7
WLAN Hotspot Sicherheit - Zugriff von Clients auf Firmennetz unterbinden
Hallo zusammen,
ich habe mich dazu entschlossen, unseren Hotelgästen WLAN zur Verfügung zu stellen mit Internetzugang. Als Software habe ich die HotSpot Software von Antamedia ausgewählt, da sie recht günstig und einfach zu konfigurieren ist. Diese funktioniert auch und läuft auf einem XP Professional PC mit zwei Netzwerkkarten(192.168.1.1 Verbindung zum Internet, 192.168.0.1 Verbindung zum Firmennetz)
Bevor ich jetzt die WLAN AP´s (DWL-2100AP) in Betrieb nehme würde ich gerne wissen, was ihr vorschlagt um den HotSpot Usern keinen zugriff auf das Firmennetz (192.168.0.X) zu erlauben. Diese sollte möglichst sehr preisgünstig und ohne größere Hardwareanschaffungen möglich sein.
Ich selber bin noch nicht auf die Optimallösung gestoßen...
Danke für eure Tipps
Gruß
Tobias
ich habe mich dazu entschlossen, unseren Hotelgästen WLAN zur Verfügung zu stellen mit Internetzugang. Als Software habe ich die HotSpot Software von Antamedia ausgewählt, da sie recht günstig und einfach zu konfigurieren ist. Diese funktioniert auch und läuft auf einem XP Professional PC mit zwei Netzwerkkarten(192.168.1.1 Verbindung zum Internet, 192.168.0.1 Verbindung zum Firmennetz)
Bevor ich jetzt die WLAN AP´s (DWL-2100AP) in Betrieb nehme würde ich gerne wissen, was ihr vorschlagt um den HotSpot Usern keinen zugriff auf das Firmennetz (192.168.0.X) zu erlauben. Diese sollte möglichst sehr preisgünstig und ohne größere Hardwareanschaffungen möglich sein.
Ich selber bin noch nicht auf die Optimallösung gestoßen...
Danke für eure Tipps
Gruß
Tobias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81893
Url: https://administrator.de/forum/wlan-hotspot-sicherheit-zugriff-von-clients-auf-firmennetz-unterbinden-81893.html
Ausgedruckt am: 02.02.2025 um 10:02 Uhr
7 Kommentare
Neuester Kommentar
Hallo!!
hängt an der Karte 1.1 ein Router der DHCP aktiv hat?
Wenn ja? dann steck den AP an den Router.
Da bekommt der AP ne Adresse ausm 1.x und wenn sich ein Gast ins W-lan einlogt bekommt er auch ne adresse 1.x.
Damit hängt er im W-lan und kann Surfen!
Da der Gast nur eine Anbindung ans 1er Netz hat kommt er auch nicht aufs Firmennetz 0.x.
Diese Software kenn ich nicht aber scheint nciht schlecht zu sein
hängt an der Karte 1.1 ein Router der DHCP aktiv hat?
Wenn ja? dann steck den AP an den Router.
Da bekommt der AP ne Adresse ausm 1.x und wenn sich ein Gast ins W-lan einlogt bekommt er auch ne adresse 1.x.
Damit hängt er im W-lan und kann Surfen!
Da der Gast nur eine Anbindung ans 1er Netz hat kommt er auch nicht aufs Firmennetz 0.x.
Diese Software kenn ich nicht aber scheint nciht schlecht zu sein
hallo,
an der 1.1 hängt das satellitenmodem, da ich dsl via sat nutzen muss.... das ist also kein router wo ich noch was dran hängen kann.
bis jetzt hab ich auf den gescshäfts-pc´s, auf denen wichtige daten liegen, software firewalls die den adressraum, den die ap´s vergeben, blocken. nimmt sich jemand ne statische ip dann war es das mit der sicherheit.....
welche hardware router sind denn günstig und tun das was ich will? und wo häng ich den router dann rein, zwischen satmodem und serverpc scheint mir unlogisch, da ja die clients erst auf den serverpc drauf müssen, oder seh ich das falsch? wenn dann müsste mein router ja drei anschlüsse haben, einen fürs firmennetz, einen fürs hotspot-netz und einer der dann zum hotspot pc geht, der dann im router als gateway eingetragen ist. sehr kompliziert irgendwie...
an der 1.1 hängt das satellitenmodem, da ich dsl via sat nutzen muss.... das ist also kein router wo ich noch was dran hängen kann.
bis jetzt hab ich auf den gescshäfts-pc´s, auf denen wichtige daten liegen, software firewalls die den adressraum, den die ap´s vergeben, blocken. nimmt sich jemand ne statische ip dann war es das mit der sicherheit.....
welche hardware router sind denn günstig und tun das was ich will? und wo häng ich den router dann rein, zwischen satmodem und serverpc scheint mir unlogisch, da ja die clients erst auf den serverpc drauf müssen, oder seh ich das falsch? wenn dann müsste mein router ja drei anschlüsse haben, einen fürs firmennetz, einen fürs hotspot-netz und einer der dann zum hotspot pc geht, der dann im router als gateway eingetragen ist. sehr kompliziert irgendwie...
Eine gute und kostenfreie Lösung für ein Gast WLAN ist z.B. Zeroshell:
http://www.zeroshell.net/eng/
Das kannst du auf eine CD brennen und direkt booten zum Testen. Im Betreib macht es nachher Sinn das auf einem PC ohne bewegliche Teile zu haben auf einer Flashcard. Zeroshell bietet dafür ein fertiges Image an.
Zusammen mit einem CF_zu_IDE_Adapter ist dann so ein Gateway fertig und bootet von der CF wie von einer Festplatte.
Die SW ist komplett über ein Webinterface managebar.
Von Vorteil für Hotspots ist das Captive Portal was diese SW mitbringt. Also eine Zwangswebseite wie bei Hotsports in Bahnhof und Flughafen die der Gast sieht mit Infos zum Hotel etc. und eine Authentifizierung (User/Passwort). Erst nachdem man dort authentisiert ist funktioniert der Webzugang. Auch ein Benutzertracking findet statt um Benutzer im Falle von Straftaten später zu identifizieren, denn du haftest rechtlich für Straftaten die über deinen Internet Account gemacht werden.
Entweder stattest du es mit 3 Netzwerkkarten aus, was aber von der Konfiguration nicht so angenehm ist. Ferner hast du dann auf einem Gerät alles drauf und es ist besser in puncto Ausfallsicherheit diese Maschine nur den Gast WLAN Zugang realisieren zu lassen.
Als einfache Lösung bietet sich eine "DMZ des kleinen Mannes" an mit 2 einfachen DSL Routern.
Das Konzept und die Einrichtung ist hier:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
ganz genau beschrieben.
Das Netz hinter dem sekundären Router ist dein Büro/Firmennetz was dann durch die NAT Firewall sicher vom Gast WLAN geschützt ist, das quasi für den DMZ Server am externen Router hängt. Der DMZ Server wäre dann hier dein Zeroshell Rechner an dem dann die WLAN APs hängen.
Ohne Zeroshell, dann alternativ deine Gast WLAN Lösung.
http://www.zeroshell.net/eng/
Das kannst du auf eine CD brennen und direkt booten zum Testen. Im Betreib macht es nachher Sinn das auf einem PC ohne bewegliche Teile zu haben auf einer Flashcard. Zeroshell bietet dafür ein fertiges Image an.
Zusammen mit einem CF_zu_IDE_Adapter ist dann so ein Gateway fertig und bootet von der CF wie von einer Festplatte.
Die SW ist komplett über ein Webinterface managebar.
Von Vorteil für Hotspots ist das Captive Portal was diese SW mitbringt. Also eine Zwangswebseite wie bei Hotsports in Bahnhof und Flughafen die der Gast sieht mit Infos zum Hotel etc. und eine Authentifizierung (User/Passwort). Erst nachdem man dort authentisiert ist funktioniert der Webzugang. Auch ein Benutzertracking findet statt um Benutzer im Falle von Straftaten später zu identifizieren, denn du haftest rechtlich für Straftaten die über deinen Internet Account gemacht werden.
Entweder stattest du es mit 3 Netzwerkkarten aus, was aber von der Konfiguration nicht so angenehm ist. Ferner hast du dann auf einem Gerät alles drauf und es ist besser in puncto Ausfallsicherheit diese Maschine nur den Gast WLAN Zugang realisieren zu lassen.
Als einfache Lösung bietet sich eine "DMZ des kleinen Mannes" an mit 2 einfachen DSL Routern.
Das Konzept und die Einrichtung ist hier:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
ganz genau beschrieben.
Das Netz hinter dem sekundären Router ist dein Büro/Firmennetz was dann durch die NAT Firewall sicher vom Gast WLAN geschützt ist, das quasi für den DMZ Server am externen Router hängt. Der DMZ Server wäre dann hier dein Zeroshell Rechner an dem dann die WLAN APs hängen.
Ohne Zeroshell, dann alternativ deine Gast WLAN Lösung.
hey,
das was zeroshell macht erledigt ja bei mir der antamedia server, der den usern die loginseite zeigt, mit dem man tickets drucken kann und kreidkartenabrechnung etc.
aber die sache mit den routern könnte man durchaus machen, indem man einfach hinter den server einen router hängt, also zwischen firmennetz und server...
welche router eignen sich hierfür? normale billig-dsl-router? was könnt ihr denn da empfehlen?
gruß
tobias
das was zeroshell macht erledigt ja bei mir der antamedia server, der den usern die loginseite zeigt, mit dem man tickets drucken kann und kreidkartenabrechnung etc.
aber die sache mit den routern könnte man durchaus machen, indem man einfach hinter den server einen router hängt, also zwischen firmennetz und server...
welche router eignen sich hierfür? normale billig-dsl-router? was könnt ihr denn da empfehlen?
gruß
tobias
Ja, dafür reicht z.B. ein Linksys WRT54G oder Edimax-6104 oder andere mit 2 mal Ethernet Port.
Hallöle!
Ich hab ein ähnliches Problem und mir folgendes überlegt.
DSL an Wlan Router (W900) für das interne Netzwerk. Daran per Lan einen Rechner mit nix anderem als Hotspotsoftware (Antamedia). An diesen per 2. Netzwerkkarte einen Wlan AP für die Kunden.
Hoffnung dabei ist, das ich das interne Wlan per WPA verschlüsseln, das öffentliche freigeben kann und der User nicht die freigegebenen Ordner im restlichen Netz sehen kann.
Denkfehler?
Gruss Micha
Ich hab ein ähnliches Problem und mir folgendes überlegt.
DSL an Wlan Router (W900) für das interne Netzwerk. Daran per Lan einen Rechner mit nix anderem als Hotspotsoftware (Antamedia). An diesen per 2. Netzwerkkarte einen Wlan AP für die Kunden.
Hoffnung dabei ist, das ich das interne Wlan per WPA verschlüsseln, das öffentliche freigeben kann und der User nicht die freigegebenen Ordner im restlichen Netz sehen kann.
Denkfehler?
Gruss Micha
Halllooooaaa
zur Absicherung des Firmen Netzwerk würde ich an deiner Stelle ne Windows Domäne aufsetzen.
Gruß
zur Absicherung des Firmen Netzwerk würde ich an deiner Stelle ne Windows Domäne aufsetzen.
Gruß
