18
WLAN absichern für Arme
Hallo,
ich habe 2-3 kleine Kunden deren Netzwerk recht "einfach" aufgebaut ist.
Speedport, unmanaged Switch, alter WLAN AP.
Gerne würde ich deren Netzwerk aufmöbeln mit pfsense, managed Switch, VLANs und damit auch das WLAN vom LAN abtrennen.
Das wird aus wirtschasftlichen oder politischen Gründen nicht gewünscht.
Das WLAN wird rein für Mitarbeitergeräte für Internet und Email verwendet.
Kann mir Jemand einen einfachen WLAN-Router (ohne DSL Modem) empfehlen der eine White-List für Ports enthält.
Man könnte damit nur http, https, imap, pop3, etc erlauben. Die Geräte die ich kenne erlauben nur blacklists. Das ist recht mühsam.
Stefan
ich habe 2-3 kleine Kunden deren Netzwerk recht "einfach" aufgebaut ist.
Speedport, unmanaged Switch, alter WLAN AP.
Gerne würde ich deren Netzwerk aufmöbeln mit pfsense, managed Switch, VLANs und damit auch das WLAN vom LAN abtrennen.
Das wird aus wirtschasftlichen oder politischen Gründen nicht gewünscht.
Das WLAN wird rein für Mitarbeitergeräte für Internet und Email verwendet.
Kann mir Jemand einen einfachen WLAN-Router (ohne DSL Modem) empfehlen der eine White-List für Ports enthält.
Man könnte damit nur http, https, imap, pop3, etc erlauben. Die Geräte die ich kenne erlauben nur blacklists. Das ist recht mühsam.
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368657
Url: https://administrator.de/contentid/368657
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
ich glaube das kannst Du mit einer (gebrauchten, günstigen) Fritzbox erledigen, in den Filtern kannst Du Whitelisten erstellen.
Das Ding dann als AP müsste auch gehen.
Ich hab' leider grad keine zur Hand um das zu verifizieren.
Gruss
ich glaube das kannst Du mit einer (gebrauchten, günstigen) Fritzbox erledigen, in den Filtern kannst Du Whitelisten erstellen.
Das Ding dann als AP müsste auch gehen.
Ich hab' leider grad keine zur Hand um das zu verifizieren.
Gruss
Mikrotik hAP lite kann sowas auch und noch viel mehr und kostet ein Bruchteil der FritzBox.
Politisch und vor allem wirtschaftlich wirst du das dann leichter durchbekommen
Politisch und vor allem wirtschaftlich wirst du das dann leichter durchbekommen
Danke
MikroTik HAP AC Lite ist der gleiche aber mit AC WLAN oder?
Stefan
MikroTik HAP AC Lite ist der gleiche aber mit AC WLAN oder?
Stefan
Richtig !
Danke
Ich probiere das mal aus.
Update für Andere
der HAP AC Lite hat zusätzlich:
Dafür ist der AC ein "Liegegerät" währen der ohne AC ein Standgerät ist.
https://mikrotik.com/product/RB952Ui-5ac2nD
https://mikrotik.com/product/RB941-2nD-TC
Gibt bei den üblichen Verdächtigen zu kaufen. Auch bei Amazon
http://amzn.to/2IClhLN
http://amzn.to/2u7OWcG
Ich probiere das mal aus.
Update für Andere
der HAP AC Lite hat zusätzlich:
- Dual WLAN (2.4 und 5 GHz)
- POE in and out
- AC WLAN
Dafür ist der AC ein "Liegegerät" währen der ohne AC ein Standgerät ist.
https://mikrotik.com/product/RB952Ui-5ac2nD
https://mikrotik.com/product/RB941-2nD-TC
Gibt bei den üblichen Verdächtigen zu kaufen. Auch bei Amazon
http://amzn.to/2IClhLN
http://amzn.to/2u7OWcG
Gleich mal einen zum testen bestellt ;)
Dafür ist der AC ein "Liegegerät" währen der ohne AC ein Standgerät ist.
Hat aber auf der Rückseite 2 Bohrungen für eine einfache Wand- oder Deckenmontage in horizontaler oder auch vertikaler Position.Wer es noch etwas "schöner" haben will nimmt den cAP:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-c ...
...muss dann aber auf das 5 Ghz WLAN Band verzichten. Spart aber noch etwas Geld für knauserige Kunden bei denen das Netzwerk ja so oder so aus der Wand kommt...
Der cAP kann übrigens wie alle Mikrotik APs über CapWap und einem hAP oder anderem Router OS System quasi wie ein WLAN Controller zentral gemanaged werden. (CapsMAN)
Hi,
Zwar wird nur nach WLAN gefragt, jedoch fiel mir auf, dass die LAN-Ports der genannten Geräte nur bis 100 MBit/s hergeben.
Gruß, Nemo
Zwar wird nur nach WLAN gefragt, jedoch fiel mir auf, dass die LAN-Ports der genannten Geräte nur bis 100 MBit/s hergeben.
Gruß, Nemo
@Nemo-G
Gigabit-Pendant gibt es auch:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Gigabit-Pendant gibt es auch:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
dass die LAN-Ports der genannten Geräte nur bis 100 MBit/s hergeben.
Erreichen die meisten der APs als Netto Durchsatz auch nie. 25 Mbit bei 2,4 Ghz wäre schon ein sehr guter Wert den die meisten auch nie erreichen in der Praxis durch die weitgehende Überfüllung des 2,4 Ghz Bereichs auch mit anderen Funkdiensten.Ausserdem kommt dazu das die meisten Endgeräte nur MIMO 1x1 supporten. Da nützt es herzlich wenig wenn der AP dann MIMO 2x2 oder mehr kann.
Vielleicht erreicht man mehr als die 100Mbit im einsamen Keller ohne Nachbar WLANs im 5Ghz Bereich mit .11ac und max 3m Entfernung.
Entsprechend potenten MIMO Client dann wieder vorausgesetzt.
Alternativ tut's natürlich auch ein tplink mit ddwrt.
lks
lks
Servus,
die Mikrotik-Produktpalette wächst ständig:
https://mikrotik.com/products/group/wireless-for-home-and-office
Filters: Gigabit, ...
Inzwischen gibt es auch schon Modelle mit WLAN und Hardware Encryption für brauchbaren IPSEC-Speed. Hätte ich vor 2 Jahren schon gebraucht...
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
Grüße, Stefan
die Mikrotik-Produktpalette wächst ständig:
https://mikrotik.com/products/group/wireless-for-home-and-office
Filters: Gigabit, ...
Inzwischen gibt es auch schon Modelle mit WLAN und Hardware Encryption für brauchbaren IPSEC-Speed. Hätte ich vor 2 Jahren schon gebraucht...
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
Grüße, Stefan
Hallo,
kurz mein persönliches Fazit.
Das Gerät ist klein und schnuckelig.
Es sieht halt so gar nicht nach WLAN sondern eher nach einem Switch aus.
Es hat PoE-In und Out und 5 100MBit Ports.
Und es hat endlich ein Webinterface. Die Geräte von denen die ich früher hatte, hatten nur diese Winbox.
Der WLAN-Empfang ist, trotz fehlender "Ohren" (Antennen) nicht schlechter als der Unifi AC-LR den ich regulär hier verwende.
Ich habe die Firewall so konfiguriert, dass man auf das Transfernetz gar nicht zugreifen kann.
Ausnahmen für IPs oder Ports sind möglich.
Vieleicht hilft diese kurze Zusammenfassung ja Jemanden.
Todo:
Hier meine Regeln
Regel hinzufügen für WAN config
chain=input
protokoll=6 tcp
port=80
in-interface=ether1
Text=Allow WAN configuration
action=accept
Regel vor "drop all from WAN" ziehen
Regel zum blocken des Transfernetzwerkes
chain=forward
dst-adress=192.168.10.0/24
action=reject
Regel zum erlauben eines Ports
chain=forward
dst.adress=192.168.10.1
protokoll=6 tcp
dst-port=443 https
action=accept
Regel vor "Regel zum blocken des Transfernetzwerkes"
Ich werde davon mal ein paar kaufen.
Stefan
kurz mein persönliches Fazit.
Das Gerät ist klein und schnuckelig.
Es sieht halt so gar nicht nach WLAN sondern eher nach einem Switch aus.
Es hat PoE-In und Out und 5 100MBit Ports.
Und es hat endlich ein Webinterface. Die Geräte von denen die ich früher hatte, hatten nur diese Winbox.
Der WLAN-Empfang ist, trotz fehlender "Ohren" (Antennen) nicht schlechter als der Unifi AC-LR den ich regulär hier verwende.
Ich habe die Firewall so konfiguriert, dass man auf das Transfernetz gar nicht zugreifen kann.
Ausnahmen für IPs oder Ports sind möglich.
Vieleicht hilft diese kurze Zusammenfassung ja Jemanden.
Todo:
- Updates installieren
- Kennwort festlegen
- SSID festlegen
- Kennwort für WLAN festlegen
- WPS deaktivieren
- WPA1 deaktivieren
- WAN IP in static ändern und festlegen
- Regeln hinzufügen
Hier meine Regeln
Regel hinzufügen für WAN config
chain=input
protokoll=6 tcp
port=80
in-interface=ether1
Text=Allow WAN configuration
action=accept
Regel vor "drop all from WAN" ziehen
Regel zum blocken des Transfernetzwerkes
chain=forward
dst-adress=192.168.10.0/24
action=reject
Regel zum erlauben eines Ports
chain=forward
dst.adress=192.168.10.1
protokoll=6 tcp
dst-port=443 https
action=accept
Regel vor "Regel zum blocken des Transfernetzwerkes"
Ich werde davon mal ein paar kaufen.
Stefan
Es sieht halt so gar nicht nach WLAN sondern eher nach einem Switch aus.
Ist aber in Wahrheit ein Router mit WLAN der auch Switching kann WAN IP in static ändern und festlegen
WAN IP ??Normal ist es die LAN IP oder routest du dein WLAN in einem separaten Segment.
Den internen AP hängst du ja per Bridge an die LAN IP.
Ich werde davon mal ein paar kaufen.
Eine weise Entscheidung.Infos zu MSSID WLANs mit dem Teil findest du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Hallo,
WAN-IP aus sicht des HAPs.
Ist natürlich das normale LAN.
WAN (Public)
Router
LAN (192.168.10.0/24)
HAP
WAN = 192.168.10.111
LAN = 192.168.88.1
WAN-IP aus sicht des HAPs.
Ist natürlich das normale LAN.
WAN (Public)
Router
LAN (192.168.10.0/24)
HAP
WAN = 192.168.10.111
LAN = 192.168.88.1
Zitat von @aqui:
Infos zu MSSID WLANs mit dem Teil findest du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Soweit bin ich noch nicht.Infos zu MSSID WLANs mit dem Teil findest du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Ich habe zwar seit 6 Monaten ne pfsense (APU), unify und managed switche aber irgendwas ist immer wichtiger.
Besonders diese Kunden die immer wieder was wollen...
Stefan
@StefanKittel
Mal aus eigener Interesse: Ist das zufällig dein erster MikroTik? Klingst nämlich sehr überrascht. Welches Modell ist es denn bei dir schlussendlich eigentlich geworden? Die Produktpalette ist ja zum Teil sehr unübersichtlich, hat aber eben für jeden Anwendungszweck etwas.
Gruß
Kümmel
Mal aus eigener Interesse: Ist das zufällig dein erster MikroTik? Klingst nämlich sehr überrascht. Welches Modell ist es denn bei dir schlussendlich eigentlich geworden? Die Produktpalette ist ja zum Teil sehr unübersichtlich, hat aber eben für jeden Anwendungszweck etwas.
Gruß
Kümmel
Zitat von @Kuemmel:
Mal aus eigener Interesse: Ist das zufällig dein erster MikroTik? Klingst nämlich sehr überrascht.
Nein. Ich hatte früher mal ein Routerboard von denen.Mal aus eigener Interesse: Ist das zufällig dein erster MikroTik? Klingst nämlich sehr überrascht.
Das hatte noch nicht das Webinterface und wenn man sonst "normale" Router gewohnt ist, sind diese Geräte halt eine kalte Dusche mit der Winbox und den vielfältigen Konfigurationsmöglichkeiten. Auch jetzt sind diese Geräte nichts für Einsteiger. Mit den Begriffen "input" und "forward" können die meisten halt nichts anfangen.
Welches Modell ist es denn bei dir schlussendlich eigentlich geworden? Die Produktpalette ist ja zum Teil sehr unübersichtlich, hat aber eben für jeden Anwendungszweck etwas.
HAP AC Liteweil:
- 100Mbit reichen aus mir aus für Internet mit WLAN
- Dual WLAN (2.4 und 5 GHz)
- POE in and out
- AC WLAN
