psion
Goto Top

Gastzugänge für mein WLAN einrichten, welche Möglichkeiten gibt es?

Ist eine Konfiguration über den Router Möglich? Setze das Modell Netgear Typ WGT624 ein

Hallo liebe IT-Forum Gemeinde,


habe folgende situation:

Ein kleines Büro mit 4 Notebooks, alle laufen unter Windows XP Pro. Es gibt keinen Server. Alle PCs haben eine freigegebene HDD, da sie untereinander Daten austauschen müssen und sollen. Der Router an dem die PCs via WLAN angeschlossen sind ist ein Netgear WGT624. Zur WLAN verschlüsselung wird WPA verwendet, IP Adressen werden via DHCP vergeben.

Problematik:

Es kommt vor das wir Gäste in unserem Büro haben, die sich mit Ihrem Notebook über unser WLAN verbinden müssen um z.B. ihre Emails abrufen zu können. Das Problem ist aber das diese dann einen kompletten zugriff auf unser Netzwerk haben, da wir denen unseren WPA schlüssel zur verfügung stellen.

Gibt es eine Möglichkeit den Gästen einen reinen Internet Zugang zur verfügung zu stellen, ohne das diese auf unsere freigegeben Daten im lokalen Netzwerk gelangen? Wir möchten aus verschiedenen Gründen nicht, das die VErzeinisse Passwortgeschützt werden.

Ist es z.B. möglich einen zweiten WLAN Router mit in das Netzwerk zu hängen, der lediglich den Gästen dient, aber die selbe DSL Leitung nutzt!?


Dnake und Gruss
Psion

P.S: ich komme nicht aus der IT Branche, bin lediglich ein etwas besserer User...

Content-ID: 43700

Url: https://administrator.de/forum/gastzugaenge-fuer-mein-wlan-einrichten-welche-moeglichkeiten-gibt-es-43700.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

stiehl
stiehl 05.11.2006 um 01:40:40 Uhr
Goto Top
auf http://www.fon.com bekommst du noch bis mittwoch einen kostenlosen router (nach mittwoch 29 EUR), welcher ein öffentliches (unverschlüsselt) und ein privates (verschlüsselt) WLAN-Signal aussendet. Über das private könnten eure Firmenlaptops laufen und über das öffentliche die Gäste. Die beiden WLANs sind voneinander getrennt, sodass ein Client im privaten nicht aufs öffentliche zugreifen kann und andersrum... Hinter FON verbirgt sich aber noch viel mehr... einfach mal ne runde im Inet suchen.

PS: NEIN, die Gäste müssen keine FON-Mitglieder sein. Du kannst auf der Konfigurationsseite 5 User / Passwort-Kombinationen festlegen, welche sich kostenlos auf deinem Router einloggen können.
funksen
funksen 05.11.2006 um 05:43:35 Uhr
Goto Top
du könntest die Userauthentifizierung über das Active Directory abwickeln und die Fileshares nur bestimmten Usern freigeben, so sind die Shares zwar Passwortgeschützt, die Eingabe des Passwortes ist aber nicht erforderlich, wenn sich der User schon bei der Windowsanmeldung mit seinem netuser anmeldet
Nachteil: ein laptop müsste als Domain Controller fungieren, ist der Laptop bicht verfügbar funtioniert das ganze nicht
du kannst aber auch einen uralt PC dafür verwenden, die nötige Rechenleistung hält sich in Grenzen
bei nur vier Rechnern aber eigentlich Verschwendung

andere möglichkeit ist feste IPs für die 4 laptops zu verwenden, auf jedem eine Firewall zu installieren und den Filesharing Port (445) nur für bestimmte IP-Adressen freigeben

wenn du einen zweiten Router verwenden willst, brauchst du entweder eine zweite öffentliche IP von deinem Provider und einen Switch zwischen den beiden Routern und dem Modem, sollte keine zweite IP zu Verfügung stehen brauchst du noch einen dritten (LAN only) Router, der Zwischen Modem und den anderen beiden Routern hämgt
so hättest du zwei getrennt Netze, sicherlich die komfortabelste Lösung, wenn auch recht mühsam

oder du verwendest den genannten FON-Router, kleines schmuckes Teil, du musst aber das öffenltichen Netz anderen FON-Usern zur Verfügung stellen
27119
27119 05.11.2006 um 10:40:13 Uhr
Goto Top
Am saubersten wäre eine komplette Trennung von WLAN und LAN.
Das LAN könnte durch eien extra Firewall geschützt werden. Da gibts schon sehr günstig brauchbare Kisten, zb. von Juniper, die leicht über eine Weboberfläche administriert werden können.
Zugriff per WLAN wäre dann per VPN möglich (falls ihr VPN benutzt).
Oder aber auf der Firewall die das LAN schützt werden einige IPs der Notebooks von Mitarbeitern freigeschaltet, und sie bekommen feste IP Adressen zugewiesen. Gäste bekommen jedoch vom DHCP automatisch andere IPs, die nicht fürs Firmen-LAN freigeschaltet sind. Im WLAN DHCP Server kann man genau definieren, welche MAC Adressen mit welchen IP-Adressen verbunden sein sollen, das wäre auch eine Möglichkeit, dass Mitarbeiter Notebooks immer die selbe IP vom DHCP bekommen, die dann für Zugriff auf LAN freigeschaltet ist auf der Firewall.
Da könnte ein Gast zwar immernoch per MAC-Adressen Spoofing Zugriff erlangen - ist halt ne Frage des Vertrauens. Ich denke aber das wäre vertretbar - ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.

Das wäre wohl die einfachste Möglichkeit.

Internet------Internet-Router/WLAN/-----------------------------Firewall---------LAN


Also zusammenfassend folgende Herangehensweise (so würde ich es zumindest machen im gegebenen Fall)....

-WPA Verschlüsselung wird verwendet wir gehabt
-Netgear Router DHCP vergibt an bestimmte MAC Adressen von Mitarbeitern immer die selbe IP. Diese IPs sind auf einer kleinen zu kaufenden extra-Firewall, die zwischen Netgear-Router Switchport und LAN-Switch geschaltet wird, freigeschaltet. Die Firewall macht u. U. nochmal NAT, die LAN PCs bekommen IPs aus anderen IP Bereichen, als im WLAN verwendet. Rechner im LAN können dann nur noch per Portforwarding aus dem WLAn Netz erreicht werden. Durch Statefull Inspection ist Verkehr vom LAn nach aussen jedoch möglich wie gewohnt.

- Gäste-Notebooks kriegen den WPA Key mitgeteilt, und kriegen ansonsten beliebige DHCP IPs, die NICHT auf der besagten extra-Firewall freigeschaltet sind.

Das Risiko bestünde einzig darin, dass sich ein Gast manuell eine "freigeschaltete" IP verpasst. Dazu muss der Gast aber erstmal wissen, welche das sein könnte und so weiter.
Ist auf jeden Fall die einfachste Lösung meiner Meinung nach.
Egbert
Egbert 05.11.2006 um 11:58:46 Uhr
Goto Top
Hallo,

ein Ansatzpunkt ohne zu komplex zu werden wäre zum Beispiel einen anderen WLAN Router /Access Point zu nehmen der mehrere SSID's kann und auch VLANs /Virtuelle LANS bedienen kann.
Somit könntest Du Deine eigenen PC's z.b. im Netz 192.168.178.0 halten und die Besucher im Netz 192.168.179.0.
Somit wissen die Rechner nicht voneinader bzw. um zusammenzukommen müssen Routes eingerichtet werden. Der switch muss dann natürlich auch VLANs unterstützen.

Die andere Möglichkeit wäre eine Server (oder NAS) basierende Fileablage die dann Kennwortgeschützt ist. Diese NAS Lösungen gibt es sehr günstig und sind auch ok. Z.B. von Level One FNS1000 oder von Linksys. Die Dinger sind sehr einfach über ein WEBoberfläche verwaltbar.

Gruß
Egbert
funksen
funksen 05.11.2006 um 12:52:44 Uhr
Goto Top
ich habe einen Netgear WGR614, und gerade gesehen, dass folgende Kombination für deine Zwecke möglich ist:
- LAN-IP-Konfiguration/Adressreservierung: feste IPs für bestimmte MAC-Adressen
IP wird dann immer noch autom. bezogen, aber immer die Selbe
- Dienste Sperren: IP-Bereich eingeben, also z.B.: 192.168.0.6 - 192.168.0.254(bzw. 253) und die zu sperrenden Ports, also 445 + glaub da gibts noch andere

wenn dein Router die selben Features hat, wovon ich mal ausgehe, weil meiner echt billig war face-smile sollte es das gewesen sein

Edit: Eure 4 Laptops haben in meinem Beispiel dann den IP-Bereich zwischen 192.168.0.2-192.168.0.5

Edit2: der Herr unter mir hat natürlich Recht, wäre zu schön wenn das so ginge face-sad
psion
psion 05.11.2006 um 18:27:25 Uhr
Goto Top
Erst einmal einen riesen Dank an alle die sich beteiligen!


Also da ich kein Administrator bin und auch nicht sooo viel Ahnung von der Materie habe klingt das alles hier recht kompliziert.

Ein Server kommt für unser kleines Büro nicht in Frage, auch kein Active Directory o.ä.

Die Lösung sollte so einfach wie möglich gehalten werden, ohne Eingriff in die Hardware.

Desweiteren kann ich den PCs keine Feste IP Adresse geben, da ich mit dem Notebook auch in anderen Firmennetzwerken tätig bin. Auch alleine deshalb macht es mich ein wenig unruhig das meine Daten Freigegeben sind.

Primär geht es aber nach wie vor darum, meinen Gästen einen "reinen" Internet Zugang zu bieten über unseren Accesspoint.

Da mehrfach SW Firewalls angesprochen wurden - welche möglichkeit habe ich evtl. in dieser Richtung!?

Bzw. wenn ich über meinen Router etwas einstellen kann, wäre es möglich eine etwas genauere "Anleitung" zu bekommen.

Vorab vielen Dank an alle
27119
27119 05.11.2006 um 18:50:56 Uhr
Goto Top
Das Dienste sperren bei Netgear bezieht sich auf Verbindungen mit dem Internet (falls das Teil auch als Internet router fungiert).
Die Geräte die an den Switchports des Routers hängen (LAN sowie über Funk die Notebooks) sind alle im selben Subnetz, für sie gelten diese Einschränkungen nicht.
aqui
aqui 07.11.2006 um 19:34:29 Uhr
Goto Top
Die Lösung ist eigentlich recht einfach wenn beides WLAN Router sind:

Ein komplettes Design findest du hier:

http://www.heise.de/netze/artikel/78397

Beide WLANs in den Routern müssen unterschiedliche SSIDs haben und eure die eurer Netz bedient solltet ihr zudem noch unterdrücken damit sie nicht sichtbar ist.

Ferner müssen beide WLANs auf unterschiedlichen Kanälen senden (Abstand nach der 5er oder 6er Regel beachten !!!)
Nun müsst ihr euren Gästen nur noch den Schlüssel vom Zugangsrouter (externer Router) verraten und euer Netz ist ist vollkommen getrennt durch den NAT Prozess im sekundären Router (siehe Text)
Ist dir das nicht sicher genug musst du den sekundären Router mit einer Firewall ala IPCop.org ersetzen.