5
Geht das - Router - Proxy - Router im selben Netz?
Zunächst mal vielen Dank für die Beiträge, die ich hier in den letzten Tagen ohne Anmeldung schon gelesen habe. Mein Problem konnte ich dennoch nicht lösen .. daher nun die Anmeldung.
Ich habe nach der Anleitung 'Kopplung von 2 Routern am DSL Port' unser bestehendes Heimnetz aus FritzBox 7390 (als Router und Telefonanlage) und NAS Geräten und einer Drucker/Scanner Kombi um einen TP-Link TL-WR941ND ergänzt. Alle Geräte sehen sich, greifen aufeinander zu und alles funktioniert. Der TL-WR941ND sollte allerdings nicht einfach nur da sein und funktionieren, sondern einen besser managebaren WLAN Zugang bereitstellen, als das die FritzBox mit dem Vorhandenen ermöglicht (z.B. Sperrung von Internetadressen, zeitlich begrenzte INet Zugänge, Bandbreitenbegrenzung etc.). Der ist nämlich entweder aktv oder nicht, kann aber nicht wirklich konfiguriert werden.
Das Problem ist, dass die Access- und Security Konfigurationsmöglichkeiten des TL-WR941ND nur funktionieren (laut TP-Links technischem Service), wenn er sich im normalen Routerbetrieb befindet und nicht, wie er (nach obiger Anleitung) im Netz installiert ist.
Wäre es nun nicht möglich (und wenn ja wie?), einen Proxy einzuschalten, der alle am Netz über den TL-WR941ND angemeldeten Nutzer reguliert?
Also: FB ist weiter zentraler Router und stellt die DSL/Internetverbindung her. Der TL-WR941ND hängt nicht einfach nur im Netz (faktisch Kabelverbindung von LAN1 Port zum LAN1 Port der FB), sondern es klinkt sich ein Proxy dazwischen, der die entsprechenden Beschränkungen realisieren kann. Dieser Proxy dürfte z.B. auf einem NAS (Synology 210j oder 209) laufen oder auch auf einem Windows Rechner im 24/7 Betrieb. Ist ja alles schon vorhanden. Es sollen aber auch die über den TL-WR941ND verbundenen Benutzer auf alle Ressourcen (NAS, Drucker/Scanner) im Netz zugreifen können, nur der Internetzugang müsste reglementiert werden. Nutzer, die direkt mit dem WLAN der/über die FritzBox verbunden sind, sollen nicht vom Proxy reglementiert werden und unbeschränkt sein.
Idealerweise, im nächsten Schritt, möchte ich eine User Authentifizierung über Radius für die Benutzer, die sich über den TL-WR941ND (z.B. FreeRadius auf einem virtuellen Linux => VirtualBox) verbinden.
Will ich da etwas viel oder ist das auch für einen nichtstudierten ITler machbar?
Danke und Gruß
WandaStaab
Ich habe nach der Anleitung 'Kopplung von 2 Routern am DSL Port' unser bestehendes Heimnetz aus FritzBox 7390 (als Router und Telefonanlage) und NAS Geräten und einer Drucker/Scanner Kombi um einen TP-Link TL-WR941ND ergänzt. Alle Geräte sehen sich, greifen aufeinander zu und alles funktioniert. Der TL-WR941ND sollte allerdings nicht einfach nur da sein und funktionieren, sondern einen besser managebaren WLAN Zugang bereitstellen, als das die FritzBox mit dem Vorhandenen ermöglicht (z.B. Sperrung von Internetadressen, zeitlich begrenzte INet Zugänge, Bandbreitenbegrenzung etc.). Der ist nämlich entweder aktv oder nicht, kann aber nicht wirklich konfiguriert werden.
Das Problem ist, dass die Access- und Security Konfigurationsmöglichkeiten des TL-WR941ND nur funktionieren (laut TP-Links technischem Service), wenn er sich im normalen Routerbetrieb befindet und nicht, wie er (nach obiger Anleitung) im Netz installiert ist.
Wäre es nun nicht möglich (und wenn ja wie?), einen Proxy einzuschalten, der alle am Netz über den TL-WR941ND angemeldeten Nutzer reguliert?
Also: FB ist weiter zentraler Router und stellt die DSL/Internetverbindung her. Der TL-WR941ND hängt nicht einfach nur im Netz (faktisch Kabelverbindung von LAN1 Port zum LAN1 Port der FB), sondern es klinkt sich ein Proxy dazwischen, der die entsprechenden Beschränkungen realisieren kann. Dieser Proxy dürfte z.B. auf einem NAS (Synology 210j oder 209) laufen oder auch auf einem Windows Rechner im 24/7 Betrieb. Ist ja alles schon vorhanden. Es sollen aber auch die über den TL-WR941ND verbundenen Benutzer auf alle Ressourcen (NAS, Drucker/Scanner) im Netz zugreifen können, nur der Internetzugang müsste reglementiert werden. Nutzer, die direkt mit dem WLAN der/über die FritzBox verbunden sind, sollen nicht vom Proxy reglementiert werden und unbeschränkt sein.
Idealerweise, im nächsten Schritt, möchte ich eine User Authentifizierung über Radius für die Benutzer, die sich über den TL-WR941ND (z.B. FreeRadius auf einem virtuellen Linux => VirtualBox) verbinden.
Will ich da etwas viel oder ist das auch für einen nichtstudierten ITler machbar?
Danke und Gruß
WandaStaab
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202616
Url: https://administrator.de/contentid/202616
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
5 Kommentare
Neuester Kommentar
Servus,
ich kann dir zwar nicht wirklich folgen was du umsetzen willst
aber:
Wlan an Fritzbox aus.
den TL-WR941ND mit den Wan Port an Fritzbox verbinden.
Für Wlan ein eigenes Netz aufbauen
Fritzboxnetz: 192.168.178.x /24
TL-WR941ND: 192.168.168.x /24
TL-WR941ND auf direktverbindung konfiguerieren fertig.
eine proxy solltest dich mal schlau machen für was der gut ist..
ich kann dir zwar nicht wirklich folgen was du umsetzen willst
aber:
Wlan an Fritzbox aus.
den TL-WR941ND mit den Wan Port an Fritzbox verbinden.
Für Wlan ein eigenes Netz aufbauen
Fritzboxnetz: 192.168.178.x /24
TL-WR941ND: 192.168.168.x /24
TL-WR941ND auf direktverbindung konfiguerieren fertig.
eine proxy solltest dich mal schlau machen für was der gut ist..
Oh, ich dachte, ich sei klar genug:
WLAN über FritzBox - Zugriff unbeschränkt auf Heimnetz Ressourcen, Internet - für Eltern
WLAN über 2.Router - Zugriff unbeschränkt auf Heimnetz, beschränkt auf Internet - für Kinder und Gäste
FritzBox Gastzugang taugt nicht weil:
- Gastzugang nicht adminstrierbar (an oder aus)
- Gastzugang in anderem Netz (192.168.179.X statt 192.168.178.X) also kein Zugriff auf NAS oder Drucker/Scanner
daher:
zweiter WLAN AP
- im selben Netz (192.168.178.X)
- mit separater Access Beschränkung hinsichtlich Internet
- vollem (oder meinetwegen ebenfalls administrierbarem) Heimnetzzugriff (MAC/IP)
WLAN auf FB aus ist keine gute Lösung, weil der TL-WR.. nur im 2,4GHz Bereich funkt, die FB aber sowohl dort als auch im 5GHz und die Reichweite wesentlich schlechter ist, als mit der FB.
Was ist am Begriff 'Proxy' hinsichtlich der Filterung/Bandbreitenkontrolle konkret falsch?
Was meinst Du mit 'Direktverbindung' hinsichtlich WAN Konfiguration? Kann bei WAN Konfiguration auswählen:
-DynamicIP
-StaticIP
-PPPoE
-BigPond (was immer das ist ..)
-L2TP
-PPTP
WLAN über FritzBox - Zugriff unbeschränkt auf Heimnetz Ressourcen, Internet - für Eltern
WLAN über 2.Router - Zugriff unbeschränkt auf Heimnetz, beschränkt auf Internet - für Kinder und Gäste
FritzBox Gastzugang taugt nicht weil:
- Gastzugang nicht adminstrierbar (an oder aus)
- Gastzugang in anderem Netz (192.168.179.X statt 192.168.178.X) also kein Zugriff auf NAS oder Drucker/Scanner
daher:
zweiter WLAN AP
- im selben Netz (192.168.178.X)
- mit separater Access Beschränkung hinsichtlich Internet
- vollem (oder meinetwegen ebenfalls administrierbarem) Heimnetzzugriff (MAC/IP)
WLAN auf FB aus ist keine gute Lösung, weil der TL-WR.. nur im 2,4GHz Bereich funkt, die FB aber sowohl dort als auch im 5GHz und die Reichweite wesentlich schlechter ist, als mit der FB.
Was ist am Begriff 'Proxy' hinsichtlich der Filterung/Bandbreitenkontrolle konkret falsch?
Was meinst Du mit 'Direktverbindung' hinsichtlich WAN Konfiguration? Kann bei WAN Konfiguration auswählen:
-DynamicIP
-StaticIP
-PPPoE
-BigPond (was immer das ist ..)
-L2TP
-PPTP
Der TP arbeitet bei dir nur als dummer WLAN AP, oder ?
Da ist natürlich nix mit Accesslisten, denn ein WLAN AP in einem WLAN Router arbeitet (fast) immer als simple Layer 2 Bridge zw. WLAN und LAN.
Der Tipp den Port "umzudrehen" von oben ist also schon richtig.
Also den WAN Port des TP in den LAN der FB zu stecken.
Damit greift dann die NAT Firewall zwischen WLAN und LAN der FB.
Allerdings kommt man dann nicht mehr vom LAN auf einen WLAN Client, da das die NAT Firewall verhindert. Andersrum geht das aber schon.
Letztlich ist das eine Fricklei. Wenn du es sauber trennen willst und auch erheblich flexibler mit den Access Controllisten umgehen willst nimmst du besser eine kleine Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein Proxy kann man als Package auch problemlos drauf installieren !
Technisch ist das der erheblich bessere Weg !
Da ist natürlich nix mit Accesslisten, denn ein WLAN AP in einem WLAN Router arbeitet (fast) immer als simple Layer 2 Bridge zw. WLAN und LAN.
Der Tipp den Port "umzudrehen" von oben ist also schon richtig.
Also den WAN Port des TP in den LAN der FB zu stecken.
Damit greift dann die NAT Firewall zwischen WLAN und LAN der FB.
Allerdings kommt man dann nicht mehr vom LAN auf einen WLAN Client, da das die NAT Firewall verhindert. Andersrum geht das aber schon.
Letztlich ist das eine Fricklei. Wenn du es sauber trennen willst und auch erheblich flexibler mit den Access Controllisten umgehen willst nimmst du besser eine kleine Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein Proxy kann man als Package auch problemlos drauf installieren !
Technisch ist das der erheblich bessere Weg !
Der TP arbeitet bei dir nur als dummer WLAN AP, oder ?
Genau.Da ist natürlich nix mit Accesslisten, denn ein WLAN AP in einem WLAN Router arbeitet (fast) immer als simple Layer 2 Bridge
zw. WLAN und LAN.
Der Tipp den Port "umzudrehen" von oben ist also schon richtig.
Also den WAN Port des TP in den LAN der FB zu stecken.
Damit greift dann die NAT Firewall zwischen WLAN und LAN der FB.
Allerdings kommt man dann nicht mehr vom LAN auf einen WLAN Client, da das die NAT Firewall verhindert. Andersrum geht das aber
schon.
zw. WLAN und LAN.
Der Tipp den Port "umzudrehen" von oben ist also schon richtig.
Also den WAN Port des TP in den LAN der FB zu stecken.
Damit greift dann die NAT Firewall zwischen WLAN und LAN der FB.
Allerdings kommt man dann nicht mehr vom LAN auf einen WLAN Client, da das die NAT Firewall verhindert. Andersrum geht das aber
schon.
[Moment, vom WLAN Client am TP Router kommt man ins LAN der FB? Hm, problematisch wird es aber vermutlich, wenn man vom Brother Multifunktionsgerät DCP-395CN auf einen Client scannen will, der ein Stockwerk höher steht. Das geht vermutlich nicht den Weg zurück durch die NAT Firewall.]
Tja, hatte schon erwogen, es tatsächlich so zu machen, denn dann hätte ich ein komfortables 'Gastnetz', abeschottet vom 'Familiennetz'. Ein Kind/Gast müsste sich dann eben ggf. neu verbinden, um das jeweils andere Netz und die entsprechende Funktionalität zu erreichen. Das ist aber umständlich und unelegant. Da die IP Adressen der WLAN Clients aber im Familiennetz per DHCP vergeben werden sollen, kann durch Vorgabe der IP im Client ein Blocken umgangen werden und da kann ich mir das zweite Netz gleich ganz sparen (daher soll irgendwann später das Gastnetz auch durch einen Radius Server versorgt werden).
umgehen willst nimmst du besser eine kleine Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein Proxy kann man als Package auch problemlos drauf installieren !
Technisch ist das der erheblich bessere Weg !
Danke für den konstruktiven Tipp. Da wird wohl das ganze Wochenende drauf gehen, es zu lesen und auszuprobieren ..Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein Proxy kann man als Package auch problemlos drauf installieren !
Technisch ist das der erheblich bessere Weg !
Och nöö wenn man weiss was man macht versteht man es schnell 
Du solltest einen Multi SSID AP einsetzen, damit kannst du Gastnetz und Familiennetz effizient über einen AP betreiben.
Mit einem Captive Portal für die Gäste und Voucher bist du dann bestens bedient.
Gäste können sich sogar den Voucher per SMS senden lassne wenn du willst...
Diese Tutorials sagen dir wie...:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Den Radius oder Vocher Server machst du so:
Netzwerk Management Server mit Raspberry Pi
Das wäre dann das perfekte Familien- und Gastnetz was du machen kannst !!
Du solltest einen Multi SSID AP einsetzen, damit kannst du Gastnetz und Familiennetz effizient über einen AP betreiben.
Mit einem Captive Portal für die Gäste und Voucher bist du dann bestens bedient.
Gäste können sich sogar den Voucher per SMS senden lassne wenn du willst...
Diese Tutorials sagen dir wie...:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Den Radius oder Vocher Server machst du so:
Netzwerk Management Server mit Raspberry Pi
Das wäre dann das perfekte Familien- und Gastnetz was du machen kannst !!
