12
Gäste-Wlan erstellen, ohne Zugriff auf Hauptrouter, Mikrotik, Capsman
Guten Abend zusammen,
Situation ist folgende:
Bestehendes LAN - DHCP und Internet über Lancom Router. Auf diesen habe ich keinen Zugriff. Es besteht derzeit KEIN WLAN. Geplant ist ein internes WLAN mit zusätzlichem Gast-Wlan zu erstellen.
Ich habe jetzt vor 3x Mikrotik hAPlite plus einen alten Alixboard (Capsman) ein WLAN zu erstellen.
Internes Wlan klappt prima, Steuerung über den Capsman, alles okay
Jetzt zur Frage: wie kann ich ein Gäste-Wlan in Betrieb nehmen ohne Zugriff auf den Hauptrouter (Routing/ Firewall)? Netzwerk soll selbstverständlich getrennt vom internen Netzwerk laufen. Komme da mit dem notwendigen Routing etc. nicht so ganz klar....Firewall-Regeln auf dem Capsman? oder wie kann ich das regeln?
Hoffe Ihr könnt mich in die richtige Richtung schubsen....
Danke & Einen schönen Abend!
Situation ist folgende:
Bestehendes LAN - DHCP und Internet über Lancom Router. Auf diesen habe ich keinen Zugriff. Es besteht derzeit KEIN WLAN. Geplant ist ein internes WLAN mit zusätzlichem Gast-Wlan zu erstellen.
Ich habe jetzt vor 3x Mikrotik hAPlite plus einen alten Alixboard (Capsman) ein WLAN zu erstellen.
Internes Wlan klappt prima, Steuerung über den Capsman, alles okay
Jetzt zur Frage: wie kann ich ein Gäste-Wlan in Betrieb nehmen ohne Zugriff auf den Hauptrouter (Routing/ Firewall)? Netzwerk soll selbstverständlich getrennt vom internen Netzwerk laufen. Komme da mit dem notwendigen Routing etc. nicht so ganz klar....Firewall-Regeln auf dem Capsman? oder wie kann ich das regeln?
Hoffe Ihr könnt mich in die richtige Richtung schubsen....
Danke & Einen schönen Abend!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1145493457
Url: https://administrator.de/contentid/1145493457
Printed on: May 9, 2024 at 16:05 o'clock
12 Comments
Latest comment
Hello
no way ohne die nötigen Routen im Lancom zu konfigurieren.
so long
Yumper
no way ohne die nötigen Routen im Lancom zu konfigurieren.
so long
Yumper
Moin,
naja mit NAT geht das schon. Auch lässt sich verhindern, dass vom Gäste Netz auf das Hauptnetz zugegriffen wird.
Schön ist das allerdings definitiv nicht.
Ansonsten gebe ich dir Recht.
Gruß
Spirit
PS:" Ich habe endlich die Kommentierfunktion begriffen. Wollte schon nicht mehr Antworten"
Moin,
An der pfsense NAT einschalten und die Firewall so einstellen, daß zum LAN keine Verbindungen erlaubt werden.
Und die Genehmigung vom Admin einholen!
lks
An der pfsense NAT einschalten und die Firewall so einstellen, daß zum LAN keine Verbindungen erlaubt werden.
Und die Genehmigung vom Admin einholen!
lks
Hallo,
wie Spirit schon meint: Nicht schön, geht aber.
Also den Sub-Router mittels NAT mit dem aktuellem Netzwerk verbinden.
Damit kommt Niemand vom LAN in diese WLANs und es wird auch nur 1 LAN IP benötigt.
Diese kann sogar DHCP sein. Ich würde aber eine feste verwenden.
Nun im Sub-Router noch 3 Regel festlegen.
Name = Block VLAN intercommunication (RFC1918)
Und diese IP-Adressbereiche ausgehend blockieren.
192.168.0.0 16
172.16.0.0 12
10.0.0.0 8
Damit kann man aus dem WLAN nicht in das LAN.
Schön ist es damit immer noch nicht.
Stefan
wie Spirit schon meint: Nicht schön, geht aber.
Also den Sub-Router mittels NAT mit dem aktuellem Netzwerk verbinden.
Damit kommt Niemand vom LAN in diese WLANs und es wird auch nur 1 LAN IP benötigt.
Diese kann sogar DHCP sein. Ich würde aber eine feste verwenden.
Nun im Sub-Router noch 3 Regel festlegen.
Name = Block VLAN intercommunication (RFC1918)
Und diese IP-Adressbereiche ausgehend blockieren.
192.168.0.0 16
172.16.0.0 12
10.0.0.0 8
Damit kann man aus dem WLAN nicht in das LAN.
Schön ist es damit immer noch nicht.
Stefan
Zur Adaption deines WLAN Gastnetzes an das bestehende LAN auf das du selber keinen Zugriff hast musst du ja zwangsweise einen NAT Router oder Firewall einsetzen.
Das sollte dann eine Hardware sein die ein Gäste Captive Portal als Feature an Bord hat.
Das kann z.B. eine pfSense FW sein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder auch jede beliebige Mikrotik Box mit Router OS an Bord:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Damit ist das dann kinderleicht umsetzbar.
Das sollte dann eine Hardware sein die ein Gäste Captive Portal als Feature an Bord hat.
Das kann z.B. eine pfSense FW sein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder auch jede beliebige Mikrotik Box mit Router OS an Bord:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Damit ist das dann kinderleicht umsetzbar.
Um diesen Punkt nochmal zu verdeutlichen:
Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.
lks
Zitat von @Lochkartenstanzer:
Um diesen Punkt nochmal zu verdeutlichen:
Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.
lks
Um diesen Punkt nochmal zu verdeutlichen:
Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.
lks
Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Zitat von @Spirit-of-Eli:
Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Ich habe da bei Kunden auch schon einigen "auf die Finger hauen" müssen. Ging für die betreffenden Personen noch relativ glimpflich ab.
Waren meist Außendienstmitarbeiter, die auf die schnelle "schnelles Internet für Ihr Handy" wollten, "weil das wichtig ist".
lks
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Zitat von @Bingo61:
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Zitat von @Spirit-of-Eli:
Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Doch, aber dazu muß man sie freetzen.
lks
Keiner kommt auf das interne Netz.
Kein Dummie aber ein pfiffiger Netzwerker schon... 
Ohne ein Captive Portal was zumindest die Mac Adressen cacht, sowas zu betreiben ist russisches Roulette. Wenn einer da KiPo oder anderes strafbares Material hochlädt ist der Anschlussbetreiber strafrechtlich voll verantwortlich. Mit einer popeligen FritzBüx nicht besonders intelligent.
