9
WLAN-Clients erst über m0n0wall und dann ins Netzwerk
Hallo,
ich habe in meinem Netz jetzt eine m0n0wall als Firewall/Router im Einsatz. Bin echt begeistert von dem Teil.
Im moment hat meine m0n0wall 2 Netzwerkkarten mit LAN und WAN.
Für die LAN-Karte habe ich das Captive Portal aktiviert, sodass alle Nutzer des LANs sich anmelden müssen, um auf das Internet zuzugreifen. (Oder sie stehen eben auf der MAC-Liste)
Nun würde ich gerne meine WLAN-APs für Gäste öffnen, damit diese die Server im Netzwerk und das Intenet nutzen können. Das funktioniert beim Internet natürlich schon super, nun hätte ich das aber gerne so, dass alle WLAN-Clients (oder von mir aus auch alle Clients im Netzwerk, die nicht auf der MAC-Liste stehen) sich erst anmelden müssen bevor Sie überhaupt irgendeinen Zugriff auf das Netzwerk bekommen. Ein nicht eingeloggter User soll also auch nicht Zugriff auf die Server haben.
Die WLAN-Authentifizierung per WPA würde ich dann ganz gerne abschalten, sodass das Portal die Zugriffskontrolle übernimmt.
So ist das Netzwerk im moment aufgebaut:
Gibt es eine Möglichkeit mein Vorhaben umzusetzen?
(Vielleicht alle WLAN-Clients in einen eigenen Adressbereich, sodass sie über die m0n0wall müssen, um auf das Server-Netz zu kommen!? Kann man die Clients überhaupt in das Netz zwängen, oder können diese sich einfach eine Adresse aus dem Servernetz manuell zuweisen?)
Vielen Dank schonmal!
ich habe in meinem Netz jetzt eine m0n0wall als Firewall/Router im Einsatz. Bin echt begeistert von dem Teil.
Im moment hat meine m0n0wall 2 Netzwerkkarten mit LAN und WAN.
Für die LAN-Karte habe ich das Captive Portal aktiviert, sodass alle Nutzer des LANs sich anmelden müssen, um auf das Internet zuzugreifen. (Oder sie stehen eben auf der MAC-Liste)
Nun würde ich gerne meine WLAN-APs für Gäste öffnen, damit diese die Server im Netzwerk und das Intenet nutzen können. Das funktioniert beim Internet natürlich schon super, nun hätte ich das aber gerne so, dass alle WLAN-Clients (oder von mir aus auch alle Clients im Netzwerk, die nicht auf der MAC-Liste stehen) sich erst anmelden müssen bevor Sie überhaupt irgendeinen Zugriff auf das Netzwerk bekommen. Ein nicht eingeloggter User soll also auch nicht Zugriff auf die Server haben.
Die WLAN-Authentifizierung per WPA würde ich dann ganz gerne abschalten, sodass das Portal die Zugriffskontrolle übernimmt.
So ist das Netzwerk im moment aufgebaut:
Gibt es eine Möglichkeit mein Vorhaben umzusetzen?
(Vielleicht alle WLAN-Clients in einen eigenen Adressbereich, sodass sie über die m0n0wall müssen, um auf das Server-Netz zu kommen!? Kann man die Clients überhaupt in das Netz zwängen, oder können diese sich einfach eine Adresse aus dem Servernetz manuell zuweisen?)
Vielen Dank schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113826
Url: https://administrator.de/contentid/113826
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Kurze Frage bevor wir hier viel schreiben: Dieses Tutorial dazu kennst du: ???
Um das umzusetzen benötigst du ein 3tes Interface an der M0n0wall oder...sofern dein Switch VLAN fähig ist kannst du das im Handumdrehen auch mit VLANs und der M0n0wall lösen.
Wie, sagt dir dieses Tutorial:
Um das umzusetzen benötigst du ein 3tes Interface an der M0n0wall oder...sofern dein Switch VLAN fähig ist kannst du das im Handumdrehen auch mit VLANs und der M0n0wall lösen.
Wie, sagt dir dieses Tutorial:
Ja, aber soweit ich das sehe, ist das Gast-WLAN dort immer hinter der Firewall.
Bei uns gibt es nur ein LAN, das quer durch das Gebäude geht. Leider können wir kein weiteres physikalisches Netz nur für die APs aufbauen, da oft nur ein Kabel in bestimmte Bereiche geht, wo normale Clients, aber auch WLAN-Access Points angeschlossen sind.
Bei uns gibt es nur ein LAN, das quer durch das Gebäude geht. Leider können wir kein weiteres physikalisches Netz nur für die APs aufbauen, da oft nur ein Kabel in bestimmte Bereiche geht, wo normale Clients, aber auch WLAN-Access Points angeschlossen sind.
...deshalb ja auch der Vorschlag das einfach und schnell mit VLANs zu lösen !!
Da bleibt die Infrastruktur gleich, du kannst aber schnell und einfach mehrere neue Segmente eröffnen ohne das du an der Kabelage was ändern musst.
Eine VLAN fähigen L2 Switch vorausgesetzt natürlich....
Da bleibt die Infrastruktur gleich, du kannst aber schnell und einfach mehrere neue Segmente eröffnen ohne das du an der Kabelage was ändern musst.
Eine VLAN fähigen L2 Switch vorausgesetzt natürlich....
Und da tut es leider weh 
Das ganze soll in einer Schule umgesetzt werden und die sind leider nicht sonderlich großzügig, was finanzielle Mittel angeht. Soweit ich weiß sind managed Switches ja recht teuer. (Die müsste ich ja dann auch an jedem Knoten haben, oder? Sind insgesamt 4 Bereiche ca., wo dann weitergeswitched wird.)
Gibts nicht die Möglichkeit, die WLAN-Clients ins Netz 192.168.11.XXX zu zwängen, sodass sie über die Firewall müssen, um an das Servernetz 192.168.2.XXX zu kommen?
Das ganze soll in einer Schule umgesetzt werden und die sind leider nicht sonderlich großzügig, was finanzielle Mittel angeht. Soweit ich weiß sind managed Switches ja recht teuer. (Die müsste ich ja dann auch an jedem Knoten haben, oder? Sind insgesamt 4 Bereiche ca., wo dann weitergeswitched wird.)
Gibts nicht die Möglichkeit, die WLAN-Clients ins Netz 192.168.11.XXX zu zwängen, sodass sie über die Firewall müssen, um an das Servernetz 192.168.2.XXX zu kommen?
Nein, das geht nicht, da du dann mit 2 IP Netzen auf einer Physik (Kabel) arbeitest. Eine Trennung ist dann ohne lokales Routing nicht mehr möglich. Das wird nix und ist auch nicht IP standardkonforme Frickelei !
VLAN Switches hat heute auch jeder Billigheimer im Angebot wie D-Link, NetGear & Co. Für unter 200 Euronen wirst du da fündig. Ausserdem gibt es auch noch eBay wo du gebrauchte HPs, Extreme, Nortel, 3Com und Cisco Switches preiswert erstehen kannst, die das alle von Haus aus können !
Das tut nicht wirklich weh und sollte sich auch die ärmste Schule leisten können !!!
Mit Verlaub gesagt hätte ein kluger Netzwerkplaner das gerade bei einer Schule schon im vornherein vorgesehen als zentralen Switch !!! Schon allein um Schüler und Verwaltungsnetz sicher zu trennen !!
Mit der VLAN Lösung hast du das im Handumdrehen umgesetzt und dein Netzwerk sähe dann so aus:
Du benötigst nur einen zentralen VLAN Switch. Die VLAN Ports führen dann zu deinen normalen Switches die die entsprechenden VLANs bzw. Subnetz Segmente bedienen.
Damit ist das problemlos mit allem Komfort den du haben willst umzusetzen !!
VLAN Switches hat heute auch jeder Billigheimer im Angebot wie D-Link, NetGear & Co. Für unter 200 Euronen wirst du da fündig. Ausserdem gibt es auch noch eBay wo du gebrauchte HPs, Extreme, Nortel, 3Com und Cisco Switches preiswert erstehen kannst, die das alle von Haus aus können !
Das tut nicht wirklich weh und sollte sich auch die ärmste Schule leisten können !!!
Mit Verlaub gesagt hätte ein kluger Netzwerkplaner das gerade bei einer Schule schon im vornherein vorgesehen als zentralen Switch !!! Schon allein um Schüler und Verwaltungsnetz sicher zu trennen !!
Mit der VLAN Lösung hast du das im Handumdrehen umgesetzt und dein Netzwerk sähe dann so aus:
Du benötigst nur einen zentralen VLAN Switch. Die VLAN Ports führen dann zu deinen normalen Switches die die entsprechenden VLANs bzw. Subnetz Segmente bedienen.
Damit ist das problemlos mit allem Komfort den du haben willst umzusetzen !!
Gut, dann werde ich wohl nicht um den neuen Switch rumkommen.
Leider fand ich die Verkabelung auch nur so vor... (Das verwaltungsnetz ist aber nochmal ne ganz andere Baustelle natürlich. Hat mit dem ganzen garnix zu tun. Eigenes Netz, eigenes DSL)
Danke für die Infos!
Leider fand ich die Verkabelung auch nur so vor... (Das verwaltungsnetz ist aber nochmal ne ganz andere Baustelle natürlich. Hat mit dem ganzen garnix zu tun. Eigenes Netz, eigenes DSL)
Danke für die Infos!
So so...dafür ist also in der Schule genug Geld da um 2 separate Netze mit separaten Switches und Kabel in der Schule aufzubauen ??? Ihr müsst aber für einen MinimalerweiterungTaiwan Switches vom Blödmarkt kaufen oder wie ??
Komische Philosophie ??
Wer hat das denn geplant ??? Der Elektriker ?? Ein Netzwerker ja bestimmt nicht...
Komische Philosophie ??
Wer hat das denn geplant ??? Der Elektriker ?? Ein Netzwerker ja bestimmt nicht...
Die physikalische Trennung von Schülernetz und Verwaltung macht einfach auch raumtechnisch sinn, weils verschiedene Gebäudeteile sind. Nen Taiwanswitch ist naürlich drin. Hatte die auch etwas treurer in Erinnerung.
Also hier in Hessen, zumindest in unserem Landkreis ist es nebenbei zwingend vorgeschrieben, dass die Verwaltung vom restlichen Schulnetz physikalisch getrennt geswitcht werden muss! Da hier ja mittlerweile eh jede Verwaltung vom Land Hessen ein SDSL, manchmal aber auch nur ADSL-Business bekommen hat, haben die seitdem eh überall getrennte Netze. Dabei gehts vorallem darum, findige Schüler davon abzuhalten, die digitalen Zeugnisvorlagen bzw. zeitweise auch die kompletten Zeugnisdaten in die Finger zu bekommen. Wie das in anderen Bundesländern ist, keine Ahnung 
aber schau dich wirklich mal um nach Nortel 420 oder 450ern, die können das. Kosten fast nichts. Oder 3com Superstack III die können das auch noch. Und kosten auch wieder nichts.
aber schau dich wirklich mal um nach Nortel 420 oder 450ern, die können das. Kosten fast nichts. Oder 3com Superstack III die können das auch noch. Und kosten auch wieder nichts.
