4
Computer in Domänennetzwerk nur Internetzugriff erlauben
Hallo @all
Ich möchte in einem kleinen Netzwerk mit einer Domäne einigen PC's nur den Zugang ins Internet erlauben und nicht auf andere Resourcen im Netzwerk.
Das muss ich jetzt mal etwas genauer erklären. Ich richte gerade für eine kleine Firma eine Domäne mit einem Windows Server 2008 R2 Foundation ein. Im Netzwerk gibt es die Arbeits-PC's, Access-Points, NAS-Platte und IP-Kameras. In einer kleinen Einliegerwohnung wohnt der Sohnemann. Sein PC soll nicht auf die anderen Geräte zugreifen können, sondern nur ins Internet gehen können. Da auch Freunde vom Sohn das W-Lan mal benutzen, kann ich nicht eine bestimmte MAC-Adresse aussperren. Der Sohn geht auch übers W-Lan ins Netz. Auf die PC's der Domäne hätte er ja sowieso keinen Zugriff, da er kein Mitglied der Domäne ist. Aber er soll auch nicht auf die IP-Kameras oder andere Geräte zugreifen können. Die IP-Kameras sind innerhalb des Netzwerkes frei zugänglich (ohne Benutzername Kennwort) und das sollte möglichst auch so bleiben, damit die Mitarbeiter problemlos darauf zugreifen können. Die Kameras unterstützen natürlich leider auch kein Active Directory.
Meine Idee war, das Netz in 2 Subnetze zu unterteilen. Eines für die Firma und eines für den Sohn. Leider gibt es aber vom Internet Router (eine ältere FritzBox, ich weiß jetzt nicht genau welche) nur ein Netzwerkkabel bis zum Access-Point an dem der Sohn hängt. An diesem Access-Point hängt zusätzlich auch noch eine der W-Lan IP-Kameras und am integrierten Switch ein PC. Eine VLAN-Lösung mit Switch am Router fällt daher leider aus. Die FritzBox kann natürlich auch nur mit einem Subnetz arbeiten und unterstützt nicht 2 Gateway-Adressen. Ich sehe daher keine Möglichkeit mit 2 getrennten Subnetzen zu arbeiten.
Übrigens: Der Acces-Point ist eigentlich ein D-Link Router (DIR-825), welcher sogar ein Gast-W-Lan machen kann. Aber leider routet er das dann nur an seinen eigenen WAN-Anschluss und den nutze ich gar nicht, da ich das Ding nur als Access-Point betreibe.
Ich hoffe das war jetzt nicht zu verwirrend. Um es kurz zu machen: der Sohn (und seine Freunde) sollen nur Internet können und sonst nichts. Hat jemand eine Idee wie ich das kostengünstig lösen Könnte?
Vielen Dank schon mal im Voraus. Bin jetzt erst mal im Wochenende, freue mich aber schon auf Eure Vorschläge am Montag.
LG
Ronny
Das muss ich jetzt mal etwas genauer erklären. Ich richte gerade für eine kleine Firma eine Domäne mit einem Windows Server 2008 R2 Foundation ein. Im Netzwerk gibt es die Arbeits-PC's, Access-Points, NAS-Platte und IP-Kameras. In einer kleinen Einliegerwohnung wohnt der Sohnemann. Sein PC soll nicht auf die anderen Geräte zugreifen können, sondern nur ins Internet gehen können. Da auch Freunde vom Sohn das W-Lan mal benutzen, kann ich nicht eine bestimmte MAC-Adresse aussperren. Der Sohn geht auch übers W-Lan ins Netz. Auf die PC's der Domäne hätte er ja sowieso keinen Zugriff, da er kein Mitglied der Domäne ist. Aber er soll auch nicht auf die IP-Kameras oder andere Geräte zugreifen können. Die IP-Kameras sind innerhalb des Netzwerkes frei zugänglich (ohne Benutzername Kennwort) und das sollte möglichst auch so bleiben, damit die Mitarbeiter problemlos darauf zugreifen können. Die Kameras unterstützen natürlich leider auch kein Active Directory.
Meine Idee war, das Netz in 2 Subnetze zu unterteilen. Eines für die Firma und eines für den Sohn. Leider gibt es aber vom Internet Router (eine ältere FritzBox, ich weiß jetzt nicht genau welche) nur ein Netzwerkkabel bis zum Access-Point an dem der Sohn hängt. An diesem Access-Point hängt zusätzlich auch noch eine der W-Lan IP-Kameras und am integrierten Switch ein PC. Eine VLAN-Lösung mit Switch am Router fällt daher leider aus. Die FritzBox kann natürlich auch nur mit einem Subnetz arbeiten und unterstützt nicht 2 Gateway-Adressen. Ich sehe daher keine Möglichkeit mit 2 getrennten Subnetzen zu arbeiten.
Übrigens: Der Acces-Point ist eigentlich ein D-Link Router (DIR-825), welcher sogar ein Gast-W-Lan machen kann. Aber leider routet er das dann nur an seinen eigenen WAN-Anschluss und den nutze ich gar nicht, da ich das Ding nur als Access-Point betreibe.
Ich hoffe das war jetzt nicht zu verwirrend. Um es kurz zu machen: der Sohn (und seine Freunde) sollen nur Internet können und sonst nichts. Hat jemand eine Idee wie ich das kostengünstig lösen Könnte?
Vielen Dank schon mal im Voraus. Bin jetzt erst mal im Wochenende, freue mich aber schon auf Eure Vorschläge am Montag.
LG
Ronny
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135301
Url: https://administrator.de/contentid/135301
Printed on: April 24, 2024 at 08:04 o'clock
4 Comments
Latest comment
Hallo,
1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.
2. Notfalls kannst Du direkt hinter den ersten Router einen zweiten WLAN-Router hängen und diesen Adressen aus einem anderen IP-Adress-Bereich verteilen bzw. nutzen lassen.
1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.
2. Notfalls kannst Du direkt hinter den ersten Router einen zweiten WLAN-Router hängen und diesen Adressen aus einem anderen IP-Adress-Bereich verteilen bzw. nutzen lassen.
Zitat von @FishersFritz:
Hallo,
1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die
beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.
Hallo,
1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die
beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.
Es wäre auch kostenmäßig ein guter Punkt
So teuer sind die Anschlüsse auch nicht mehr.
Oder ist er ein Leecher das er eine so große Bandbreite benötigt?
Dann erst recht nicht!
Ist auch eine rechtliche Sache:
Wenn der Sohnemann was illegales saugt, und unter uns, wer hat in dem Alter sowas nicht gemacht?
Dann ist der Anschluss-INHABER dafür haftbar.
Und das wäre in dem Fall die Firma!!
Nehmen wir mal ein einfaches Szenario:
Der Sohn, oder einer seiner Freunde, saugt sich mit dem Anschluss MP3s.
Das wird per Zufall entdeckt.
Ich glaube wenn der Rechtsanwalt der "ihn" verklagt mitkriegt, das dahinter eine florierende Firma steht, sieht der Streitwert bzw die Entschädigung ganz anders aus als wenn es um einen Jugendlichen geht der nicht schon einen berühmten Namen wie Rockefeller trägt..
Just my cent
"Sohn Netzwerk" per Firewall und oder VLAN abtrennen. Ggf. Hotspot Lösung verwenden um zu prüfen wo er sich im Internet tummelt:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
oder
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eigentlich ein Kinderspiel....
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
oder
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eigentlich ein Kinderspiel....
Vielen Dank erst einmal für eure schnellen Antworten.
@FishersFritz
natürlich ist das sicherheitstechnisch schlecht. Deswegen suche ich ja nach einer Möglichkeit den Sohn auszugrenzen. Und das seine Freunde das Netzwerk mitbenutzen kann ich nur über zugelassene MAC-Adressen am Access-Point verhindern, was ich wohl auch machen werde. Ein separater Internetanschluss ist mit Sicherheit das Beste, aber wie das in kleinen Familienunternehmen nun mal so ist, muss immer auf die Kosten geachtet werden und von daher ist es doch OK wenn tagsüber die Firma den DSL-Anschluss nutzt und Abends der Sohn.
@TomTomBon
wegen der Haftung stimme ich Dir voll zu. Aber ich kann auch nur darauf hinweisen, ansonsten muss ich die Vorgabe aber umsetzen und dann kann ich nur sehen, dass ich das Beste daraus mache.
@aqui
Die Lösung hatte ich auch schon gesehen. Leider hapert es etwas an der (kostengünstigen) Umsetzung. Im einfachsten Fall würde ich ein statisches VLAN aufbauen. Das scheitert aber daran, dass es vom Port des Haupt-Switch (im Moment ein ganz normaler nicht managebarer) zum Accespoint nur ein Netzwerkkabel gibt und an dem Accesspoint auch Firmengeräte dranhängen. Und für ein tagged VLAN müsste ich diverse Hardware (kleine einfache 5-fach Switche und den Accesspoint) zwischendurch austauschen. Dann der zwar kostengünstige aber zusätzliche PC. Alles in allem ein zu großer Aufwand um den Sohn aus dem kleinen Netzwerk auszusperren.
Als Lösung werde ich folgendes probieren:
Den jetzigen als Accesspoint verwendeten Router DIR-825 werde ich direkt zum DSL-Anschluss umsetzen und dort als Router verwenden. Ich hoffe, dass die W-Lan Reichweite von dem Standort bis zum Sohn auch funktioniert. Die Fritzbox wird dann nur noch als DSL-Modem genutzt. Der Router kann wie bereits gesagt ein Gast W-Lan machen und dieses nur zum WAN-Port routen. damit habe ich dann alles was über dieses Gast W-Lan geht vom restlichen Netzwerk getrennt. Das werde ich nächste Woche mal ausprobieren.
Vielen Dank für eure Hilfe.
Gruß
Ronny
@FishersFritz
natürlich ist das sicherheitstechnisch schlecht. Deswegen suche ich ja nach einer Möglichkeit den Sohn auszugrenzen. Und das seine Freunde das Netzwerk mitbenutzen kann ich nur über zugelassene MAC-Adressen am Access-Point verhindern, was ich wohl auch machen werde. Ein separater Internetanschluss ist mit Sicherheit das Beste, aber wie das in kleinen Familienunternehmen nun mal so ist, muss immer auf die Kosten geachtet werden und von daher ist es doch OK wenn tagsüber die Firma den DSL-Anschluss nutzt und Abends der Sohn.
@TomTomBon
wegen der Haftung stimme ich Dir voll zu. Aber ich kann auch nur darauf hinweisen, ansonsten muss ich die Vorgabe aber umsetzen und dann kann ich nur sehen, dass ich das Beste daraus mache.
@aqui
Die Lösung hatte ich auch schon gesehen. Leider hapert es etwas an der (kostengünstigen) Umsetzung. Im einfachsten Fall würde ich ein statisches VLAN aufbauen. Das scheitert aber daran, dass es vom Port des Haupt-Switch (im Moment ein ganz normaler nicht managebarer) zum Accespoint nur ein Netzwerkkabel gibt und an dem Accesspoint auch Firmengeräte dranhängen. Und für ein tagged VLAN müsste ich diverse Hardware (kleine einfache 5-fach Switche und den Accesspoint) zwischendurch austauschen. Dann der zwar kostengünstige aber zusätzliche PC. Alles in allem ein zu großer Aufwand um den Sohn aus dem kleinen Netzwerk auszusperren.
Als Lösung werde ich folgendes probieren:
Den jetzigen als Accesspoint verwendeten Router DIR-825 werde ich direkt zum DSL-Anschluss umsetzen und dort als Router verwenden. Ich hoffe, dass die W-Lan Reichweite von dem Standort bis zum Sohn auch funktioniert. Die Fritzbox wird dann nur noch als DSL-Modem genutzt. Der Router kann wie bereits gesagt ein Gast W-Lan machen und dieses nur zum WAN-Port routen. damit habe ich dann alles was über dieses Gast W-Lan geht vom restlichen Netzwerk getrennt. Das werde ich nächste Woche mal ausprobieren.
Vielen Dank für eure Hilfe.
Gruß
Ronny
