michigrossmann
Goto Top

2 WLAN Router in einem Netzwerk jedoch soll einer nur Internet für Besucher Freigeben

Hallo liebe Gemeinde,

in meinem Netzwerk vorhanden:

1x Windows Server 2003 R2 ) IP:xxx.xxx.22.2
1x DLINK DIR 300 WLAN Router (als Hauptrouter) IP:xxx.xxx.22.1
1x Speedport W701V als WLAN Repeater IP: xxx.xxx.22.3

Nun habe ich folgendes geplant:

Ich möchte einen dritten WLAN Router (Fiberline 54MPS) IP: xxx.xxx.22.4 mit einbinden, der in meinem Hobbyraum meinen Besuchern WLAN zur Verfügung stellt.


Nun zu meiner Frage: Wie stelle ich es am besten an, dass der Fiberline ausschließlich Internet zur Verfügung stellt und sonst keinen Zugriff auf lokale Geräte im Netzwerk zulässt. Ich habe es schon getestet. Die Internetverbindung stellt er ohne Probleme her! Nur leider komme ich auch auf die Web Interfaces von meinen Geräten. Was ja logisch ist, da ich mich im gleichen Netz befinde. Bei Google habe ich gelesen, dass die neuen Router eine Art Gast Zugang anbieten wo man nur das Internet zur Verfügung stellen kann. Ich möchte es jedoch mit meiner Hardware umsetzen, da es sich auch um einen Hobbyraum handelt.
Ich weiß, dass ich mit meinem Server ziemlich viel machen kann, was die Zugriffsrechte usw. betrifft. Leider bin ich Laie und habe mir mein Netzwerk nur durch "Learning by Doing" aufgebaut, da es sich um ein reines Hobby von mir handelt.

Ich möchte es auch so einfach wie möglich gestalten, so dass ich den Besuchern den WLAN Key gebe und die surfen können ohne dass ich jedes mal in die Konfiguration des Routers oder gar des Servers muss.

Löst man so was dann am besten über ein eigenes IP Netz? Also das quasi Router im Hobbyraum zum Beispiel xxx.xxx.33.1 als DHCP hergibt, so dass ein zugreifen auf die WEB Interfaces nicht möglich ist?

Problem ist, dass ich in meinem Hobbyraum nur 1 Netzwerkdose habe. Das heißt im Moment ist es so angeschlossen, dass an der Netzwerkdose der Router hängt, und an dem Router noch 1 Client der in der Domäne sitzt. Und theoretisch müsste es doch so sein, dass wenn ich das IP Netz verändere an dem Router, dass der Client dann nicht mehr vom Server seine IP beziehen kann, oder ist da ein Denkfehler meinerseits?

Ich hoffe meine Frage ist einigermaßen verständlich und bedanke mich im Voraus schon einmal für die Hilfe!
Bitte beachtet, dass ich Laie bin, und mit zu viel Abkürzungen ins schleudern komme.


MFG Michael

Content-ID: 213534

Url: https://administrator.de/contentid/213534

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

MrNetman
MrNetman 06.08.2013 um 22:34:11 Uhr
Goto Top
Hi Michael,

Die Lösung nennt sich VLAN.
Der Dir-300 braucht ein neues Betriebssystem (dd-wrt)
in den Hobbyraum wird eine getaggte Verbindug zum managebaren Verteilswitch geführt. Dann kannst du an den Switchports alle Geräte anschließen.
Der AP muss Multi-SSID unterstützen und diese beiden Netze dann über den getaggten Link aus dem Hobbyraum an den Router führen.

Hier gibt es viele Anleitungen für solche Fälle. Das Entscheidende ist der mit VLANs getaggte Uplinkport aus dem Hobbyraum.
Und - das Konzept ist erweiterbar.

Details findest du in Anleitungen von aqui.

GRuß
Netman
MichiGrossmann
MichiGrossmann 06.08.2013 um 22:47:26 Uhr
Goto Top
Hallo Netman,

vielen Dank für deine schnelle Antwort und deinen Lösungsvorschlag!
Wenn ich ehrlich bin hört sich dass ziemlich kompliziert an.

Und vor allem mit erhöhtem Aufwand was auch die Hardware betrifft, also neu Anschaffung usw.

Ich dachte eher, dass man es mit der bestehenden Hardware und nicht so hohem Konfigurationsaufwand funktioniert.

Gibt es da keine anderen Möglichkeiten?

Danke im Voraus

MFG Michael
coltseavers
coltseavers 07.08.2013 um 00:00:39 Uhr
Goto Top
Servus Michael,

Deine Idee ist leider nicht ganz so einfach realisierbar, da der dritte WLAN-Router schon im gleichen IP-Netz des "Hauptrouters" sein muss, sonst können die sich nicht unterhalten (zumindest nicht solch einfache Geräte).

Mein Vorschlag:
Die Gäste nehmen das WLAN von Deinem Hauptrouter - damit haben die Gäste dann schonmal direkten Zugang ins Internet.

Dann kaufst Du Dir einen 15 Euro-Router (z.B. den hier: http://www.tp-link.com/en/products/details/?model=TL-R460#spec )
Dessen WAN-Port schaltest Du an den LAN-Port vom Hauptrouter. Und an die LAN-Ports des 15 Euro-Router schaltest du dann Dein eigentlichen LAN (Server, Rechner, WLAN, was auch immer)

Du musst dann nur noch 1 Port-Forwarding einrichten, damit der 15-Euro-Router alle Anfragen ans Internet an den Hauptrouter weiterleitet.
Somit kommst Du ins Internet, aber die Gäste nicht in Dein LAN, da das der 15-Euro-Router blockiert.
108012
108012 07.08.2013 um 11:15:18 Uhr
Goto Top
Hallo,

Du solltest es meiner Meinung nach so machen wie MrNetman beschrieben hat.
Das ist eben am einfachsten und kostet Dich auch nicht viel!

Ein Router hat Kontakt zum Internet und die anderen werden als WLAN APs eingesetzt und sollten Multi SSID fähig sein.
Und jede SSID wird in ein eigenes VLAN "gesteckt" und fertig ist das neue Netzwerk.
Man kann auch noch mittels eines "Captive Portals" Bekannte, Freunde und Besucher schnell in das Internet lassen ohne
dass sie Zugriff auf Dein privates Netzwerk haben.

Eine Software die als alternative Firmware für WLAN Router zur Realisierung eines solchen Vorhabens zur Verfügung steht
ist DD-WRT, sie lässt sich auf Deinem D-LINK DIR 300 aufspielen ohne weitere Kosten zu verursachen.

1. Bestandsaufnahme:
- Was ist Vorhanden
- Was funktioniert mittels DD-WRT

2. Planung:
Was und wie soll alles angelegt werden.
- Netzwerkplanung
- Neue Geräte

3. Eventuelle Neubeschaffung:
- Der Speedport wird zu einem Modem degradiert (Bridged Mode)
- Der D-Link DIR 300 wird mit DD-WRT "geflascht"
- Ein weiterer Router wird angeschafft und ebenfalls mit DD-WRT "geflascht" der fungiert dann als WLAN AP
- Multi SSIDs anlegen, VLANs anlegen
- Eventuell noch einen VLAN fähigen Switch anschaffen um die Portdichte zu erhöhen (Netgear GS105E, GS108E,...)

Das ist dann eine saubere und vor allen anderen Dingen auch überschaubare Angelegenheit bzw. Installation.

Wenn ich ehrlich bin hört sich dass ziemlich kompliziert an.
Naja ein klein wenig solltest Du Dich damit schon auseinander setzten wollen/müssen.

Bitte beachtet, dass ich Laie bin, und mit zu viel Abkürzungen ins schleudern komme.
Kein Thema nur dann verstehe ich eben nicht wieso oder besser warum Du nicht die gemachten Vorschläge annimmst!

Und vor allem mit erhöhtem Aufwand was auch die Hardware betrifft, also neu Anschaffung usw.
"Eine wahre Bildhauer Koryphäe bist kannst Du mit einem rostigen verbogenen Nagel und einem Stück Holz
auch eine richtig schöne schneeweiße Putte meißeln, wenn nicht muss oder solltest Du Dir wohl eher ein Schlagholz und
einen Meißel kaufen!" Und dabei ist es völlig egal ob es um Netzwerke oder ob es sich um andere Gebiete handelt.

Ich dachte eher, dass man es mit der bestehenden Hardware und nicht so hohem Konfigurationsaufwand funktioniert.
Bei einigen Sachen funktioniert es und bei anderen eben nicht so einfach bzw. gar nicht.

Gibt es da keine anderen Möglichkeiten?
Das kommt immer darauf an was man erreichen oder umsetzten möchte, na klar kann ich auch mit einer Haarschere
die Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.

Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.

Ich hoffe meine Frage ist einigermaßen verständlich und bedanke mich im Voraus schon einmal für die Hilfe!
Ich hoffe auch dass ich nicht zu "forsch" gewesen bin, aber anhand einiger Beispiele lässt sich vieles recht schnell
veranschaulichen.

Gruß
Dobby
coltseavers
coltseavers 07.08.2013 um 12:25:34 Uhr
Goto Top
Zitat von @108012:

> Wenn ich ehrlich bin hört sich dass ziemlich kompliziert an.
Naja ein klein wenig solltest Du Dich damit schon auseinander setzten wollen/müssen.

Da hat Dobby zum einen natürlich recht (es ist in der IT nicht immer so leicht, wie es den Anschein hat, oft muss man sich erstmal ein gewisses Fachwissen aneignen, damit die Lösung auch professionell wird), zum anderen war es von Netman für einen Laien schon relativ schwer verständlich bzw knapp geschrieben.

Bei meiner Lösung wäre der Aufwand deutlich geringer, da Du Dich weder in das Thema VLAN einlesen musst, noch an irgendeinem Router rumflashen und Dich auch dort nicht erstmal einlesen musst.


> Gibt es da keine anderen Möglichkeiten?
Das kommt immer darauf an was man erreichen oder umsetzten möchte, na klar kann ich auch mit einer Haarschere
die Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.

Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.


Die von mir beschriebene Lösung tut es ebenso gut - die von Dobby beschriebene ist von mir aus "ausgetüftelter" oder "raffinierter", aber sie ist für nen Laien doch schon etwas aufwändiger - meine Lösung ist vor allem einfacher und günstiger (aber warum einfach, wenns auch kompliziert geht? face-wink ), da sie Dich nur 15 Euro kostet und kaum was konfiguriert werden muss - dieses lässt sich recht leicht im Routerhandbuch nachlesen. Man muss auch nicht zwei Router an den Speedport-Router anschliessen, sondern nur einen - das hatte Dobby falsch beschrieben - sonst braucht man nur noch den zweiten Access-Point fürs eigene Netz. Ein Aspekt noch bei meiner Lösung (falls das eine Rolle spielt): Du kannst die Router an unterschiedlichen Orten / Zimmern aufstellen.

Gruß,
Colt
MichiGrossmann
MichiGrossmann 18.12.2013 um 21:20:47 Uhr
Goto Top
Hallo,

danke erstmal noch für eure Antworten. Leider ist aus Zeitgründen das Thema eingeschlafen gewesen. Da jetzt aber die Weihnachtsferien vor der Tür steht möchte ich mich dem Thema wieder widmen.

mittlerweile hat sich ein bisschen was verändert!

Ein kurzes Update:
Der Fiberline Router wurde durch einen 2. Dlink DIR 300 ausgetauscht.
Dann möchte ich noch in den freien Tagen meinen Server (Windows Server 2003) gegen einen neuen Windows Server 2008 Enterprise austauschen.

Daher jetzt ein ganz neuer Gedankengang meinerseits. Kann ich nicht einfach in den Server eine 2. Netzwerkkarte einbauen und diese mit der Dose im Hobbyraum verbinden? So würde der Router im Hobbyraum über die 2. Netzwerkkarte ein anderes IP Netz erhalten und das Thema ist durch oder täusch ich mich da?

Das einzigste worüber ich mir noch nicht so klar bin, was dann mit dem Client ist. Der würde ja dann seine IP nicht mehr vom Server bekommen oder kann ich dass dann irgendwie Routen? Oder wäre es wirklich so einfach wenn ich dem Client dann die IP der 1. Netzwerkkarte manuell vergebe?

Danke schonmal für eure Antworten.

Gruß Michael
MrNetman
MrNetman 19.12.2013 um 08:48:16 Uhr
Goto Top
ja, Enterprise Server könne mit 2 Netzwerkkarten zwei Netzwerke bedienen, den DHCP stellen und auch routen.
Aber dann liegt wohl die ganze Verantwortung auf dem Server, auch was die gewünschten Zugriffsbeschränkungen betrifft.

Gruß
Netman
108012
108012 19.12.2013 um 09:31:54 Uhr
Goto Top
Der Fiberline Router wurde durch einen 2. Dlink DIR 300 ausgetauscht.
Schau mal in den nächsten Wochen nach einem Firmwareupdate nach!
D-Link fixt gerade Ihre "Business" Router Linie und schließt eine Menge Hintertüren.

Gruß
Dobby
MichiGrossmann
MichiGrossmann 19.12.2013 um 10:24:52 Uhr
Goto Top
Hallo Dobby,

wie meinst du das mit Business Router?

Ich denke eher, dass der DLINK DIR-300 ein Modell für Heimanwender ist oder nicht?

@netman: Hälst du die Idee für Sinnvoll? Oder siehst du mehr Nachteile darin?

Und funktioniert das mit dem Client, der im alten IP Bereich unterwegs ist ?


Vielen Dank schonmal
coltseavers
coltseavers 19.12.2013 um 10:29:29 Uhr
Goto Top
Hallo,
Netman hat Recht, das kann man so machen. Nur um die Begriffe nicht durcheinander zu werfen: Die IPs vergibt dann auch für das Gäste-Netz der Server - das nennt man allerdings noch nicht "routen", sondern ist einfach die DHCP-Server-Funktion, die der Server übernimmt. Die Internetverbindung der Gäste würde zudem dann aber auch über den Server geroutet, da der Server das Gateway für das Gäste-Netz darstellt.
Zwei unterschiedliche Netze im Windows Server zu konfigurieren ist aber auch ein bisschen Aufwand und erfordert ein solides Wissen, wie man das konfiguriert.
Schliesslich willst Du ja über Dein Netz vollen Zugriff auf den Server haben, und die Gäste sollen ja vermutlich nicht die Dienste des Servers (Freigaben etc) nutzen können.
Ob das wirklich so viel unkomplizierter ist, als nen zweiten Router zur sicheren Trennung der Netze zu konfigurieren.... na ich weiss ja nicht.
Ausserdem: Fällt der Server aus geht gar nix mehr. Auch nicht so wirklich ideal, oder?

Hier mal eine Zeichnung meiner -wie ich finde: deutlich einfacheren - Lösung:
http://www.gededata.de/zeichnung1.jpg
MichiGrossmann
MichiGrossmann 22.12.2013 um 10:20:51 Uhr
Goto Top
Hallo Coltseavers,

erstmal danke für deine Antwort und deine Zeichnung.
Verstehe ich das richtig, dass die Router die DHCP Geschichte übernehmen?

Bin auch grad echt am überlegen ob ich mir nicht einfach doch einen neuen Route gönne, in dem man einfach das Gäste WLAN einstellen kann.
Das wäre doch die einfachste Möglichkeit oder was meint ihr?


Danke schonmal

Gruß Michael
coltseavers
coltseavers 22.12.2013 um 14:31:10 Uhr
Goto Top
Ja genau, die Router übernehmen die DHCP-Funktion. Kann man auch anders lösen, aber einfacher als in nem router kann man in meinen augen einen dhcp-server nicht einrichten. Aber wenn Du es in deinem netz mit dem windows-server machen kannst und möchtest, geht das natürlich genauso gut.

Ob Du das jetzt mit 2 Routern und 1 Accesspoint (wie in der Zeichnung) realisierst, oder ob Du All-In-One-Geräte nimmst, ist natürlich Geschmackssache.

Ein Gerät, das auch richtig viel kann ist sowas hier:
http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RouterBOARD-RB951U ...

Das Dingen hat 5 Netzwerkanschlüsse, die Du völlig frei belegen kannst.
z.B. 1x WAN, 4x LAN (jeweils getrennte netze mit und ohne dhcp möglich, oder alle im gleichen netz - alles, was man will), oder 2x wan und 3x lan usw
Jeden Port kannst Du also völlig frei konfigurieren. Für den Preis echt geschenkt, da kann selbst eine Fritzbox nicht mithalten.
Ist nur etwas schwer zu konfigurieren - da muss man einmal etwas Zeit investieren.
Gibts auch mit gbit-lan und mehreren wlan usw.
www.routerboard.com


Noch ein Tip: Wenn Du einen Router mit WLAN nimmst, der mehrere WLANs bereitstellen kann, dann achte darauf, dass die WLANs auch voneinander getrennt sind.
Manchmal hast Du zwar mehrere WLAN-Zugänge, die dann aber trotzdem im gleichen Subnetz liegen (also die WLAN-Teilnehmer nicht voneinander trennen). Solche Dinger sind natürlich für die Tonne. LAN und die einzelnen WLANs sollten natürlich jeweils eigene IP-Adressbereiche haben - nur dann sind die Teilnehmer auch wirklich voneinander getrennt.
108012
108012 22.12.2013 um 15:01:49 Uhr
Goto Top
Hallo,

Ich denke eher, dass der DLINK DIR-300 ein Modell für Heimanwender ist oder nicht?
Man kann ja auch selber DD-WRT auf Deinen D-Link Router flaschen, kostenlos!

Bin auch grad echt am überlegen ob ich mir nicht einfach doch einen neuen Route gönne,
Wäre auf jeden Fall eine schnelle und saubere Angelegenheit, als herum zu "frickeln".
Router:
- Multi SSID
- VLAN
- WLAN

Switch:
- VLAN fähig
- eventuell noch 802.x fähig

in dem man einfach das Gäste WLAN einstellen kann.
Eine SSID für die Firma oder das interne Netzwerk und eine SSID für Gäste nur mit Internetzugriff!

Das wäre doch die einfachste Möglichkeit oder was meint ihr?
Würde ich der Zweirouter Lösung vorziehen wollen.

Die Möglichkeiten die Du dafür hast sind beinahe unendlich, das reicht von kostenlos bis
ganz viel Geld je nach dem was Du gerne hättest.

Umsonst (kostenlos)
- Den D-LINK DIR 300 mit DD-WRT "flaschen"
- Den SpeedPort nur als Modem konfigurieren (briged modus)
- Fertig!

Budget Lösung
Einen TP-Link, Belkin, Netgear oder Buffalo Router mit DD-WRT oder
OpenWRT "flaschen" für 20 € - 30 €

Kleine Lösung
- MirkoTik RB951-2n für ~40 €

Mittlere Lösung
- MikroTik RB433, RB435,.... mit zwei oder mehr WLAN Karten als WLAN APs
- MikroTik RB2011 + 2 WLAN APs

Große Lösung
- Ubiquiti EdgeMax Router oder light Router
- Ubiquiti WLAN APs

- LANCOM Router
- LANCOM WLAN APs

- Zyxel Router
- Zyxel WLAN APs

Eigenbaulösung
Nach Anleitung von @aqui mit Alix Board mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät

Zusätzlich einen Switch der VLAN fähig ist wie einen GS105E oder GS108E und gut ist es,
die Kosten liegen hier bei 25 € oder 35 €.

Schreib mal lieber etwas zu Deinem Budget und dann mach etwas richtiges draus und würfle nicht
alles zusammen was Du bei Dir noch so findest und dann muss das alles auf Biegen und Brechen
zum Laufen gebracht werden.

Gruß
Dobby
MichiGrossmann
MichiGrossmann 22.12.2013 um 16:33:10 Uhr
Goto Top
Hallo ihr 2,

danke für eure tollen Antworten.

Erstmal zu Budget Frage. Ich bin Schwabe ;) Haha, ne es ist natürlich schon so, dass ich gern die vorhandene Hardware verwenden würde, bevor ich mir was neues kauf. Auch wenn wir in einer Wegwerfgesellschaft leben. Aber um ehrlich zu sein habe ich mir das ganze auch nicht so kompliziert vorgestellt!

Da merke ich auch, dass ich halt doch in vielem Laie bin.
Ich denke auch, dass jemand der sich mit Server richtig gut auskennt, das alles mit Benutzerrechtevergabe macht. Also sprich, dass er halt einen DHCP Bereich einrichtet und denen halt nur Zugriff für das Internet gibt.

Bei der Zeichnung hätte ich auch noch die Frage wie es sich mit den verschiedenen IP Adressen Bereichen ist. Denn wenn jeder Router einen eigenen IP Bereich hat, dann komme ich doch nicht mehr auf das Netz vom Server oder liege ich falsch. Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.

Danke schonmal im Voraus.

Gruß Michael
coltseavers
coltseavers 22.12.2013 aktualisiert um 20:16:54 Uhr
Goto Top
Zitat von @MichiGrossmann:

Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.

Das ist recht ungünstig, da somit die Gäste über den Netzwerkanschluss physischen Zugang zu Deinem Netzwerk haben, und dadurch ist die Adresstrennung natürlich umgehbar.

Auch das kann man natürlich lösen, aber wenn man sich selbst als Laien bezeichnet, ist das alles nicht so "mal eben".
Genauso die von Dobby vorgeschlagenen Lösungen mit flashen, alix board, pfsense usw - kann man alles machen, klar, aber das ist in meinen Augen zu kompliziert für Laien.

Eine unkomplizierte Möglichkeit im Hobbyraum einen Client per LAN an den Server anzubinden, und trotzdem die Gäste sicher vom LAN des Servers fernzuhalten, sehe ich leider nicht.

Wenn Du sagst: "naja, meine Gäste werden schon nicht im Netzwerk rumhacken", dann kannst Du diese Schwachstelle natürlich vernachlässigen, aber eigentlich kannst Du Dir dann auch die Adresstrennung sparen - die brächte dann nur eine gefühlte, keine echte Sicherheit. Zugriff auf Netzwerkfreigaben usw haben die Gäste ohne passenden Benutzernamen und Passwort aber eh nicht - deshalb stellt sich schon ein wenig die Frage, ob ne Netzwerktrennung wirklich erforderlich ist (solltest Du keine Hacker erwarten). Erwartest Du Hacker, solltest Du sie nicht mit dem LAN-Zugang allein lassen. Dann vielleicht einfach die LAN-Verbindung unterbrechen, solang die Hacker ähh Gäste im Hobbyraum wohnen, und das WLAN separat bereitstellen, z.B. nach in der Zeichnung gezeigter 2-Router-Lösung.
108012
108012 22.12.2013 um 23:52:46 Uhr
Goto Top
@MichiGrossmann

Es ist eben immer wie es ist, und das bedeutet ein wenig damit auseinander setzen musst
Du Dich schon mit den Sachen.

Aber um ehrlich zu sein habe ich mir das ganze auch nicht so kompliziert vorgestellt!
Iszt es auch nicht nur eben mal ein wenig einlesen und dann von mir aus auch abtippen
von einer der unzähligen Anleitungen eines Mitbenutzers namens @aqui.

Da merke ich auch, dass ich halt doch in vielem Laie bin.
Das war jeder einmal von uns. Oder glaubst Du das wir nach der Geburt alle einen
"Klapps" auf den Arxxx bekommen haben und dann SynACK geschrien haben?

Auch das kann man natürlich lösen, aber wenn man sich selbst als Laien bezeichnet,
ist das alles nicht so "mal eben".
Es hat niemand gesagt das er dass zwingend selber machen muss, nur man muss eben auch
einmal unterscheiden zwischen selber machen für "umme" und etwas kaufen und Geld ausgeben

Genauso die von Dobby vorgeschlagenen Lösungen mit flashen, alix board, pfsense usw -
kann man alles machen, klar, aber das ist in meinen Augen zu kompliziert für Laien.
Das ist es eben nicht!!! Oder wer glaubst Du flascht jeden Tag 100 Router mittels DD-WRT
außerdem kann er ja auch einen bereits fertig geflaschten Router kaufen, das Angebot reicht
da von 30 € über 60 € bis hin zu 100 €, und dann ist DD-WRT schon fix und fertig drauf.

Und zu dem Alix Board mit pfSense hat @aqui eine super Anleitung fertig zum abtippen
hier im Forum parat, und zwar mit Captive Portal für WLAN Gäste,
was sollte daran denn nun zu schwer sein?

So nun mal Butter bei die Fische:
- Was genau ist das für ein Fiberline Router den Du da noch hast, hat der ein Modem integriert?
- Kann der Router als WLAN AP laufen?
- Ist das hier zu schwer für Dich? DD-WRT flaschen

Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.
Per Kabel oder auch per WLAN?


Hier mal ein paar Vorschläge wie ich das lösen würde:

b6e3496ca717ac47aa63d9b156131262


Gruß
Dobby
MichiGrossmann
MichiGrossmann 23.12.2013 um 01:41:37 Uhr
Goto Top
Hallo ihr 2,

also als erstes muss ich mal fett danke für die Geduld und auch die tollen Zeichnungen sagen! Also ein so großer Wille mir zu helfen finde ich wirklich toll!

Ich glaub ich erzähl nochmal kurz was zur Umgebung.

1. Internet Provider "Kabel BW" daher 1. Station
2. Modem in D-Link Dir 300 Router eingesteckt.
3. Windows Server 2003 R2 Enterprise hängt an Router
4. Von Router geht es auf Switch
5. Switch geht auf Patch Panel
6. Patch Panel verteilt auf ca. 10 Dosen
7. Im OG vorhanden eine Doppeldose an dieser hängt mein PC und Speedport V 701
8. Speedport V701 ist nur zur Verteilung des WLAN´s im OG gedacht.
9. In der Gartenlaube (Hobbyraum) ist eine Netwerkdose. An dieser hängt mittlerweile ein 2. DIR-300
10. An 2. DIR-300 hängt noch ein CLIENT

Ich hoffe dass meine Beschreibung einigermaßen Verständlich ist ;)

Nochmal kurz eine andere Frage zum geänderten IP Adressbereich:

Liege ich nicht richtig mit der Annahme, dass wenn jetzt ein Router einen komplett anderen Adressbereich hat, meine Besucher mit Ihren Handys garnicht in meinen Serverbereich kommen? Denn im großen und ganzen geht es mir nicht um die Freigaben sondern eher um meine Heizung und meinen Datenlogger für meine Photovoltaikanlage. Denn da könnten Sie draufkommen und mir an meiner Heizung rumfummeln, da diese Software nicht Passwort geschützt ist.

Und da dachte ich mir halt, dass wenn die statt auf dem IP Bereich 192.168.22... einfach auf dem IP Bereich 192.168.33... surfen, dass die nicht auf meine Heizung kommen.
Vor allem auch nicht, weil sie den tatsächlichen IP Bereich ja nicht kennen, indem sich der Server befindet. Und meine Besucher würden ja in der Tat nur mit dem Handy online gehen um mal auf Facebook zu schauen oder so. Und um in den IP Bereich reinzukommen, müssten diese doch auf Ihrem Handy die TCP/IP Einstellungen manuell verändern oder?

Was mir gerade auch noch eingefallen ist, dass ich neben meiner Gartenlaufe noch ein TV Zimmer ist. Und da habe ich letztes Jahr auch noch eine Netzwerkdose installiert.
Wenn ich den Router (2.DLINK DIR 300) dort einstecke und einfach das DHCP aktiviere und einen anderen IP Bereich eingebe, dann sollte es doch so funktionieren oder liege ich falsch?

@108012: Wenn man den Router mit DD-WRT bespielt, kann man dann noch ganz normal den Router über ne Weboberfläche konfigurieren oder muss man hier mit Codes arbeiten?

Danke euch schonmal im Voraus.

Gruß Michael
MrNetman
MrNetman 23.12.2013 um 04:32:23 Uhr
Goto Top
Als Sicherheitsfunktion taugt die Überlegung nicht.

Wenn du es so machst:
DSL --- Modem-Router ---------LAN1 (192.168.22.x) --------- Router WLAN ------ (LAN/WLAN2 192.168.33.x)
dann kommen die aus dem LAN2 ins Internet, wie gewünscht. Aber sie können, wenn sie den IP-Bereich kennen auch des LAN1 durchsuchen.
Umgekehrt kommen die aus dem LAN1 ins Internet, aber ohne einen weiteren Eintrag im Modem-Router (statische Route) nicht ins LAN2.

gut regeln kann man das nur mit Zugriffsrechten zwischen denNetzen oder einem Tunnel von LAN2 auf en Modem-Router.

Bei deiner Beschreibung mit den vielen Dir300 fehlt was. Wenn man den Dir-300 mit WAN anschließt holt er sich via DHCP eine Adresse, macht NAT und alles klappt. Aber der Dir-300 kann auch als AP oder Switch eingesetzt werden....

Gruß
Netman
108012
108012 23.12.2013 aktualisiert um 10:07:58 Uhr
Goto Top
HoHoHo,

so nun mal Butter bei die Fische sonst laufen wir wirklich Gefahr und quatschen uns hier tot bzw. zerreden das Thema hier
mal eben so richtig! Also das was ColtSeavers Dir hier vorgeschlagen hat ist wohl eher eine Routerkaskade und die ist dafür
nicht geeignet, auch bei aller Freundschaft nicht, denn wenn Dein besuch und Du Dich einmal streiten und der dreht Deine
Heizung Nachts hoch, dann überhitzt die schnell und die ganze Bude fackelt Dir (Euch) lichterloh ab!!! So also schon mal nicht.
Ebenso wenn ein paar Betrunkene die für Ihr Handeln nicht verantwortlich gemacht werden können, Dein WLAN finden, wird es
diese Nacht eben recht kalt bzw. richtig heiß bei Dir (Euch), also Finger weg davon das man alles so lassen kann und es keine
Probleme gibt wegen der Unterschiedlichen Adressbereiche, das ist Quatsch und funktioniert eben so nicht!

Liege ich nicht richtig mit der Annahme, dass wenn jetzt ein Router einen komplett anderen Adressbereich hat,
meine Besucher mit Ihren Handys garnicht in meinen Serverbereich kommen?
Nein. Ich habe bei mir eine Routerkaskade mit einer Fritz!Box und dahinter einer Netgear Firewall und ich komme
von dem zweiten Netzwerk mit völlig anderen IP Adressen auf jeden Fall auf die Geräte hinter der Fritz!Box.
Lass es einfach sein.

Vor allem auch nicht, weil sie den tatsächlichen IP Bereich ja nicht kennen, indem sich der Server befindet.
Das halte ich mal für ein Gerücht!

Und meine Besucher würden ja in der Tat nur mit dem Handy online gehen um mal auf Facebook zu schauen oder so.
Hattest Du noch nie Streit mit den Freunden?

Und um in den IP Bereich reinzukommen, müssten diese doch auf Ihrem Handy die TCP/IP Einstellungen manuell verändern oder?
Nein das müssten sie nicht sondern das können die einfach so. Probiere es doch einmal aus!

Sag mal bitte was das für eine LAN Verkabelung ist:
- Netzwerkdosen GB LAN Ja oder nein?
- Switche VLAN fähig ja oder nein?
- Traust Du Dir das mit dem DD-WRT "flaschen" zu ja oder nein.

Alles andere ist Augenwischerei und passt hinten und vorne nicht zusammen mit Deinem Sicherheitsbedürfnis und
denke bitte daran wenn Du Kinder hasst, das Euer Haus brennt und jemand zu schaden kommen kann, aber dies hier
ein Forum ist wo sich jeder anmelden kann und das kann auch klein Kalle mit 9 Jahren sein, der Dir hier etwas rät.

Ich schlage Dir vor:
Wenn die Switche VLAN fähig sind, die D-Link Router mit DD-WRT zu flaschen und dann dort auch den enthaltenden
Radius Server zu verwenden um das WLAN abzusichern und wenn mal einer sein Smartphone verloren hat oder Ihr Euch
gestritten habt, kann man das Zertifikat schnell auf blockiert setzen und gut ist es, was aber noch viel wichtiger ist, man
kann VLANs anlegen und damit alles absichern.

Als Alternative könnte man eventuell das Alix Board mit pfSense nehmen und dann damit das enthaltende Captive Portal
mit den Vouchers nutzen, denn dann kann man auch Gruppen anlegen und die haben dann unterschiedliche Zeiten und
wenn diese abgelaufen sind kann keiner mehr das WLAN nutzen. Durch die Anleitung von @aqui brauchst Du das auch
nur abtippen und hast obendrein noch einen kompetenten Ansprechpartner wenn Du fragen hast. Die beiden DIR300 mit
DD-WRT werden dann zu WLAN APs degradiert, das wäre auch eine sichere und feine Sache!!!!!!!!

Dobby: Wenn man den Router mit DD-WRT bespielt, kann man dann noch ganz normal den Router über ne Weboberfläche
konfigurieren oder muss man hier mit Codes arbeiten?
Ganz wie Du das möchtest, DD-WRT hat auch eine Weboberfläche.

Gruß
Dobby

P.S. Lass das am besten jemanden machen der sich damit auskennt wenn Du Dir das nicht zutraust, ist ja auch
kein Beinbruch, aber dann bleibt die Photovoltaikanlage und die Heizung wenigstens heile!
MichiGrossmann
MichiGrossmann 23.12.2013 um 11:27:33 Uhr
Goto Top
Hallo,

danke nochmal für eure Antworten. Und vor allem auch für die Geduld!

Ich sehe schon, ich habe mich mit dem Thema viel zu wenig beschäftigt! Allein was die Basics betreffen. Ich werde mich jetzt erstmal in diese einlesen und dann das ganze nochmal versuchen.

Werde euch auf dem laufenden halten!

Danke schonmal und allen Frohe Weihnachten und ein gesundes neues Jahr!

Gruß Michael
MichiGrossmann
MichiGrossmann 16.04.2015 um 20:50:25 Uhr
Goto Top
Hallo liebe User,

lieber spät als nie face-wink

Habe es nun so gelöst:

Bei meinem Providerwechsel auf 1&1 habe ich eine Fritzbox 7490 erhalten. Dort habe ich einfach das Gäste WLAN aktiviert und das ist in einem komplett eigenem IP Bereich. Das gute ist sogar, dass man einstellen kann ob die Besucher auf FTP Seiten kommen oder nicht. Also man kann viel einstellen. Dazwischen habe ich einen Fritz Repater geschalten und muss es sagen, es funktioniert einwandfrei ohne jeglichen Probleme.

Wenn ich denke wieviel Zeit ich vorher verschwendet habe um eine Lösung zu finden, ist dies wirklich das beste.

Danke nochmal für eure Hilfe.

Gruß Michael