Gäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-Bereich
Hallo Netzerk-Admins,
wir sind ein Zen-Buddhistisches Studienzentrum mit einer "kleinen" IT und haben uns mittlerweile räumlich vergrößert, was zur Folge hat, dass die gesamte IT ebenfalls größer wird. Ich selbst (Oliver) bin für die gesamte IT dort zuständig und auch soweit ganz fit im IP-Bereich, Vernetzung, Server, Switches etc. Allerdings bin ich jetzt auf ein Problem gestoßen, dass ich nicht alleine Lösen kann und in dem Punkt Eure Hilfe benötige. Es ist vermutlich ganz einfach, wenn man weiß wo man was einstellen muss...
Ziel:
Gäste/Seminarteilenhmer sollen ins Internet kommen können, aber "getrennt" von den ganzen Office-Geräten und Office-Mitarbeitern werden, sodass die Gäste zwar über dieselbe Netzwerk-Infrastruktur gehen, aber NICHT mehr auf die ganzen Drucker, NAS, Switches, Router, etc. des Büros und der IT-Administration zugreifen, bzw. diese auch nicht mehr sehen können.
Netzaufbau:
Gesamter IP-Bereich: 192.168.0.0/21
Subnetz-Maske: 255.255.248.0
DHCP IP-Bereich Gaeste: 192.168.2.1 - 192.168.2.254 (automatisch)
DHCP IP-Bereich Office: 192.168.3.1 - 192.168.3.254 (manuell)
Gateway/Router/DNS-Server: 192.168.3.1
Zentraler 28-Port Switch: D-Link DGS-1210-28 mit fester IP 192.168.3.10
WLAN: ASUS Mesh-WLAN mit 5 Geräten (AccessPoint) - Boss-IP 192.168.3.20
Was ich machen möchte:
Da ALLE Geräte in dem Seminarhaus dieselbe Netzwerk-Infrastruktur nutzen, muss ich am D-Link DGS1210 Switch (wo alle "Fäden" zusammenlaufen) doch etwas einstellen können, um den gesamten IP-Verkehr der Gäste (192.168.2.1 - 192.168.2.254) nur noch auf die IP-Adresse des Gateways (192.168.3.1) zuzulassen. Alle anderen IP-Adressen sollen blockiert werden, die Gäste dürfen nur noch auf die 192.168.3.1 zugreifen um damit ins Internet zu kommen.
Problematik:
Ich weiss nicht WIE ich das in dem D-Link DGS-1210 Switch machen soll. Das ist ein professioneller Switch mit Layer2 und Layer3 Funktionen, auch ACL ist mit an Bord. Vielleicht gibt es aber auch eine andere Möglichkeit dieses Setting zu realisieren? In den AccessPoints das separate Gäste-WLAN zu aktivieren nützt nichts, da diese Geräte nur als "dumme" APs konfiguriert sind. Das Gäste-WLAN wird schon aktiviert und man kann es auch benützen, aber man kann trotzdem auf ALLE Geräte nach wie vor zugreifen. Die Funktionalität Gäste vom restlichen IP-Verkehr zu trennen geht im AP-Modus nicht!
Ich wäre den Profis unter Euch sehr dankbar, wenn ich da eine Lösung hinbekommen würde.
Gruß,
Oliver
wir sind ein Zen-Buddhistisches Studienzentrum mit einer "kleinen" IT und haben uns mittlerweile räumlich vergrößert, was zur Folge hat, dass die gesamte IT ebenfalls größer wird. Ich selbst (Oliver) bin für die gesamte IT dort zuständig und auch soweit ganz fit im IP-Bereich, Vernetzung, Server, Switches etc. Allerdings bin ich jetzt auf ein Problem gestoßen, dass ich nicht alleine Lösen kann und in dem Punkt Eure Hilfe benötige. Es ist vermutlich ganz einfach, wenn man weiß wo man was einstellen muss...
Ziel:
Gäste/Seminarteilenhmer sollen ins Internet kommen können, aber "getrennt" von den ganzen Office-Geräten und Office-Mitarbeitern werden, sodass die Gäste zwar über dieselbe Netzwerk-Infrastruktur gehen, aber NICHT mehr auf die ganzen Drucker, NAS, Switches, Router, etc. des Büros und der IT-Administration zugreifen, bzw. diese auch nicht mehr sehen können.
Netzaufbau:
Gesamter IP-Bereich: 192.168.0.0/21
Subnetz-Maske: 255.255.248.0
DHCP IP-Bereich Gaeste: 192.168.2.1 - 192.168.2.254 (automatisch)
DHCP IP-Bereich Office: 192.168.3.1 - 192.168.3.254 (manuell)
Gateway/Router/DNS-Server: 192.168.3.1
Zentraler 28-Port Switch: D-Link DGS-1210-28 mit fester IP 192.168.3.10
WLAN: ASUS Mesh-WLAN mit 5 Geräten (AccessPoint) - Boss-IP 192.168.3.20
Was ich machen möchte:
Da ALLE Geräte in dem Seminarhaus dieselbe Netzwerk-Infrastruktur nutzen, muss ich am D-Link DGS1210 Switch (wo alle "Fäden" zusammenlaufen) doch etwas einstellen können, um den gesamten IP-Verkehr der Gäste (192.168.2.1 - 192.168.2.254) nur noch auf die IP-Adresse des Gateways (192.168.3.1) zuzulassen. Alle anderen IP-Adressen sollen blockiert werden, die Gäste dürfen nur noch auf die 192.168.3.1 zugreifen um damit ins Internet zu kommen.
Problematik:
Ich weiss nicht WIE ich das in dem D-Link DGS-1210 Switch machen soll. Das ist ein professioneller Switch mit Layer2 und Layer3 Funktionen, auch ACL ist mit an Bord. Vielleicht gibt es aber auch eine andere Möglichkeit dieses Setting zu realisieren? In den AccessPoints das separate Gäste-WLAN zu aktivieren nützt nichts, da diese Geräte nur als "dumme" APs konfiguriert sind. Das Gäste-WLAN wird schon aktiviert und man kann es auch benützen, aber man kann trotzdem auf ALLE Geräte nach wie vor zugreifen. Die Funktionalität Gäste vom restlichen IP-Verkehr zu trennen geht im AP-Modus nicht!
Ich wäre den Profis unter Euch sehr dankbar, wenn ich da eine Lösung hinbekommen würde.
Gruß,
Oliver
Please also mark the comments that contributed to the solution of the article
Content-ID: 669284
Url: https://administrator.de/contentid/669284
Printed on: December 7, 2024 at 18:12 o'clock
20 Comments
Latest comment
Du kannst das "einfach" machen, indem du den Speedport durch eine Fritzbox ersetzt. Die haben integrierte Gastnetzwerke (LAN und WLAN). Wlan ist ein dedizierter Punkt, Lan findetr man in den Einstellungen und läuft über Lan-Port 4.
Oder aber du schaust dir grundlegend mal die Anleitungen von @aqui an
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Der wird aber sowieso bald auftauchen. Da bist du gut aufgehoben.
Oder aber du schaust dir grundlegend mal die Anleitungen von @aqui an
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Der wird aber sowieso bald auftauchen. Da bist du gut aufgehoben.
Die Gäste haben welche Netzmaske, wenn sie aus dem DHCP-Scope eine Adresse bekommen haben?
Eine solch einfaches Setup wird ebenfalls HIER im Detail beschrieben.
Hat den Vorteil das du in der steuernden Firewall gleich ein Captive Portal für die Gäste mit Einmalpassword hast um auch rechtlich sicher zu sein.
Hat den Vorteil das du in der steuernden Firewall gleich ein Captive Portal für die Gäste mit Einmalpassword hast um auch rechtlich sicher zu sein.
Sehr ungünstiges Design. Kann man machen, aber macht alles für immer unnötig kompliziert und fehleranfällig.
192.168.x.y ist ohnehin ungünstig.
Wie wäre es mit 10.255.248.0/21 für deine internen Zwecke. Kannst Du dann in viele kleine Netze zerteilen.
Für deine Gäste vielleicht auch was aus dem Bereich 10.x.y.z oder 172.x.y.z?, oder auch im 192.16.x.y.
Nach Möglichkeit so gewählt, dass die Wahrscheinlichkeit gering ist, dass es wer anders nutzt. also 192.168.0.0/23 und 192.168.178.0/24 sind völlig verbrannt.
Wie wäre es mit 10.255.248.0/21 für deine internen Zwecke. Kannst Du dann in viele kleine Netze zerteilen.
Für deine Gäste vielleicht auch was aus dem Bereich 10.x.y.z oder 172.x.y.z?, oder auch im 192.16.x.y.
Nach Möglichkeit so gewählt, dass die Wahrscheinlichkeit gering ist, dass es wer anders nutzt. also 192.168.0.0/23 und 192.168.178.0/24 sind völlig verbrannt.
Moin @OliverX
für den Zweck benötigt man einen sogenannten MultiLANRouter, also einen Router, der mehrere unabhängige Netze (WLANs) aufspannen kann. Mit einer Fritzbox ist das nur bedingt möglich.
Kreuzberger
für den Zweck benötigt man einen sogenannten MultiLANRouter, also einen Router, der mehrere unabhängige Netze (WLANs) aufspannen kann. Mit einer Fritzbox ist das nur bedingt möglich.
Kreuzberger
Moinsen,
Ich denke, dass der link, den @aqui gepostet hat, die "bessere" Lösung darstellt...
Für die Ansprüche sollte auch günstige Hardware ausreichen...
Zb die im link erwähnte pfsense oder opensense, dazu dann (ja, ich weiß...;)) fürs wlan einen einfachen unifi AP, die strahlen 4 Netze aus. Hinter die *sense einen l2 managed switch (mit PoE für den AP).
Damit kannst dann sowohl getrennte WLAN Netze anbieten als auch das LAN unterteilen, wenn benötigt.
Die *sense regelt die Netztrennung (Firewallregeln) sowie dhcp, dns und auch vpn und ist IMHO leichter zu pflegen, als mit l3 switch und ACLs.
Langfristig bleibt damit alles recht einfach zu administrieren und überschaubar, bietet aber deutlich mehr Optionen als der derzeitige Ansatz...
Jm2c
PS.
Ouch, gerade gesehen, dass die Frage an die Profis zielte...das bin ich nicht. Hoffe, es dient trotzdem der Entscheidungsfindung... ;)
Ich denke, dass der link, den @aqui gepostet hat, die "bessere" Lösung darstellt...
Für die Ansprüche sollte auch günstige Hardware ausreichen...
Zb die im link erwähnte pfsense oder opensense, dazu dann (ja, ich weiß...;)) fürs wlan einen einfachen unifi AP, die strahlen 4 Netze aus. Hinter die *sense einen l2 managed switch (mit PoE für den AP).
Damit kannst dann sowohl getrennte WLAN Netze anbieten als auch das LAN unterteilen, wenn benötigt.
Die *sense regelt die Netztrennung (Firewallregeln) sowie dhcp, dns und auch vpn und ist IMHO leichter zu pflegen, als mit l3 switch und ACLs.
Langfristig bleibt damit alles recht einfach zu administrieren und überschaubar, bietet aber deutlich mehr Optionen als der derzeitige Ansatz...
Jm2c
PS.
Ouch, gerade gesehen, dass die Frage an die Profis zielte...das bin ich nicht. Hoffe, es dient trotzdem der Entscheidungsfindung... ;)
Wie wäre es denn besser?
Die Subnetzmaske spielt für dein eigentliches Setup mit 2 getrennten Netzwerksegmenten keinerlei Rolle. Das ist eher eine kosmetische Diskussion die nicht mit dem eigentlichen Design zu tun hat.Ob du in dem Segment 256 Endgeräte oder wie bei dir 2048 adressieren kannst (oder willst) ist für dein ToDo doch erstmal völlig irrelevant!
Ich verstehe nicht, warum niemand auf die Funktion der IP-Filterung des D-Link Switches eingeht.
Du hast Recht, das ist natürlich auch eine mögliche Lösung!Du setzt dann damit ein Layer 3 VLAN Konzept um wie es HIER im Detail mit bunten Bildern beschrieben ist.
Rein funktional ist das ein gangbarer Weg und löst deine Anforderung ebenso. Es hat aber ein paar kosmetische Nachteile:
- Layer 3 Accesslisten auf einem Switch sind im Gegensatz zu einer Firewall nicht stateful. Wenn du damit leben kannst, kein Problem.
- Der D-Link hat keine Captive Portal Funktion wie z.B. ein Mikrotik Switch u.a. über die du Gäste kontrolliert und mit einem Einmalpasswort authorisiert ins Netz lässt. Das ist insofern rechtlich zwingend, denn bei einer möglichen Straftat die über so einen privaten Anschluß begangen wird (Funk kann man nicht einsperren!) bist du als Vertragspartner zur Mitaufklärung verpflichtet um nicht auch strafrechtlich mit einer Teilschuld belangt werden zu können. Das Mindeste was hier gefordert wird ist ein Tracking der Client Mac Adressen. Mit einem einfachen Adressfilter und diesen auf dem D-Link fehlenden Features sind solche Dinge nicht möglich. Letztlich natürlich immer eine Frage wie du und das Zentrum solche rechtlichen Anforderungen selbst für euch bewertet und relevant haltet.
Ja, wenn das .2.0er Netz ein externes IP Netz ist was NICHT direkt am Switch angeschlossen ist. Direkt am Switch angeschlossenen Netze benötigen natürlich keine Route, denn die "kennt" der L3 Switch logischerweise selber.
Eine kleine Topologieskizze würde ggf. allen etwas helfen dein geplantes IP Design genau zu verstehen.
Eine kleine Topologieskizze würde ggf. allen etwas helfen dein geplantes IP Design genau zu verstehen.
Hallo
Ich glaube, dass die meisten die Vorgehensweise einen großen IP-Adressraum zu schaffen und nachträglich "Mauern" zwischen den IP-Bereichen einzuziehen, nicht als die eleganteste Lösung ansehen.
Dein IP-Adresskreis ist 192.168.0.0/21, d. h. die IPs für die Clients gehen von 192.168.0.1 bis 192.168.7.254 . In diesem großen Adresskreis hast du logische Bereiche definiert, in die du deine Gäste (192.168.2.1 - 192.168.2.254) und die Office-Geräte (192.168.3.1 - 192.168.3.254) sortierst. Das ist in erster Linie nur eine gedankliche Trennung, keine netzwerktechnische! Im Prinzip - und das möchtest du ja zurecht ändern - kann jedes Gerät mit jedem anderen kommunizieren, egal ob Gast oder Office. Selbst wenn du nun IP-Filter zur Trennung einbaust, werden sich die Geräte immer noch über die gemeinsame Broadcast-Adresse 192.168.7.255 ("an alle hier im Netzwerk") erreichen können. Zumal du die Trennung auf Layer 3 ("IP-Adressen") ausführen willst - auf Layer 2 ("MAC-Adressen") sehen sich die Geräte weiterhin. Um jetzt auch auf Layer 2 die Geräte zu trennen, musst du dann über Mechanismen wie "Client Isolation" oder "Private VLAN" nachdenken.
Als Netzwerker möchte man es einfach haben ("KISS-Prinzip") und legt für jede "Gruppe gleichartiger Clients", bei dir sind das die Gäste und das Office, einen separates Netzwerk an. Zwischen den Netzwerken wird geroutet. Wenn fürs Routing dann noch eine Firewall eingesetzt wird, kannst du genau steuern, wer auf welches andere Netz zugreifen darf oder nicht.
Für eine saubere Trennung auf Layer 2 und Layer 3 nach dem OSI-Modell wird jedem L2-Netz (per VLAN) genau ein L3-Netz (IP-Adresskreis) zugewiesen, bspw.
Wenn du größere Netze brauchst, weil du pro Netz mehr als 254 Geräte hast (obwohl eine Netzwerker-Faustregel besagt, nicht mehr als ~150 Clients in ein Netz zu stecken, aber so ist das mit den Faustregeln ), kannst du natürlich auch größere Netze wählen, bspw.
Die oben aufgeführten Tutorial-Links von @aqui und @kpunkt beschreiben schön und ausführlich so ein Setup.
Hoffe, dass du mit dieser Ausführung ein besseres Verständnis bekommst, warum die Kollegen weniger eine IP-Filterung, sondern eine strikte Netztrennung empfehlen. Machbar ist vieles, aber warum unnötig komplex gestalten?
Tipp: Solltest du die Trennung mittels VLANs in Erwägung ziehen, lohnt es sich vielleicht weitere Unterteilungen wie "Infrastruktur" (Netzwerk, Server), "Office-Clients" und "Gäste" vorzunehmen. Das hängt u. a. von der Größe des bzw. der Netze und den "Schutzbedarf" derselbigen ab.
Viele Grüße
TA
Ich verstehe nicht, warum niemand auf die Funktion der IP-Filterung des D-Link Switches eingeht.
Ich glaube, dass die meisten die Vorgehensweise einen großen IP-Adressraum zu schaffen und nachträglich "Mauern" zwischen den IP-Bereichen einzuziehen, nicht als die eleganteste Lösung ansehen.
Dein IP-Adresskreis ist 192.168.0.0/21, d. h. die IPs für die Clients gehen von 192.168.0.1 bis 192.168.7.254 . In diesem großen Adresskreis hast du logische Bereiche definiert, in die du deine Gäste (192.168.2.1 - 192.168.2.254) und die Office-Geräte (192.168.3.1 - 192.168.3.254) sortierst. Das ist in erster Linie nur eine gedankliche Trennung, keine netzwerktechnische! Im Prinzip - und das möchtest du ja zurecht ändern - kann jedes Gerät mit jedem anderen kommunizieren, egal ob Gast oder Office. Selbst wenn du nun IP-Filter zur Trennung einbaust, werden sich die Geräte immer noch über die gemeinsame Broadcast-Adresse 192.168.7.255 ("an alle hier im Netzwerk") erreichen können. Zumal du die Trennung auf Layer 3 ("IP-Adressen") ausführen willst - auf Layer 2 ("MAC-Adressen") sehen sich die Geräte weiterhin. Um jetzt auch auf Layer 2 die Geräte zu trennen, musst du dann über Mechanismen wie "Client Isolation" oder "Private VLAN" nachdenken.
Als Netzwerker möchte man es einfach haben ("KISS-Prinzip") und legt für jede "Gruppe gleichartiger Clients", bei dir sind das die Gäste und das Office, einen separates Netzwerk an. Zwischen den Netzwerken wird geroutet. Wenn fürs Routing dann noch eine Firewall eingesetzt wird, kannst du genau steuern, wer auf welches andere Netz zugreifen darf oder nicht.
Für eine saubere Trennung auf Layer 2 und Layer 3 nach dem OSI-Modell wird jedem L2-Netz (per VLAN) genau ein L3-Netz (IP-Adresskreis) zugewiesen, bspw.
- Netz: VLAN 10 und 192.168.10.0/24
- Netz: VLAN 20 und 192.168.20.0/24
- Netz: VLAN 30 und 192.168.30.0/24
Wenn du größere Netze brauchst, weil du pro Netz mehr als 254 Geräte hast (obwohl eine Netzwerker-Faustregel besagt, nicht mehr als ~150 Clients in ein Netz zu stecken, aber so ist das mit den Faustregeln ), kannst du natürlich auch größere Netze wählen, bspw.
- Netz: VLAN 10 und 192.168.0.0/23
- Netz: VLAN 20 und 192.168.2.0/23
- Netz: VLAN 100 und 192.168.4.0/24
Die oben aufgeführten Tutorial-Links von @aqui und @kpunkt beschreiben schön und ausführlich so ein Setup.
Hoffe, dass du mit dieser Ausführung ein besseres Verständnis bekommst, warum die Kollegen weniger eine IP-Filterung, sondern eine strikte Netztrennung empfehlen. Machbar ist vieles, aber warum unnötig komplex gestalten?
Tipp: Solltest du die Trennung mittels VLANs in Erwägung ziehen, lohnt es sich vielleicht weitere Unterteilungen wie "Infrastruktur" (Netzwerk, Server), "Office-Clients" und "Gäste" vorzunehmen. Das hängt u. a. von der Größe des bzw. der Netze und den "Schutzbedarf" derselbigen ab.
Viele Grüße
TA
Dazu ist derzeit aber kein Geld zur Verfügung.
Das ist vermutlich Quatsch, denn du hast nicht richtig überlegt wie man deine im Grunde einfache Anforderung mit kleinem Geld und Aufwand umfassend und elegant lösen könnte. Ein popeliger 55€ L3 Switch mit Captive Portal Option usw. wäre der einzige finanzielle Aufwand den man tätigen muss, ansonsten kannst du alle deine bestehenden Komponenten problemlos weiterverwenden:
https://www.varia-store.com/de/produkt/687618-rb750gr3-routerboard-hex-m ...
Wie das dann alles einfach und schnell umzusetzen ist erklären dir entsprechende Tutorials HIER und hier (optional CP) mit denen es auch Laien problemlos hinbekommen.
Mal im Ernst, wenn es schon an solch einem banalem Taschengeldbudget scheitert, dann kann es ja auch nicht weit her sein mit einer vernünftigen Planung und Sicherheit in Bezug aufs Netzwerk.
Käme es zu einer Schadensersatzforderung wenn einer der Seminarteilnehmer ein nicht gesichertes WLAN nutzt habt ihr ein ganz anderes finanzielles Problem. Oder du musst dein Vorhaben eben ganz begraben und so weiterfrickeln.
Warum so ein im Grunde sehr sinnvolles Vorhaben dann an popeligen 50€ Budget scheitert ist einfach nicht nachzuvollziehen. Aber nundenn....
Case closed!