mausemuckel
Goto Top

AP mit Layer 2

Guten Abend @all.

Ich habe hier einen Wlan - AP NWA1123-AC Pro von Zyxel. In diesem kann ich für eine SSID Layer 2 aktivieren. Meine Frage: Reicht Layer 2 um das Wlan_Netzwerk sicher vom übrigen LAN_Netzwerk zu trennen und einen Zugriff auf mein privates Netzwerk auszuschliessen ?

Danke Mit freundlichen Grüßen

Content-ID: 400272

Url: https://administrator.de/contentid/400272

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Pjordorf
Lösung Pjordorf 03.02.2019 um 00:03:48 Uhr
Goto Top
Hallo,

Zitat von @mausemuckel:
Ich habe hier einen Wlan - AP NWA1123-AC Pro von Zyxel. In diesem kann ich für eine SSID Layer 2 aktivieren. Meine Frage: Reicht Layer 2 um das Wlan_Netzwerk sicher vom übrigen LAN_Netzwerk zu trennen und einen Zugriff auf mein privates Netzwerk auszuschliessen ?
Und wir sollen uns dein Netzaufbau und welche Gerätschaften wo und wie was machen/ tun einfach selbst ausdenken? Wenn du keine vLANs oder sonstiuge Netztrennungen haszt kann jeder mit jedem.

Gruß,
Peter
mausemuckel
mausemuckel 03.02.2019 aktualisiert um 00:16:18 Uhr
Goto Top
Ich bin zu Hause am Testen. Als Router eine FB ein NAS , 2 PC und ein Netzwerkdrucker alles im selben IP Bereich. Der AP bekommt IP via DHCP. Wenn ich Layer2 im AP aktiviere kann ich weder auf das NAS noch auf den Drucker aus dem WLAN zugreifen obwohl selber IP Bereich. Internet geht. Wenn ich es deaktiviere dann klappt der Netzwerkzugriff auf das NAS via WLAN wieder. Daher meine Frage.
Pjordorf
Lösung Pjordorf 03.02.2019 aktualisiert um 00:40:43 Uhr
Goto Top
Hallo,

Zitat von @mausemuckel:
Wenn ich Layer2 im AP aktiviere kann ich weder auf das NAS noch auf den Drucker aus dem WLAN zugreifen obwohl selber IP Bereich. Internet geht. Wenn ich es deaktiviere dann klappt der Netzwerkzugriff auf das NAS via WLAN wieder. Daher meine Frage.
Du hast ein entscheidendes Wort vergessen, oder? Steht dort nicht Layer-2 isolation? Und was Layer2 Isolation ist kannst du hier nachlesen. Damit kann keiner im WLAN die anderen WLAN Clients im sekben IP Nert sehen oder darauf zugreifen. Ist in manchen Umgebungen (Öffentlicher Hotspot usw. sehr sinnvol. In dein Heimnetzwerk eher hinderlich und würde man nur für ein Gastnetz auch aktivieren. Und da dein Zyxel MSSID fähig ist, wirst du vLANs einbrichten müssen damit es klappt. Bedenke, deine Fritte kann weder vLAN noch mehr als ein Netz (ausser ihr eigenes Gastnetz). Ohne zusätzlichen Router bzw. Firwall mit L3 fähigkeiten solltest du also Layer2- Isolation einfach aus lassen.
Falls dort was anderes als Layer-2 Isolation gemeint ist, dann weiss ich es nicht.

PS. Sollte aber auch in dein zum AP gehörendes Handbuch stehen...oder im Zyxel Forum oder einfach mal im Internet Suchen face-smile

Gruß,
Peter
mausemuckel
mausemuckel 03.02.2019 um 09:14:30 Uhr
Goto Top
Sorry, ja da steht Layer 2 Isolation, Ache auf mein Haupt. Und ja die AP sollen bewusst den Rest nicht sehen, nur Internet.
aqui
Lösung aqui 03.02.2019 aktualisiert um 11:23:32 Uhr
Goto Top
Layer 2 Isolation nennt sich auch WLAN Isolation oder Client Isolation. Wie der Name schon selber sagt unterdrückt es Broadcast Frames an Clients und forwardet diese nur auf den Bridge Port der mit dem lokalen LAN verbunden ist.
Was das bewirkt ist das WLAN Clients untereinander nicht mehr kommunizieren können, sondern nur mit mit dem am LAN Port angeschlossenen Netzwerk.
Quasi eine Unterbindung der Client zu Client Kommunikation in einem WLAN. Üblicherweise aktiviert man sowas z.B. in Gäste WLANs das sich Gäste untereinander z.B. nicht attackieren können. Alles was im LAN ist siehst du also dann schon.
Im reinen LAN Umfeld nennt man das auch PVLAN = Private VLAN.
Ist eine simple Standard Funktion auf einem WLAN AP.
Siehe dazu auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
mausemuckel
mausemuckel 04.02.2019 um 09:23:02 Uhr
Goto Top
So Problem gelöst. Danke für die Infos