8
Gäste LAN auf Lancom Router einrichten?
Für einen Kumpel mit 3 MA, soll ich den vorhandenen Lancom 1781VA Router anpassen.
Die Firma die das damals eingerichtet hat, möchte mit LANCOM nachdem Aufkauf durch R&S nichts mehr damit zu tun haben...
Das Teil läuft bis dato super stabil.
DHCP + DNS macht der Domain Controller.
Der Router ist somit nur für Intranet/DMZ Interneteinwahl mit Firewall zuständig.
Für gelegentliches Homeoffice haben wir letztes Jahr 2x Lancom VPN Programm lizenzen gekauft (1x MAC Chef, 1x Windows Mitarbeiter)
VPN Einwahl funktioniert tadellos.
Nun möchten wir ein Gäste WLAN bzw. Werkstatt WLAN (MA suchen dort im Netz nach Ersatzteilen für Baumaschinen - rein INTERNET).
Das Thema WLAN werde ich mit ein oder zwei Ubiquiti Unifi Access Points umsetzen an einem separaten Netzwerkswitch. D.h. physische Trennung von der normalen Netzwerktechnik
Nun eine kurze Frage:
Vorhanden aktuell 1x Intranet (LAN 1) + 1x DMZ (LAN4) Netz.
Muss ich nun?:
- ein weiteres Netzwerk definieren (z.B. Gästenetz)
- DHCP Bereich definieren
- dem freien LAN 2 oder 3 Anschluss - "DHCP" + "Gästenetz" zuweisen?
- was hat es mit LAN Bridge auf sich?
-> aktuell: Verbindung über eine Bridge (Standard) herstellen.
Wie gesagt ich möchte das "Gästenetz" komplett vom "Intranet" getrennt haben. Kein Zugriff auf internes Netzwerk, kein Zugriff auf Drucker, auf Domaincontroller.
Gibt es noch mehr zu beachten?
Die Firma die das damals eingerichtet hat, möchte mit LANCOM nachdem Aufkauf durch R&S nichts mehr damit zu tun haben...
Das Teil läuft bis dato super stabil.
DHCP + DNS macht der Domain Controller.
Der Router ist somit nur für Intranet/DMZ Interneteinwahl mit Firewall zuständig.
Für gelegentliches Homeoffice haben wir letztes Jahr 2x Lancom VPN Programm lizenzen gekauft (1x MAC Chef, 1x Windows Mitarbeiter)
VPN Einwahl funktioniert tadellos.
Nun möchten wir ein Gäste WLAN bzw. Werkstatt WLAN (MA suchen dort im Netz nach Ersatzteilen für Baumaschinen - rein INTERNET).
Das Thema WLAN werde ich mit ein oder zwei Ubiquiti Unifi Access Points umsetzen an einem separaten Netzwerkswitch. D.h. physische Trennung von der normalen Netzwerktechnik
Nun eine kurze Frage:
Vorhanden aktuell 1x Intranet (LAN 1) + 1x DMZ (LAN4) Netz.
Muss ich nun?:
- ein weiteres Netzwerk definieren (z.B. Gästenetz)
- DHCP Bereich definieren
- dem freien LAN 2 oder 3 Anschluss - "DHCP" + "Gästenetz" zuweisen?
- was hat es mit LAN Bridge auf sich?
-> aktuell: Verbindung über eine Bridge (Standard) herstellen.
Wie gesagt ich möchte das "Gästenetz" komplett vom "Intranet" getrennt haben. Kein Zugriff auf internes Netzwerk, kein Zugriff auf Drucker, auf Domaincontroller.
Gibt es noch mehr zu beachten?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636011
Url: https://administrator.de/contentid/636011
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
1. Neues Netzwerk anlegen, dort ein Schnittstellentag != 0 vergeben, Schnittstelle auf LAN2 oder LAN3 setzen.
2. DHCP-Server für dieses Netz anlegen.
3. Unter Schnittstellen eine freie ETH auf das unter 1. festgelegte logische LAN-Interface setzen.
4. Diese ETH dann mit dem dedizierten Switch verbinden
Grüße,
Torsten
1. Neues Netzwerk anlegen, dort ein Schnittstellentag != 0 vergeben, Schnittstelle auf LAN2 oder LAN3 setzen.
2. DHCP-Server für dieses Netz anlegen.
3. Unter Schnittstellen eine freie ETH auf das unter 1. festgelegte logische LAN-Interface setzen.
4. Diese ETH dann mit dem dedizierten Switch verbinden
Grüße,
Torsten
1
Unter Schnittstellen einen der freien Ports (ETH-1 bis ETH-x, was halt frei ist) einem logischen LAN zuweisen (LAN-1 bis LAN-x, deiner Aussage nach sind LAN-1 und LAN-4 belegt). Dann ein neues IP-Netzwerk anlegen, mit Name, IP-Adresse, Subnetzmaske, VLAN-ID bleibt in deinem Fall frei, in der Schnittstellenzuweisung das neue logische LAN auswählen und zuletzt bei Schnittstellentag eine beliebige Zahl eintragen, mit Ausnahme der 0 sowie möglicher anderer zugewiesener Schnittstellentags aus der Netzwerkliste.
Anschließend in der DHCP-Liste einfach das neue IP-Netzwerk auswählen, DHCP auf ja stellen und fertig, brauchst da nichts eintragen, wenn du den internen DNS-Server nutzen willst. Wenn du die DNS-Funktion des Routers nicht verwenden willst, hier einfach zwei öffentliche DNS-Server eintragen.
Wenn du den internen DNS-Server nutzen wollen würdest, müsste man jetzt etwas fummeln, also Weiterleitung für das Schnittstellentag anlegen und sowas.
Danach zurückschreiben und fertig. Durch das Schnittstellentag ist auch keine Firewall notwendig, weil das neue Netzwerk die anderen Netzwerke gar nicht sehen kann.
Anschließend in der DHCP-Liste einfach das neue IP-Netzwerk auswählen, DHCP auf ja stellen und fertig, brauchst da nichts eintragen, wenn du den internen DNS-Server nutzen willst. Wenn du die DNS-Funktion des Routers nicht verwenden willst, hier einfach zwei öffentliche DNS-Server eintragen.
Wenn du den internen DNS-Server nutzen wollen würdest, müsste man jetzt etwas fummeln, also Weiterleitung für das Schnittstellentag anlegen und sowas.
Danach zurückschreiben und fertig. Durch das Schnittstellentag ist auch keine Firewall notwendig, weil das neue Netzwerk die anderen Netzwerke gar nicht sehen kann.
1
Hallo
du scheibst einmal von Gästelan und dann wieder Gästewlan.
Für Gäste-Lan musst du wie eschrieben ein weiteres V-Netz einrichten. Für Gäste-WLan würde ich eine Fritzbox hinter den Lanconrouter im Bridgemode hängen.
So long
Yumper
du scheibst einmal von Gästelan und dann wieder Gästewlan.
Für Gäste-Lan musst du wie eschrieben ein weiteres V-Netz einrichten. Für Gäste-WLan würde ich eine Fritzbox hinter den Lanconrouter im Bridgemode hängen.
So long
Yumper
1
Danke für den Tipp.
Mit Gäste-LAN/WLAN meinte ich. Das am LANCOM Router ein separater Switch angedockt wird, mit nem eigenen GLasfaserkabel ins nachbargebäude (Werkstatt). Dort wird dann ein Ubiquiti Access Point platziert. Normalerweise soll alles per WLAN über den Access Point laufen... ich könnte mir aber auch vorstellen, dass später noch eine einzelne Netzwerkdose installiert wird für einen Drucker z.b. für die Werkstatt...
Also irgendwie Gäste/LAN Gäste WLAN.... wie gesagt, per WLAN könnten Gäste rein. per Gäste LAN vermutlich nur ein Drucker... Freischaltungen von Gäste-LAN / WLAN zu Hausnetz (Intranet) schließe ich kategorisch aus, da wir ein klare Trennung wollen...
Danke noch für den ABlaufhinweis... Damit bekomme ich es hin. Die Lancom Router sind ja nun kein Hexenwerk, wenn man die Zusammenhänge ein wenig versteht und Schritt für Schritt einrichtet...
Mit Gäste-LAN/WLAN meinte ich. Das am LANCOM Router ein separater Switch angedockt wird, mit nem eigenen GLasfaserkabel ins nachbargebäude (Werkstatt). Dort wird dann ein Ubiquiti Access Point platziert. Normalerweise soll alles per WLAN über den Access Point laufen... ich könnte mir aber auch vorstellen, dass später noch eine einzelne Netzwerkdose installiert wird für einen Drucker z.b. für die Werkstatt...
Also irgendwie Gäste/LAN Gäste WLAN.... wie gesagt, per WLAN könnten Gäste rein. per Gäste LAN vermutlich nur ein Drucker... Freischaltungen von Gäste-LAN / WLAN zu Hausnetz (Intranet) schließe ich kategorisch aus, da wir ein klare Trennung wollen...
Danke noch für den ABlaufhinweis... Damit bekomme ich es hin. Die Lancom Router sind ja nun kein Hexenwerk, wenn man die Zusammenhänge ein wenig versteht und Schritt für Schritt einrichtet...
Moin,
theoretisch bräuchtest du noch nicht einmal einen dedizierten Switch für das Gäste-WLAN. Du kannst auf dem 1781VA ein Netz anlegen, dem Netz eine VLAN-ID geben, DHCP einrichten und das Netz an das logische Interface binden, das auch in dein Standard-Netz führt. Auf dem / den Switch(es) ziehst du dieses VLAN durch bis dahin, wo du es haben möchtest.
Auf dem 1781VA erstellst du eine FW-Regel, die dem Gäste-WLAN jeglichen Verkehr in die restlichen Netze verbietet. Fertig.
Den Rest haben @pappabear2002 und @tikayevent ja schon ausreichend erklärt.
Gruß NV
theoretisch bräuchtest du noch nicht einmal einen dedizierten Switch für das Gäste-WLAN. Du kannst auf dem 1781VA ein Netz anlegen, dem Netz eine VLAN-ID geben, DHCP einrichten und das Netz an das logische Interface binden, das auch in dein Standard-Netz führt. Auf dem / den Switch(es) ziehst du dieses VLAN durch bis dahin, wo du es haben möchtest.
Auf dem 1781VA erstellst du eine FW-Regel, die dem Gäste-WLAN jeglichen Verkehr in die restlichen Netze verbietet. Fertig.
Den Rest haben @pappabear2002 und @tikayevent ja schon ausreichend erklärt.
Gruß NV
Allgemeine, nicht Lancom spezifische Grundlagen dazu auch in diesen Tutorials:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
ja, das mit VLAN Lösung hab ich mir auch schon gedacht.
(das thema hab ich in meiner Ausbildung zum Fachinformatiker leider überschlafen und nie wieder benötigt - Sorry..)
wäre aber wirklich mal an der Zeit, dass zuhause umzusetzen... eine Sophos UTM wartet noch auf Integration
)
Mein Bedenken bei der VLAN Einrichtung - sobald einer der Switche (beim Kumpel) mal kaputt geht,
muss das Thema VLAN wieder korrekt eingerichtet werden, ansonsten geht wenig bis nichts.
Und ich möchte mich hierzu nicht "zum Sklaven" machen lassen
KLar könnte man einen Universalanschluss definieren - aber das was dann keiner mehr...
Da ins Nachbargebäude -einfach- ein zweites Glasfaserkabel gelegt werden kann - ziehe ich diese Option vor.
Physische Trennung - und die zwei kleinen 8fach PoE Switche mit GBic von Netgear kosten doch kein Geld mehr.
- Switch Netgear ProSafe Serie (ca. 10 Jahre alt)
P.S. IT-Dienstleister hatten wir letztes Jahr schon mal da (da hat mich mein Kumpel zu Rate gezogen).... aber deren Vorstellungen waren jenseits der Realität "Virtualisierung wäre schlecht" oder "einen Exchange Server hostet man selbst - klar bei 3 Mitarbeitern? ..."
(das thema hab ich in meiner Ausbildung zum Fachinformatiker leider überschlafen und nie wieder benötigt - Sorry..)
wäre aber wirklich mal an der Zeit, dass zuhause umzusetzen... eine Sophos UTM wartet noch auf Integration
)Mein Bedenken bei der VLAN Einrichtung - sobald einer der Switche (beim Kumpel) mal kaputt geht,
muss das Thema VLAN wieder korrekt eingerichtet werden, ansonsten geht wenig bis nichts.
Und ich möchte mich hierzu nicht "zum Sklaven" machen lassen
KLar könnte man einen Universalanschluss definieren - aber das was dann keiner mehr...
Da ins Nachbargebäude -einfach- ein zweites Glasfaserkabel gelegt werden kann - ziehe ich diese Option vor.
Physische Trennung - und die zwei kleinen 8fach PoE Switche mit GBic von Netgear kosten doch kein Geld mehr.
- Switch Netgear ProSafe Serie (ca. 10 Jahre alt)
P.S. IT-Dienstleister hatten wir letztes Jahr schon mal da (da hat mich mein Kumpel zu Rate gezogen).... aber deren Vorstellungen waren jenseits der Realität "Virtualisierung wäre schlecht" oder "einen Exchange Server hostet man selbst - klar bei 3 Mitarbeitern? ..."
P.S. IT-Dienstleister hatten wir letztes Jahr schon mal da (da hat mich mein Kumpel zu Rate gezogen).... aber deren Vorstellungen waren jenseits der Realität "Virtualisierung wäre schlecht" oder "einen Exchange Server hostet man selbst - klar bei 3 Mitarbeitern? ..."
Das berühmte "mit Kanonen auf Spatzen schießen"
1
