19
Hotspot im DMZ mit Übergang zum anderen Lan - wie?
Hi
mein Ziel ist es, das ich ein CP (Capitve Portal) einrichte, was selbst im DMZ sitzt. Gibt der User nun über seine Voucher ID den richtigen Mist ein, so sollte er selbstständig in das zweite WLAN Netzwerk "geswitcht" werden.
Grund dafür ist, das ein CP eigentlich recht unsicher ist. Mir gefällt es schon mal grundsätzlich nicht, das der Gast gleich im eigentlichen Gästenetz sitzt und quasi nur über eine Seite gesperrt wird. (wie in eurem Tutorial beschrieben)
Eurer Tutorial zu dem einrichten eines CP habe ich mir schon angeschaut und die notwendige Hardware wird bestellt, sobald ihr meint, dies sei notwenig (pfSense). Allerdings weiß ich nicht genau, wie man mein Vorhaben umsetzen kann.
Wie gesagt, derjenige, der aufs CP zugreift, soll sich eigens im DMZ befinden (einer Sandbox etc.) und erst anschließend in dem eigentlichen Gast-Wlan rumspielen. Aus der CP-DMZ heraus soll auch absolut kein Zugriff ins LAN/Internet etc. erfolgen.
Ich möchte eine "Sandbox" für den Fall des knackens des Hotspot's haben.
Geht sowas überhaupt? Oder ist das eher Wunschdenken.. ? :D
Oder geht das erst ab 1000€ aufwärts? :D
Hab dazu einmal eine Zeichnung. Ist zwar lückenhaft oder vielleicht auch überdemsoniert (1 Router zuviel), aber hat den Grund, das pfSense sicher bekannte Exploids hat, die bei dem Cisco nicht exestieren (können)... und anders herum genauso...
gruß
mein Ziel ist es, das ich ein CP (Capitve Portal) einrichte, was selbst im DMZ sitzt. Gibt der User nun über seine Voucher ID den richtigen Mist ein, so sollte er selbstständig in das zweite WLAN Netzwerk "geswitcht" werden.
Grund dafür ist, das ein CP eigentlich recht unsicher ist. Mir gefällt es schon mal grundsätzlich nicht, das der Gast gleich im eigentlichen Gästenetz sitzt und quasi nur über eine Seite gesperrt wird. (wie in eurem Tutorial beschrieben)
Eurer Tutorial zu dem einrichten eines CP habe ich mir schon angeschaut und die notwendige Hardware wird bestellt, sobald ihr meint, dies sei notwenig (pfSense). Allerdings weiß ich nicht genau, wie man mein Vorhaben umsetzen kann.
Wie gesagt, derjenige, der aufs CP zugreift, soll sich eigens im DMZ befinden (einer Sandbox etc.) und erst anschließend in dem eigentlichen Gast-Wlan rumspielen. Aus der CP-DMZ heraus soll auch absolut kein Zugriff ins LAN/Internet etc. erfolgen.
Ich möchte eine "Sandbox" für den Fall des knackens des Hotspot's haben.
Geht sowas überhaupt? Oder ist das eher Wunschdenken.. ? :D
Oder geht das erst ab 1000€ aufwärts? :D
Hab dazu einmal eine Zeichnung. Ist zwar lückenhaft oder vielleicht auch überdemsoniert (1 Router zuviel), aber hat den Grund, das pfSense sicher bekannte Exploids hat, die bei dem Cisco nicht exestieren (können)... und anders herum genauso...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 225787
Url: https://administrator.de/contentid/225787
Printed on: April 16, 2024 at 18:04 o'clock
19 Comments
Latest comment
Eine Sandbox-Lösung ist eher sinnlos, denn sobald das Captive Portal geknackt ist, egal ob es in einer Sandbox sitzt oder nicht, muss ja dem Router vor Ort mitteilen, dass der WLAN-User ins Netz darf. Sobald ich also dem Captive Portal irgendwie klarmachen kann, dass ich authentifiziert bin, egal ob legitim oder nicht, bekomm ich Zugang.
Bei allen Captive Portal-Systemen läuft die die Sache auf dem Router, der die Verbindung zum Internet herstellt, ansonsten könnte man wirklich Umwege finden. Selbst die Telekom lässt es so laufen. Nur dass die Benutzer nicht lokal auf dem Hotspot-Gateway liegen sondern in einem RADIUS-Server.
Wenn du grundsätzlich sichergehen willst, leg dir einen zweiten Internetanschluss zu und trenne Hotspot von internem Netz, dann kann es keinen Übersprung geben. Desweiteren musst du dafür sorgen, dass die Anmeldung per HTTPS abläuft, damit keiner die Zugangsdaten mitsniffen kann.
Bei allen Captive Portal-Systemen läuft die die Sache auf dem Router, der die Verbindung zum Internet herstellt, ansonsten könnte man wirklich Umwege finden. Selbst die Telekom lässt es so laufen. Nur dass die Benutzer nicht lokal auf dem Hotspot-Gateway liegen sondern in einem RADIUS-Server.
Wenn du grundsätzlich sichergehen willst, leg dir einen zweiten Internetanschluss zu und trenne Hotspot von internem Netz, dann kann es keinen Übersprung geben. Desweiteren musst du dafür sorgen, dass die Anmeldung per HTTPS abläuft, damit keiner die Zugangsdaten mitsniffen kann.
1
Prinzipiell ist so etwas möglich.
Die Switche können mittels VLANs die Benutzer ja beliebig umschwenken.
Der Start passiert in einem no-go VLAN.
Nach erfolgreicher Authorisierung geht es ins GAST-WLAN und Gast-VLAN und von dort ins Internet.
Solche Dinge kann man mittels SNMP realisieren. Switch-Skripte wären auch denkbar.
Wenn man den User nicht vorher identifizieren oder mit einer Datenbank vergleichen muss, dann ist das relativ einfach realisierbar. Fertige Lösungen gibt es, wobei fertig das Konzept und die Technik meinen. Implementierung und Automatisierung sind weitere Kostenfaktoren.
Gruß
Netman
Die Switche können mittels VLANs die Benutzer ja beliebig umschwenken.
Der Start passiert in einem no-go VLAN.
Nach erfolgreicher Authorisierung geht es ins GAST-WLAN und Gast-VLAN und von dort ins Internet.
Solche Dinge kann man mittels SNMP realisieren. Switch-Skripte wären auch denkbar.
Wenn man den User nicht vorher identifizieren oder mit einer Datenbank vergleichen muss, dann ist das relativ einfach realisierbar. Fertige Lösungen gibt es, wobei fertig das Konzept und die Technik meinen. Implementierung und Automatisierung sind weitere Kostenfaktoren.
Gruß
Netman
Bei 802.1X kann man sowas machen, bloß die Authentifizierung bei einem Captive Portal läuft ja über die Firewall, da klappt ein VLAN-Wechsel nicht.
Bedenke noch folgende Sachen:
Da es sich um ein WLAN handelt, muss der Schwenk am AP und nicht am Switch passieren, dazu benötigst du einen AP, der sowas kann. Wenn du das ganze per Switch realisierst, müsstest du für jeden eingeloggten Client einen eigenen AP oder zumindest eine eigene SSID haben, die auf einem eigenen Hardwareport aus dem AP herauskommt. Da APs maximal 16 SSIDs können, benötigst du einen AP mit 16 Ports.
Wie verfolgst du, welcher Client wo ist? Sobald der Client den AP wechselt, fliegt er aus dem Netz, also kein Roaming möglich, das Netz ist in der Größe auf einen AP beschränkt.
Der AP wechselt jetzt das VLAN, wie machst du das mit der IP-Adressierung? Es wird kein DHCP-Renew angesteuert, wenn im Hintergrund das VLAN gewechselt wird, das funktioniert nur bei 802.1X, weil der Client mitbekommt, dass sich was ändert.
Wie regelst du das mit einem Timeout, also einem Autologout bei Inaktivität? Irgendwie muss ja eine Information weitergegeben werden, dass der Client nicht mehr aktiv ist oder sich getrennt hat, die bekannten Captive-Portal-Lösungen machen das ja anhand eines Accountings mit IP-Adresse, MAC-Vergleich und evtl. anderen Merkmalen.
Bedenke noch folgende Sachen:
Da es sich um ein WLAN handelt, muss der Schwenk am AP und nicht am Switch passieren, dazu benötigst du einen AP, der sowas kann. Wenn du das ganze per Switch realisierst, müsstest du für jeden eingeloggten Client einen eigenen AP oder zumindest eine eigene SSID haben, die auf einem eigenen Hardwareport aus dem AP herauskommt. Da APs maximal 16 SSIDs können, benötigst du einen AP mit 16 Ports.
Wie verfolgst du, welcher Client wo ist? Sobald der Client den AP wechselt, fliegt er aus dem Netz, also kein Roaming möglich, das Netz ist in der Größe auf einen AP beschränkt.
Der AP wechselt jetzt das VLAN, wie machst du das mit der IP-Adressierung? Es wird kein DHCP-Renew angesteuert, wenn im Hintergrund das VLAN gewechselt wird, das funktioniert nur bei 802.1X, weil der Client mitbekommt, dass sich was ändert.
Wie regelst du das mit einem Timeout, also einem Autologout bei Inaktivität? Irgendwie muss ja eine Information weitergegeben werden, dass der Client nicht mehr aktiv ist oder sich getrennt hat, die bekannten Captive-Portal-Lösungen machen das ja anhand eines Accountings mit IP-Adresse, MAC-Vergleich und evtl. anderen Merkmalen.
1
Zitat von @tikayevent:
Eine Sandbox-Lösung ist eher sinnlos, denn sobald das Captive Portal geknackt ist, egal ob es in einer Sandbox sitzt oder
nicht, muss ja dem Router vor Ort mitteilen, dass der WLAN-User ins Netz darf. Sobald ich also dem Captive Portal irgendwie
klarmachen kann, dass ich authentifiziert bin, egal ob legitim oder nicht, bekomm ich Zugang.
Eine Sandbox-Lösung ist eher sinnlos, denn sobald das Captive Portal geknackt ist, egal ob es in einer Sandbox sitzt oder
nicht, muss ja dem Router vor Ort mitteilen, dass der WLAN-User ins Netz darf. Sobald ich also dem Captive Portal irgendwie
klarmachen kann, dass ich authentifiziert bin, egal ob legitim oder nicht, bekomm ich Zugang.
Irgendwie seh ich, das mein Vorhaben zwar nicht schlecht ist, aber du 100Pro recht hast
Dementsprechend ist's ja wurscht, wie ich's mach, wer rein will kommt rein...
Ich will's halt nur vermeiden, das selbst nen dummes Skriptkiddie es schafft, sich Zugang zu meinem Netz zu verschaffen.. Quasi per "one-Click"-Apps...
Bei allen Captive Portal-Systemen läuft die die Sache auf dem Router, der die Verbindung zum Internet herstellt, ansonsten
könnte man wirklich Umwege finden. Selbst die Telekom lässt es so laufen. Nur dass die Benutzer nicht lokal auf dem
Hotspot-Gateway liegen sondern in einem RADIUS-Server.
Wenn du grundsätzlich sichergehen willst, leg dir einen zweiten Internetanschluss zu und trenne Hotspot von internem Netz,
dann kann es keinen Übersprung geben. Desweiteren musst du dafür sorgen, dass die Anmeldung per HTTPS abläuft,
damit keiner die Zugangsdaten mitsniffen kann.
Zumal ich auch nicht's gewonnen hätte, weil der Anschluss auf meinem Namen läuft. Baut der also auf der 2.ten Leitung in der USA mist, steh trotzdem ich gerade dafür ;)
Ich würd ansonsten beim dem Cisco DMZ ein Privat-Wlan draus machen
und bei dem PFsense das Gast-Zeugs.
Damit wird's jedenfalls schon mal für den halbstarken unmöglich, vom gast-gedöns ins Privat zu kommen.
Was halt auf der Strecke bleibt ist die Internetseite.
Oder gibt's noch ne möglichkeit, das etwas weiter abzuschotten?
Wie gesagt, mir geht's dabei nicht um die Profis. Wer rein will, kommt rein. Mir geht's nur um die gelegenheits vögel. die will ich ausgrenzen.
danke euch
Und noch ein kleiner Hinweis am Rand:
Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen kann es auch sein, dass nie wieder ein Update kommt.
Bei pfSense kann man im Notfall noch selbst tätig werden, die Quelltexte sind ja frei verfügbar.
Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen kann es auch sein, dass nie wieder ein Update kommt.
Bei pfSense kann man im Notfall noch selbst tätig werden, die Quelltexte sind ja frei verfügbar.
1
Denn die kleinen Cisco Kisten sind ja jetzt Belkin wie jeder weiss (Linksys).
Du gehst auch auch von einen gehörigen Denkfehler aus ! Das Gästenetz ist nicht einfach nur so durch die CP Seite geschützt sondern zusätzlich noch durch ein stateful Firewall Regelset was im Gäste Segment ganz genau regelt was Gäste dürfen und was nicht.
Das Segment ist vollkommen getrennt von den anderen Segmenten und hat darauf auch keinen Zugang sofern du das nicht explizit erlaubst.
Wer rein will kommt rein ist auch Blödsinn jedenfalls wenn du mit Einmalpasswörtern arbeitest. Dann kommt nur rein wer auch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
OK wenn du das CP knackst dann ja aber dann musst du im Umkehrschluss auch Geldautomaten verbieten, denn wenn du die knackst...du siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Der Knackpunkt sind eher die schwachsinnigen DMZ in den Billigroutern die gar keine DMZ sind sondern nur eine dumme Port Forwarding Regel. Da solltest du also eher ansetzen....wenn dann !
Aber auch wenn du 2 Firewalls kaskadierst um eine "richtige" DMZ zu schaffen ist das doppelt gemoppelter Unsinn, denn dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Du kannst ja wenn du willst noch mit VLANs sprich VLAN Interfaces arbeiten um das WLAN auch noch vom Privaten zu trennen.
Aber alles eigentlich nur Overkill. Die Gelegenheitsvögel hast du schon durchs CP und den Einmal Passwort Zugang locker ausgegrenzt.
Wo ist also das wirkliche Problem hier...?! Bestell die HW, mach dein Ding und gut iss !
Du gehst auch auch von einen gehörigen Denkfehler aus ! Das Gästenetz ist nicht einfach nur so durch die CP Seite geschützt sondern zusätzlich noch durch ein stateful Firewall Regelset was im Gäste Segment ganz genau regelt was Gäste dürfen und was nicht.
Das Segment ist vollkommen getrennt von den anderen Segmenten und hat darauf auch keinen Zugang sofern du das nicht explizit erlaubst.
Wer rein will kommt rein ist auch Blödsinn jedenfalls wenn du mit Einmalpasswörtern arbeitest. Dann kommt nur rein wer auch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
OK wenn du das CP knackst dann ja aber dann musst du im Umkehrschluss auch Geldautomaten verbieten, denn wenn du die knackst...du siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Der Knackpunkt sind eher die schwachsinnigen DMZ in den Billigroutern die gar keine DMZ sind sondern nur eine dumme Port Forwarding Regel. Da solltest du also eher ansetzen....wenn dann !
Aber auch wenn du 2 Firewalls kaskadierst um eine "richtige" DMZ zu schaffen ist das doppelt gemoppelter Unsinn, denn dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Du kannst ja wenn du willst noch mit VLANs sprich VLAN Interfaces arbeiten um das WLAN auch noch vom Privaten zu trennen.
Aber alles eigentlich nur Overkill. Die Gelegenheitsvögel hast du schon durchs CP und den Einmal Passwort Zugang locker ausgegrenzt.
Wo ist also das wirkliche Problem hier...?! Bestell die HW, mach dein Ding und gut iss !
1
Denk ich net. Den Router gib's nirgendswo bei Linksys zu finden.
Deshalb hab ich schon extra nach den kleinsten Kisten großer Modellserien geschaut.
Für das Geld dieses Routers bekomm ich aber von anderen Herstellern das doppelte an Gegenwert, halt nur auf Mainstream-Basis und eher weniger auf korrekte IT..
Wenn das schon dort (!!) steht, scheint's wohl alle mal kein "IT-Fachleut-geheimnis" mehr zu sein.
Sry, sehr hilfreich ist das nicht wirklich von dir. Ich werde auf diese Sache mit der Doppelten FW in Zukunft auch nicht mehr eingehen, sondern eher dem Beispiel meiner Firma folgen. Nicht umsonst ist dort der Astaro noch eine weitere vom anderen gleich großen Hersteller vorgeschaltet, wo wirklich Werte im Millionenbereich geschützt werden müssen.
Ich jedenfalls nicht, obendrauf hab ich mich vor 10 Jahren mal wenns hochkommt 10 std mit C++ beschäftigt. Auf deutsch: Ich kann gar nichts, was das Programmieren angeht und von daher bin ich auf andere angewiesen. Außerdem muss mir der Exploid erst mal selbst (!) auffallen...
Dennoch möchte ich noch auf die von aqui und dir erwähnte Sache eingehen und eine Frage stellen:
Der bei diesem Cisco Router existierende DMZ Port, ist das ein "echter" oder eher nur ein "dahin gepfuschter"?
zur info: er hat hinten 4 LAN Ports, 1 WAN und 1 WAN/DMZ Port.
Schaut euch die Kiste einmal an, bevor ich da mir schrott kaufen würde... :D
Und @ tikayevent, würde es also Sinn machen, die beiden aus deim Genannten Grund zu tauschen? PFsense fürs Privat und Cisco (klein) für das Gastgedöns?
Deshalb hab ich schon extra nach den kleinsten Kisten großer Modellserien geschaut.
Für das Geld dieses Routers bekomm ich aber von anderen Herstellern das doppelte an Gegenwert, halt nur auf Mainstream-Basis und eher weniger auf korrekte IT..
Wer rein will kommt rein ist auch Blödsinn jedenfalls wenn du mit Einmalpasswörtern arbeitest. Dann kommt nur rein wer
auch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
Schau mal dort unter dem Punkt "Einschränkungen": http://de.wikipedia.org/wiki/Captive_Portalauch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
Wenn das schon dort (!!) steht, scheint's wohl alle mal kein "IT-Fachleut-geheimnis" mehr zu sein.
OK wenn du das CP knackst dann ja aber dann musst du im Umkehrschluss auch Geldautomaten verbieten, denn wenn du die knackst...du
siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Schlechter Vergleich. Ich kenn welche, die sind schneller durch die Firewall als jemals einer an dem Inhalt eines Geldautomaten kommen wird. Die Zeiten mit dem Schneidbrenner sind mit den alten Hollywood-Streifen gestorben ;)siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Aber auch wenn du 2 Firewalls kaskadierst um eine "richtige" DMZ zu schaffen ist das doppelt gemoppelter Unsinn, denn
dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Anscheinend hast du noch nie was von Exploids gehört...dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Sry, sehr hilfreich ist das nicht wirklich von dir. Ich werde auf diese Sache mit der Doppelten FW in Zukunft auch nicht mehr eingehen, sondern eher dem Beispiel meiner Firma folgen. Nicht umsonst ist dort der Astaro noch eine weitere vom anderen gleich großen Hersteller vorgeschaltet, wo wirklich Werte im Millionenbereich geschützt werden müssen.
Zitat von @tikayevent:
Und noch ein kleiner Hinweis am Rand:
Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen
Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen
kann es auch sein, dass nie wieder ein Update kommt.
Magst vielleicht recht haben. traurige Realität, jedoch wohl immer noch besser, als eine Fritzbox, Belkin, Linksys-gerät mit 100 Sharing-Diensten wie UpnP etc., die keine Sau braucht und nur die Hälfte an möglichkeiten einer vernüftigen Firewall mit sich trägt.Und noch ein kleiner Hinweis am Rand:
Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen
Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen
kann es auch sein, dass nie wieder ein Update kommt.
Bei pfSense kann man im Notfall noch selbst tätig werden, die Quelltexte sind ja frei verfügbar.
Frage an dich: Würdest du es machen?Ich jedenfalls nicht, obendrauf hab ich mich vor 10 Jahren mal wenns hochkommt 10 std mit C++ beschäftigt. Auf deutsch: Ich kann gar nichts, was das Programmieren angeht und von daher bin ich auf andere angewiesen. Außerdem muss mir der Exploid erst mal selbst (!) auffallen...
Dennoch möchte ich noch auf die von aqui und dir erwähnte Sache eingehen und eine Frage stellen:
Der bei diesem Cisco Router existierende DMZ Port, ist das ein "echter" oder eher nur ein "dahin gepfuschter"?
zur info: er hat hinten 4 LAN Ports, 1 WAN und 1 WAN/DMZ Port.
Schaut euch die Kiste einmal an, bevor ich da mir schrott kaufen würde... :D
Und @ tikayevent, würde es also Sinn machen, die beiden aus deim Genannten Grund zu tauschen? PFsense fürs Privat und Cisco (klein) für das Gastgedöns?
Ich würde die Sache mit der DMZ auf der Cisco-Kiste sein lassen, die scheint mir sehr komisch zu sein, ich habs mir gerade im Online Simulator der Kiste angeschaut, so ganz schlau werd ich daraus nicht.
Da du ja scheinbar am pfSense festhalten willst und für die Captive Portal-Sache eh drei Netzwerkschnittstellen brauchst (WAN, LAN, Captive Portal), würde ich das ganz einfach so regeln:
pfSense mit dem WAN direkt am Internet, am LAN hängt dann dein Cisco-Router und am Interface fürs Capitve Portal halt dein GästeWLAN. Damit würde ein Einbrecher den Cisco nur von außen sehen und müsste dann noch am Cisco vorbei.
Das mit dem "Exploit auffallen" kann sehr schnell passieren, zumindest bei Geschäftskunden. Wenn dann nämlich die E-Mail von abuse@provider.de kommt mit nem Satz Logfiles hinten dran.
Im Notfall selbst programmieren: ja! Wenns keine andere Möglichkeit gibt, muss ich das in Kauf nehmen. Bei uns gilt "Es muss laufen, egal wie". Das 99% der Sachen, die ich nutze, sind kommerzielle Produkte, weil einfach nicht die Zeit dafür da ist, bei den Sachen, wo kommerzielle Produkte zu teuer sind, muss dann Open Source herhalten und das Pflege ich dann auch irgendwie.
Aqui hat sich etwas unglücklich ausgedrückt. Linksys gehört jetzt zu Belkin, das ist richtig, der Router, den du da im Auge hast, stammt auch aus der Linksysschiene, aber von dem Teil, der bei Cisco geblieben ist, denn Cisco hat nur den Heimuserbereich an Belkin abgetreten. Sprich die Kiste, die du im Auge hast, hat eigentlich nur den Namen mit den professionellen Ciscogeräten gemeinsam, der Rest ist Linksys.
Da du ja scheinbar am pfSense festhalten willst und für die Captive Portal-Sache eh drei Netzwerkschnittstellen brauchst (WAN, LAN, Captive Portal), würde ich das ganz einfach so regeln:
pfSense mit dem WAN direkt am Internet, am LAN hängt dann dein Cisco-Router und am Interface fürs Capitve Portal halt dein GästeWLAN. Damit würde ein Einbrecher den Cisco nur von außen sehen und müsste dann noch am Cisco vorbei.
Das mit dem "Exploit auffallen" kann sehr schnell passieren, zumindest bei Geschäftskunden. Wenn dann nämlich die E-Mail von abuse@provider.de kommt mit nem Satz Logfiles hinten dran.
Im Notfall selbst programmieren: ja! Wenns keine andere Möglichkeit gibt, muss ich das in Kauf nehmen. Bei uns gilt "Es muss laufen, egal wie". Das 99% der Sachen, die ich nutze, sind kommerzielle Produkte, weil einfach nicht die Zeit dafür da ist, bei den Sachen, wo kommerzielle Produkte zu teuer sind, muss dann Open Source herhalten und das Pflege ich dann auch irgendwie.
Aqui hat sich etwas unglücklich ausgedrückt. Linksys gehört jetzt zu Belkin, das ist richtig, der Router, den du da im Auge hast, stammt auch aus der Linksysschiene, aber von dem Teil, der bei Cisco geblieben ist, denn Cisco hat nur den Heimuserbereich an Belkin abgetreten. Sprich die Kiste, die du im Auge hast, hat eigentlich nur den Namen mit den professionellen Ciscogeräten gemeinsam, der Rest ist Linksys.
1Zitat von @tikayevent:
Ich würde die Sache mit der DMZ auf der Cisco-Kiste sein lassen, die scheint mir sehr komisch zu sein, ich habs mir gerade im
Online Simulator der Kiste angeschaut, so ganz schlau werd ich daraus nicht.
was käme denn alternativ in frage?Ich würde die Sache mit der DMZ auf der Cisco-Kiste sein lassen, die scheint mir sehr komisch zu sein, ich habs mir gerade im
Online Simulator der Kiste angeschaut, so ganz schlau werd ich daraus nicht.
Der Cisco ASA 5505 ist eher etwas dafür? (Obwohl ich glaube, für meine Anwendung leicht "zuviel" des guten. Und auch sicher net leicht einzustellen....)
Da du ja scheinbar am pfSense festhalten willst und für die Captive Portal-Sache eh drei Netzwerkschnittstellen brauchst
Bin da offen für jede andere Lösung, die mir das gleiche (FW und CP mit DMZ) bietet.
Warum willst du unbedingt an der DMZ festhalten? Betreibst du einen Server zuhause? Wenn ja, DMZ gut, ansonsten DMZ unnötig.
Eine DMZ ist dazu da, um Systeme, die von öffentlichen Netzwerken, also dem Internet erreichbar sein sollen, wie Webserver, Mailserver, ..., ohne das interne Netzwerk zu gefährden. Du willst zwei interne Netzwerke voneinander abtrennen, dafür braucht man keine DMZ.
Wichtig ist halt nur, dass man mittels Paketfilter (der gemeine Mensch sagt Firewall) beide Netze von einander trennt. In der Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.
Bei pfSense lässt sich diese Sache ganz einfach mit dem Paketfilter umsetzen. Das Captive Portal muss auf eine extra Schnittstelle, egal ob Hardware oder per VLAN, es darf nur nicht die LAN-Schnittstelle sein, dann im Paketfilter hinterlegen, dass der Zugriff vom Captive-Portal-Netz auf das LAN-Netz verboten, der Zugriff vom Captive-Portal-Netz aufs WAN erlaubt ist und schon ist Ruhe, kein Zugriff mehr aufs LAN möglich.
So, jetzt mal Klartext: Wenn du zuviele Bedenken gegenüber einem GästeWLAN mit Captive Portal hast, lass es sein. Eine Alternative wäre die Nutzung von 802.1X, bloß dann musst du jedem Benutzer erstmal ne Schulung verpassen.
Eine DMZ ist dazu da, um Systeme, die von öffentlichen Netzwerken, also dem Internet erreichbar sein sollen, wie Webserver, Mailserver, ..., ohne das interne Netzwerk zu gefährden. Du willst zwei interne Netzwerke voneinander abtrennen, dafür braucht man keine DMZ.
Wichtig ist halt nur, dass man mittels Paketfilter (der gemeine Mensch sagt Firewall) beide Netze von einander trennt. In der Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.
Bei pfSense lässt sich diese Sache ganz einfach mit dem Paketfilter umsetzen. Das Captive Portal muss auf eine extra Schnittstelle, egal ob Hardware oder per VLAN, es darf nur nicht die LAN-Schnittstelle sein, dann im Paketfilter hinterlegen, dass der Zugriff vom Captive-Portal-Netz auf das LAN-Netz verboten, der Zugriff vom Captive-Portal-Netz aufs WAN erlaubt ist und schon ist Ruhe, kein Zugriff mehr aufs LAN möglich.
So, jetzt mal Klartext: Wenn du zuviele Bedenken gegenüber einem GästeWLAN mit Captive Portal hast, lass es sein. Eine Alternative wäre die Nutzung von 802.1X, bloß dann musst du jedem Benutzer erstmal ne Schulung verpassen.
1Zitat von @tikayevent:
Warum willst du unbedingt an der DMZ festhalten? Betreibst du einen Server zuhause? Wenn ja, DMZ gut, ansonsten DMZ unnötig.
Ja, dort ist ein Server. Dieser muss allerdings nur zu Updatezwecken nach draußen telefonieren. Der zweite dagegen darf überhaupt kein Zugriff aufs Internet haben.Warum willst du unbedingt an der DMZ festhalten? Betreibst du einen Server zuhause? Wenn ja, DMZ gut, ansonsten DMZ unnötig.
Und genau darauf soll halt der Gast nie nen Zugriff bekommen.
Eine DMZ ist dazu da, um Systeme, die von öffentlichen Netzwerken, also dem Internet erreichbar sein sollen, wie Webserver,
Mailserver, ..., ohne das interne Netzwerk zu gefährden. Du willst zwei interne Netzwerke voneinander abtrennen, dafür
braucht man keine DMZ.
Wichtig ist halt nur, dass man mittels Paketfilter (der gemeine Mensch sagt Firewall) beide Netze von einander trennt. In der
Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen
zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.
Ja, nachdem ich über den Sinn des Knackens der CP aufgeklärt wurde, ist das nun auch mein Ziel, halt nur mit 2 unterschiedliche firewall.Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen
zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.
Bleibt halt als letztes nur noch die Frage von einer Antwort vorher offen und ich bin glücklich
Welche zweite Firewall (die net open-Surce ist)?
Welche zweite Firewall (die net open-Surce ist)?
Da bleibt nicht mehr viel übrig 
Ich denke mal eher, du meinst ein kommerzielles "Blackbox"-Produkt. Viele nutzen halt OpenSource-Komponenten.
Da jetzt noch die Server dazugekommen sind, sind wieder ein paar Fragen aufgetaucht, die man vorher klären sollte. Denn im Originalbeitrag war von den Servern nämlich gar keine Rede und deine letzte Aussage ist auch stark interpretierbar.
Der erste Server, der "raustelefonieren" darf, wird der von außen erreichbar sein oder darf der einfach nur wie ein normaler Client auf das Internet zugreifen?
Der zweite Server, der "nicht raustelefonieren" darf, ist der einfach nur von außerhalb nicht erreichbar oder darf der keinen Internetzugang bekommen?
Für beide Zwecke braucht man ein System mit einem ordentlichen Paketfilter.
Ich kann leider die Cisco/Linksys-Kiste nicht brauchbar einschätzen, da dieser Webinterface-Simulator keine brauchbaren Inhaltsdaten hat und sobald ich etwas ändern will, bekomm ich einen HTTP404, also kann ich da nichts erkennen.
Ich kann jetzt nur von den kommerziellen Produkten aus urteilen, mit denen ich am meisten zu tun habe, das sind Bintec (bis zum 31.12.13 noch Teldat und davor Funkwerk und davor auch Bintec) und LANCOM. Bei beiden Herstellern findest du Geräte, die sowas problemlos abdecken, wobei ich hier eher zu LANCOM tendieren würde, weil die Firewall mit der Objektorientierung um einiges angenehmer zu handhaben ist. Hier kannst du bis zu 16 Netze aufbauen, wobei bei dir drei, eventuell auch vier, reichen würden.
LANCOM hat auch den Vorteil, dass hier bis auf ich glaube eine Bibliothek gar kein OpenSource drin ist. Nagel mich aber nicht darauf fest, können auch zwei Bibliotheken sein.
1Zitat von @tikayevent:
Der erste Server, der "raustelefonieren" darf, wird der von außen erreichbar sein oder darf der einfach nur wie
ein normaler Client auf das Internet zugreifen?
Nen Client. Halt Updates für die Software, mail (nur senden) und son mist. Halt wie ein normaler Rechner. Aber Zugriff von außen darf bei beiden defentiv nicht der fall sein.Der erste Server, der "raustelefonieren" darf, wird der von außen erreichbar sein oder darf der einfach nur wie
ein normaler Client auf das Internet zugreifen?
Der zweite Server, der "nicht raustelefonieren" darf, ist der einfach nur von außerhalb nicht erreichbar oder darf
der keinen Internetzugang bekommen?
Der sollte (darf nur) nen reiner Lokaler Server sein, dem ich nur zwecks Updates per Hand die Firewall öffnen/schließen muss. Dieser hat auch nichts im Gast-Gedöns verloren...der keinen Internetzugang bekommen?
Für beide Zwecke braucht man ein System mit einem ordentlichen Paketfilter.
Ich kann leider die Cisco/Linksys-Kiste nicht brauchbar einschätzen, da dieser Webinterface-Simulator keine brauchbaren
Inhaltsdaten hat und sobald ich etwas ändern will, bekomm ich einen HTTP404, also kann ich da nichts erkennen.
LANCOM hat auch den Vorteil, dass hier bis auf ich glaube eine Bibliothek gar kein OpenSource drin ist. Nagel mich aber nicht
darauf fest, können auch zwei Bibliotheken sein.
Vielleicht kannst da schon etwas konkreter werden... Modell usw.??darauf fest, können auch zwei Bibliotheken sein.
Bei dir kommt nur die 1781-Reihe in Frage, leider weiß ich nicht, welchen Internetanschluss du hast, ob WLAN im Router enthalten sein soll, ...
Das einfachste Modell wäre der 1781EF+, kein eingebautes WLAN, kein eingebautes Modem, dafür ein Ethernet-LAN-Port und ein SFP-Port, mit einem ADSL2+-Modem ohne WLAN wäre es der 1781A, für ein VDSL-Modem ohne WLAN der 1781VA, wenn du ADSL2+ und WLAN haben willst, wäre es der 1781AW, ohne Modem mit WLAN der 1781EW, VDSL-Modem mit WLAN 1781VAW.
Du brauchst das Gerät aber bei einem Wechsel des Internetanschlusses nicht wegwerfen, du definierst einfach einen der LAN-Ports als WAN-Port und weiter gehts.
Meine Empfehlung wäre aber der 1781EF+, da dieser die aktuellste Hardwareplattform hat (Hardware-NAT integriert) und er verfügt über insgesamt 6 frei konfigurierbaren Ethernetports, sprich für den Fall, dass irgendwann mal Portmangel herrscht und du nicht auf VLANs setzen willst, kannst du noch den SFP-Port dazu nehmen. Alle anderen Geräte verfügen nur über 4 LAN-Ports (freikonfigurierbar) und einen WAN-Port/ein Modem. Durch das fehlende Modem ist es auch noch das günstigste Gerät dieser Gerätereihe.
Das einfachste Modell wäre der 1781EF+, kein eingebautes WLAN, kein eingebautes Modem, dafür ein Ethernet-LAN-Port und ein SFP-Port, mit einem ADSL2+-Modem ohne WLAN wäre es der 1781A, für ein VDSL-Modem ohne WLAN der 1781VA, wenn du ADSL2+ und WLAN haben willst, wäre es der 1781AW, ohne Modem mit WLAN der 1781EW, VDSL-Modem mit WLAN 1781VAW.
Du brauchst das Gerät aber bei einem Wechsel des Internetanschlusses nicht wegwerfen, du definierst einfach einen der LAN-Ports als WAN-Port und weiter gehts.
Meine Empfehlung wäre aber der 1781EF+, da dieser die aktuellste Hardwareplattform hat (Hardware-NAT integriert) und er verfügt über insgesamt 6 frei konfigurierbaren Ethernetports, sprich für den Fall, dass irgendwann mal Portmangel herrscht und du nicht auf VLANs setzen willst, kannst du noch den SFP-Port dazu nehmen. Alle anderen Geräte verfügen nur über 4 LAN-Ports (freikonfigurierbar) und einen WAN-Port/ein Modem. Durch das fehlende Modem ist es auch noch das günstigste Gerät dieser Gerätereihe.
1
Wenn dir 4 physikalische Ports reichen wäre auch ein "richtiger" Cisco (kein Linksys) eine Alternative, der deckt das auch ab:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Zusätzlich kannst du natürlich noch 4096 VLAN Ports definieren.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Zusätzlich kannst du natürlich noch 4096 VLAN Ports definieren.
Zitat von @tikayevent:
Bei dir kommt nur die 1781-Reihe in Frage, leider weiß ich nicht, welchen Internetanschluss du hast, ob WLAN im Router
enthalten sein soll, ...
ADSL. Wlan im Router wäre toll, sonst müsste halt nen extra AP her.. fraglich halt, was günstiger ist...Bei dir kommt nur die 1781-Reihe in Frage, leider weiß ich nicht, welchen Internetanschluss du hast, ob WLAN im Router
enthalten sein soll, ...
Das einfachste Modell wäre der 1781EF+, kein eingebautes WLAN, kein eingebautes Modem, dafür ein Ethernet-LAN-Port und
ein SFP-Port, mit einem ADSL2+-Modem ohne WLAN wäre es der 1781A, für ein VDSL-Modem ohne WLAN der 1781VA, wenn du
ADSL2+ und WLAN haben willst, wäre es der 1781AW, ohne Modem mit WLAN der 1781EW, VDSL-Modem mit WLAN 1781VAW.
Dummerweise hat der EW nicht die große Transferrate.. daher ich den Lokalen Server an einem extra Port hängen wollte und auf diesem auch ein NAS läuft. Und so 8GB drücken sich halt net "leicht" durch's netz...
Daher die Dinger sehr teuer sind, müsste ich die PFsense geschichte vergessen und mich auf einen Router degradieren..
Müsste von dir wissen, ob die Option "Puplic-Spot" einmalig gekauft werden müsste oder so wie das Content Filter-Zeugs im abonnement?
Letzteres wäre für mich halt nicht machbar und würde halt die LanCom's aus'm rennen kicken und ich müsste erst mal einen Privaten Cisco-Konfig Kurs machen... (wer sich den ### bei Cisco ausgedacht hat??.. Iptables kann ich ja, aber dabei kapituliere ich...)
Der va ist ohne WLAN der vaw hat WLAN onboard (w = WLAN)
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !
pfSense supportet auf dem ALIX Board auch VLANs !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Außer den 3 physischen Ports kannst du dir mit einem billigen VLAN Switch noch weiter so viele Netzwerk Ports einrichten wie du benötigst.
Die pfSense ist einen "richtige" stateful Firewall, stellt dir als einen "wirkliche" DMZ zur Verfügung wenn du sie denn unbedingt brauchst ?!
Wo bitte ist denn nun dein wirkliches Problem ??
Beide Router oben supporten keinen wirklichen Hotspot Betrieb mit Einmalpasswörtern für die User.
Zu den unprofessionellen Aussagen über die Cisco Konfig wollen wir uns hier mal in einem Administrator Forum nicht weiter äußern...ohne Worte !
Am besten kaufst du dir eine fertige Zyxel Lösung mit kleinem Druckerchen zum Zettel abreissen für die Voucherchens mit fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !
pfSense supportet auf dem ALIX Board auch VLANs !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Außer den 3 physischen Ports kannst du dir mit einem billigen VLAN Switch noch weiter so viele Netzwerk Ports einrichten wie du benötigst.
Die pfSense ist einen "richtige" stateful Firewall, stellt dir als einen "wirkliche" DMZ zur Verfügung wenn du sie denn unbedingt brauchst ?!
Wo bitte ist denn nun dein wirkliches Problem ??
Beide Router oben supporten keinen wirklichen Hotspot Betrieb mit Einmalpasswörtern für die User.
Zu den unprofessionellen Aussagen über die Cisco Konfig wollen wir uns hier mal in einem Administrator Forum nicht weiter äußern...ohne Worte !
Am besten kaufst du dir eine fertige Zyxel Lösung mit kleinem Druckerchen zum Zettel abreissen für die Voucherchens mit fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
2
Nur der Contentfilter ist mit Lizenzablauf, alles andere wird einmal lizensiert und funktioniert dann ein Leben lang.
Warum willst du den lokalen Server an einen extra Port hängen? Deiner Aussage nach sind das alles Clients im internen Netzwerk, die nicht von außerhalb erreicht werden sollen. In der LANCOM-Firewall hast du sogar verschiedene Möglichkeiten, den Server, der gar nicht ins Internet darf, vom Internet zu trennen.
Das WLAN im LANCOM kannst du nicht mit irgendeinem 0815-WLAN-Router vergleichen. Es gibt die Möglichkeit, den Router an einen WLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...
Die Router waren nur ein Vorschlag, du musst dich ja nicht dran halten und jeder hat seine Präferenzen.
Warum willst du den lokalen Server an einen extra Port hängen? Deiner Aussage nach sind das alles Clients im internen Netzwerk, die nicht von außerhalb erreicht werden sollen. In der LANCOM-Firewall hast du sogar verschiedene Möglichkeiten, den Server, der gar nicht ins Internet darf, vom Internet zu trennen.
Das WLAN im LANCOM kannst du nicht mit irgendeinem 0815-WLAN-Router vergleichen. Es gibt die Möglichkeit, den Router an einen WLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...
Die Router waren nur ein Vorschlag, du musst dich ja nicht dran halten und jeder hat seine Präferenzen.
1Zitat von @aqui:
Der va ist ohne WLAN der vaw hat WLAN onboard (w = WLAN)
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !
Er klär mir mal, wieso das Blödsinn ist?Der va ist ohne WLAN der vaw hat WLAN onboard (w = WLAN)
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !
Hab leider keine 20k für Firewall's über. Die knappen 680 eier für die Lancom geschichte ist mir "eigentlich" schon zuviel. Und da ist noch net mal ne gescheite wlan antenne dabei...
Kann man mit OpenOffice und Microsoft Office vergleichen.
Die pfSense ist einen "richtige" stateful Firewall, stellt dir als einen "wirkliche" DMZ zur Verfügung
wenn du sie denn unbedingt brauchst ?!
Wo bitte ist denn nun dein wirkliches Problem ??
Well I need a dollar dollar, a dollar is what I need (hey hey)
And I said I need dollar dollar, a dollar is what I need
And if I share with you my story
Would you share your dollar with me
Beide Router oben supporten keinen wirklichen Hotspot Betrieb mit Einmalpasswörtern für die User.
Hab ich auf der Homepage etwas anderes gelesen.Falls das net stimmt, klär mich auf.
Zu den unprofessionellen Aussagen über die Cisco Konfig wollen wir uns hier mal in einem Administrator Forum nicht weiter
äußern...ohne Worte !
Sicher, wenn(!!) man's beherrscht, sicher sehr mächtig. Nur was erwartest denn von einem "nichts-Ahnung-haber"@ Cisco?äußern...ohne Worte !
Nur hab ich kein Bock dazu, irgendeine neue art konfigsprache zu erlernen. Es geht halt auch einfacher. Ich kann bei Linux iptabels selbst reinhacken oder per webinterface die codes generieren lassen usw.. Gibt mittlerweile sogar grafische Oberflächen dazu.
Dazu hab ich bei Cisco keine Lust. Wenn ich das mache, möchte ich jede Zeile verstehen, was ich da tu. Und das möchte ich später nicht alles einzeln reinhacken, sondern mir eher generieren.
Wenn du deine Gäste erst 2 std später ins WLAN lassen kannst, weil du den PC hochfahren musst, etliche Zeilen schreiben, übertragen usw. musst, sind meine schon längst mitten drin am spaß haben ;)
Am besten kaufst du dir eine fertige Zyxel Lösung mit kleinem Druckerchen zum Zettel abreissen für die Voucherchens mit
fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
Weißt ja wohl ziemlich viel über mich. Weiß nicht, warum sich bei dir am ende des Post's nen kurzschluss im deinem Hirn ergeben hat und du anfängst, ###e zu labern.fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
Spar dir das in Zukunft.
Zitat von @tikayevent:
Nur der Contentfilter ist mit Lizenzablauf, alles andere wird einmal lizensiert und funktioniert dann ein Leben lang.
Danke Nur der Contentfilter ist mit Lizenzablauf, alles andere wird einmal lizensiert und funktioniert dann ein Leben lang.
Warum willst du den lokalen Server an einen extra Port hängen? Deiner Aussage nach sind das alles Clients im internen
Netzwerk, die nicht von außerhalb erreicht werden sollen. In der LANCOM-Firewall hast du sogar verschiedene
Möglichkeiten, den Server, der gar nicht ins Internet darf, vom Internet zu trennen.
Das WLAN im LANCOM kannst du nicht mit irgendeinem 0815-WLAN-Router vergleichen. Es gibt die Möglichkeit, den Router an einen
WLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W
rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...
Das hab ich mir schon gedacht. War nur etwas geschockt, das plötzlich wlan soviel teurer war. Man ist halt etwas anderes gewohnt :DWLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W
rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...
Die Router waren nur ein Vorschlag, du musst dich ja nicht dran halten und jeder hat seine Präferenzen.
Cisco dagegen scheint das einfach nicht zu wollen (oder hat's net nötig) und ich muss kein Profi werden, um bei mir alles besser abzuschotten.
Danke dir
Bin soweit dann durch 