aturdent
Goto Top

Benötige Hilfe beim Aufsetzen eines Gäste WLANs

Hallo,

ich möchte ein Gäste WLAN aufsetzen. Die Nutzer dieses WLANs sollen jedoch nicht auf mein NAS zugreifen können. Leider gelingt mir das nicht.

Meine Geräte sehen wie folgt aus:

Router inkl. ADSL-Modem: Fritzbox 3370, IP xxx.xxx.xxx.1
Switch: Cisco SG200-26P
NAS: Buffalo Linkstation Duo, IP xxx.xxx.xxx.2
WLAN Access Point: Cisco WAP321, IP xxx.xxx.xxx.3
PC, IP xxx.xxx.xxx.4

Router, NAS und WLAN SP und PC hängen jeweils direkt per LAN-Kabel am Switch. Der Router natürlich noch zusätzlich am DSL-Anschluss.

So soll es aussehen:
WLAN 1: Mein_Netz (Vollzugriff auf Internet und NAS)
WLAN 2: Gast_Netz (Nur Zugriff auf Internet, KEIN Zugriff aus das NAS)

Wie kann ich dies bewerkstelligen?

Ich würde mich über jede konkrete Hilfe freuen, da ich nun bereits seit Monaten daran rumdoktere aber es einfach nicht hinbekommen. Die Fritzbox hat übrigens genau so eine Funktion. Dort kann mein einfach ein Gäste WLAN aktivieren und dabei ankreuzen, dass dieses nur das Internet nutzen kann, den Rest vom Netzwerk (also auch das NAS) aber nicht sehen kann. Leider kann ich das WLAN der Fritzbox aber nicht benutzen, weil diese im Keller steht. Stattdessen muss das über den Cisco WPA 321 laufen.

Vielen Dank schon mal !!!!!

Grüße,

Sebastian

Content-ID: 267298

Url: https://administrator.de/forum/benoetige-hilfe-beim-aufsetzen-eines-gaeste-wlans-267298.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

rzlbrnft
rzlbrnft 24.03.2015 aktualisiert um 23:47:45 Uhr
Goto Top
Die Fritzbox ist ein Consumer Gerät, die Funktionen sind so einfach wie möglich gehalten, daher kann die auch nur das WLAN segmentieren, nicht aber den Switch. Da bräuchtest entweder einen Business Router der VLans kann oder du hängst Repeater dazwischen um das WLAN der Fritzbox zu verlängern.

Warum aber patcht du nicht einfach das ADSL dahin wo du es brauchst und hängst dann die Fritzbox da dran?
Kabel Verbindungen in den Raum wo das WLAN sein soll hast du ja offensichtlich sonst könntest du den Access Point und Switch ja nicht dranhängen.
Aturdent
Aturdent 25.03.2015 um 09:43:25 Uhr
Goto Top
Hallo rzlbrnft,

aber die Fritzbox spielt doch bei der ganzen Geschichte gar keine Rolle, oder? Ich möchte ja nicht den Internetzugang für das Gast-WLAN einschränken, sondern den Zugriff auf das NAS. Das NAS hängt aber direkt am CISCO-Switch, nicht an der Fritzbox (bzw. an deren internen Switch). Da habe ich mich oben nicht ganz eindeutig ausgedrückt. Also müsste die Konfiguration für das gewünschte Verhalten doch auf dem WLAN AP (Cisco WAP321) und/oder dem Cisco-Switch (SG200-26P) stattfinden, oder?

Ich hoffe das war nicht zu verwirrend...

Grüße,

Sebastian
Kalle2013
Kalle2013 25.03.2015 um 10:37:36 Uhr
Goto Top
Dein NAS hat eine Verbindung zur Fritzbox, und das Gast-WLAN auch. Somit sind alle Systeme miteinander verbunden und sehen sich auch, insbesondere da alle Systeme im gleichen Netz mit der gleichen Netmask laufen.
Es ist also notwendig, die Netze logisch zu trennen und z.B. per VLAN oder Firewall-Regeln zu begrenzen. VLAN kann die FB nicht.
aqui
aqui 25.03.2015 aktualisiert um 10:46:13 Uhr
Goto Top
Hier kannst du haarklein nachlesen WIE man professionell ein Gäste LAN oder WLAN aufsetzt:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Eine VLAN basierte Installation ist hier im Kapitel "Praxisbeispiel" erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Das sollte alle Fragen zu dem Thema umfassend beantworten.
Die FritzBox Gast LAN funktion hebelt ein pfiffiger Gast innerhalb Sekunden aus. Solche Gast Installationen in Routern ist eher Spielerei aber nicht wirklich sicher.
Außerdem biten sie keine Absicherung gegen die in D wichtige und rechtlich relevante Störer Haftung !
rzlbrnft
rzlbrnft 25.03.2015 aktualisiert um 15:52:08 Uhr
Goto Top
Zitat von @aqui:
Die FritzBox Gast LAN funktion hebelt ein pfiffiger Gast innerhalb Sekunden aus.

Sicher? Meines Wissens ist das eine einfache Stateful Inspection Firewall die die Pakete auf die WAN Schnittstelle durchlässt, aber nicht auf die LAN Schnittstelle, die sollte normalerweise nicht so leicht aushebelbar sein.
Ich ging jetzt davon aus das der OP ein WLAN für seine Kumpels bereitstellen will ohne das die Schabernack treiben, für sowas reicht die Fritzbox dann schon aus.

Für alles andere braucht man natürlich ein ordentliches Gerät was auch selber VLAN kann.
aqui
aqui 25.03.2015 aktualisiert um 17:46:01 Uhr
Goto Top
Nein, das wird intern nur über eine VLAN Funktion separiert. Firewall ist da gar nicht involviert.
Ich ging jetzt davon aus das der OP ein WLAN für seine Kumpels bereitstellen will ohne das die Schabernack treiben, für sowas reicht die Fritzbox dann schon aus.
Nein, das kann die niemals leisten. Allein wenn die das Passwort weitergeben hat er ein problem mit der Störerhaftung.
Mit der FB hast du auch keinerlei Optionen auf ein User Tracking.
Wenn die "Schabernack" treiben ist er rechtlich voll verantwortlich und kann nichtmal Ross und Reiter nennen.
Das ist also Spielkram und nicht wasserdicht.
Für alles andere braucht man natürlich ein ordentliches Gerät was auch selber VLAN kann.
Nein, nicht unbedingt. Es reicht nur ein separates Interface an der Firewall das das Netz sicher trennt mit Firewall Regeln. Außerdem ein User Tracking so das man wenigstens mit einem CP und Einmalpasswort arbeiten sollte und die User per Syslog speichert um clean zu sein.