2 WLAN Router in einem Netzwerk jedoch soll einer nur Internet für Besucher Freigeben
Hallo liebe Gemeinde,
in meinem Netzwerk vorhanden:
1x Windows Server 2003 R2 ) IP:xxx.xxx.22.2
1x DLINK DIR 300 WLAN Router (als Hauptrouter) IP:xxx.xxx.22.1
1x Speedport W701V als WLAN Repeater IP: xxx.xxx.22.3
Nun habe ich folgendes geplant:
Ich möchte einen dritten WLAN Router (Fiberline 54MPS) IP: xxx.xxx.22.4 mit einbinden, der in meinem Hobbyraum meinen Besuchern WLAN zur Verfügung stellt.
Nun zu meiner Frage: Wie stelle ich es am besten an, dass der Fiberline ausschließlich Internet zur Verfügung stellt und sonst keinen Zugriff auf lokale Geräte im Netzwerk zulässt. Ich habe es schon getestet. Die Internetverbindung stellt er ohne Probleme her! Nur leider komme ich auch auf die Web Interfaces von meinen Geräten. Was ja logisch ist, da ich mich im gleichen Netz befinde. Bei Google habe ich gelesen, dass die neuen Router eine Art Gast Zugang anbieten wo man nur das Internet zur Verfügung stellen kann. Ich möchte es jedoch mit meiner Hardware umsetzen, da es sich auch um einen Hobbyraum handelt.
Ich weiß, dass ich mit meinem Server ziemlich viel machen kann, was die Zugriffsrechte usw. betrifft. Leider bin ich Laie und habe mir mein Netzwerk nur durch "Learning by Doing" aufgebaut, da es sich um ein reines Hobby von mir handelt.
Ich möchte es auch so einfach wie möglich gestalten, so dass ich den Besuchern den WLAN Key gebe und die surfen können ohne dass ich jedes mal in die Konfiguration des Routers oder gar des Servers muss.
Löst man so was dann am besten über ein eigenes IP Netz? Also das quasi Router im Hobbyraum zum Beispiel xxx.xxx.33.1 als DHCP hergibt, so dass ein zugreifen auf die WEB Interfaces nicht möglich ist?
Problem ist, dass ich in meinem Hobbyraum nur 1 Netzwerkdose habe. Das heißt im Moment ist es so angeschlossen, dass an der Netzwerkdose der Router hängt, und an dem Router noch 1 Client der in der Domäne sitzt. Und theoretisch müsste es doch so sein, dass wenn ich das IP Netz verändere an dem Router, dass der Client dann nicht mehr vom Server seine IP beziehen kann, oder ist da ein Denkfehler meinerseits?
Ich hoffe meine Frage ist einigermaßen verständlich und bedanke mich im Voraus schon einmal für die Hilfe!
Bitte beachtet, dass ich Laie bin, und mit zu viel Abkürzungen ins schleudern komme.
MFG Michael
in meinem Netzwerk vorhanden:
1x Windows Server 2003 R2 ) IP:xxx.xxx.22.2
1x DLINK DIR 300 WLAN Router (als Hauptrouter) IP:xxx.xxx.22.1
1x Speedport W701V als WLAN Repeater IP: xxx.xxx.22.3
Nun habe ich folgendes geplant:
Ich möchte einen dritten WLAN Router (Fiberline 54MPS) IP: xxx.xxx.22.4 mit einbinden, der in meinem Hobbyraum meinen Besuchern WLAN zur Verfügung stellt.
Nun zu meiner Frage: Wie stelle ich es am besten an, dass der Fiberline ausschließlich Internet zur Verfügung stellt und sonst keinen Zugriff auf lokale Geräte im Netzwerk zulässt. Ich habe es schon getestet. Die Internetverbindung stellt er ohne Probleme her! Nur leider komme ich auch auf die Web Interfaces von meinen Geräten. Was ja logisch ist, da ich mich im gleichen Netz befinde. Bei Google habe ich gelesen, dass die neuen Router eine Art Gast Zugang anbieten wo man nur das Internet zur Verfügung stellen kann. Ich möchte es jedoch mit meiner Hardware umsetzen, da es sich auch um einen Hobbyraum handelt.
Ich weiß, dass ich mit meinem Server ziemlich viel machen kann, was die Zugriffsrechte usw. betrifft. Leider bin ich Laie und habe mir mein Netzwerk nur durch "Learning by Doing" aufgebaut, da es sich um ein reines Hobby von mir handelt.
Ich möchte es auch so einfach wie möglich gestalten, so dass ich den Besuchern den WLAN Key gebe und die surfen können ohne dass ich jedes mal in die Konfiguration des Routers oder gar des Servers muss.
Löst man so was dann am besten über ein eigenes IP Netz? Also das quasi Router im Hobbyraum zum Beispiel xxx.xxx.33.1 als DHCP hergibt, so dass ein zugreifen auf die WEB Interfaces nicht möglich ist?
Problem ist, dass ich in meinem Hobbyraum nur 1 Netzwerkdose habe. Das heißt im Moment ist es so angeschlossen, dass an der Netzwerkdose der Router hängt, und an dem Router noch 1 Client der in der Domäne sitzt. Und theoretisch müsste es doch so sein, dass wenn ich das IP Netz verändere an dem Router, dass der Client dann nicht mehr vom Server seine IP beziehen kann, oder ist da ein Denkfehler meinerseits?
Ich hoffe meine Frage ist einigermaßen verständlich und bedanke mich im Voraus schon einmal für die Hilfe!
Bitte beachtet, dass ich Laie bin, und mit zu viel Abkürzungen ins schleudern komme.
MFG Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 213534
Url: https://administrator.de/contentid/213534
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
21 Kommentare
Neuester Kommentar
Hi Michael,
Die Lösung nennt sich VLAN.
Der Dir-300 braucht ein neues Betriebssystem (dd-wrt)
in den Hobbyraum wird eine getaggte Verbindug zum managebaren Verteilswitch geführt. Dann kannst du an den Switchports alle Geräte anschließen.
Der AP muss Multi-SSID unterstützen und diese beiden Netze dann über den getaggten Link aus dem Hobbyraum an den Router führen.
Hier gibt es viele Anleitungen für solche Fälle. Das Entscheidende ist der mit VLANs getaggte Uplinkport aus dem Hobbyraum.
Und - das Konzept ist erweiterbar.
Details findest du in Anleitungen von aqui.
GRuß
Netman
Die Lösung nennt sich VLAN.
Der Dir-300 braucht ein neues Betriebssystem (dd-wrt)
in den Hobbyraum wird eine getaggte Verbindug zum managebaren Verteilswitch geführt. Dann kannst du an den Switchports alle Geräte anschließen.
Der AP muss Multi-SSID unterstützen und diese beiden Netze dann über den getaggten Link aus dem Hobbyraum an den Router führen.
Hier gibt es viele Anleitungen für solche Fälle. Das Entscheidende ist der mit VLANs getaggte Uplinkport aus dem Hobbyraum.
Und - das Konzept ist erweiterbar.
Details findest du in Anleitungen von aqui.
GRuß
Netman
Servus Michael,
Deine Idee ist leider nicht ganz so einfach realisierbar, da der dritte WLAN-Router schon im gleichen IP-Netz des "Hauptrouters" sein muss, sonst können die sich nicht unterhalten (zumindest nicht solch einfache Geräte).
Mein Vorschlag:
Die Gäste nehmen das WLAN von Deinem Hauptrouter - damit haben die Gäste dann schonmal direkten Zugang ins Internet.
Dann kaufst Du Dir einen 15 Euro-Router (z.B. den hier: http://www.tp-link.com/en/products/details/?model=TL-R460#spec )
Dessen WAN-Port schaltest Du an den LAN-Port vom Hauptrouter. Und an die LAN-Ports des 15 Euro-Router schaltest du dann Dein eigentlichen LAN (Server, Rechner, WLAN, was auch immer)
Du musst dann nur noch 1 Port-Forwarding einrichten, damit der 15-Euro-Router alle Anfragen ans Internet an den Hauptrouter weiterleitet.
Somit kommst Du ins Internet, aber die Gäste nicht in Dein LAN, da das der 15-Euro-Router blockiert.
Deine Idee ist leider nicht ganz so einfach realisierbar, da der dritte WLAN-Router schon im gleichen IP-Netz des "Hauptrouters" sein muss, sonst können die sich nicht unterhalten (zumindest nicht solch einfache Geräte).
Mein Vorschlag:
Die Gäste nehmen das WLAN von Deinem Hauptrouter - damit haben die Gäste dann schonmal direkten Zugang ins Internet.
Dann kaufst Du Dir einen 15 Euro-Router (z.B. den hier: http://www.tp-link.com/en/products/details/?model=TL-R460#spec )
Dessen WAN-Port schaltest Du an den LAN-Port vom Hauptrouter. Und an die LAN-Ports des 15 Euro-Router schaltest du dann Dein eigentlichen LAN (Server, Rechner, WLAN, was auch immer)
Du musst dann nur noch 1 Port-Forwarding einrichten, damit der 15-Euro-Router alle Anfragen ans Internet an den Hauptrouter weiterleitet.
Somit kommst Du ins Internet, aber die Gäste nicht in Dein LAN, da das der 15-Euro-Router blockiert.
Hallo,
Du solltest es meiner Meinung nach so machen wie MrNetman beschrieben hat.
Das ist eben am einfachsten und kostet Dich auch nicht viel!
Ein Router hat Kontakt zum Internet und die anderen werden als WLAN APs eingesetzt und sollten Multi SSID fähig sein.
Und jede SSID wird in ein eigenes VLAN "gesteckt" und fertig ist das neue Netzwerk.
Man kann auch noch mittels eines "Captive Portals" Bekannte, Freunde und Besucher schnell in das Internet lassen ohne
dass sie Zugriff auf Dein privates Netzwerk haben.
Eine Software die als alternative Firmware für WLAN Router zur Realisierung eines solchen Vorhabens zur Verfügung steht
ist DD-WRT, sie lässt sich auf Deinem D-LINK DIR 300 aufspielen ohne weitere Kosten zu verursachen.
1. Bestandsaufnahme:
- Was ist Vorhanden
- Was funktioniert mittels DD-WRT
2. Planung:
Was und wie soll alles angelegt werden.
- Netzwerkplanung
- Neue Geräte
3. Eventuelle Neubeschaffung:
- Der Speedport wird zu einem Modem degradiert (Bridged Mode)
- Der D-Link DIR 300 wird mit DD-WRT "geflascht"
- Ein weiterer Router wird angeschafft und ebenfalls mit DD-WRT "geflascht" der fungiert dann als WLAN AP
- Multi SSIDs anlegen, VLANs anlegen
- Eventuell noch einen VLAN fähigen Switch anschaffen um die Portdichte zu erhöhen (Netgear GS105E, GS108E,...)
Das ist dann eine saubere und vor allen anderen Dingen auch überschaubare Angelegenheit bzw. Installation.
auch eine richtig schöne schneeweiße Putte meißeln, wenn nicht muss oder solltest Du Dir wohl eher ein Schlagholz und
einen Meißel kaufen!" Und dabei ist es völlig egal ob es um Netzwerke oder ob es sich um andere Gebiete handelt.
die Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.
Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.
veranschaulichen.
Gruß
Dobby
Du solltest es meiner Meinung nach so machen wie MrNetman beschrieben hat.
Das ist eben am einfachsten und kostet Dich auch nicht viel!
Ein Router hat Kontakt zum Internet und die anderen werden als WLAN APs eingesetzt und sollten Multi SSID fähig sein.
Und jede SSID wird in ein eigenes VLAN "gesteckt" und fertig ist das neue Netzwerk.
Man kann auch noch mittels eines "Captive Portals" Bekannte, Freunde und Besucher schnell in das Internet lassen ohne
dass sie Zugriff auf Dein privates Netzwerk haben.
Eine Software die als alternative Firmware für WLAN Router zur Realisierung eines solchen Vorhabens zur Verfügung steht
ist DD-WRT, sie lässt sich auf Deinem D-LINK DIR 300 aufspielen ohne weitere Kosten zu verursachen.
1. Bestandsaufnahme:
- Was ist Vorhanden
- Was funktioniert mittels DD-WRT
2. Planung:
Was und wie soll alles angelegt werden.
- Netzwerkplanung
- Neue Geräte
3. Eventuelle Neubeschaffung:
- Der Speedport wird zu einem Modem degradiert (Bridged Mode)
- Der D-Link DIR 300 wird mit DD-WRT "geflascht"
- Ein weiterer Router wird angeschafft und ebenfalls mit DD-WRT "geflascht" der fungiert dann als WLAN AP
- Multi SSIDs anlegen, VLANs anlegen
- Eventuell noch einen VLAN fähigen Switch anschaffen um die Portdichte zu erhöhen (Netgear GS105E, GS108E,...)
Das ist dann eine saubere und vor allen anderen Dingen auch überschaubare Angelegenheit bzw. Installation.
Wenn ich ehrlich bin hört sich dass ziemlich kompliziert an.
Naja ein klein wenig solltest Du Dich damit schon auseinander setzten wollen/müssen.Bitte beachtet, dass ich Laie bin, und mit zu viel Abkürzungen ins schleudern komme.
Kein Thema nur dann verstehe ich eben nicht wieso oder besser warum Du nicht die gemachten Vorschläge annimmst!Und vor allem mit erhöhtem Aufwand was auch die Hardware betrifft, also neu Anschaffung usw.
"Eine wahre Bildhauer Koryphäe bist kannst Du mit einem rostigen verbogenen Nagel und einem Stück Holzauch eine richtig schöne schneeweiße Putte meißeln, wenn nicht muss oder solltest Du Dir wohl eher ein Schlagholz und
einen Meißel kaufen!" Und dabei ist es völlig egal ob es um Netzwerke oder ob es sich um andere Gebiete handelt.
Ich dachte eher, dass man es mit der bestehenden Hardware und nicht so hohem Konfigurationsaufwand funktioniert.
Bei einigen Sachen funktioniert es und bei anderen eben nicht so einfach bzw. gar nicht.Gibt es da keine anderen Möglichkeiten?
Das kommt immer darauf an was man erreichen oder umsetzten möchte, na klar kann ich auch mit einer Haarscheredie Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.
Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.
Ich hoffe meine Frage ist einigermaßen verständlich und bedanke mich im Voraus schon einmal für die Hilfe!
Ich hoffe auch dass ich nicht zu "forsch" gewesen bin, aber anhand einiger Beispiele lässt sich vieles recht schnellveranschaulichen.
Gruß
Dobby
Zitat von @108012:
> Wenn ich ehrlich bin hört sich dass ziemlich kompliziert an.
Naja ein klein wenig solltest Du Dich damit schon auseinander setzten wollen/müssen.
Naja ein klein wenig solltest Du Dich damit schon auseinander setzten wollen/müssen.
Da hat Dobby zum einen natürlich recht (es ist in der IT nicht immer so leicht, wie es den Anschein hat, oft muss man sich erstmal ein gewisses Fachwissen aneignen, damit die Lösung auch professionell wird), zum anderen war es von Netman für einen Laien schon relativ schwer verständlich bzw knapp geschrieben.
Bei meiner Lösung wäre der Aufwand deutlich geringer, da Du Dich weder in das Thema VLAN einlesen musst, noch an irgendeinem Router rumflashen und Dich auch dort nicht erstmal einlesen musst.
> Gibt es da keine anderen Möglichkeiten?
Das kommt immer darauf an was man erreichen oder umsetzten möchte, na klar kann ich auch mit einer Haarschere
die Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.
Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.
Das kommt immer darauf an was man erreichen oder umsetzten möchte, na klar kann ich auch mit einer Haarschere
die Gartenbüsche schneiden, nur ob dass dann eben auch einen Sinn ergibt ist eben eine ganz andere Sache.
Nur wenn man dann mit der Gartenschere den Leuten die Haare schneiden möchte wird es schnell kriminell.
Man kann sicherlich den Speedport Router mit zwei weiteren Routern kaskadieren und somit eine Router Kaskade
aufbauen, nur ob das oder wann das sinnvoll ist und wann nicht bleibt hier doch dann eher die Frage.
Die von mir beschriebene Lösung tut es ebenso gut - die von Dobby beschriebene ist von mir aus "ausgetüftelter" oder "raffinierter", aber sie ist für nen Laien doch schon etwas aufwändiger - meine Lösung ist vor allem einfacher und günstiger (aber warum einfach, wenns auch kompliziert geht? ), da sie Dich nur 15 Euro kostet und kaum was konfiguriert werden muss - dieses lässt sich recht leicht im Routerhandbuch nachlesen. Man muss auch nicht zwei Router an den Speedport-Router anschliessen, sondern nur einen - das hatte Dobby falsch beschrieben - sonst braucht man nur noch den zweiten Access-Point fürs eigene Netz. Ein Aspekt noch bei meiner Lösung (falls das eine Rolle spielt): Du kannst die Router an unterschiedlichen Orten / Zimmern aufstellen.
Gruß,
Colt
Der Fiberline Router wurde durch einen 2. Dlink DIR 300 ausgetauscht.
Schau mal in den nächsten Wochen nach einem Firmwareupdate nach!D-Link fixt gerade Ihre "Business" Router Linie und schließt eine Menge Hintertüren.
Gruß
Dobby
Hallo,
Netman hat Recht, das kann man so machen. Nur um die Begriffe nicht durcheinander zu werfen: Die IPs vergibt dann auch für das Gäste-Netz der Server - das nennt man allerdings noch nicht "routen", sondern ist einfach die DHCP-Server-Funktion, die der Server übernimmt. Die Internetverbindung der Gäste würde zudem dann aber auch über den Server geroutet, da der Server das Gateway für das Gäste-Netz darstellt.
Zwei unterschiedliche Netze im Windows Server zu konfigurieren ist aber auch ein bisschen Aufwand und erfordert ein solides Wissen, wie man das konfiguriert.
Schliesslich willst Du ja über Dein Netz vollen Zugriff auf den Server haben, und die Gäste sollen ja vermutlich nicht die Dienste des Servers (Freigaben etc) nutzen können.
Ob das wirklich so viel unkomplizierter ist, als nen zweiten Router zur sicheren Trennung der Netze zu konfigurieren.... na ich weiss ja nicht.
Ausserdem: Fällt der Server aus geht gar nix mehr. Auch nicht so wirklich ideal, oder?
Hier mal eine Zeichnung meiner -wie ich finde: deutlich einfacheren - Lösung:
http://www.gededata.de/zeichnung1.jpg
Netman hat Recht, das kann man so machen. Nur um die Begriffe nicht durcheinander zu werfen: Die IPs vergibt dann auch für das Gäste-Netz der Server - das nennt man allerdings noch nicht "routen", sondern ist einfach die DHCP-Server-Funktion, die der Server übernimmt. Die Internetverbindung der Gäste würde zudem dann aber auch über den Server geroutet, da der Server das Gateway für das Gäste-Netz darstellt.
Zwei unterschiedliche Netze im Windows Server zu konfigurieren ist aber auch ein bisschen Aufwand und erfordert ein solides Wissen, wie man das konfiguriert.
Schliesslich willst Du ja über Dein Netz vollen Zugriff auf den Server haben, und die Gäste sollen ja vermutlich nicht die Dienste des Servers (Freigaben etc) nutzen können.
Ob das wirklich so viel unkomplizierter ist, als nen zweiten Router zur sicheren Trennung der Netze zu konfigurieren.... na ich weiss ja nicht.
Ausserdem: Fällt der Server aus geht gar nix mehr. Auch nicht so wirklich ideal, oder?
Hier mal eine Zeichnung meiner -wie ich finde: deutlich einfacheren - Lösung:
http://www.gededata.de/zeichnung1.jpg
Ja genau, die Router übernehmen die DHCP-Funktion. Kann man auch anders lösen, aber einfacher als in nem router kann man in meinen augen einen dhcp-server nicht einrichten. Aber wenn Du es in deinem netz mit dem windows-server machen kannst und möchtest, geht das natürlich genauso gut.
Ob Du das jetzt mit 2 Routern und 1 Accesspoint (wie in der Zeichnung) realisierst, oder ob Du All-In-One-Geräte nimmst, ist natürlich Geschmackssache.
Ein Gerät, das auch richtig viel kann ist sowas hier:
http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RouterBOARD-RB951U ...
Das Dingen hat 5 Netzwerkanschlüsse, die Du völlig frei belegen kannst.
z.B. 1x WAN, 4x LAN (jeweils getrennte netze mit und ohne dhcp möglich, oder alle im gleichen netz - alles, was man will), oder 2x wan und 3x lan usw
Jeden Port kannst Du also völlig frei konfigurieren. Für den Preis echt geschenkt, da kann selbst eine Fritzbox nicht mithalten.
Ist nur etwas schwer zu konfigurieren - da muss man einmal etwas Zeit investieren.
Gibts auch mit gbit-lan und mehreren wlan usw.
www.routerboard.com
Noch ein Tip: Wenn Du einen Router mit WLAN nimmst, der mehrere WLANs bereitstellen kann, dann achte darauf, dass die WLANs auch voneinander getrennt sind.
Manchmal hast Du zwar mehrere WLAN-Zugänge, die dann aber trotzdem im gleichen Subnetz liegen (also die WLAN-Teilnehmer nicht voneinander trennen). Solche Dinger sind natürlich für die Tonne. LAN und die einzelnen WLANs sollten natürlich jeweils eigene IP-Adressbereiche haben - nur dann sind die Teilnehmer auch wirklich voneinander getrennt.
Ob Du das jetzt mit 2 Routern und 1 Accesspoint (wie in der Zeichnung) realisierst, oder ob Du All-In-One-Geräte nimmst, ist natürlich Geschmackssache.
Ein Gerät, das auch richtig viel kann ist sowas hier:
http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RouterBOARD-RB951U ...
Das Dingen hat 5 Netzwerkanschlüsse, die Du völlig frei belegen kannst.
z.B. 1x WAN, 4x LAN (jeweils getrennte netze mit und ohne dhcp möglich, oder alle im gleichen netz - alles, was man will), oder 2x wan und 3x lan usw
Jeden Port kannst Du also völlig frei konfigurieren. Für den Preis echt geschenkt, da kann selbst eine Fritzbox nicht mithalten.
Ist nur etwas schwer zu konfigurieren - da muss man einmal etwas Zeit investieren.
Gibts auch mit gbit-lan und mehreren wlan usw.
www.routerboard.com
Noch ein Tip: Wenn Du einen Router mit WLAN nimmst, der mehrere WLANs bereitstellen kann, dann achte darauf, dass die WLANs auch voneinander getrennt sind.
Manchmal hast Du zwar mehrere WLAN-Zugänge, die dann aber trotzdem im gleichen Subnetz liegen (also die WLAN-Teilnehmer nicht voneinander trennen). Solche Dinger sind natürlich für die Tonne. LAN und die einzelnen WLANs sollten natürlich jeweils eigene IP-Adressbereiche haben - nur dann sind die Teilnehmer auch wirklich voneinander getrennt.
Hallo,
Router:
- Multi SSID
- VLAN
- WLAN
Switch:
- VLAN fähig
- eventuell noch 802.x fähig
Die Möglichkeiten die Du dafür hast sind beinahe unendlich, das reicht von kostenlos bis
ganz viel Geld je nach dem was Du gerne hättest.
Umsonst (kostenlos)
- Den D-LINK DIR 300 mit DD-WRT "flaschen"
- Den SpeedPort nur als Modem konfigurieren (briged modus)
- Fertig!
Budget Lösung
Einen TP-Link, Belkin, Netgear oder Buffalo Router mit DD-WRT oder
OpenWRT "flaschen" für 20 € - 30 €
Kleine Lösung
- MirkoTik RB951-2n für ~40 €
Mittlere Lösung
- MikroTik RB433, RB435,.... mit zwei oder mehr WLAN Karten als WLAN APs
- MikroTik RB2011 + 2 WLAN APs
Große Lösung
- Ubiquiti EdgeMax Router oder light Router
- Ubiquiti WLAN APs
- LANCOM Router
- LANCOM WLAN APs
- Zyxel Router
- Zyxel WLAN APs
Eigenbaulösung
Nach Anleitung von @aqui mit Alix Board mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Zusätzlich einen Switch der VLAN fähig ist wie einen GS105E oder GS108E und gut ist es,
die Kosten liegen hier bei 25 € oder 35 €.
Schreib mal lieber etwas zu Deinem Budget und dann mach etwas richtiges draus und würfle nicht
alles zusammen was Du bei Dir noch so findest und dann muss das alles auf Biegen und Brechen
zum Laufen gebracht werden.
Gruß
Dobby
Ich denke eher, dass der DLINK DIR-300 ein Modell für Heimanwender ist oder nicht?
Man kann ja auch selber DD-WRT auf Deinen D-Link Router flaschen, kostenlos!Bin auch grad echt am überlegen ob ich mir nicht einfach doch einen neuen Route gönne,
Wäre auf jeden Fall eine schnelle und saubere Angelegenheit, als herum zu "frickeln".Router:
- Multi SSID
- VLAN
- WLAN
Switch:
- VLAN fähig
- eventuell noch 802.x fähig
in dem man einfach das Gäste WLAN einstellen kann.
Eine SSID für die Firma oder das interne Netzwerk und eine SSID für Gäste nur mit Internetzugriff!Das wäre doch die einfachste Möglichkeit oder was meint ihr?
Würde ich der Zweirouter Lösung vorziehen wollen.Die Möglichkeiten die Du dafür hast sind beinahe unendlich, das reicht von kostenlos bis
ganz viel Geld je nach dem was Du gerne hättest.
Umsonst (kostenlos)
- Den D-LINK DIR 300 mit DD-WRT "flaschen"
- Den SpeedPort nur als Modem konfigurieren (briged modus)
- Fertig!
Budget Lösung
Einen TP-Link, Belkin, Netgear oder Buffalo Router mit DD-WRT oder
OpenWRT "flaschen" für 20 € - 30 €
Kleine Lösung
- MirkoTik RB951-2n für ~40 €
Mittlere Lösung
- MikroTik RB433, RB435,.... mit zwei oder mehr WLAN Karten als WLAN APs
- MikroTik RB2011 + 2 WLAN APs
Große Lösung
- Ubiquiti EdgeMax Router oder light Router
- Ubiquiti WLAN APs
- LANCOM Router
- LANCOM WLAN APs
- Zyxel Router
- Zyxel WLAN APs
Eigenbaulösung
Nach Anleitung von @aqui mit Alix Board mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Zusätzlich einen Switch der VLAN fähig ist wie einen GS105E oder GS108E und gut ist es,
die Kosten liegen hier bei 25 € oder 35 €.
Schreib mal lieber etwas zu Deinem Budget und dann mach etwas richtiges draus und würfle nicht
alles zusammen was Du bei Dir noch so findest und dann muss das alles auf Biegen und Brechen
zum Laufen gebracht werden.
Gruß
Dobby
Zitat von @MichiGrossmann:
Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.
Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.
Das ist recht ungünstig, da somit die Gäste über den Netzwerkanschluss physischen Zugang zu Deinem Netzwerk haben, und dadurch ist die Adresstrennung natürlich umgehbar.
Auch das kann man natürlich lösen, aber wenn man sich selbst als Laien bezeichnet, ist das alles nicht so "mal eben".
Genauso die von Dobby vorgeschlagenen Lösungen mit flashen, alix board, pfsense usw - kann man alles machen, klar, aber das ist in meinen Augen zu kompliziert für Laien.
Eine unkomplizierte Möglichkeit im Hobbyraum einen Client per LAN an den Server anzubinden, und trotzdem die Gäste sicher vom LAN des Servers fernzuhalten, sehe ich leider nicht.
Wenn Du sagst: "naja, meine Gäste werden schon nicht im Netzwerk rumhacken", dann kannst Du diese Schwachstelle natürlich vernachlässigen, aber eigentlich kannst Du Dir dann auch die Adresstrennung sparen - die brächte dann nur eine gefühlte, keine echte Sicherheit. Zugriff auf Netzwerkfreigaben usw haben die Gäste ohne passenden Benutzernamen und Passwort aber eh nicht - deshalb stellt sich schon ein wenig die Frage, ob ne Netzwerktrennung wirklich erforderlich ist (solltest Du keine Hacker erwarten). Erwartest Du Hacker, solltest Du sie nicht mit dem LAN-Zugang allein lassen. Dann vielleicht einfach die LAN-Verbindung unterbrechen, solang die Hacker ähh Gäste im Hobbyraum wohnen, und das WLAN separat bereitstellen, z.B. nach in der Zeichnung gezeigter 2-Router-Lösung.
@MichiGrossmann
Es ist eben immer wie es ist, und das bedeutet ein wenig damit auseinander setzen musst
Du Dich schon mit den Sachen.
von einer der unzähligen Anleitungen eines Mitbenutzers namens @aqui.
"Klapps" auf den Arxxx bekommen haben und dann SynACK geschrien haben?
einmal unterscheiden zwischen selber machen für "umme" und etwas kaufen und Geld ausgeben
außerdem kann er ja auch einen bereits fertig geflaschten Router kaufen, das Angebot reicht
da von 30 € über 60 € bis hin zu 100 €, und dann ist DD-WRT schon fix und fertig drauf.
Und zu dem Alix Board mit pfSense hat @aqui eine super Anleitung fertig zum abtippen
hier im Forum parat, und zwar mit Captive Portal für WLAN Gäste,
was sollte daran denn nun zu schwer sein?
So nun mal Butter bei die Fische:
- Was genau ist das für ein Fiberline Router den Du da noch hast, hat der ein Modem integriert?
- Kann der Router als WLAN AP laufen?
- Ist das hier zu schwer für Dich? DD-WRT flaschen
Hier mal ein paar Vorschläge wie ich das lösen würde:
Gruß
Dobby
Es ist eben immer wie es ist, und das bedeutet ein wenig damit auseinander setzen musst
Du Dich schon mit den Sachen.
Aber um ehrlich zu sein habe ich mir das ganze auch nicht so kompliziert vorgestellt!
Iszt es auch nicht nur eben mal ein wenig einlesen und dann von mir aus auch abtippenvon einer der unzähligen Anleitungen eines Mitbenutzers namens @aqui.
Da merke ich auch, dass ich halt doch in vielem Laie bin.
Das war jeder einmal von uns. Oder glaubst Du das wir nach der Geburt alle einen"Klapps" auf den Arxxx bekommen haben und dann SynACK geschrien haben?
Auch das kann man natürlich lösen, aber wenn man sich selbst als Laien bezeichnet,
ist das alles nicht so "mal eben".
Es hat niemand gesagt das er dass zwingend selber machen muss, nur man muss eben auchist das alles nicht so "mal eben".
einmal unterscheiden zwischen selber machen für "umme" und etwas kaufen und Geld ausgeben
Genauso die von Dobby vorgeschlagenen Lösungen mit flashen, alix board, pfsense usw -
kann man alles machen, klar, aber das ist in meinen Augen zu kompliziert für Laien.
Das ist es eben nicht!!! Oder wer glaubst Du flascht jeden Tag 100 Router mittels DD-WRTkann man alles machen, klar, aber das ist in meinen Augen zu kompliziert für Laien.
außerdem kann er ja auch einen bereits fertig geflaschten Router kaufen, das Angebot reicht
da von 30 € über 60 € bis hin zu 100 €, und dann ist DD-WRT schon fix und fertig drauf.
Und zu dem Alix Board mit pfSense hat @aqui eine super Anleitung fertig zum abtippen
hier im Forum parat, und zwar mit Captive Portal für WLAN Gäste,
was sollte daran denn nun zu schwer sein?
So nun mal Butter bei die Fische:
- Was genau ist das für ein Fiberline Router den Du da noch hast, hat der ein Modem integriert?
- Kann der Router als WLAN AP laufen?
- Ist das hier zu schwer für Dich? DD-WRT flaschen
Denn beim Router im Hobbyraum hängt noch ein Client PC dran, der sich am Server anmelden tut.
Per Kabel oder auch per WLAN?Hier mal ein paar Vorschläge wie ich das lösen würde:
Gruß
Dobby
Als Sicherheitsfunktion taugt die Überlegung nicht.
Wenn du es so machst:
DSL --- Modem-Router ---------LAN1 (192.168.22.x) --------- Router WLAN ------ (LAN/WLAN2 192.168.33.x)
dann kommen die aus dem LAN2 ins Internet, wie gewünscht. Aber sie können, wenn sie den IP-Bereich kennen auch des LAN1 durchsuchen.
Umgekehrt kommen die aus dem LAN1 ins Internet, aber ohne einen weiteren Eintrag im Modem-Router (statische Route) nicht ins LAN2.
gut regeln kann man das nur mit Zugriffsrechten zwischen denNetzen oder einem Tunnel von LAN2 auf en Modem-Router.
Bei deiner Beschreibung mit den vielen Dir300 fehlt was. Wenn man den Dir-300 mit WAN anschließt holt er sich via DHCP eine Adresse, macht NAT und alles klappt. Aber der Dir-300 kann auch als AP oder Switch eingesetzt werden....
Gruß
Netman
Wenn du es so machst:
DSL --- Modem-Router ---------LAN1 (192.168.22.x) --------- Router WLAN ------ (LAN/WLAN2 192.168.33.x)
dann kommen die aus dem LAN2 ins Internet, wie gewünscht. Aber sie können, wenn sie den IP-Bereich kennen auch des LAN1 durchsuchen.
Umgekehrt kommen die aus dem LAN1 ins Internet, aber ohne einen weiteren Eintrag im Modem-Router (statische Route) nicht ins LAN2.
gut regeln kann man das nur mit Zugriffsrechten zwischen denNetzen oder einem Tunnel von LAN2 auf en Modem-Router.
Bei deiner Beschreibung mit den vielen Dir300 fehlt was. Wenn man den Dir-300 mit WAN anschließt holt er sich via DHCP eine Adresse, macht NAT und alles klappt. Aber der Dir-300 kann auch als AP oder Switch eingesetzt werden....
Gruß
Netman
HoHoHo,
so nun mal Butter bei die Fische sonst laufen wir wirklich Gefahr und quatschen uns hier tot bzw. zerreden das Thema hier
mal eben so richtig! Also das was ColtSeavers Dir hier vorgeschlagen hat ist wohl eher eine Routerkaskade und die ist dafür
nicht geeignet, auch bei aller Freundschaft nicht, denn wenn Dein besuch und Du Dich einmal streiten und der dreht Deine
Heizung Nachts hoch, dann überhitzt die schnell und die ganze Bude fackelt Dir (Euch) lichterloh ab!!! So also schon mal nicht.
Ebenso wenn ein paar Betrunkene die für Ihr Handeln nicht verantwortlich gemacht werden können, Dein WLAN finden, wird es
diese Nacht eben recht kalt bzw. richtig heiß bei Dir (Euch), also Finger weg davon das man alles so lassen kann und es keine
Probleme gibt wegen der Unterschiedlichen Adressbereiche, das ist Quatsch und funktioniert eben so nicht!
von dem zweiten Netzwerk mit völlig anderen IP Adressen auf jeden Fall auf die Geräte hinter der Fritz!Box.
Lass es einfach sein.
Sag mal bitte was das für eine LAN Verkabelung ist:
- Netzwerkdosen GB LAN Ja oder nein?
- Switche VLAN fähig ja oder nein?
- Traust Du Dir das mit dem DD-WRT "flaschen" zu ja oder nein.
Alles andere ist Augenwischerei und passt hinten und vorne nicht zusammen mit Deinem Sicherheitsbedürfnis und
denke bitte daran wenn Du Kinder hasst, das Euer Haus brennt und jemand zu schaden kommen kann, aber dies hier
ein Forum ist wo sich jeder anmelden kann und das kann auch klein Kalle mit 9 Jahren sein, der Dir hier etwas rät.
Ich schlage Dir vor:
Wenn die Switche VLAN fähig sind, die D-Link Router mit DD-WRT zu flaschen und dann dort auch den enthaltenden
Radius Server zu verwenden um das WLAN abzusichern und wenn mal einer sein Smartphone verloren hat oder Ihr Euch
gestritten habt, kann man das Zertifikat schnell auf blockiert setzen und gut ist es, was aber noch viel wichtiger ist, man
kann VLANs anlegen und damit alles absichern.
Als Alternative könnte man eventuell das Alix Board mit pfSense nehmen und dann damit das enthaltende Captive Portal
mit den Vouchers nutzen, denn dann kann man auch Gruppen anlegen und die haben dann unterschiedliche Zeiten und
wenn diese abgelaufen sind kann keiner mehr das WLAN nutzen. Durch die Anleitung von @aqui brauchst Du das auch
nur abtippen und hast obendrein noch einen kompetenten Ansprechpartner wenn Du fragen hast. Die beiden DIR300 mit
DD-WRT werden dann zu WLAN APs degradiert, das wäre auch eine sichere und feine Sache!!!!!!!!
Gruß
Dobby
P.S. Lass das am besten jemanden machen der sich damit auskennt wenn Du Dir das nicht zutraust, ist ja auch
kein Beinbruch, aber dann bleibt die Photovoltaikanlage und die Heizung wenigstens heile!
so nun mal Butter bei die Fische sonst laufen wir wirklich Gefahr und quatschen uns hier tot bzw. zerreden das Thema hier
mal eben so richtig! Also das was ColtSeavers Dir hier vorgeschlagen hat ist wohl eher eine Routerkaskade und die ist dafür
nicht geeignet, auch bei aller Freundschaft nicht, denn wenn Dein besuch und Du Dich einmal streiten und der dreht Deine
Heizung Nachts hoch, dann überhitzt die schnell und die ganze Bude fackelt Dir (Euch) lichterloh ab!!! So also schon mal nicht.
Ebenso wenn ein paar Betrunkene die für Ihr Handeln nicht verantwortlich gemacht werden können, Dein WLAN finden, wird es
diese Nacht eben recht kalt bzw. richtig heiß bei Dir (Euch), also Finger weg davon das man alles so lassen kann und es keine
Probleme gibt wegen der Unterschiedlichen Adressbereiche, das ist Quatsch und funktioniert eben so nicht!
Liege ich nicht richtig mit der Annahme, dass wenn jetzt ein Router einen komplett anderen Adressbereich hat,
meine Besucher mit Ihren Handys garnicht in meinen Serverbereich kommen?
Nein. Ich habe bei mir eine Routerkaskade mit einer Fritz!Box und dahinter einer Netgear Firewall und ich kommemeine Besucher mit Ihren Handys garnicht in meinen Serverbereich kommen?
von dem zweiten Netzwerk mit völlig anderen IP Adressen auf jeden Fall auf die Geräte hinter der Fritz!Box.
Lass es einfach sein.
Vor allem auch nicht, weil sie den tatsächlichen IP Bereich ja nicht kennen, indem sich der Server befindet.
Das halte ich mal für ein Gerücht!Und meine Besucher würden ja in der Tat nur mit dem Handy online gehen um mal auf Facebook zu schauen oder so.
Hattest Du noch nie Streit mit den Freunden?Und um in den IP Bereich reinzukommen, müssten diese doch auf Ihrem Handy die TCP/IP Einstellungen manuell verändern oder?
Nein das müssten sie nicht sondern das können die einfach so. Probiere es doch einmal aus!Sag mal bitte was das für eine LAN Verkabelung ist:
- Netzwerkdosen GB LAN Ja oder nein?
- Switche VLAN fähig ja oder nein?
- Traust Du Dir das mit dem DD-WRT "flaschen" zu ja oder nein.
Alles andere ist Augenwischerei und passt hinten und vorne nicht zusammen mit Deinem Sicherheitsbedürfnis und
denke bitte daran wenn Du Kinder hasst, das Euer Haus brennt und jemand zu schaden kommen kann, aber dies hier
ein Forum ist wo sich jeder anmelden kann und das kann auch klein Kalle mit 9 Jahren sein, der Dir hier etwas rät.
Ich schlage Dir vor:
Wenn die Switche VLAN fähig sind, die D-Link Router mit DD-WRT zu flaschen und dann dort auch den enthaltenden
Radius Server zu verwenden um das WLAN abzusichern und wenn mal einer sein Smartphone verloren hat oder Ihr Euch
gestritten habt, kann man das Zertifikat schnell auf blockiert setzen und gut ist es, was aber noch viel wichtiger ist, man
kann VLANs anlegen und damit alles absichern.
Als Alternative könnte man eventuell das Alix Board mit pfSense nehmen und dann damit das enthaltende Captive Portal
mit den Vouchers nutzen, denn dann kann man auch Gruppen anlegen und die haben dann unterschiedliche Zeiten und
wenn diese abgelaufen sind kann keiner mehr das WLAN nutzen. Durch die Anleitung von @aqui brauchst Du das auch
nur abtippen und hast obendrein noch einen kompetenten Ansprechpartner wenn Du fragen hast. Die beiden DIR300 mit
DD-WRT werden dann zu WLAN APs degradiert, das wäre auch eine sichere und feine Sache!!!!!!!!
Dobby: Wenn man den Router mit DD-WRT bespielt, kann man dann noch ganz normal den Router über ne Weboberfläche
konfigurieren oder muss man hier mit Codes arbeiten?
Ganz wie Du das möchtest, DD-WRT hat auch eine Weboberfläche.konfigurieren oder muss man hier mit Codes arbeiten?
Gruß
Dobby
P.S. Lass das am besten jemanden machen der sich damit auskennt wenn Du Dir das nicht zutraust, ist ja auch
kein Beinbruch, aber dann bleibt die Photovoltaikanlage und die Heizung wenigstens heile!