Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?
Hallo allerseits,
wie schon aus dem Titel ersichtlich habe ich in unserem kleinen Büro einen Cisco 866VAE-K9 in Betrieb, dessen Konfiguration im Wesentlichen aquis Anleitung "Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss, VPN und IP-TV" (Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV) folgt. Der Router funktioniert bis heute total problemlos, der Anschluß hat eine feste IP.
Firmenintern gibt es eigentlich keinen Grund, die aktuelle Konfiguration zu ändern, allerdings denken wir darüber nach, einen Teil unserer Bandbreite dem in Sichtweite befindlichem Container-Dorf für Flüchlinge via Freifunk (https://freifunk.net) zur Verfügung zu stellen, da es dort keinen Internetzugang gibt.
Da ich alles andere als ein Spezialist für Netztsicherheit bin, frage ich mich allerdings, ob man unser Firmennetz und das über einen Freifunk-Router eingespeiste Netz, das ja den Traffic aus dem und an das Container-Dorf enthält, wirklich 100prozentig voneinander trennen kann, so daß das Firmennetz einerseits von außen weiterhin so sicher bleibt, wie es ist, und daß es andererseits auch von innen über den Zugang des Freifunk-Routers, der seinen Traffic letztendlich ja an den Cisco 866VAE-K9 weiterreicht, nicht angegriffen werden kann. Darüberhinaus würde ich gerne wissen, ob es noch weitere Dinge gibt, die ich beachten sollte.
Freifunk funktioniert, wie ich das bisher verstanden habe, so, daß man über einen offenen WLAN-Hotspot auf das Internet zugreift. Auf dem betreffenden Freifunk-WLAN-Router läuft eine spezielle Sofware, die den gesamten Traffic verschlüsselt und an einen Server im Ausland (z.B. in Schweden) oder an einen Server mit Provider-Status tunnelt.
Die Frage der Störerhaftung und auch die Frage der verminderten Bandbreite möchte ich erstmal außer acht lassen. Zur Störerhaftung scheint es ein positives Gutachten der Stadt München zu geben, bei der Bandbreite gehe ich momentan davon aus, daß sie ausreichend ist.
Ich bedanke mich gleich vorab für die Hilfe.
Herzliche Grüße
Franz
wie schon aus dem Titel ersichtlich habe ich in unserem kleinen Büro einen Cisco 866VAE-K9 in Betrieb, dessen Konfiguration im Wesentlichen aquis Anleitung "Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss, VPN und IP-TV" (Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV) folgt. Der Router funktioniert bis heute total problemlos, der Anschluß hat eine feste IP.
Firmenintern gibt es eigentlich keinen Grund, die aktuelle Konfiguration zu ändern, allerdings denken wir darüber nach, einen Teil unserer Bandbreite dem in Sichtweite befindlichem Container-Dorf für Flüchlinge via Freifunk (https://freifunk.net) zur Verfügung zu stellen, da es dort keinen Internetzugang gibt.
Da ich alles andere als ein Spezialist für Netztsicherheit bin, frage ich mich allerdings, ob man unser Firmennetz und das über einen Freifunk-Router eingespeiste Netz, das ja den Traffic aus dem und an das Container-Dorf enthält, wirklich 100prozentig voneinander trennen kann, so daß das Firmennetz einerseits von außen weiterhin so sicher bleibt, wie es ist, und daß es andererseits auch von innen über den Zugang des Freifunk-Routers, der seinen Traffic letztendlich ja an den Cisco 866VAE-K9 weiterreicht, nicht angegriffen werden kann. Darüberhinaus würde ich gerne wissen, ob es noch weitere Dinge gibt, die ich beachten sollte.
Freifunk funktioniert, wie ich das bisher verstanden habe, so, daß man über einen offenen WLAN-Hotspot auf das Internet zugreift. Auf dem betreffenden Freifunk-WLAN-Router läuft eine spezielle Sofware, die den gesamten Traffic verschlüsselt und an einen Server im Ausland (z.B. in Schweden) oder an einen Server mit Provider-Status tunnelt.
Die Frage der Störerhaftung und auch die Frage der verminderten Bandbreite möchte ich erstmal außer acht lassen. Zur Störerhaftung scheint es ein positives Gutachten der Stadt München zu geben, bei der Bandbreite gehe ich momentan davon aus, daß sie ausreichend ist.
Ich bedanke mich gleich vorab für die Hilfe.
Herzliche Grüße
Franz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292772
Url: https://administrator.de/forum/cisco-866vae-k9-freifunk-vlan-sicher-von-firmen-vlan-trennen-292772.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
10 Kommentare
Neuester Kommentar
Zur Bandbreite:
Freifunk nimmt für gewöhnlich bis zu 8 MBit pro Router in Anspruch, so hat man es mir jedenfall gesagt. Unser Router befindet sich noch im Teststadium daher kann ich zu der Last noch nicht viel sagen.
Zur Trennung der Netze:
Wir haben unseren Freifunk Router auch direkt an unserem WAN Router hängen an einem physischen, dedizierten Port. Ein VLAN sollte meiner Ansicht nach nur bei der Weiterleitung per Switch sinnvoll sein. Des Weiteren sollte der Router nicht aus dem dedizierten Netzwerk für Freifunk heraus administrierbar sein.
Freifunk nimmt für gewöhnlich bis zu 8 MBit pro Router in Anspruch, so hat man es mir jedenfall gesagt. Unser Router befindet sich noch im Teststadium daher kann ich zu der Last noch nicht viel sagen.
Zur Trennung der Netze:
Wir haben unseren Freifunk Router auch direkt an unserem WAN Router hängen an einem physischen, dedizierten Port. Ein VLAN sollte meiner Ansicht nach nur bei der Weiterleitung per Switch sinnvoll sein. Des Weiteren sollte der Router nicht aus dem dedizierten Netzwerk für Freifunk heraus administrierbar sein.
Hallo,
technisch überhaupt kein Problem.
du schliesst den Freifunk Router an eien freien Port des Cisco 886 an, konifugrierst ein eigenständiges VLAN
dann noch ins Routing einbauen und fertig...
brammer
technisch überhaupt kein Problem.
du schliesst den Freifunk Router an eien freien Port des Cisco 886 an, konifugrierst ein eigenständiges VLAN
interface FastEthernet3
description FREIFUNK
switchport access vlan 123
interface Vlan123
description FREIFUNK
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
dann noch ins Routing einbauen und fertig...
brammer
Zitat von @panchon:
An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
Das kommt darauf an. Unser Router kommt zunächst einmal mit "dummen" Ports daher. Wenn ich an zwei Ports zwei Rechner hänge können die nicht miteinander kommunizieren (auch nicht mit dem Internet), es sei denn ich erlaube es ihnen. In sofern brauche ich kein VLAN da unser Freifunk Router an genau so einem Port hängt und "nur" mit dem Internet sprechen darf.An einer Stelle bin ich weiter unsicher. ukulele-7 sagt, ich bräuchte kein eigenes VLAN, brammer hingegen schlägt genau das vor, was auch dem entspricht, was ich mir selbst zusammengereimt habe. Was ist nun richtig?
Das trifft natürlich nicht auf alle Router zu und ich kenne dein Modell auch nicht. Außerdem könnte man die Daten auch über Switche verteilen, in solchen Fällen ist ein VLAN genau richtig.
Zitat von @panchon:
Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Der Freifunk Router baut eine (verschlüsselte) Verbindung zu einem Server im Internet auf und leitet seinen gesammten Verkehr darüber. Der eine Server kennt natürlich deine IP, leitet aber den Datenverkehr mit seiner IP weiter in das (unverschlüsselte) Internet.Eine andere Frage, über die ich mir unsicher bin: Wenn der Freifunk-Traffic über unseren Router verschlüsselt auf einen Server irgendwo im Internet (entweder Provider-Server in D oder ein Server in Nl oder Sw) getunnelt wird, ist dann unsere fest IP-Adresse überhaupt irgendwie nach außen als beteilgt sichtbar, oder muß ich mir darüber keine Gedanken machen?
Richte einen freien Port am Router wie folgt ein:
- Konfiguriere ein Netz mit eingener IP Range
- Richte einen DHCP Server / Range nur auf diesem Port für dieses Netz ein
- Erlaube den Internet Zugriff aus diesem Netz
- Verbiete den Zugriff auf andere lokale Netze aus diesem Netz (ist vermutlich per default gegeben)
- Prüfe mit einem Notebook / Client ob du eine IP bekommst und Internet Zugriff hast
- Prüfe, ob du z.B. durch manuelles ändern der IP Zugriff auf dein Produktivnetz hast, das darf nicht passieren
- Prüfe, ob der Router aus deinem neuen Netz administrierbar ist, das sollte besser nicht der Fall sein
- Ersetze das Testgerät durch den Freifunk Router
Das müsste es meiner Meinung nach gewesen sein.
- Konfiguriere ein Netz mit eingener IP Range
- Richte einen DHCP Server / Range nur auf diesem Port für dieses Netz ein
- Erlaube den Internet Zugriff aus diesem Netz
- Verbiete den Zugriff auf andere lokale Netze aus diesem Netz (ist vermutlich per default gegeben)
- Prüfe mit einem Notebook / Client ob du eine IP bekommst und Internet Zugriff hast
- Prüfe, ob du z.B. durch manuelles ändern der IP Zugriff auf dein Produktivnetz hast, das darf nicht passieren
- Prüfe, ob der Router aus deinem neuen Netz administrierbar ist, das sollte besser nicht der Fall sein
- Ersetze das Testgerät durch den Freifunk Router
Das müsste es meiner Meinung nach gewesen sein.