WLAN-Clients erst über m0n0wall und dann ins Netzwerk
Hallo,
ich habe in meinem Netz jetzt eine m0n0wall als Firewall/Router im Einsatz. Bin echt begeistert von dem Teil.
Im moment hat meine m0n0wall 2 Netzwerkkarten mit LAN und WAN.
Für die LAN-Karte habe ich das Captive Portal aktiviert, sodass alle Nutzer des LANs sich anmelden müssen, um auf das Internet zuzugreifen. (Oder sie stehen eben auf der MAC-Liste)
Nun würde ich gerne meine WLAN-APs für Gäste öffnen, damit diese die Server im Netzwerk und das Intenet nutzen können. Das funktioniert beim Internet natürlich schon super, nun hätte ich das aber gerne so, dass alle WLAN-Clients (oder von mir aus auch alle Clients im Netzwerk, die nicht auf der MAC-Liste stehen) sich erst anmelden müssen bevor Sie überhaupt irgendeinen Zugriff auf das Netzwerk bekommen. Ein nicht eingeloggter User soll also auch nicht Zugriff auf die Server haben.
Die WLAN-Authentifizierung per WPA würde ich dann ganz gerne abschalten, sodass das Portal die Zugriffskontrolle übernimmt.
So ist das Netzwerk im moment aufgebaut:
Gibt es eine Möglichkeit mein Vorhaben umzusetzen?
(Vielleicht alle WLAN-Clients in einen eigenen Adressbereich, sodass sie über die m0n0wall müssen, um auf das Server-Netz zu kommen!? Kann man die Clients überhaupt in das Netz zwängen, oder können diese sich einfach eine Adresse aus dem Servernetz manuell zuweisen?)
Vielen Dank schonmal!
ich habe in meinem Netz jetzt eine m0n0wall als Firewall/Router im Einsatz. Bin echt begeistert von dem Teil.
Im moment hat meine m0n0wall 2 Netzwerkkarten mit LAN und WAN.
Für die LAN-Karte habe ich das Captive Portal aktiviert, sodass alle Nutzer des LANs sich anmelden müssen, um auf das Internet zuzugreifen. (Oder sie stehen eben auf der MAC-Liste)
Nun würde ich gerne meine WLAN-APs für Gäste öffnen, damit diese die Server im Netzwerk und das Intenet nutzen können. Das funktioniert beim Internet natürlich schon super, nun hätte ich das aber gerne so, dass alle WLAN-Clients (oder von mir aus auch alle Clients im Netzwerk, die nicht auf der MAC-Liste stehen) sich erst anmelden müssen bevor Sie überhaupt irgendeinen Zugriff auf das Netzwerk bekommen. Ein nicht eingeloggter User soll also auch nicht Zugriff auf die Server haben.
Die WLAN-Authentifizierung per WPA würde ich dann ganz gerne abschalten, sodass das Portal die Zugriffskontrolle übernimmt.
So ist das Netzwerk im moment aufgebaut:
Gibt es eine Möglichkeit mein Vorhaben umzusetzen?
(Vielleicht alle WLAN-Clients in einen eigenen Adressbereich, sodass sie über die m0n0wall müssen, um auf das Server-Netz zu kommen!? Kann man die Clients überhaupt in das Netz zwängen, oder können diese sich einfach eine Adresse aus dem Servernetz manuell zuweisen?)
Vielen Dank schonmal!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113826
Url: https://administrator.de/contentid/113826
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Nein, das geht nicht, da du dann mit 2 IP Netzen auf einer Physik (Kabel) arbeitest. Eine Trennung ist dann ohne lokales Routing nicht mehr möglich. Das wird nix und ist auch nicht IP standardkonforme Frickelei !
VLAN Switches hat heute auch jeder Billigheimer im Angebot wie D-Link, NetGear & Co. Für unter 200 Euronen wirst du da fündig. Ausserdem gibt es auch noch eBay wo du gebrauchte HPs, Extreme, Nortel, 3Com und Cisco Switches preiswert erstehen kannst, die das alle von Haus aus können !
Das tut nicht wirklich weh und sollte sich auch die ärmste Schule leisten können !!!
Mit Verlaub gesagt hätte ein kluger Netzwerkplaner das gerade bei einer Schule schon im vornherein vorgesehen als zentralen Switch !!! Schon allein um Schüler und Verwaltungsnetz sicher zu trennen !!
Mit der VLAN Lösung hast du das im Handumdrehen umgesetzt und dein Netzwerk sähe dann so aus:
Du benötigst nur einen zentralen VLAN Switch. Die VLAN Ports führen dann zu deinen normalen Switches die die entsprechenden VLANs bzw. Subnetz Segmente bedienen.
Damit ist das problemlos mit allem Komfort den du haben willst umzusetzen !!
VLAN Switches hat heute auch jeder Billigheimer im Angebot wie D-Link, NetGear & Co. Für unter 200 Euronen wirst du da fündig. Ausserdem gibt es auch noch eBay wo du gebrauchte HPs, Extreme, Nortel, 3Com und Cisco Switches preiswert erstehen kannst, die das alle von Haus aus können !
Das tut nicht wirklich weh und sollte sich auch die ärmste Schule leisten können !!!
Mit Verlaub gesagt hätte ein kluger Netzwerkplaner das gerade bei einer Schule schon im vornherein vorgesehen als zentralen Switch !!! Schon allein um Schüler und Verwaltungsnetz sicher zu trennen !!
Mit der VLAN Lösung hast du das im Handumdrehen umgesetzt und dein Netzwerk sähe dann so aus:
Du benötigst nur einen zentralen VLAN Switch. Die VLAN Ports führen dann zu deinen normalen Switches die die entsprechenden VLANs bzw. Subnetz Segmente bedienen.
Damit ist das problemlos mit allem Komfort den du haben willst umzusetzen !!
So so...dafür ist also in der Schule genug Geld da um 2 separate Netze mit separaten Switches und Kabel in der Schule aufzubauen ??? Ihr müsst aber für einen MinimalerweiterungTaiwan Switches vom Blödmarkt kaufen oder wie ??
Komische Philosophie ??
Wer hat das denn geplant ??? Der Elektriker ?? Ein Netzwerker ja bestimmt nicht...
Komische Philosophie ??
Wer hat das denn geplant ??? Der Elektriker ?? Ein Netzwerker ja bestimmt nicht...
Also hier in Hessen, zumindest in unserem Landkreis ist es nebenbei zwingend vorgeschrieben, dass die Verwaltung vom restlichen Schulnetz physikalisch getrennt geswitcht werden muss! Da hier ja mittlerweile eh jede Verwaltung vom Land Hessen ein SDSL, manchmal aber auch nur ADSL-Business bekommen hat, haben die seitdem eh überall getrennte Netze. Dabei gehts vorallem darum, findige Schüler davon abzuhalten, die digitalen Zeugnisvorlagen bzw. zeitweise auch die kompletten Zeugnisdaten in die Finger zu bekommen. Wie das in anderen Bundesländern ist, keine Ahnung
aber schau dich wirklich mal um nach Nortel 420 oder 450ern, die können das. Kosten fast nichts. Oder 3com Superstack III die können das auch noch. Und kosten auch wieder nichts.
aber schau dich wirklich mal um nach Nortel 420 oder 450ern, die können das. Kosten fast nichts. Oder 3com Superstack III die können das auch noch. Und kosten auch wieder nichts.