Gastzugänge für mein WLAN einrichten, welche Möglichkeiten gibt es?
Ist eine Konfiguration über den Router Möglich? Setze das Modell Netgear Typ WGT624 ein
Hallo liebe IT-Forum Gemeinde,
habe folgende situation:
Ein kleines Büro mit 4 Notebooks, alle laufen unter Windows XP Pro. Es gibt keinen Server. Alle PCs haben eine freigegebene HDD, da sie untereinander Daten austauschen müssen und sollen. Der Router an dem die PCs via WLAN angeschlossen sind ist ein Netgear WGT624. Zur WLAN verschlüsselung wird WPA verwendet, IP Adressen werden via DHCP vergeben.
Problematik:
Es kommt vor das wir Gäste in unserem Büro haben, die sich mit Ihrem Notebook über unser WLAN verbinden müssen um z.B. ihre Emails abrufen zu können. Das Problem ist aber das diese dann einen kompletten zugriff auf unser Netzwerk haben, da wir denen unseren WPA schlüssel zur verfügung stellen.
Gibt es eine Möglichkeit den Gästen einen reinen Internet Zugang zur verfügung zu stellen, ohne das diese auf unsere freigegeben Daten im lokalen Netzwerk gelangen? Wir möchten aus verschiedenen Gründen nicht, das die VErzeinisse Passwortgeschützt werden.
Ist es z.B. möglich einen zweiten WLAN Router mit in das Netzwerk zu hängen, der lediglich den Gästen dient, aber die selbe DSL Leitung nutzt!?
Dnake und Gruss
Psion
P.S: ich komme nicht aus der IT Branche, bin lediglich ein etwas besserer User...
Hallo liebe IT-Forum Gemeinde,
habe folgende situation:
Ein kleines Büro mit 4 Notebooks, alle laufen unter Windows XP Pro. Es gibt keinen Server. Alle PCs haben eine freigegebene HDD, da sie untereinander Daten austauschen müssen und sollen. Der Router an dem die PCs via WLAN angeschlossen sind ist ein Netgear WGT624. Zur WLAN verschlüsselung wird WPA verwendet, IP Adressen werden via DHCP vergeben.
Problematik:
Es kommt vor das wir Gäste in unserem Büro haben, die sich mit Ihrem Notebook über unser WLAN verbinden müssen um z.B. ihre Emails abrufen zu können. Das Problem ist aber das diese dann einen kompletten zugriff auf unser Netzwerk haben, da wir denen unseren WPA schlüssel zur verfügung stellen.
Gibt es eine Möglichkeit den Gästen einen reinen Internet Zugang zur verfügung zu stellen, ohne das diese auf unsere freigegeben Daten im lokalen Netzwerk gelangen? Wir möchten aus verschiedenen Gründen nicht, das die VErzeinisse Passwortgeschützt werden.
Ist es z.B. möglich einen zweiten WLAN Router mit in das Netzwerk zu hängen, der lediglich den Gästen dient, aber die selbe DSL Leitung nutzt!?
Dnake und Gruss
Psion
P.S: ich komme nicht aus der IT Branche, bin lediglich ein etwas besserer User...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43700
Url: https://administrator.de/forum/gastzugaenge-fuer-mein-wlan-einrichten-welche-moeglichkeiten-gibt-es-43700.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
8 Kommentare
Neuester Kommentar
auf http://www.fon.com bekommst du noch bis mittwoch einen kostenlosen router (nach mittwoch 29 EUR), welcher ein öffentliches (unverschlüsselt) und ein privates (verschlüsselt) WLAN-Signal aussendet. Über das private könnten eure Firmenlaptops laufen und über das öffentliche die Gäste. Die beiden WLANs sind voneinander getrennt, sodass ein Client im privaten nicht aufs öffentliche zugreifen kann und andersrum... Hinter FON verbirgt sich aber noch viel mehr... einfach mal ne runde im Inet suchen.
PS: NEIN, die Gäste müssen keine FON-Mitglieder sein. Du kannst auf der Konfigurationsseite 5 User / Passwort-Kombinationen festlegen, welche sich kostenlos auf deinem Router einloggen können.
PS: NEIN, die Gäste müssen keine FON-Mitglieder sein. Du kannst auf der Konfigurationsseite 5 User / Passwort-Kombinationen festlegen, welche sich kostenlos auf deinem Router einloggen können.
du könntest die Userauthentifizierung über das Active Directory abwickeln und die Fileshares nur bestimmten Usern freigeben, so sind die Shares zwar Passwortgeschützt, die Eingabe des Passwortes ist aber nicht erforderlich, wenn sich der User schon bei der Windowsanmeldung mit seinem netuser anmeldet
Nachteil: ein laptop müsste als Domain Controller fungieren, ist der Laptop bicht verfügbar funtioniert das ganze nicht
du kannst aber auch einen uralt PC dafür verwenden, die nötige Rechenleistung hält sich in Grenzen
bei nur vier Rechnern aber eigentlich Verschwendung
andere möglichkeit ist feste IPs für die 4 laptops zu verwenden, auf jedem eine Firewall zu installieren und den Filesharing Port (445) nur für bestimmte IP-Adressen freigeben
wenn du einen zweiten Router verwenden willst, brauchst du entweder eine zweite öffentliche IP von deinem Provider und einen Switch zwischen den beiden Routern und dem Modem, sollte keine zweite IP zu Verfügung stehen brauchst du noch einen dritten (LAN only) Router, der Zwischen Modem und den anderen beiden Routern hämgt
so hättest du zwei getrennt Netze, sicherlich die komfortabelste Lösung, wenn auch recht mühsam
oder du verwendest den genannten FON-Router, kleines schmuckes Teil, du musst aber das öffenltichen Netz anderen FON-Usern zur Verfügung stellen
Nachteil: ein laptop müsste als Domain Controller fungieren, ist der Laptop bicht verfügbar funtioniert das ganze nicht
du kannst aber auch einen uralt PC dafür verwenden, die nötige Rechenleistung hält sich in Grenzen
bei nur vier Rechnern aber eigentlich Verschwendung
andere möglichkeit ist feste IPs für die 4 laptops zu verwenden, auf jedem eine Firewall zu installieren und den Filesharing Port (445) nur für bestimmte IP-Adressen freigeben
wenn du einen zweiten Router verwenden willst, brauchst du entweder eine zweite öffentliche IP von deinem Provider und einen Switch zwischen den beiden Routern und dem Modem, sollte keine zweite IP zu Verfügung stehen brauchst du noch einen dritten (LAN only) Router, der Zwischen Modem und den anderen beiden Routern hämgt
so hättest du zwei getrennt Netze, sicherlich die komfortabelste Lösung, wenn auch recht mühsam
oder du verwendest den genannten FON-Router, kleines schmuckes Teil, du musst aber das öffenltichen Netz anderen FON-Usern zur Verfügung stellen
Am saubersten wäre eine komplette Trennung von WLAN und LAN.
Das LAN könnte durch eien extra Firewall geschützt werden. Da gibts schon sehr günstig brauchbare Kisten, zb. von Juniper, die leicht über eine Weboberfläche administriert werden können.
Zugriff per WLAN wäre dann per VPN möglich (falls ihr VPN benutzt).
Oder aber auf der Firewall die das LAN schützt werden einige IPs der Notebooks von Mitarbeitern freigeschaltet, und sie bekommen feste IP Adressen zugewiesen. Gäste bekommen jedoch vom DHCP automatisch andere IPs, die nicht fürs Firmen-LAN freigeschaltet sind. Im WLAN DHCP Server kann man genau definieren, welche MAC Adressen mit welchen IP-Adressen verbunden sein sollen, das wäre auch eine Möglichkeit, dass Mitarbeiter Notebooks immer die selbe IP vom DHCP bekommen, die dann für Zugriff auf LAN freigeschaltet ist auf der Firewall.
Da könnte ein Gast zwar immernoch per MAC-Adressen Spoofing Zugriff erlangen - ist halt ne Frage des Vertrauens. Ich denke aber das wäre vertretbar - ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.
Das wäre wohl die einfachste Möglichkeit.
Internet------Internet-Router/WLAN/-----------------------------Firewall---------LAN
Also zusammenfassend folgende Herangehensweise (so würde ich es zumindest machen im gegebenen Fall)....
-WPA Verschlüsselung wird verwendet wir gehabt
-Netgear Router DHCP vergibt an bestimmte MAC Adressen von Mitarbeitern immer die selbe IP. Diese IPs sind auf einer kleinen zu kaufenden extra-Firewall, die zwischen Netgear-Router Switchport und LAN-Switch geschaltet wird, freigeschaltet. Die Firewall macht u. U. nochmal NAT, die LAN PCs bekommen IPs aus anderen IP Bereichen, als im WLAN verwendet. Rechner im LAN können dann nur noch per Portforwarding aus dem WLAn Netz erreicht werden. Durch Statefull Inspection ist Verkehr vom LAn nach aussen jedoch möglich wie gewohnt.
- Gäste-Notebooks kriegen den WPA Key mitgeteilt, und kriegen ansonsten beliebige DHCP IPs, die NICHT auf der besagten extra-Firewall freigeschaltet sind.
Das Risiko bestünde einzig darin, dass sich ein Gast manuell eine "freigeschaltete" IP verpasst. Dazu muss der Gast aber erstmal wissen, welche das sein könnte und so weiter.
Ist auf jeden Fall die einfachste Lösung meiner Meinung nach.
Das LAN könnte durch eien extra Firewall geschützt werden. Da gibts schon sehr günstig brauchbare Kisten, zb. von Juniper, die leicht über eine Weboberfläche administriert werden können.
Zugriff per WLAN wäre dann per VPN möglich (falls ihr VPN benutzt).
Oder aber auf der Firewall die das LAN schützt werden einige IPs der Notebooks von Mitarbeitern freigeschaltet, und sie bekommen feste IP Adressen zugewiesen. Gäste bekommen jedoch vom DHCP automatisch andere IPs, die nicht fürs Firmen-LAN freigeschaltet sind. Im WLAN DHCP Server kann man genau definieren, welche MAC Adressen mit welchen IP-Adressen verbunden sein sollen, das wäre auch eine Möglichkeit, dass Mitarbeiter Notebooks immer die selbe IP vom DHCP bekommen, die dann für Zugriff auf LAN freigeschaltet ist auf der Firewall.
Da könnte ein Gast zwar immernoch per MAC-Adressen Spoofing Zugriff erlangen - ist halt ne Frage des Vertrauens. Ich denke aber das wäre vertretbar - ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.
Das wäre wohl die einfachste Möglichkeit.
Internet------Internet-Router/WLAN/-----------------------------Firewall---------LAN
Also zusammenfassend folgende Herangehensweise (so würde ich es zumindest machen im gegebenen Fall)....
-WPA Verschlüsselung wird verwendet wir gehabt
-Netgear Router DHCP vergibt an bestimmte MAC Adressen von Mitarbeitern immer die selbe IP. Diese IPs sind auf einer kleinen zu kaufenden extra-Firewall, die zwischen Netgear-Router Switchport und LAN-Switch geschaltet wird, freigeschaltet. Die Firewall macht u. U. nochmal NAT, die LAN PCs bekommen IPs aus anderen IP Bereichen, als im WLAN verwendet. Rechner im LAN können dann nur noch per Portforwarding aus dem WLAn Netz erreicht werden. Durch Statefull Inspection ist Verkehr vom LAn nach aussen jedoch möglich wie gewohnt.
- Gäste-Notebooks kriegen den WPA Key mitgeteilt, und kriegen ansonsten beliebige DHCP IPs, die NICHT auf der besagten extra-Firewall freigeschaltet sind.
Das Risiko bestünde einzig darin, dass sich ein Gast manuell eine "freigeschaltete" IP verpasst. Dazu muss der Gast aber erstmal wissen, welche das sein könnte und so weiter.
Ist auf jeden Fall die einfachste Lösung meiner Meinung nach.
Hallo,
ein Ansatzpunkt ohne zu komplex zu werden wäre zum Beispiel einen anderen WLAN Router /Access Point zu nehmen der mehrere SSID's kann und auch VLANs /Virtuelle LANS bedienen kann.
Somit könntest Du Deine eigenen PC's z.b. im Netz 192.168.178.0 halten und die Besucher im Netz 192.168.179.0.
Somit wissen die Rechner nicht voneinader bzw. um zusammenzukommen müssen Routes eingerichtet werden. Der switch muss dann natürlich auch VLANs unterstützen.
Die andere Möglichkeit wäre eine Server (oder NAS) basierende Fileablage die dann Kennwortgeschützt ist. Diese NAS Lösungen gibt es sehr günstig und sind auch ok. Z.B. von Level One FNS1000 oder von Linksys. Die Dinger sind sehr einfach über ein WEBoberfläche verwaltbar.
Gruß
Egbert
ein Ansatzpunkt ohne zu komplex zu werden wäre zum Beispiel einen anderen WLAN Router /Access Point zu nehmen der mehrere SSID's kann und auch VLANs /Virtuelle LANS bedienen kann.
Somit könntest Du Deine eigenen PC's z.b. im Netz 192.168.178.0 halten und die Besucher im Netz 192.168.179.0.
Somit wissen die Rechner nicht voneinader bzw. um zusammenzukommen müssen Routes eingerichtet werden. Der switch muss dann natürlich auch VLANs unterstützen.
Die andere Möglichkeit wäre eine Server (oder NAS) basierende Fileablage die dann Kennwortgeschützt ist. Diese NAS Lösungen gibt es sehr günstig und sind auch ok. Z.B. von Level One FNS1000 oder von Linksys. Die Dinger sind sehr einfach über ein WEBoberfläche verwaltbar.
Gruß
Egbert
ich habe einen Netgear WGR614, und gerade gesehen, dass folgende Kombination für deine Zwecke möglich ist:
- LAN-IP-Konfiguration/Adressreservierung: feste IPs für bestimmte MAC-Adressen
IP wird dann immer noch autom. bezogen, aber immer die Selbe
- Dienste Sperren: IP-Bereich eingeben, also z.B.: 192.168.0.6 - 192.168.0.254(bzw. 253) und die zu sperrenden Ports, also 445 + glaub da gibts noch andere
wenn dein Router die selben Features hat, wovon ich mal ausgehe, weil meiner echt billig war sollte es das gewesen sein
Edit: Eure 4 Laptops haben in meinem Beispiel dann den IP-Bereich zwischen 192.168.0.2-192.168.0.5
Edit2: der Herr unter mir hat natürlich Recht, wäre zu schön wenn das so ginge
- LAN-IP-Konfiguration/Adressreservierung: feste IPs für bestimmte MAC-Adressen
IP wird dann immer noch autom. bezogen, aber immer die Selbe
- Dienste Sperren: IP-Bereich eingeben, also z.B.: 192.168.0.6 - 192.168.0.254(bzw. 253) und die zu sperrenden Ports, also 445 + glaub da gibts noch andere
wenn dein Router die selben Features hat, wovon ich mal ausgehe, weil meiner echt billig war sollte es das gewesen sein
Edit: Eure 4 Laptops haben in meinem Beispiel dann den IP-Bereich zwischen 192.168.0.2-192.168.0.5
Edit2: der Herr unter mir hat natürlich Recht, wäre zu schön wenn das so ginge
Das Dienste sperren bei Netgear bezieht sich auf Verbindungen mit dem Internet (falls das Teil auch als Internet router fungiert).
Die Geräte die an den Switchports des Routers hängen (LAN sowie über Funk die Notebooks) sind alle im selben Subnetz, für sie gelten diese Einschränkungen nicht.
Die Geräte die an den Switchports des Routers hängen (LAN sowie über Funk die Notebooks) sind alle im selben Subnetz, für sie gelten diese Einschränkungen nicht.
Die Lösung ist eigentlich recht einfach wenn beides WLAN Router sind:
Ein komplettes Design findest du hier:
http://www.heise.de/netze/artikel/78397
Beide WLANs in den Routern müssen unterschiedliche SSIDs haben und eure die eurer Netz bedient solltet ihr zudem noch unterdrücken damit sie nicht sichtbar ist.
Ferner müssen beide WLANs auf unterschiedlichen Kanälen senden (Abstand nach der 5er oder 6er Regel beachten !!!)
Nun müsst ihr euren Gästen nur noch den Schlüssel vom Zugangsrouter (externer Router) verraten und euer Netz ist ist vollkommen getrennt durch den NAT Prozess im sekundären Router (siehe Text)
Ist dir das nicht sicher genug musst du den sekundären Router mit einer Firewall ala IPCop.org ersetzen.
Ein komplettes Design findest du hier:
http://www.heise.de/netze/artikel/78397
Beide WLANs in den Routern müssen unterschiedliche SSIDs haben und eure die eurer Netz bedient solltet ihr zudem noch unterdrücken damit sie nicht sichtbar ist.
Ferner müssen beide WLANs auf unterschiedlichen Kanälen senden (Abstand nach der 5er oder 6er Regel beachten !!!)
Nun müsst ihr euren Gästen nur noch den Schlüssel vom Zugangsrouter (externer Router) verraten und euer Netz ist ist vollkommen getrennt durch den NAT Prozess im sekundären Router (siehe Text)
Ist dir das nicht sicher genug musst du den sekundären Router mit einer Firewall ala IPCop.org ersetzen.