Gäste-Wlan erstellen, ohne Zugriff auf Hauptrouter, Mikrotik, Capsman

Guten Abend zusammen,

Situation ist folgende:

Bestehendes LAN - DHCP und Internet über Lancom Router. Auf diesen habe ich keinen Zugriff. Es besteht derzeit KEIN WLAN. Geplant ist ein internes WLAN mit zusätzlichem Gast-Wlan zu erstellen.

Ich habe jetzt vor 3x Mikrotik hAPlite plus einen alten Alixboard (Capsman) ein WLAN zu erstellen.

Internes Wlan klappt prima, Steuerung über den Capsman, alles okay

Jetzt zur Frage: wie kann ich ein Gäste-Wlan in Betrieb nehmen ohne Zugriff auf den Hauptrouter (Routing/ Firewall)? Netzwerk soll selbstverständlich getrennt vom internen Netzwerk laufen. Komme da mit dem notwendigen Routing etc. nicht so ganz klar....Firewall-Regeln auf dem Capsman? oder wie kann ich das regeln?

Hoffe Ihr könnt mich in die richtige Richtung schubsen....

Danke & Einen schönen Abend!

Content-Key: 1145493457

Url: https://administrator.de/contentid/1145493457

Ausgedruckt am: 07.12.2021 um 22:12 Uhr

Mitglied: yumper
yumper 11.08.2021 aktualisiert um 19:42:39 Uhr
Goto Top
Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper
Mitglied: Spirit-of-Eli
Spirit-of-Eli 11.08.2021 um 19:54:25 Uhr
Goto Top
Zitat von @yumper:

Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper

Moin,

naja mit NAT geht das schon. Auch lässt sich verhindern, dass vom Gäste Netz auf das Hauptnetz zugegriffen wird.
Schön ist das allerdings definitiv nicht.

Ansonsten gebe ich dir Recht.

Gruß
Spirit

PS:" Ich habe endlich die Kommentierfunktion begriffen. Wollte schon nicht mehr Antworten"
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.08.2021 um 21:28:57 Uhr
Goto Top
Moin,

An der pfsense NAT einschalten und die Firewall so einstellen, daß zum LAN keine Verbindungen erlaubt werden.

Und die Genehmigung vom Admin einholen!

lks
Mitglied: StefanKittel
StefanKittel 12.08.2021 um 01:21:48 Uhr
Goto Top
Hallo,

wie Spirit schon meint: Nicht schön, geht aber.

Also den Sub-Router mittels NAT mit dem aktuellem Netzwerk verbinden.
Damit kommt Niemand vom LAN in diese WLANs und es wird auch nur 1 LAN IP benötigt.
Diese kann sogar DHCP sein. Ich würde aber eine feste verwenden.

Nun im Sub-Router noch 3 Regel festlegen.
Name = Block VLAN intercommunication (RFC1918)

Und diese IP-Adressbereiche ausgehend blockieren.
192.168.0.0 16
172.16.0.0 12
10.0.0.0 8

Damit kann man aus dem WLAN nicht in das LAN.

Schön ist es damit immer noch nicht.

Stefan
Mitglied: aqui
aqui 12.08.2021 aktualisiert um 11:56:04 Uhr
Goto Top
Zur Adaption deines WLAN Gastnetzes an das bestehende LAN auf das du selber keinen Zugriff hast musst du ja zwangsweise einen NAT Router oder Firewall einsetzen.
Das sollte dann eine Hardware sein die ein Gäste Captive Portal als Feature an Bord hat.
Das kann z.B. eine pfSense FW sein:
https://administrator.de/tutorial/wlan-oder-lan-gastnetz-einrichten-mit- ...
Oder auch jede beliebige Mikrotik Box mit Router OS an Bord:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...
Damit ist das dann kinderleicht umsetzbar.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:22:34 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks
Mitglied: Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 11:23:52 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:29:24 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.

Ich habe da bei Kunden auch schon einigen "auf die Finger hauen" müssen. Ging für die betreffenden Personen noch relativ glimpflich ab.

Waren meist Außendienstmitarbeiter, die auf die schnelle "schnelles Internet für Ihr Handy" wollten, "weil das wichtig ist".

lks
Mitglied: Bingo61
Bingo61 12.08.2021 um 15:24:38 Uhr
Goto Top
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 15:28:12 Uhr
Goto Top
Zitat von @Bingo61:

Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 16:27:05 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.

Doch, aber dazu muß man sie freetzen. :-) face-smile

lks
Mitglied: aqui
aqui 12.08.2021 aktualisiert um 16:58:46 Uhr
Goto Top
Keiner kommt auf das interne Netz.
Kein Dummie aber ein pfiffiger Netzwerker schon... ;-) face-wink
Ohne ein Captive Portal was zumindest die Mac Adressen cacht, sowas zu betreiben ist russisches Roulette. Wenn einer da KiPo oder anderes strafbares Material hochlädt ist der Anschlussbetreiber strafrechtlich voll verantwortlich. Mit einer popeligen FritzBüx nicht besonders intelligent.
Heiß diskutierte Beiträge
question
WSUSContent wird riesig gelöst DoskiasVor 1 TagFrageWindows Update14 Kommentare

Hallo Mit-Admins, vielleicht bin ich grade nur zu Faul em-pie direkt anzuschreiben, aber vielleicht schreib ich auch hier, weil ich mir gut vorstellen kann, dass ...

tutorial
Link Aggregation (LAG) im NetzwerkaquiVor 1 TagAnleitungLAN, WAN, Wireless8 Kommentare

Einleitung Das Bündeln mehrerer, paralleler Links zu einem virtuellen Link mit Link Aggregation nach IEEE Standard IEEE 802.3ad (seit dem Jahr 2008 IEEE 802.1ax) bietet ...

question
Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet gelöst schmidtz78Vor 18 StundenFrageLAN, WAN, Wireless23 Kommentare

Hallo und viele Grüße an alle, ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit ...

question
Software für Echtzeit-BenachrichtigungGregor81Vor 20 StundenFrageMicrosoft13 Kommentare

Hallo zusammen, bin auf der Suche nach einer Software wo man auf die Client`s Benachrichtigungen verschicken kann, z.b. wenn der Exchange nicht geht oder wenn ...

question
VmWare VSphere 7 Essentials gelöst Ueba3baVor 19 StundenFrageSonstige Systeme13 Kommentare

Hallo, ich bin auf dieses Angebot gestoßen: Hat jemand damit schon Erfahrung? Ich finde dieses Angebot sehr günstig und ziehe es in Erwägung, es zu ...

general
Chatbox in dem ForumITghostVor 15 StundenAllgemeinWünsch Dir was19 Kommentare

Hey Liebe Administratoren von Administrator.de :) ! Wie wäre es mit einer Chatbox hier im Forum? Falls man mal schnell was ansprechen möchte, dass keinen ...

question
Backupkontrollkonzept überarbeiten( von Papier auf digital ) gelöst truustyyVor 16 StundenFrageBackup12 Kommentare

Hey Leute, ich bräuchte mal eure Hilfe. Und zwar kontrolliere Ich täglich Backups von mehreren Kunden von uns. Ich kriege täglich Mails von verschiedenen Backupsoftwares ...

question
Raid und Defekte HDD gelöst themuckVor 1 TagFrageFestplatten, SSD, Raid6 Kommentare

Servus, ich habe hier einen alten DELL R720, PERC H710. Darin werkeln im RAID6 unteranderem 6x 600GB, 10k Platten. Der besagte Server lief jetzt ~1,5jahre ...