Gastzugänge für mein WLAN einrichten, welche Möglichkeiten gibt es?

du könntest die Userauthentifizierung über das Active Directory abwickeln und die Fileshares nur bestimmten Usern freigeben, so sind die Shares zwar Passwortgeschützt, die Eingabe des Passwortes ist aber nicht erforderlich, wenn sich der User schon bei der Windowsanmeldung mit seinem netuser anmeldet
Nachteil: ein laptop müsste als Domain Controller fungieren, ist der Laptop bicht verfügbar funtioniert das ganze nicht
du kannst aber auch einen uralt PC dafür verwenden, die nötige Rechenleistung hält sich in Grenzen
bei nur vier Rechnern aber eigentlich Verschwendung

andere möglichkeit ist feste IPs für die 4 laptops zu verwenden, auf jedem eine Firewall zu installieren und den Filesharing Port (445) nur für bestimmte IP-Adressen freigeben

wenn du einen zweiten Router verwenden willst, brauchst du entweder eine zweite öffentliche IP von deinem Provider und einen Switch zwischen den beiden Routern und dem Modem, sollte keine zweite IP zu Verfügung stehen brauchst du noch einen dritten (LAN only) Router, der Zwischen Modem und den anderen beiden Routern hämgt
so hättest du zwei getrennt Netze, sicherlich die komfortabelste Lösung, wenn auch recht mühsam

oder du verwendest den genannten FON-Router, kleines schmuckes Teil, du musst aber das öffenltichen Netz anderen FON-Usern zur Verfügung stellen

Am saubersten wäre eine komplette Trennung von WLAN und LAN.
Das LAN könnte durch eien extra Firewall geschützt werden. Da gibts schon sehr günstig brauchbare Kisten, zb. von Juniper, die leicht über eine Weboberfläche administriert werden können.
Zugriff per WLAN wäre dann per VPN möglich (falls ihr VPN benutzt).
Oder aber auf der Firewall die das LAN schützt werden einige IPs der Notebooks von Mitarbeitern freigeschaltet, und sie bekommen feste IP Adressen zugewiesen. Gäste bekommen jedoch vom DHCP automatisch andere IPs, die nicht fürs Firmen-LAN freigeschaltet sind. Im WLAN DHCP Server kann man genau definieren, welche MAC Adressen mit welchen IP-Adressen verbunden sein sollen, das wäre auch eine Möglichkeit, dass Mitarbeiter Notebooks immer die selbe IP vom DHCP bekommen, die dann für Zugriff auf LAN freigeschaltet ist auf der Firewall.
Da könnte ein Gast zwar immernoch per MAC-Adressen Spoofing Zugriff erlangen - ist halt ne Frage des Vertrauens. Ich denke aber das wäre vertretbar - ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.

Das wäre wohl die einfachste Möglichkeit.

Internet------Internet-Router/WLAN/-----------------------------Firewall---------LAN


Also zusammenfassend folgende Herangehensweise (so würde ich es zumindest machen im gegebenen Fall)....

-WPA Verschlüsselung wird verwendet wir gehabt
-Netgear Router DHCP vergibt an bestimmte MAC Adressen von Mitarbeitern immer die selbe IP. Diese IPs sind auf einer kleinen zu kaufenden extra-Firewall, die zwischen Netgear-Router Switchport und LAN-Switch geschaltet wird, freigeschaltet. Die Firewall macht u. U. nochmal NAT, die LAN PCs bekommen IPs aus anderen IP Bereichen, als im WLAN verwendet. Rechner im LAN können dann nur noch per Portforwarding aus dem WLAn Netz erreicht werden. Durch Statefull Inspection ist Verkehr vom LAn nach aussen jedoch möglich wie gewohnt.

- Gäste-Notebooks kriegen den WPA Key mitgeteilt, und kriegen ansonsten beliebige DHCP IPs, die NICHT auf der besagten extra-Firewall freigeschaltet sind.

Das Risiko bestünde einzig darin, dass sich ein Gast manuell eine "freigeschaltete" IP verpasst. Dazu muss der Gast aber erstmal wissen, welche das sein könnte und so weiter.
Ist auf jeden Fall die einfachste Lösung meiner Meinung nach.

Hallo,

ein Ansatzpunkt ohne zu komplex zu werden wäre zum Beispiel einen anderen WLAN Router /Access Point zu nehmen der mehrere SSID's kann und auch VLANs /Virtuelle LANS bedienen kann.
Somit könntest Du Deine eigenen PC's z.b. im Netz 192.168.178.0 halten und die Besucher im Netz 192.168.179.0.
Somit wissen die Rechner nicht voneinader bzw. um zusammenzukommen müssen Routes eingerichtet werden. Der switch muss dann natürlich auch VLANs unterstützen.

Die andere Möglichkeit wäre eine Server (oder NAS) basierende Fileablage die dann Kennwortgeschützt ist. Diese NAS Lösungen gibt es sehr günstig und sind auch ok. Z.B. von Level One FNS1000 oder von Linksys. Die Dinger sind sehr einfach über ein WEBoberfläche verwaltbar.

Gruß
Egbert

ich habe einen Netgear WGR614, und gerade gesehen, dass folgende Kombination für deine Zwecke möglich ist:
- LAN-IP-Konfiguration/Adressreservierung: feste IPs für bestimmte MAC-Adressen
IP wird dann immer noch autom. bezogen, aber immer die Selbe
- Dienste Sperren: IP-Bereich eingeben, also z.B.: 192.168.0.6 - 192.168.0.254(bzw. 253) und die zu sperrenden Ports, also 445 + glaub da gibts noch andere

wenn dein Router die selben Features hat, wovon ich mal ausgehe, weil meiner echt billig war sollte es das gewesen sein

Edit: Eure 4 Laptops haben in meinem Beispiel dann den IP-Bereich zwischen 192.168.0.2-192.168.0.5

Edit2: der Herr unter mir hat natürlich Recht, wäre zu schön wenn das so ginge

Das Dienste sperren bei Netgear bezieht sich auf Verbindungen mit dem Internet (falls das Teil auch als Internet router fungiert).
Die Geräte die an den Switchports des Routers hängen (LAN sowie über Funk die Notebooks) sind alle im selben Subnetz, für sie gelten diese Einschränkungen nicht.