oliverx
Goto Top

Gäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-Bereich

Hallo Netzerk-Admins,

wir sind ein Zen-Buddhistisches Studienzentrum mit einer "kleinen" IT und haben uns mittlerweile räumlich vergrößert, was zur Folge hat, dass die gesamte IT ebenfalls größer wird. Ich selbst (Oliver) bin für die gesamte IT dort zuständig und auch soweit ganz fit im IP-Bereich, Vernetzung, Server, Switches etc. Allerdings bin ich jetzt auf ein Problem gestoßen, dass ich nicht alleine Lösen kann und in dem Punkt Eure Hilfe benötige. Es ist vermutlich ganz einfach, wenn man weiß wo man was einstellen muss...

Ziel:
Gäste/Seminarteilenhmer sollen ins Internet kommen können, aber "getrennt" von den ganzen Office-Geräten und Office-Mitarbeitern werden, sodass die Gäste zwar über dieselbe Netzwerk-Infrastruktur gehen, aber NICHT mehr auf die ganzen Drucker, NAS, Switches, Router, etc. des Büros und der IT-Administration zugreifen, bzw. diese auch nicht mehr sehen können.

Netzaufbau:
Gesamter IP-Bereich: 192.168.0.0/21
Subnetz-Maske: 255.255.248.0
DHCP IP-Bereich Gaeste: 192.168.2.1 - 192.168.2.254 (automatisch)
DHCP IP-Bereich Office: 192.168.3.1 - 192.168.3.254 (manuell)
Gateway/Router/DNS-Server: 192.168.3.1
Zentraler 28-Port Switch: D-Link DGS-1210-28 mit fester IP 192.168.3.10
WLAN: ASUS Mesh-WLAN mit 5 Geräten (AccessPoint) - Boss-IP 192.168.3.20

Was ich machen möchte:
Da ALLE Geräte in dem Seminarhaus dieselbe Netzwerk-Infrastruktur nutzen, muss ich am D-Link DGS1210 Switch (wo alle "Fäden" zusammenlaufen) doch etwas einstellen können, um den gesamten IP-Verkehr der Gäste (192.168.2.1 - 192.168.2.254) nur noch auf die IP-Adresse des Gateways (192.168.3.1) zuzulassen. Alle anderen IP-Adressen sollen blockiert werden, die Gäste dürfen nur noch auf die 192.168.3.1 zugreifen um damit ins Internet zu kommen.

Problematik:
Ich weiss nicht WIE ich das in dem D-Link DGS-1210 Switch machen soll. Das ist ein professioneller Switch mit Layer2 und Layer3 Funktionen, auch ACL ist mit an Bord. Vielleicht gibt es aber auch eine andere Möglichkeit dieses Setting zu realisieren? In den AccessPoints das separate Gäste-WLAN zu aktivieren nützt nichts, da diese Geräte nur als "dumme" APs konfiguriert sind. Das Gäste-WLAN wird schon aktiviert und man kann es auch benützen, aber man kann trotzdem auf ALLE Geräte nach wie vor zugreifen. Die Funktionalität Gäste vom restlichen IP-Verkehr zu trennen geht im AP-Modus nicht!

Ich wäre den Profis unter Euch sehr dankbar, wenn ich da eine Lösung hinbekommen würde.

Gruß,
Oliver

Content-ID: 669284

Url: https://administrator.de/contentid/669284

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

kpunkt
kpunkt 06.11.2024 um 10:42:09 Uhr
Goto Top
Gateway/Router/DNS-Server: 192.168.3.1

Was ist das denn für ein Gerät?
OliverX
OliverX 06.11.2024 um 10:47:56 Uhr
Goto Top
Ein Telekom-Speedport Hybrid
kpunkt
kpunkt 06.11.2024 um 11:00:36 Uhr
Goto Top
Du kannst das "einfach" machen, indem du den Speedport durch eine Fritzbox ersetzt. Die haben integrierte Gastnetzwerke (LAN und WLAN). Wlan ist ein dedizierter Punkt, Lan findetr man in den Einstellungen und läuft über Lan-Port 4.
Oder aber du schaust dir grundlegend mal die Anleitungen von @aqui an
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Der wird aber sowieso bald auftauchen. Da bist du gut aufgehoben.
150631
150631 06.11.2024 um 11:09:13 Uhr
Goto Top
Die Gäste haben welche Netzmaske, wenn sie aus dem DHCP-Scope eine Adresse bekommen haben?
aqui
aqui 06.11.2024 aktualisiert um 11:22:13 Uhr
Goto Top
Eine solch einfaches Setup wird ebenfalls HIER im Detail beschrieben.
Hat den Vorteil das du in der steuernden Firewall gleich ein Captive Portal für die Gäste mit Einmalpassword hast um auch rechtlich sicher zu sein.
OliverX
OliverX 06.11.2024 um 12:17:15 Uhr
Goto Top
Die 255.255.248.0
OliverX
OliverX 06.11.2024 um 12:18:24 Uhr
Goto Top
Zitat von @150631:

Die Gäste haben welche Netzmaske, wenn sie aus dem DHCP-Scope eine Adresse bekommen haben?

Die 255.255.248.0
150631
150631 06.11.2024 um 12:19:46 Uhr
Goto Top
Sehr ungünstiges Design. Kann man machen, aber macht alles für immer unnötig kompliziert und fehleranfällig.
OliverX
OliverX 06.11.2024 um 14:45:12 Uhr
Goto Top
Wie wäre es denn besser? Wären zwei komplett getrennte VLANs am Switch mit jeweils 255.255.255.0 Subnetz und 192.168.2.0 und 192.168.3.0 Bereich besser?

Ich kann dem DHCP-Server (geht auch nicht unter Windows DHCP-Server) leider keine zwei unterschiedliche Bereiche mit unterschiedlichen Subnetzmasken zuteilen. Also entweder nur 255.255.255.0 und dann habe ich halt nur EINEN IP-Bereich mit 254 Adressen (was zu wenig ist) oder aber 255.255.248.0 mit 2032 Adressen (192.168.0.0 - 192168.7.0) die sich dann aber halt alle wieder gegenseitig sehen können.

Ein getrennter Gästebereich mit 255.255.255.0 und 192.168.2.0 und parallel dazu 255.255.248.0 mit 192.168.0.0 - 192168.7.0 für den Rest wäre ideal, lässt sich aber so und wegen dem DHCP-Problem nicht lösen.

Deshalb dachte ich, packe ich ALLES in's 255.255.248.0 Subnetz und filtere dann speziell den Bereich 192.168.2.0 (Gäste) mit dem Switch, sodass der nur noch auf das Gateway 192.168.3.1 kommt.

Aber wie?!
150631
150631 06.11.2024 um 15:12:17 Uhr
Goto Top
192.168.x.y ist ohnehin ungünstig.

Wie wäre es mit 10.255.248.0/21 für deine internen Zwecke. Kannst Du dann in viele kleine Netze zerteilen.

Für deine Gäste vielleicht auch was aus dem Bereich 10.x.y.z oder 172.x.y.z?, oder auch im 192.16.x.y.

Nach Möglichkeit so gewählt, dass die Wahrscheinlichkeit gering ist, dass es wer anders nutzt. also 192.168.0.0/23 und 192.168.178.0/24 sind völlig verbrannt.
kreuzberger
kreuzberger 06.11.2024 um 16:25:07 Uhr
Goto Top
Moin @OliverX

für den Zweck benötigt man einen sogenannten MultiLANRouter, also einen Router, der mehrere unabhängige Netze (WLANs) aufspannen kann. Mit einer Fritzbox ist das nur bedingt möglich.

Kreuzberger
the.other
the.other 06.11.2024 aktualisiert um 16:48:42 Uhr
Goto Top
Moinsen,
Ich denke, dass der link, den @aqui gepostet hat, die "bessere" Lösung darstellt...
Für die Ansprüche sollte auch günstige Hardware ausreichen...
Zb die im link erwähnte pfsense oder opensense, dazu dann (ja, ich weiß...;)) fürs wlan einen einfachen unifi AP, die strahlen 4 Netze aus. Hinter die *sense einen l2 managed switch (mit PoE für den AP).
Damit kannst dann sowohl getrennte WLAN Netze anbieten als auch das LAN unterteilen, wenn benötigt.
Die *sense regelt die Netztrennung (Firewallregeln) sowie dhcp, dns und auch vpn und ist IMHO leichter zu pflegen, als mit l3 switch und ACLs.
Langfristig bleibt damit alles recht einfach zu administrieren und überschaubar, bietet aber deutlich mehr Optionen als der derzeitige Ansatz...
Jm2c

PS.
Ouch, gerade gesehen, dass die Frage an die Profis zielte...das bin ich nicht. Hoffe, es dient trotzdem der Entscheidungsfindung... ;)
OliverX
OliverX 06.11.2024 um 17:02:52 Uhr
Goto Top
Ich verstehe nicht, warum niemand auf die Funktion der IP-Filterung des D-Link Switches eingeht. Kann der das nicht?! Wenn der einfach den gesamten IP-Bereich 192.168.2.0 (Gäste) nur auf das Gateway 192.168.3.1 zulässt, habe ich schon das, was ich möchte. Dann kann kein Gast mehr auf die Office-Geräte im IP-Bereich 192.168.3.0 zugreifen oder die sehen, weil der Switch das nicht zulässt....

An den APs selbst (WLAN & LAN) hängen keinerlei Office-Geräte oder ähnliches dran, nur Clients die via DHCP (192.168.3.1) gefüttert oder zugeordnet werden. Innerhalb der Mesh-APs ist es auch völlig egal ob die sich noch gegenseitig sehen können. Sobald der Traffic aber den Haupt-Switch erreicht, soll der via IP-Filterung die Gäste (192.168.2.0) NUR noch auf das Gateway (192.168.3.1) zulassen! Und da alle auf der Netzmakse 255.255.248.0 sind sollte das doch ohne Probleme gehen.

Ich bräuchte eigentlich nur Hilfe beim Konfigurieren des D-Link DGS-1210 Switch, damit er genau das tut.
aqui
aqui 06.11.2024 aktualisiert um 18:13:53 Uhr
Goto Top
Wie wäre es denn besser?
Die Subnetzmaske spielt für dein eigentliches Setup mit 2 getrennten Netzwerksegmenten keinerlei Rolle. Das ist eher eine kosmetische Diskussion die nicht mit dem eigentlichen Design zu tun hat.
Ob du in dem Segment 256 Endgeräte oder wie bei dir 2048 adressieren kannst (oder willst) ist für dein ToDo doch erstmal völlig irrelevant!

Ich verstehe nicht, warum niemand auf die Funktion der IP-Filterung des D-Link Switches eingeht.
Du hast Recht, das ist natürlich auch eine mögliche Lösung!
Du setzt dann damit ein Layer 3 VLAN Konzept um wie es HIER im Detail mit bunten Bildern beschrieben ist.
Rein funktional ist das ein gangbarer Weg und löst deine Anforderung ebenso. Es hat aber ein paar kosmetische Nachteile:
  • Layer 3 Accesslisten auf einem Switch sind im Gegensatz zu einer Firewall nicht stateful. Wenn du damit leben kannst, kein Problem.
  • Der D-Link hat keine Captive Portal Funktion wie z.B. ein Mikrotik Switch u.a. über die du Gäste kontrolliert und mit einem Einmalpasswort authorisiert ins Netz lässt. Das ist insofern rechtlich zwingend, denn bei einer möglichen Straftat die über so einen privaten Anschluß begangen wird (Funk kann man nicht einsperren!) bist du als Vertragspartner zur Mitaufklärung verpflichtet um nicht auch strafrechtlich mit einer Teilschuld belangt werden zu können. Das Mindeste was hier gefordert wird ist ein Tracking der Client Mac Adressen. Mit einem einfachen Adressfilter und diesen auf dem D-Link fehlenden Features sind solche Dinge nicht möglich. Letztlich natürlich immer eine Frage wie du und das Zentrum solche rechtlichen Anforderungen selbst für euch bewertet und relevant haltet.
OliverX
OliverX 06.11.2024 um 18:12:30 Uhr
Goto Top
Wenn ich beim Hauptswitch eine einfache Statische Route mit "192.168.2.0 255.255.248.0 192.168.3.1" hinzufüge sollte das Gerät doch alles aus dem 192.168.2.0 IP-Bereich auf die 192.168.3.1 weiterleiten, oder nicht?
aqui
aqui 06.11.2024 um 18:16:09 Uhr
Goto Top
Ja, wenn das .2.0er Netz ein externes IP Netz ist was NICHT direkt am Switch angeschlossen ist. Direkt am Switch angeschlossenen Netze benötigen natürlich keine Route, denn die "kennt" der L3 Switch logischerweise selber.
Eine kleine Topologieskizze würde ggf. allen etwas helfen dein geplantes IP Design genau zu verstehen. face-wink
TwistedAir
TwistedAir 06.11.2024 aktualisiert um 22:20:06 Uhr
Goto Top
Hallo face-smile

Ich verstehe nicht, warum niemand auf die Funktion der IP-Filterung des D-Link Switches eingeht.

Ich glaube, dass die meisten die Vorgehensweise einen großen IP-Adressraum zu schaffen und nachträglich "Mauern" zwischen den IP-Bereichen einzuziehen, nicht als die eleganteste Lösung ansehen.

Dein IP-Adresskreis ist 192.168.0.0/21, d. h. die IPs für die Clients gehen von 192.168.0.1 bis 192.168.7.254 . In diesem großen Adresskreis hast du logische Bereiche definiert, in die du deine Gäste (192.168.2.1 - 192.168.2.254) und die Office-Geräte (192.168.3.1 - 192.168.3.254) sortierst. Das ist in erster Linie nur eine gedankliche Trennung, keine netzwerktechnische! Im Prinzip - und das möchtest du ja zurecht ändern - kann jedes Gerät mit jedem anderen kommunizieren, egal ob Gast oder Office. Selbst wenn du nun IP-Filter zur Trennung einbaust, werden sich die Geräte immer noch über die gemeinsame Broadcast-Adresse 192.168.7.255 ("an alle hier im Netzwerk") erreichen können. Zumal du die Trennung auf Layer 3 ("IP-Adressen") ausführen willst - auf Layer 2 ("MAC-Adressen") sehen sich die Geräte weiterhin. Um jetzt auch auf Layer 2 die Geräte zu trennen, musst du dann über Mechanismen wie "Client Isolation" oder "Private VLAN" nachdenken.

Als Netzwerker möchte man es einfach haben ("KISS-Prinzip") und legt für jede "Gruppe gleichartiger Clients", bei dir sind das die Gäste und das Office, einen separates Netzwerk an. Zwischen den Netzwerken wird geroutet. Wenn fürs Routing dann noch eine Firewall eingesetzt wird, kannst du genau steuern, wer auf welches andere Netz zugreifen darf oder nicht.

Für eine saubere Trennung auf Layer 2 und Layer 3 nach dem OSI-Modell wird jedem L2-Netz (per VLAN) genau ein L3-Netz (IP-Adresskreis) zugewiesen, bspw.
  1. Netz: VLAN 10 und 192.168.10.0/24
  2. Netz: VLAN 20 und 192.168.20.0/24
  3. Netz: VLAN 30 und 192.168.30.0/24
[Die Verwendung der gleichen VLAN-ID (10/20/30) und als drittes Oktett im IP-Adresskreis ist wieder nur, um es sich einfacher, übersichtlicher zu machen; es steht keine technische Notwendigkeit dahinter.]

Wenn du größere Netze brauchst, weil du pro Netz mehr als 254 Geräte hast (obwohl eine Netzwerker-Faustregel besagt, nicht mehr als ~150 Clients in ein Netz zu stecken, aber so ist das mit den Faustregeln face-wink), kannst du natürlich auch größere Netze wählen, bspw.
  1. Netz: VLAN 10 und 192.168.0.0/23
  2. Netz: VLAN 20 und 192.168.2.0/23
  3. Netz: VLAN 100 und 192.168.4.0/24

Die oben aufgeführten Tutorial-Links von @aqui und @kpunkt beschreiben schön und ausführlich so ein Setup.

Hoffe, dass du mit dieser Ausführung ein besseres Verständnis bekommst, warum die Kollegen weniger eine IP-Filterung, sondern eine strikte Netztrennung empfehlen. Machbar ist vieles, aber warum unnötig komplex gestalten?

Tipp: Solltest du die Trennung mittels VLANs in Erwägung ziehen, lohnt es sich vielleicht weitere Unterteilungen wie "Infrastruktur" (Netzwerk, Server), "Office-Clients" und "Gäste" vorzunehmen. Das hängt u. a. von der Größe des bzw. der Netze und den "Schutzbedarf" derselbigen ab.

Viele Grüße
TA
OliverX
Lösung OliverX 07.11.2024 um 08:36:11 Uhr
Goto Top
Hallo an alle, und erstmal vielen Dank für die zahlreichen Antworten/Hilfen! face-smile

... mir wird langsam klar, dass ich das bestehende Netzwerk dort grundlegend umkrempeln muss und auch neue Hardware angeschafft werden müsste. Dazu ist derzeit aber kein Geld zur Verfügung. Die ganzen ASUS-AP's können keine Zuordnung vom WLANs oder Gäste-WLANs auf VLANs. Selbst wenn man Sie als Router aufstellt und sie ihren eigenen IP-Bereich aufbauen klappt das alles nicht!

Das Seminarhaus hat außerdem ZWEI Häuser mit (mehr oder weniger) demselben Setup, was die finanziellen Kosten von neuen APs nur noch weiter in die Höhe treiben würde. Das mit den VLANs ist eine gute Lösung, weil dann die Geräte tatsächlich getrennt voneinander sind.

Das habe ich befürchtet, dass wir mit diesen "Home" Geräten irgendwann am Ende sind, weil die eben einfach für den einfachen Heimbetrieb gedacht sind und solche erweiterten Möglichkeiten nicht anbieten.

Vielleicht schaffe ich's ja trotzdem noch mit einen Trick oder Kniff die Gäste vom restlichen Netz zu separieren.

Danke nochmals für Eure Hilfe! face-smile
kpunkt
kpunkt 07.11.2024 um 08:57:01 Uhr
Goto Top
Ich hab das Szenario jetzt nicht komplett aufgemalt vor mir, aber es sollte doch ein einfacher Mikrotik fürs erste reichen.
aqui
aqui 07.11.2024 aktualisiert um 09:56:55 Uhr
Goto Top
Dazu ist derzeit aber kein Geld zur Verfügung.
Das ist vermutlich Quatsch, denn du hast nicht richtig überlegt wie man deine im Grunde einfache Anforderung mit kleinem Geld und Aufwand umfassend und elegant lösen könnte. face-sad
Ein popeliger 55€ L3 Switch mit Captive Portal Option usw. wäre der einzige finanzielle Aufwand den man tätigen muss, ansonsten kannst du alle deine bestehenden Komponenten problemlos weiterverwenden:
https://www.varia-store.com/de/produkt/687618-rb750gr3-routerboard-hex-m ...
Wie das dann alles einfach und schnell umzusetzen ist erklären dir entsprechende Tutorials HIER und hier (optional CP) mit denen es auch Laien problemlos hinbekommen.

Mal im Ernst, wenn es schon an solch einem banalem Taschengeldbudget scheitert, dann kann es ja auch nicht weit her sein mit einer vernünftigen Planung und Sicherheit in Bezug aufs Netzwerk.
Käme es zu einer Schadensersatzforderung wenn einer der Seminarteilnehmer ein nicht gesichertes WLAN nutzt habt ihr ein ganz anderes finanzielles Problem. Oder du musst dein Vorhaben eben ganz begraben und so weiterfrickeln.
Warum so ein im Grunde sehr sinnvolles Vorhaben dann an popeligen 50€ Budget scheitert ist einfach nicht nachzuvollziehen. face-sad Aber nundenn....
Case closed!