
37664
31.10.2006, aktualisiert am 29.11.2006
Offenes Wlan durch Lan durchleiten - Sicherheit?
Ich möchte einen Netgear-Router (WGR615v) nur als als Hotspot (AP) installieren.
Diesen Router kann ich komplett freigeben.
Der Router hat eine feste Lan-Adresse (zB.:192.168.178.100) und hängt mit dem DSL-Eingang
an der FritzBox 7170 .
Die Verbindung zum internet (2000 Kbit/s) soll per Kabel über eine FritzBox erfolgen.
Wie kann ich die Durchleitung durch die FritzBox gegen mein Lan absichern?
Der Gateway-Eintrag entspricht dem der FritzBox.
Das Netz als solches funktioniert.
Ich habe jedoch Bedenken wegen der Sicherheit meines Lan's.
Gruß K.Müller
Diesen Router kann ich komplett freigeben.
Der Router hat eine feste Lan-Adresse (zB.:192.168.178.100) und hängt mit dem DSL-Eingang
an der FritzBox 7170 .
Die Verbindung zum internet (2000 Kbit/s) soll per Kabel über eine FritzBox erfolgen.
Wie kann ich die Durchleitung durch die FritzBox gegen mein Lan absichern?
Der Gateway-Eintrag entspricht dem der FritzBox.
Das Netz als solches funktioniert.
Ich habe jedoch Bedenken wegen der Sicherheit meines Lan's.
Gruß K.Müller
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43455
Url: https://administrator.de/forum/offenes-wlan-durch-lan-durchleiten-sicherheit-43455.html
Ausgedruckt am: 06.04.2025 um 13:04 Uhr
8 Kommentare
Neuester Kommentar

Die Bedenken sind freilich berechtigt.
Einfachste Möglichkeit wäre wohl, hinter den Switchport der Fritzbox, der mit deinem Firmen-LAN verbunden ist, eine kleine Firewall anzuschliessen, die als Statefull Inspection Firewall arbeitet und somit nix vom WLAN Verkehr oder vom Internet (Angriffe, Scans usw)ins LAN lässt sondern nur Verkehr der von "innen" angefordert wurde durchlässt. Das wäre die Lösung wenn beispielsweise Gäste per WLAN ins Internet, nicht aber ins Intranet kommen dürfen sollen.
Oder aber auf dem WLAN AP eine Verschlüsselung wie WPA oder am besten WPA2 aktivieren, MAC Adress Filter aktivieren und alles was man von WLAN Sicherheit so kennt - dann bist auch auf der sicheren Seite und kannst auch per WLAN auf dein Kabelnetz zugreifen ohne Sorgen.
Einfachste Möglichkeit wäre wohl, hinter den Switchport der Fritzbox, der mit deinem Firmen-LAN verbunden ist, eine kleine Firewall anzuschliessen, die als Statefull Inspection Firewall arbeitet und somit nix vom WLAN Verkehr oder vom Internet (Angriffe, Scans usw)ins LAN lässt sondern nur Verkehr der von "innen" angefordert wurde durchlässt. Das wäre die Lösung wenn beispielsweise Gäste per WLAN ins Internet, nicht aber ins Intranet kommen dürfen sollen.
Oder aber auf dem WLAN AP eine Verschlüsselung wie WPA oder am besten WPA2 aktivieren, MAC Adress Filter aktivieren und alles was man von WLAN Sicherheit so kennt - dann bist auch auf der sicheren Seite und kannst auch per WLAN auf dein Kabelnetz zugreifen ohne Sorgen.
Der WLAN Accesspoint für die Gäste gehört in eine DMZ.
Beachte bitte den Artikel bei Heise für ein Beispiel.
http://www.heise.de/netze/artikel/78397
Deine Fritz!box ist für den Internetzugang da und der Accesspoint entspricht dem DMZ Server in dem Bild von demm genannten Artikel.
Gruß Rafiki
Beachte bitte den Artikel bei Heise für ein Beispiel.
http://www.heise.de/netze/artikel/78397
Deine Fritz!box ist für den Internetzugang da und der Accesspoint entspricht dem DMZ Server in dem Bild von demm genannten Artikel.
Gruß Rafiki

Erstmal ist der WLAN Access Point auch nix anderes als eine "virtuelle" Verlängerung eines der Switchports durch die Luft. Somit hängt er physikalisch erstmal genauso im LAN wie alle anderen LAN Geräte auch.
Sinn macht wie gesagt genau zw. kabelgebundenem LAN und dem Switchport an dem das kabelgebundene LAN hängt eine extra Firewall zu klemmen, mit Statefull Inspection. Einfach, sicher, und funktioniert.
Dass der AP im Beispiel des Threadstarters in die DMZ muss will sich mir nicht ganz erschliessen. Er muss ja nicht vom Inet erreichbar sein, der Access Point, sondern er soll nur einen der Switchports die dem LAN zugewandt sind, das Funken beibringen.
Ferner ist für mich immernoch unklar, ob er es für Gäste haben will (also offen) oder um auf LAN Ressourcen zuzugreifen.
Sinn macht wie gesagt genau zw. kabelgebundenem LAN und dem Switchport an dem das kabelgebundene LAN hängt eine extra Firewall zu klemmen, mit Statefull Inspection. Einfach, sicher, und funktioniert.
Dass der AP im Beispiel des Threadstarters in die DMZ muss will sich mir nicht ganz erschliessen. Er muss ja nicht vom Inet erreichbar sein, der Access Point, sondern er soll nur einen der Switchports die dem LAN zugewandt sind, das Funken beibringen.
Ferner ist für mich immernoch unklar, ob er es für Gäste haben will (also offen) oder um auf LAN Ressourcen zuzugreifen.
Wir hatten neulich ein ähnliches Problem. Wir wollten das WLan so konfigurieren das Kunden/ Lieferanten/ Interessenten darüber ins Internet kommen können (um eine VPN in Ihr Netzwerk beispielsweise aufzubauen), die Mitarbeiter ebenfalls die Möglicheit besitzen auf der Terasse/ Wintergarten Besprechungen abzuhalten. Die Mitarbeiter sollten die Möglichkeit besitzen auch auf die Server im Lan zuzugreifen, die Besucher das aber nie können.
Wir haben es den so gelöst. Der WLan Router/ AP vergibt per DHCP IP-Adressen aus einem eigenen Subnetz, sämtliche Routen aus diesem Subnetz gehen an unseren SDSL Router der die Verbindung ins Internet bereitstellt. Zusätzlich ist der WLan Router/ AP direkt an der DMZ angeschlossen und besitzt somit keine Verbindung ins lokale Netzwerk. WLan haben wir mit einem PWD abgesichert.
Die Besucher als auch unsere Mitarbeiter bekommen nun das aktuelle PWD mitgeteilt und können sich darüber in das WLan einklinken und aufs Internet zugreifen. Sollte jemand mal das WLan PWD knacken, kann er zwar unseren Internetzugang nutzen, mehr aber das war es auch schon. Der Zugriff auf das lokale Netzwerk als auch die Server erfolgt den über eine Open-VPN Verbindung, die die Mitarbeiter von Ihrem Laptop aus zusätzlich aufbauen müssen (der Client ist eh auf jedem Laptop installiert/ konfiguriert damit unsere Mitarbeiter auch arbeiten können, wenn Sie mal beim Kunden vor Ort sind).
So haben wir zumindestens das Problem gelöst und sichergestellt, dass das Interne Netzwerk vor Unberechtigten zugriffen von außen gesichert ist aber die Besucher relativ einfach ins Internet kommen. Desweiteren brauchten wir keine weitere Hardware/ Software/ Lizenzen kaufen, da wir nur die vorhandenen Dinge genutzt haben....
MFG, Maik
Wir haben es den so gelöst. Der WLan Router/ AP vergibt per DHCP IP-Adressen aus einem eigenen Subnetz, sämtliche Routen aus diesem Subnetz gehen an unseren SDSL Router der die Verbindung ins Internet bereitstellt. Zusätzlich ist der WLan Router/ AP direkt an der DMZ angeschlossen und besitzt somit keine Verbindung ins lokale Netzwerk. WLan haben wir mit einem PWD abgesichert.
Die Besucher als auch unsere Mitarbeiter bekommen nun das aktuelle PWD mitgeteilt und können sich darüber in das WLan einklinken und aufs Internet zugreifen. Sollte jemand mal das WLan PWD knacken, kann er zwar unseren Internetzugang nutzen, mehr aber das war es auch schon. Der Zugriff auf das lokale Netzwerk als auch die Server erfolgt den über eine Open-VPN Verbindung, die die Mitarbeiter von Ihrem Laptop aus zusätzlich aufbauen müssen (der Client ist eh auf jedem Laptop installiert/ konfiguriert damit unsere Mitarbeiter auch arbeiten können, wenn Sie mal beim Kunden vor Ort sind).
So haben wir zumindestens das Problem gelöst und sichergestellt, dass das Interne Netzwerk vor Unberechtigten zugriffen von außen gesichert ist aber die Besucher relativ einfach ins Internet kommen. Desweiteren brauchten wir keine weitere Hardware/ Software/ Lizenzen kaufen, da wir nur die vorhandenen Dinge genutzt haben....
MFG, Maik

Wir machen es ähnlich - WLAN ist völlig getrennt vom LAN und ist über ein VLAN gelöst. Zugang zum Intranet nur per VPN. Da kann nix verrutschen.
Diese Lösung ist zweifellos am sichersten erfordert aber einen ungleich höheren Aufwand in der Realisierung.
Das Heise Beispiel von "Rafiki" kann er aber problemlos umsetzen und so ist durch die NAT Firewall des 2ten Routers wenigstens einigermaßen gewährleistet das sich keiner in sein privates LAN connecten kann.
Das Heise Beispiel von "Rafiki" kann er aber problemlos umsetzen und so ist durch die NAT Firewall des 2ten Routers wenigstens einigermaßen gewährleistet das sich keiner in sein privates LAN connecten kann.