Det er lettest at hjælpe, hvis du fortæller hvad dit mål er :)
Men kort sagt, det du vil, kan ikke lade sig gøre med denne D-Link enhed.
--
Intel 5930k w Noctua NH-D15, MSI Game G6 GTX 980ti, ASRock X99M Extreme 4, Samsung m2 512, Bitfinex Prodigy w Noctua NF-P12 PWM, Corsair 860i PSU
Hvorfor ikke nøjes med at brueg PFsense til at route og give dhcp ? du kan jo bare sætte din dlink til at fungere som AP
--
#11 se #5 - med mindre du har fundet manualen og den siger anderledes? :)
--
Intel 5930k w Noctua NH-D15, MSI Game G6 GTX 980ti, ASRock X99M Extreme 4, Samsung m2 512, Bitfinex Prodigy w Noctua NF-P12 PWM, Corsair 860i PSU
Meningen med galskaben er at wifi klienter ikke skal kunne tilgå nogle ip´er på nogle server. Jeg kender ikke naturligvis alle potientielle klienter så jeg kan ikke nøjes med at blokere dem med mac adresser.
Pfsense:
ip 10.0.0.1
subnet: 255.255.0.0
Default gateway 10.0.0.1
Dlink router
IP 10.0.1.1
Subnet: 255.255.0.0
Gateway 0.0.0.0
Dns 0.0.0.0
pfsense er forbundet til en lan port på dlink og ikke en wan port da det ikke virker ellers(eller det kan jeg ikke få til at virke. Så kan de ikke se hinanden på lokal netværk).
wifiklienter få gateway 10.0.0.1
--
PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske.
13#
Segmentér dit netværk i VLANs - jobs done.
/mvh
--
IDGAF!
Kan du i DHCP IP Address Range skrive tal over 255? Du kunne prøve med startværdi 356, som vist ville give 10.0.1.100. Og så slutværdi eksempelvis 456, som vist er 10.0.1.200.
Edit: Havde ikke lige set #13 da jeg skrev dette, du er vist ude i noget lidt mærkeligt. #14 henviser til VLAN, det er værd at læse lidt om, det lyder ikke, som om du har kæmpe netværksforståelse.
--
Sidst redigeret 03-07-2017 19:03
#13, det er ikke muligt. 2 DHCP på samme netværk vil levere alt efter hvem der svare hurtigst til klienten. Så dit netværk skal segmenteres i VLAN som #14 fortæller :)
--
Gæstebruger, opret dit eget login og få din egen signatur. Okay så kan jeg godt forstå jeg ikke kan få det til at virke. Så må jeg igang med vlan. Men det kræver vel at routeren tilsluttet en seperat port i pfsense korrekt ?
Jeg har nemlig kun 2 porte i min pfsense maskine. En til en switch og 1 til wan. Vil jeg på nogen måde kunne fange alt det der kommer fra routeren igennem switchen også til pfsense ind på et vlan?
--
PC: i5 3450 @ 3.10GHz - 16,0GB DDR3 - ASRock H77 Pro4/MVP - GTX 1060 - Evo 850 250 gb
Server: IBM x3500 - 2x xeon 2620 - 64gb ram - 20 tb sas diske.
#17 tilføj et tredje NIC i din pfsense box og sæt dit AP til den. Det gir rigtig god mening at sepperere dit WiFi fra dit LAN da WiFi ikke er sikkert og skal mere eller mindre betragtes som public. VLAN skal mere ses som routing og ikke sikkerhed.
--
Sidst redigeret 04-07-2017 08:29
#17 du kan også flashe din router med dd-wrt firmwaren og sætte den op som et AP det har jeg tidligere gjort og det fungere perfekt
--
slettet
--
Sidst redigeret 04-07-2017 16:52
18#
What? Hvad snakker du om?
Segmentering af netværk i vlans er lige netop sikkerhed i forhold til adskillelse af netværk.
Du skal netop bruge en router for at route data mellem vlans....
Det er jo lige netop derfor at man i forskellige accesspoints har mulighed for at tagge gæste-netværket til et vlan.
/mvh
--
IDGAF!
--
Sidst redigeret 04-07-2017 17:10
17#
Vlan laver du i din switch.
Porten hvor dit internet går i har du 2 vlans - dit default vlan som er untagged på de porte du ønsker at bruge på dit lokalnetværk samt et tagged vlan til dit wifi.
Herefter vælger du en anden port til dit wifi og untagger på det vlan du har valgt at tagge til dit wifi - eller endnu bedre - lader porten være tagged på vlan'et og smid vlan'et direkte på dit AP.
/mvh
--
IDGAF!
--
Sidst redigeret 04-07-2017 17:16
#23 #24 stikker asmtalen ikke lidt af i forhold til hvad OP Spørger ? ;)
--
24#
Ej stop nu!
Der er også utallige måder at bryde ind på et wifi-netværk osv. osv. osv. Alt kan lade sig gøre.
Social Engineering er også ret populært!
.....VLAN skal mere ses som routing og ikke sikkerhed...... <<--- Hvad skete der lige dér?
Den _korrekte_ måde at adskille netværk på den måde som 0# ønsker er at segmentere netværket i vlans.
/mvh
--
IDGAF!
25#
Nej! Det er liiiige præcis dét vi har gang i at gøre på den korrekte måde.
13# -> "....Meningen med galskaben er at wifi klienter ikke skal kunne tilgå nogle ip´er på nogle server..."
Alt lave vlans er i øvrigt ret basalt i forhold til netværk og ikke ret kompliceret i forhold til 0# setup.
/mvh
--
IDGAF!
--
Sidst redigeret 04-07-2017 17:31
#26 nu kører du vidst lidt offtopic mht social enginering men ja det skal man også forholde sig til. Det lyder for mig som om OP i #12 ønsker noget sikkerhed da han ikke altid kender de klienter der tilgår hans wifi og derfor giver jeg ham en mere sikker løsning. Hvis han har mulighed for at sætte et ekstra netværkskort i hans pfsense så er løsningen stort set lige så nem som vlan og betydelig mere sikker. Fordi der er "mange" der gør én ting gør det det ikke til det "korrekte". Der er flere usikre løsninger etableret rundt omkring end "sikre" og man skal ikke sætte sig særlig meget ind i tingene for at gå i den rigtige retning..
--
29#
Alt kan lade sig gøre - men lige netop i denne sammenhæng tænker jeg at der bliver skudt TOTALT over målet.
Hvis man på en eller anden måde kommer på hans netværk ved at bryde en WPA2 for derefter så at gå i gang med "VLAN Hacking" så skulle en pfSense æske med et ekstra ben da ikke være nogle større udfordring. Nu er det jo altså hverken National Banken, Pentagon eller Kim Jong-un's Porn server vi snakker om!
Så vidt jeg forstår 0# så vil han gerne have en separering af 2 netværkssegmenter: LAN og WLAN
så enheder på WLAN(public/guest) ikke har adgang til enheder på LAN(Private).
Med et ekstra ben i pfSense _kan_ dette også lade sig gøre men så skal der investeres i endnu et netværkskort og en ekstra switch såfremt der ønskes mere end 1 AP.
Men den _korrekte_, mest simple og knapt så paranoide måde vil være at lave vlans - det må du da for faen give mig ret i hvis du blot har en lille smule med netværk at gøre proff.
/mvh
--
IDGAF!
#29, VLAN er sikkert og som alt andet skal du beherske og forstå den teknologi du bruger. Din ISP hvor du skriver fra nu, har med stor sandsynlighed brugt VLAN til at route din trafik fra dit netværk til HOL's netværk.
I min optik er der ingen grund til #0 tilføjer et ekstra netkort, hvis han derimod har en switch der understøtter trunk. Så kan han lave 2 subinterface på hver sit VLAN via han LAN port i pfsense og tildele DHCP på hvert VLAN i pfsense. Så er det også muligt at styre det centralt.
Det kørte jeg med en overgang, alt for overkill til almindeligt hjemmebrug, men blot for at prøve det af for hvordan det køres enterprise :)
--
Gæstebruger, opret dit eget login og få din egen signatur. Det jeg tror #0 prøver på er "router-on-a-stick" modellen:
http://www.orbit-computer-solutions.com[...] men jeg er sgu ikke helt sikkert.
#0 Kan du ikke lave en tegning der beskriver hvad du prøver på ?
--
Take everything you like seriously, except yourselves. Forresten Mazar, den artikel du henviser til i
#24, der forklares der ligeledes de tiltag og indstillinger der skal laves for at forhindre pågældende angreb :)
--
Gæstebruger, opret dit eget login og få din egen signatur. Er det ikke sådan her #0 reelt bør lave sit netværk:
http://imgur.com[...] + nogle fornuftige ACLer på switch0 samt nogle fornuftige firewall regler på serverne ?
--
Take everything you like seriously, except yourselves.