Gäste-Wlan erstellen, ohne Zugriff auf Hauptrouter, Mikrotik, Capsman

Guten Abend zusammen,

Situation ist folgende:

Bestehendes LAN - DHCP und Internet über Lancom Router. Auf diesen habe ich keinen Zugriff. Es besteht derzeit KEIN WLAN. Geplant ist ein internes WLAN mit zusätzlichem Gast-Wlan zu erstellen.

Ich habe jetzt vor 3x Mikrotik hAPlite plus einen alten Alixboard (Capsman) ein WLAN zu erstellen.

Internes Wlan klappt prima, Steuerung über den Capsman, alles okay

Jetzt zur Frage: wie kann ich ein Gäste-Wlan in Betrieb nehmen ohne Zugriff auf den Hauptrouter (Routing/ Firewall)? Netzwerk soll selbstverständlich getrennt vom internen Netzwerk laufen. Komme da mit dem notwendigen Routing etc. nicht so ganz klar....Firewall-Regeln auf dem Capsman? oder wie kann ich das regeln?

Hoffe Ihr könnt mich in die richtige Richtung schubsen....

Danke & Einen schönen Abend!

Content-Key: 1145493457

Url: https://administrator.de/contentid/1145493457

Ausgedruckt am: 18.01.2022 um 03:01 Uhr

Mitglied: yumper
yumper 11.08.2021 aktualisiert um 19:42:39 Uhr
Goto Top
Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper
Mitglied: Spirit-of-Eli
Spirit-of-Eli 11.08.2021 um 19:54:25 Uhr
Goto Top
Zitat von @yumper:

Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper

Moin,

naja mit NAT geht das schon. Auch lässt sich verhindern, dass vom Gäste Netz auf das Hauptnetz zugegriffen wird.
Schön ist das allerdings definitiv nicht.

Ansonsten gebe ich dir Recht.

Gruß
Spirit

PS:" Ich habe endlich die Kommentierfunktion begriffen. Wollte schon nicht mehr Antworten"
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.08.2021 um 21:28:57 Uhr
Goto Top
Moin,

An der pfsense NAT einschalten und die Firewall so einstellen, daß zum LAN keine Verbindungen erlaubt werden.

Und die Genehmigung vom Admin einholen!

lks
Mitglied: StefanKittel
StefanKittel 12.08.2021 um 01:21:48 Uhr
Goto Top
Hallo,

wie Spirit schon meint: Nicht schön, geht aber.

Also den Sub-Router mittels NAT mit dem aktuellem Netzwerk verbinden.
Damit kommt Niemand vom LAN in diese WLANs und es wird auch nur 1 LAN IP benötigt.
Diese kann sogar DHCP sein. Ich würde aber eine feste verwenden.

Nun im Sub-Router noch 3 Regel festlegen.
Name = Block VLAN intercommunication (RFC1918)

Und diese IP-Adressbereiche ausgehend blockieren.
192.168.0.0 16
172.16.0.0 12
10.0.0.0 8

Damit kann man aus dem WLAN nicht in das LAN.

Schön ist es damit immer noch nicht.

Stefan
Mitglied: aqui
aqui 12.08.2021 aktualisiert um 11:56:04 Uhr
Goto Top
Zur Adaption deines WLAN Gastnetzes an das bestehende LAN auf das du selber keinen Zugriff hast musst du ja zwangsweise einen NAT Router oder Firewall einsetzen.
Das sollte dann eine Hardware sein die ein Gäste Captive Portal als Feature an Bord hat.
Das kann z.B. eine pfSense FW sein:
https://administrator.de/tutorial/wlan-oder-lan-gastnetz-einrichten-mit- ...
Oder auch jede beliebige Mikrotik Box mit Router OS an Bord:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...
Damit ist das dann kinderleicht umsetzbar.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:22:34 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks
Mitglied: Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 11:23:52 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:29:24 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.

Ich habe da bei Kunden auch schon einigen "auf die Finger hauen" müssen. Ging für die betreffenden Personen noch relativ glimpflich ab.

Waren meist Außendienstmitarbeiter, die auf die schnelle "schnelles Internet für Ihr Handy" wollten, "weil das wichtig ist".

lks
Mitglied: Bingo61
Bingo61 12.08.2021 um 15:24:38 Uhr
Goto Top
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 15:28:12 Uhr
Goto Top
Zitat von @Bingo61:

Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 16:27:05 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.

Doch, aber dazu muß man sie freetzen. :-) face-smile

lks
Mitglied: aqui
aqui 12.08.2021 aktualisiert um 16:58:46 Uhr
Goto Top
Keiner kommt auf das interne Netz.
Kein Dummie aber ein pfiffiger Netzwerker schon... ;-) face-wink
Ohne ein Captive Portal was zumindest die Mac Adressen cacht, sowas zu betreiben ist russisches Roulette. Wenn einer da KiPo oder anderes strafbares Material hochlädt ist der Anschlussbetreiber strafrechtlich voll verantwortlich. Mit einer popeligen FritzBüx nicht besonders intelligent.
Heiß diskutierte Beiträge
question
Windows Exchange-Server benötige ich eine Domain?Bella21Vor 1 TagFrageWindows Server21 Kommentare

Hallo alle zusammen, ich bin neu auf dem Gebiet. Ich habe Exchange Server auf einen Windows Server 2012 installiert. Nach der Installation fertig war, ist ...

question
WEBSEITE zerschossen. Brauche dringend hilfe! :) gelöst wieoderwasVor 1 TagFrageWebentwicklung5 Kommentare

Hallo zusammen, ich wollte eben auf der Typo3 Seite von unseren Unternehmen die Erweiterung der IT Kanzlei installieren. Nun erhalte ich beim Webseiten aufruf folgenden ...

question
Scanner Log4JjoergVor 1 TagFrageSicherheits-Tools15 Kommentare

Hallo zusammen, Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell. Ich bin aktuell auf der Suche nach einem Scanner der ...

question
Welcher Switch Hersteller kann trotz Silikonknappheit ordentlich liefern?NordicMikeVor 1 TagFrageSwitche und Hubs7 Kommentare

Moin zusammen, dieses Ubiquiti Zeug muss weg, das kann ja nicht einmal QoS, auch, wenn der Unifi Controller mit seiner zentralen Verwaltung gut zu bedienen ...

question
DNS neu einrichtensmschmidtVor 1 TagFrageDNS14 Kommentare

Hallo zusammen, hab wieder ein Problem: Hab einen neuen Windows Server 2022 (Server3) in unsere Domain aufgenommen, zum DC gemacht und DHCP und DNS installiert. ...

question
Telefonie noch im alten Standort erneuern?GrinskeksVor 1 TagFrageTK-Netze & Geräte7 Kommentare

Hallo zusammen, bei meinem neuen Arbeitgeber steht der Umzug in ein neues Firmengebäude und eine Aktualisierung der Telekommunikation an. Wir hatten einen Support zur betagten ...

question
Eigene Hardware + VLAN an Vodafone Kabel gelöst darkness08Vor 1 TagFrageInternet12 Kommentare

Guten Morgen Zusammen, ich möchte gerne an einen Vodafone Kabelanschluss eigene Hardware betreiben. Da es sich hierbei nicht um meinen eigenen Anschluss handelt fehlt mir ...

question
Windows DNS Server liefert veraltete Records aus gelöst BorantoVor 2 TagenFrageDNS6 Kommentare

Hallo zusammen, ich wende mich heute mit einem Problem an euch, welches mir bereits seit längerem Kopfschmerzen bereitet. Eigentlich ist meine ganzes Netzwerk eine Baustelle ...