bloodangel
Goto Top

Gerät mit 2 DHCP Bereichen für Enduser für normales und Gastnetz

Hallo erstmal an alle, ich habe mich hier ein ganze Weile im Forum aufgehalten und habe nichts zu Thema gefunden.
Vorab gesagt ich bin seit 1 Jahr ausgelernt, also noch frisch in diesen Kreise und bin glücklicher Angestellter in einer Firma die im Rahmen von Dienstleistungen Ihren Unterhalt verdienen.

Hallo und zwar habe ich folge Situation. Ein Kunde möchte für den Heimgebrauch ein neues Netzwerk haben. Es soll wie folgt aussehen: Das ein Gast (in einen separaten Raum), wenn er in seinen Haus quartiert nicht sein normales Netzwerk sehen darf. Dann noch der Wunsch des Kunden: Er möchte ein neuen Router mit ADSL-Modem sollte aber keine Fritz Box sein (hat Gerüchte gehört, dass diese unsicher sein sollen) und es sollte möglichst mit einen WLAN Ein - Aus-Schalter versehen sein, weil er einer ist der da ein Problem mit den ständigen Wlan-Strahlen hat. Und er möchte für sein Heimnetz ein Storage haben,aber das ist das einfachste der Übung ^_^. Das Gästenetz darf nur mit einen Patchkabel verbunden sein nciht über Wlan.

So nun meine Überlegung.Das mit der keine FritzBox halte ich mir noch optional. Ich dachte mir das ich es so mache das ich einfach 2 Subnetze bilde, eins für das Heimnetz und eins für das Gäste-Netz. So aber nun habe ich das Problem, dass man ja nur von einen normalen Enduser-Router, wie der FritzBox und Co., nur einen DHCP-Bereich einstellen bzw beziehen kann. Das heist ich müsste noch ein Gerät hinstellen was in das WAN routet und aber auch DHCP in seinen Netz macht.

Oder habt Ihr ein Vorschlag wie man dies bewerkstäligen kann?

Ich hoffe Ihr könnt mir weiter helfen, weil es könnte sein das ich in nächster Zeit ein ähnliches Projekt bekommen was im Bereich Schule ist.


Schon mal vielen Dank für Antworten.

Content-ID: 185337

Url: https://administrator.de/forum/geraet-mit-2-dhcp-bereichen-fuer-enduser-fuer-normales-und-gastnetz-185337.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

GuentherH
GuentherH 22.05.2012 um 23:28:41 Uhr
Goto Top
Hi.

Gib dem Kunden doch gleich ein Gerät, dass die geünschten Funktionen alle bietet - http://www.zyxel.com/de/de/products_services/zywall_usg_50_20_20w.shtml ...

LG Günther
dog
dog 22.05.2012 um 23:45:09 Uhr
Goto Top
Gib dem Kunden doch gleich ein Gerät, dass die geünschten Funktionen alle bietet

Na na, nicht übertreiben:

Er möchte ein neuen Router mit ADSL-Modem

und es sollte möglichst mit einen WLAN Ein - Aus-Schalter versehen sein
Lochkartenstanzer
Lochkartenstanzer 22.05.2012 um 23:50:30 Uhr
Goto Top
Moin,

einfach einen Microtik-Router hinter das DSL-Modem klemmen. Damit kann er mehre Teilnetze aufspannen, die er/Du gegeneinader abdichten kann/kannst, ggf sogar eine DMZ bauen. Und WLAN-Kabel braucht er dann auch keine. face-smile

lks
tobi83
tobi83 23.05.2012 um 09:19:27 Uhr
Goto Top
Hi,

wie wäre es denn mit einem IPCop auf einem kleinen ALIX board. Damit kannst sowas auch machen, und hast auch ne richtig coole Firewall mit drin. Und du kannst sogar Anpassungen von extern machen.
Bloodangel
Bloodangel 23.05.2012 aktualisiert um 10:03:02 Uhr
Goto Top
Danke für die vielen Antworten, also @GuentherH und das Teil von Zyxel kann mehrere DHCP-Bereiche, weil wie beschrieben ich bin erst neu in der IT und habe noch nicht soviel Erfahrung mit irgendwelchen Geräten gemacht. Idealer weise müsste man den DCHP Bereich einen Port zuweisen können, weil mir fällt gerade nichts anderes ein wie man dann an dem Switch im Gästenetz nur den anderen Ip Bereich zuweist. Weil ich kenne das nur in Form mit Vlan´s das man da ein "tag" setzt und die dann direkt zuweist. Dann @dog das mit dem ADSL-Modem wäre ja nicht so schlimm da noch eins davor laufen zu lassen, wäre nur super wenn es da schon mit drin gewesen wäre.
Dann @Lochkartenstanzer, bis gestern Abend / Nacht habe ich von der Firma noch nie was gehört, also werde ich da auch erstmal die Finger von lassen und das Wlan soll nur mal für sein Verwandten oder Bekannten für seinen Ipod oder Ipad angemacht werden :O)
@tobi83 wegen dem Alix Board und dem IPCop habe ich auch noch nie was gehört, aber das mit Linux werde ich mir mal genauer ansehen.
Ich hoffe ihr habt alle daran gedacht das ich 2 DCHP Pools brauche bzw geplant habe. Oder ihr schildert mir ein anderes Konzept.

Gruß Falko
ChrisIO
ChrisIO 23.05.2012 aktualisiert um 10:15:21 Uhr
Goto Top
Hey Bloodangel,

mache ich hier einen Denkfehler, oder benötigst Du lediglich einen Router mit ADSL Modem, der VLAN-fähig ist und einen WLAN An- und Ausknopf hat?

Der sollte alles können, was Du möchtest.
http://www.draytek.de/produkte/modem-router/vigor2710-serie.html

1 x ADSL2/2+-Port, RJ-45
1 x WLAN-Knopf (an/aus)
In der Livedemo unter Lan -> VLAN siehst Du die Vlan-Konfiguration.
http://www.draytek.com/.upload/Demo/Vigor2710_v3.3.6/


Gruß,
Chris
Bloodangel
Bloodangel 23.05.2012 um 10:12:18 Uhr
Goto Top
Hallo Chris, im Prinzip schon aber der im Gastnetz soll ja auch ins Inet kommen und wenn man da einfach ein vlan rein macht dann müsste man trotzdem ein Routing zwischen dem WAN und dem Gastnetz machen, oder habe ich da ein Denkfehler?
Bin bereit zur Aufklärung ^_^

Gruß, Falko
ChrisIO
ChrisIO 23.05.2012 aktualisiert um 10:24:35 Uhr
Goto Top
Ich bin sehr der Meinung , dass Das geht.
Meine Das in der Vergangenheit schon gesehen zu haben, aber ruf doch sonst kurz bei Draytek Deutschland an, die beantworten Dir gerne deine letzte Frage.

P.S.: Lass aber bitte deine Erklärung mit den 2 DHCP-Bereichen weg, damit verwirrst Du die Leute nur.
Du möchtest 2 physikalisch voneinander getrennte Netze, die beide Zugriff auf den WAN-Port haben.

VLAN1 umfasst bspw. Port1, WLAN und WAN
VLAN2 umfasst bspw. Port2 und WAN

Netzwerkkabel an Port 2 und Gastclient dran, fertig.


Gruß,
Chris
Bloodangel
Bloodangel 23.05.2012 um 14:41:49 Uhr
Goto Top
P.S.: Lass aber bitte deine Erklärung mit den 2 DHCP-Bereichen weg, damit verwirrst Du die Leute nur.
Du möchtest 2 physikalisch voneinander getrennte Netze, die beide Zugriff auf den WAN-Port haben.


Hallo Chris,

das mit der Firma Draytek ist die Lösung auf meine Anforderungen gewesen.

Mit dem 2 DHCP Bereichen war doch ein wichtiges Kriterium gewesen was das Gerät ausmacht.

Hier nochmal für die Nachwelt -->
Um es genau mal zu deuten diese Geräte können ja nach Typ bis zu 5 DHCP Bereiche verwalten und haben VLAN funktionalität und es ist eine komplette Firewall-Funktionalität.
Desweiteren verfügt das Gerät über VPN.

Also im großen und ganzen ist es ein Gerät was ich auch in den professionellen Bereich sehen würde.
Meine einzigen Bedenken wären nur wenn dies an eine mittelständige Firma zum Einsatz kommen würde, ob dieses Gerät es dann auch bewerkställigen kann von der Geschwindigkeit her usw.

Hier nochmal ein paar Links von einen besseren und eines schwächeren Models:
Vigor2710: http://www.draytek.com/.upload/Demo/Vigor2710_v3.3.6/
Vigor2820: http://draytek.com/.upload/Demo/Vigor2820/v3.3.5.2/

Ich will nur noch darauf hinweisen, das ich keine Werbung für die Firma machen möchte, lediglich nur für Interessenten die das gleiche problem habe oder werden um eine Übersicht zu bekommen.


Ich danke alle für die Antworten und Chris der mir die Lösung gebracht hat.


Gruß Falko!
ChrisIO
ChrisIO 23.05.2012 um 16:00:23 Uhr
Goto Top
Immer gerne, die Produkte sind für den Businesseinsatz bestimmt.

Gruß,
Chris
aqui
aqui 23.05.2012 aktualisiert um 17:40:24 Uhr
Goto Top
@blutengel
Die Lösung ist kinderleicht und wenn du länger im Forum bist hättest du sie eigentlich finden müssen mit der Suchfunktion:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit ist das in 5 Minuten und mit 3 Mausklicks im Web Setup erledigt und er hat volle Kontrolle über das Gastnetzwerk.
Wenn er es ganz toll machen will bastelt er dem Gast noch umsonst ein ein Captive Portal (Hotspot)
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Fertisch ist der Lack !
Übrigens: Genau gleich geht es mit dem o.a. angesprochenen Mikrotik 750 Router zu realisieren für ca. 40 Euronen:
Mikrotik RB750 - Quick Review
Bloodangel
Bloodangel 24.05.2012 um 10:06:49 Uhr
Goto Top
Hallo aqui,

als Newbi ist das nicht so leicht :O).
Ich sollte ja auch Sachen heraussuchen was ich auch verstehe und auf Anhieb damit klar komme, wie schon oben in einen Kommentar beschrieben, dass ich von den diversen Möglichkeiten noch nie was gehört habe geschweige den sie anzuwenden. Da ich im manchen Gebieten noch so meine Defiziete habe bzw. schon lange nicht mehr gemacht habe, musste ich eine schnelle Lösung finden. Naja mein Chef hat mir dann im nachhinein gesagt, dass das kein Gastnetz ist sondern zu einen anderen Familie rüber geht.
Wie dem auch sei ich werde mir dein Threat mal genauer durchlesen und mal sehen das eine oder andere mal nachbauen und einrichten.

Trotzdem danke für deinen Eintrag.

Gruß Falko
aqui
aqui 25.05.2012 um 10:29:23 Uhr
Goto Top
Mit der Firewall oder der Mikrotik Lösung kommst du auch als Newbie schnell zu einer Lösung, da das mit ein paar Mausklicks einrichtbar ist.
Das sollte also der gangbarste Weg für dich sein.
AonAonH
AonAonH 28.05.2012 um 14:01:21 Uhr
Goto Top
www.lancom.de

Beste was es gibt und macht alles möglich!
Bloodangel
Bloodangel 29.05.2012 um 11:03:30 Uhr
Goto Top
Hallo SiRRow,

das soll ja immernoch für den Heimuser sein, das was Lancom anbietet mag zwar gehen, aber das soll auch bezahlbar sein, da sind 600€ aufwärts einfach zuviel.
Danke trotzdem für die Antwort!

Gruß Falko
aqui
aqui 29.05.2012 aktualisiert um 12:02:02 Uhr
Goto Top
pfSense Firewall mit ALIX Board = 130 Euro
Mikrotik 750 GL = 45 Euro
Beide Lösungen leisten zum Teil erheblich mehr als die Lancom Lösung !
Mehr muss man das wohl aus Kostensicht auch nicht kommentieren !
ente
ente 29.05.2012 um 22:15:35 Uhr
Goto Top
also das Fritzboxen (ich rede jetzt nur von 7170/7270/7390) unsicher sein sollen, ist mir neu.
Aber genau diese Anforderung (WLAN-Knopf und Gäste-WLAN/LAN) kann die 7390 erfüllen.
Das WLAN läßt sich sogar zeitgesteuert ein- und ausschalten.
Also was spricht im Heimnetzwerk gegen eine Fritzbox?

Gruß Heiko
Bloodangel
Bloodangel 29.05.2012 um 22:57:05 Uhr
Goto Top
Ja ich kann das nur weiter schreiben was mir gesagt wurde, ich lass das einfach mal so in den Raum stehen.
Die Anforderung war ja die IP Bereiche, sprich man benötigt 2x DHCP-Bereiche. Und man kann das Gastnetz bei den Fritzboxen nur mit Wlan nutzen, was ich mir auch habe sagen lassen es auch mit der Kindersicherung geht im Sinne von Gruppenzuweisungen, aber dann ist die 2te Familie immernoch im selben Netz.

Gruß Falko!
ente
ente 29.05.2012 aktualisiert um 23:25:51 Uhr
Goto Top
eben nicht, genau da liegt der Denkfehler ... die Fritzbox schottet das Gästenetz vom eigenen LAN/WLAN ab!
Ich zitiere mal aus meiner 7390 den Abschnitt, wo man auch den LAN-Port 4 (also der Kabelweg) dafür nutzen kann.

"Gastzugang

Hier können Sie Ihren Gästen schnell und sicher einen Zugang zum Internet ermöglichen. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Das angeschlossene Gerät hat keinen Zugriff auf Ihr Heimnetz oder die WLAN-Gäste."

Das Gäste-WLAN ist davon unabhängig und kann separat aktiviert werden, wenn man es dann möchte ...

In der Fritzbox arbeitet ein Linux ... warum soll man dem nicht trauen.
Mittlerweile heißt es ja FRITZ!OS und wir sind bei Version 5.21 angekommen bei der 7390.

Warum soll ich erhöhten Aufwand betreiben, wenn ich nur die Gäste vom Heimnetz abschotten möchte?
Mir reicht das, das die Gäste nur surfen können, drucken im Netz und auf Freigaben zugreifen (und den ganzen anderen Kram) sollen sie nicht und können sie nicht.
Im Extremfall kann ich ja einen 2. WLAN-Router an LAN-Port 4 anschließen und habe so einen separaten IP-Bereich.

Ich finde, AVM löst diesen Wunsch einfach und effektiv.

Übrigens, die Kindersicherung ist da der falsche Weg, da wird nix vom Netzwerk abgeschottet, sondern man kann nur die Surfzeit begrenzen - ich mußte das bisher einmal auf Kundenwunsch einer Mama einrichten, da die Tochter ein bischen die Schule vernachlässigt hatte ... und hatte bei der Gelegenheit auch wieder dazugelernt ...

Gruß Heiko
Bloodangel
Bloodangel 30.05.2012 um 08:22:24 Uhr
Goto Top
Ja das würde gehen, wenn es nur ein Gast wäre, aber wie mir später mitgeteilt wurde wie ich auch oben geschrieben habe, dass das ein Patchkabel zu einer anderen Familie rüber geht und diese sich selber ihr eigenes Netzwerk aufbauen soll. Also kann man mit der Fritz Version auch 2 DHCP- Pools einstellen?

Wegen der Kindersicherung (wurde mir auch nur zugetragen), er hatte es so gesagt das er mich in eine andere Gruppe geworfen hatte und ich dann nur noch in Inet konnte, also wie eine Art, geringere Rechte vergabe. Wie gesagt ist nur das was mir von meine damaligen Gastgeber so übertragen wurde :O).

Gruß Falko
AonAonH
AonAonH 30.05.2012 aktualisiert um 09:03:07 Uhr
Goto Top
Hallo Bloodangel,

wenn du schon mit zwei DHCP Bereichen arbeiten, Dienste sperren bzw. Firewallregeln (nicht nur Portfilter!), eventuelles Loadbalancing, oder mehrere komplett unabhängige Netze mit einem Zentralen Gateway ausstatten möchtest, wirst du wohl auf ein vernünftiges Gerät angewiesen sein. In meinen Augen sind die Lancoms für das
was sie können absolut Preiswert. Du kannst alles mal eben "on the fly" konfigurieren, die alte konfig wegsichern und immer wieder zurückspielen, ständige weiterentwicklung und kostenlose Updates. Um was für einen
Anschluß handelt es sich denn? Der Lancom 1821+ (ADSL2+) zum Beispiel ist in der Bucht schon für unter 200€ zu haben, dazu kommt noch die VPN Funktionalität (die beherrschen die Fritzies mittlwerweile ja auch recht gut).
Die Andere alternative würde eventuell ein Managed Switch der VLAN-Funktionalitäten beherrscht sein, da gibt es auf
dem Markt auch "recht erschwingliche" Geräte wie z.B. die D-Link DSG Serie. Ein seperates Wlan könntest du auch wieder mit Lancom Accesspoints aufbauen (L54). Ich schreibe viel von Lancom, weil ich auch viel von deren Produkten halte und auch fast ausschliesslich damit arbeite.
Andere Alternativen wie PFSense, IpCop oder die Astaro wurden ja schon angesprochen. Die sind in einem kleinem embedded System wie aquai schon sagte - günstig zu realisieren, ein AVM 7390 ist nun mal auch nicht grade günstig...
Das was du benötigst, für das was du vor hast kostet hallt ein bisschen was...

edit: Habe überlesen das es sich um einen ADSL Anschluß handelt, also wäre beispielsweise der 1821+ eine Option.

Gruß
Bloodangel
Bloodangel 30.05.2012 um 09:09:42 Uhr
Goto Top
Hallo SiRRow,

ich hatte mir auf der Seite von Lancom ein Produkt heraus gesucht mit ADSL, aber für mich war die Seite nicht so recht übersichlich gewesen da ich nur Geräte auf Vermutung angeklickt habe.
Naja wie dem auch sei, ich habe jetzt schon folgendes Gerät in Auftrag gegeben:

http://www.draytek.de/produkte/modem-router/vigor2710-serie.html <-- aber das als n-Serie

http://www.draytek.com/.upload/Demo/Vigor2710_v3.3.6/

Finde gut das man bei dem Anbieter die Geräte direkt mal auf der Seite selbst testen kann, bzw eine Übersicht bekommt, was die Geräte so können und bei Amazon mit Versandt, war der günstigste Anbieter bei 145€ und dann kann man nicht meckern.

Aber ich finde es super das ich soviele super Ratschläge bekomme.
Hätte gar nicht mit soviel Ressonanz gerechnet ^__^


Gruß Falko
Lochkartenstanzer
Lochkartenstanzer 30.05.2012 um 09:16:33 Uhr
Goto Top
Zitat von @Bloodangel:
Ja ich kann das nur weiter schreiben was mir gesagt wurde, ich lass das einfach mal so in den Raum stehen.
Die Anforderung war ja die IP Bereiche, sprich man benötigt 2x DHCP-Bereiche. Und man kann das Gastnetz bei den Fritzboxen
nur mit Wlan nutzen, was ich mir auch habe sagen lassen es auch mit der Kindersicherung geht im Sinne von Gruppenzuweisungen, aber
dann ist die 2te Familie immernoch im selben Netz.



Du kannst neuerdings auch den LAN-Port4 für ein Gastnetz benutzen.

lks
aqui
aqui 31.05.2012 aktualisiert um 15:50:40 Uhr
Goto Top
@ente
Ha ha ...wie unsicher deren Sicherung ist weiss mittlerweile die ganze IT Welt und YouTube:
http://www.youtube.com/watch?v=zVdbSeIACVE
Mehr muss man dazu wohl nicht sagen....
Ist wohl auch ziemlich blauäugig und wenig fachkundig von einem billigen Consumer Produkt wirkliche Sicherheit zu erwarten.
Meist sind das irgendwelche Billigtricks die für Otto Dummieuser reichen damit er ruhig schlafen kann.... die aber nicht tauglich sind für die reale Welt !
Der Port 4 ist ein weiteres Subnetz was der Router eben nur routet aber nicht Security seitig abtrennt. Das ist noch einfacher zu überwinden als die Kindersicherung.
Mal ganz abgesehen davon das durch das fehlende Captive Portal und Syslogging es keinerlei Nachvollziehbarkeit mehr gibt was Gäste gemacht haben.
Für Oma und Opa die zum Enkelbesuch da sind mag das reichen, denn dafür ist sowas wie ein Fritzbox gemacht, nicht aber für etwas gehobene Ansprüche in Firmen oder dort wo nicht bekannte Gäste sind. Da sollte man etwas mehr Sicherheit walten lannsen.
Mit einem Mikrotik bzw. ALIX ist das ja auch kaum teurer als mit ein FB Heimuser Lösung.
ente
ente 31.05.2012 aktualisiert um 18:48:37 Uhr
Goto Top
nur so als Hinweis: es geht hier gar nicht um eine Kindersicherung ... oder hab ich was verpaßt?
Und die Aussage von Dir mit Port 4 ignoriere ich mal ... hast Du ne Fritzbox?
Versuch mal dann aus dem Gästenetz auf irgend ein Gerät ins normale Heimnetz zu kommen ... ich glaube, daran wirst Du scheitern ...
Ich sage auch, das ist nur was für Zuhause ...
Für Hotel´s, Café´s usw. würde ich was anderes nehmen ... hab da mit Endian positive Erfahrungen gemacht ...

Gruß Heiko
AonAonH
AonAonH 03.06.2012 um 12:43:18 Uhr
Goto Top
Zitat von @aqui:
@ente
Ha ha ...wie unsicher deren Sicherung ist weiss mittlerweile die ganze IT Welt und YouTube:
http://www.youtube.com/watch?v=zVdbSeIACVE
Mehr muss man dazu wohl nicht sagen....
Ist wohl auch ziemlich blauäugig und wenig fachkundig von einem billigen Consumer Produkt wirkliche Sicherheit zu erwarten.
Meist sind das irgendwelche Billigtricks die für Otto Dummieuser reichen damit er ruhig schlafen kann.... die aber nicht
tauglich sind für die reale Welt !
Der Port 4 ist ein weiteres Subnetz was der Router eben nur routet aber nicht Security seitig abtrennt. Das ist noch einfacher zu
überwinden als die Kindersicherung.
Mal ganz abgesehen davon das durch das fehlende Captive Portal und Syslogging es keinerlei Nachvollziehbarkeit mehr gibt was
Gäste gemacht haben.
Für Oma und Opa die zum Enkelbesuch da sind mag das reichen, denn dafür ist sowas wie ein Fritzbox gemacht, nicht aber
für etwas gehobene Ansprüche in Firmen oder dort wo nicht bekannte Gäste sind. Da sollte man etwas mehr Sicherheit
walten lannsen.
Mit einem Mikrotik bzw. ALIX ist das ja auch kaum teurer als mit ein FB Heimuser Lösung.



dem ist absolut nichts mehr hinzuzufügen!
Ich denke Bloodangel hat mit dem Draytek schon eine gute/günstige Wahl getroffen...