dirkschwarz
Goto Top

Gäste-Wlan erstellen, ohne Zugriff auf Hauptrouter, Mikrotik, Capsman

Guten Abend zusammen,

Situation ist folgende:

Bestehendes LAN - DHCP und Internet über Lancom Router. Auf diesen habe ich keinen Zugriff. Es besteht derzeit KEIN WLAN. Geplant ist ein internes WLAN mit zusätzlichem Gast-Wlan zu erstellen.

Ich habe jetzt vor 3x Mikrotik hAPlite plus einen alten Alixboard (Capsman) ein WLAN zu erstellen.

Internes Wlan klappt prima, Steuerung über den Capsman, alles okay

Jetzt zur Frage: wie kann ich ein Gäste-Wlan in Betrieb nehmen ohne Zugriff auf den Hauptrouter (Routing/ Firewall)? Netzwerk soll selbstverständlich getrennt vom internen Netzwerk laufen. Komme da mit dem notwendigen Routing etc. nicht so ganz klar....Firewall-Regeln auf dem Capsman? oder wie kann ich das regeln?

Hoffe Ihr könnt mich in die richtige Richtung schubsen....

Danke & Einen schönen Abend!

Content-ID: 1145493457

Url: https://administrator.de/contentid/1145493457

Ausgedruckt am: 19.12.2024 um 14:12 Uhr

yumper
yumper 11.08.2021 aktualisiert um 19:42:39 Uhr
Goto Top
Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper
Spirit-of-Eli
Spirit-of-Eli 11.08.2021 um 19:54:25 Uhr
Goto Top
Zitat von @yumper:

Hello

no way ohne die nötigen Routen im Lancom zu konfigurieren.

so long

Yumper

Moin,

naja mit NAT geht das schon. Auch lässt sich verhindern, dass vom Gäste Netz auf das Hauptnetz zugegriffen wird.
Schön ist das allerdings definitiv nicht.

Ansonsten gebe ich dir Recht.

Gruß
Spirit

PS:" Ich habe endlich die Kommentierfunktion begriffen. Wollte schon nicht mehr Antworten"
Lochkartenstanzer
Lochkartenstanzer 11.08.2021 um 21:28:57 Uhr
Goto Top
Moin,

An der pfsense NAT einschalten und die Firewall so einstellen, daß zum LAN keine Verbindungen erlaubt werden.

Und die Genehmigung vom Admin einholen!

lks
StefanKittel
StefanKittel 12.08.2021 um 01:21:48 Uhr
Goto Top
Hallo,

wie Spirit schon meint: Nicht schön, geht aber.

Also den Sub-Router mittels NAT mit dem aktuellem Netzwerk verbinden.
Damit kommt Niemand vom LAN in diese WLANs und es wird auch nur 1 LAN IP benötigt.
Diese kann sogar DHCP sein. Ich würde aber eine feste verwenden.

Nun im Sub-Router noch 3 Regel festlegen.
Name = Block VLAN intercommunication (RFC1918)

Und diese IP-Adressbereiche ausgehend blockieren.
192.168.0.0 16
172.16.0.0 12
10.0.0.0 8

Damit kann man aus dem WLAN nicht in das LAN.

Schön ist es damit immer noch nicht.

Stefan
aqui
aqui 12.08.2021 aktualisiert um 11:56:04 Uhr
Goto Top
Zur Adaption deines WLAN Gastnetzes an das bestehende LAN auf das du selber keinen Zugriff hast musst du ja zwangsweise einen NAT Router oder Firewall einsetzen.
Das sollte dann eine Hardware sein die ein Gäste Captive Portal als Feature an Bord hat.
Das kann z.B. eine pfSense FW sein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder auch jede beliebige Mikrotik Box mit Router OS an Bord:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Damit ist das dann kinderleicht umsetzbar.
Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:22:34 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks
Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 11:23:52 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Lochkartenstanzer:

Und die Genehmigung vom Admin einholen!

Um diesen Punkt nochmal zu verdeutlichen:

Du sagt, daß Du keinen Zugriff auf den Hauptrouter hast was impliziert, daß Du nicht der endgültige "Netzwerkverantwortliche" bist. Technisch ist es, wie oben geschrieben ja gar kein Problem sowas zu implementieren. Aber wenn Du nicht der "Chef" bist, solltest Du dir das o.k. holen (egal ob Vorgesetzter oder Papa/Mama), weil das, wenn es ohne Einverständnis durchgeführt wird, schlimmstenfalls ein Grund für eine fristlose Entlassung oder bestenfalls ein Grund für eine Abmahnung ist. Das führt nämlich zu Sicherheitsrisiken im Netz, aus denen schlimmstenfalls sehr hohe Kosten entstehen können.


lks

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.
Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 11:29:24 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Mich würde es ziemlich aufregen wenn jemand meint in meinem Netzwerk herumfuschen zu müssen.

Ich habe da bei Kunden auch schon einigen "auf die Finger hauen" müssen. Ging für die betreffenden Personen noch relativ glimpflich ab.

Waren meist Außendienstmitarbeiter, die auf die schnelle "schnelles Internet für Ihr Handy" wollten, "weil das wichtig ist".

lks
Bingo61
Bingo61 12.08.2021 um 15:24:38 Uhr
Goto Top
Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.
Spirit-of-Eli
Spirit-of-Eli 12.08.2021 um 15:28:12 Uhr
Goto Top
Zitat von @Bingo61:

Muss ich mal auf die gute alte Fritz Box zurückkommen.
Die ins LAN , Internetzugang über Lan wählen dann Gast W Lan an , erzeugt automatisch eine NAT Adresse , da kannst sogar Begrüssungstext usw eingeben. In 5 Minuten eingerichtet. Keiner kommt auf das interne Netz.

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.
Lochkartenstanzer
Lochkartenstanzer 12.08.2021 um 16:27:05 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ja, aber die User können auf das dahinter liegende Netz zugreifen. Da kann man die Fritte nicht gegen konfigurieren.

Doch, aber dazu muß man sie freetzen. face-smile

lks
aqui
aqui 12.08.2021 aktualisiert um 16:58:46 Uhr
Goto Top
Keiner kommt auf das interne Netz.
Kein Dummie aber ein pfiffiger Netzwerker schon... face-wink
Ohne ein Captive Portal was zumindest die Mac Adressen cacht, sowas zu betreiben ist russisches Roulette. Wenn einer da KiPo oder anderes strafbares Material hochlädt ist der Anschlussbetreiber strafrechtlich voll verantwortlich. Mit einer popeligen FritzBüx nicht besonders intelligent.