cybertracker
Goto Top

Wlan Internet aber kein Netzzugriff erlauben

Wlan Netz bei einem Kunden einrichten.

Hallo,
ich bin neu hier.
Nun zu meiner Frage.
Ich muß bei einem Kunden ein Netzwerk einrichten Wlan.
Ok Fakt ist:
Ist ein Campingplatz. Es soll also alles außer Inet gesperrt werden.
Sprich alle Ports außer 21,80, und Mailports.
Aber ebenso soll der Zugriff untereinander unterbunden sein.
Nicht das Gast A von Gast B auf dem seine Platte zugreift.
Da der Platz relative Groß ist sollte nach Möglichkeit auch ein Repeater zum Einsatz kommen.
Am besten währe eine Lössung wo sich der Gast am Router mit Zugangsdaten anmelden muß die er beim Empfang erhält.
Nun mal Kennt ja die Kunden das ganze am Besten so Billig wie möglich.
Es gibt da ja diverse Systeme die aber alle um die 1-2000 e Kosten.
Außerdem ist eine Abrechnung nicht notwendig. Da ja Flatrate.
Was gibt es da an Hardware was man nehmen könnte??
Danke

Content-ID: 58881

Url: https://administrator.de/forum/wlan-internet-aber-kein-netzzugriff-erlauben-58881.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Torsten72
Torsten72 13.05.2007 um 09:18:34 Uhr
Goto Top
Es soll also alles
außer Inet gesperrt werden.
Sprich alle Ports außer 21,80, und
Mailports.

denkfehler, denn der client-pc baut über einen beliebigen port eine verbindung zum server-port 80 auf... wenn kein portforward im router eingetragen, ist alles paletti - außerdem wäre selbst das bei einem offenen wlan netz egal


Aber ebenso soll der Zugriff untereinander
unterbunden sein.
Nicht das Gast A von Gast B auf dem seine
Platte zugreift.

dafür ist jeder selbst zuständig: benutzerrechte nutzen, scripte aus, dienste aus (am besten nicht win verwenden, wenn es um sicherheit geht - zumindest war das vor 2 jahren noch so


Da der Platz relative Groß ist sollte
nach Möglichkeit auch ein Repeater zum
Einsatz kommen.

das ist kein problem, ich würd an die repeater außenantennen anschließen... verschlüsslung ist auch egal, denn der kunde müsste es einrichten (überfordert) und außerdem geht wpa im repeater mode sowieso nicht


außerdem ist die frage, wieviele leute das gleichzeitig benutzen, ob es nicht besser ist, mehrere wlan netze zu schaffen, die dann alle den selben dsl zugang benutzen http://www.tomsnetworking.de/content/reports/j2005a/report_wlan_luege/
und vielleicht gibt es hardware, in der man den transfer beschränken kann... nicht das jemand in seinem urlaub sich ne suse distri runterlädt und damit das netz zum erliegen bringt
aqui
aqui 13.05.2007 um 10:31:01 Uhr
Goto Top
Ich denk mal er meint alles soll geblockt werden und nur lediglich der Zugang über HTTP Port 80 (Web), HTTPS Port 443 (Secure Web, damit die Camper auch Online Banking machen können, POP TCP 110 (Email), POP over SSL TCP 995 (secure EMail), IMAP TCP 143 und IMAP over SSL 993 (Email) als auch SMTP TCP Port 25. Damit wäre dann erstmal so alles Mailtechnische und Surftechnische abgedeckt.
Warum gerade Port 21 FTP freigegeben werden muss, ist nicht ganz ersichtlich aber ggf. wollen die Camper auch etwas MP3 saugen für die abendliche Grillparty am Zelt und dann macht es durchaus Sinn.
Nur wie du ja weisst besteht FTP nicht nur aus Port TCP 21 sondern auch aus dem Datenport TCP 22 also wenn schon denn schon, beide !

Aufsetzen lässt sich das einfach. Einen guten DSL Router vorausgesetzt kannst du die o.a. Ports in eine zentrale Access Liste einpflegen, die dann nur noch diese Ports ins Internet lassen.
Bei der Vernetzung des Platzes nimmst du nicht gerade das Allerbilligste vom Blöd Markt vom Grabbeltisch sondern investierst ein paar Euro mehr in gute Accesspoints, bei denen man die Any to Any Kommunikation der Clients mit einem Mausklick deaktivieren kann.
Auf der anderen Seite sollten PC Nutzer, und dazu gehören ja auch Camper, schon wissen das sie ihre eigenen Resourcen schützen sollten wenn sie sich an einem öffentlichen WLAN zu dem ja auch so ein Campingplatz WLAN gehört, befinden. Das Traurige ist dann natürlich das du ihnen dann auch das Vergnügen platzübergreifender Quake III Arena oder Counterstrike Massaker nimmst aber ggf. ist das ja gewollt ?!

Auf alle Fälle solltest du darauf achten unbedingt APs mit einem externen Antennenanschlus zu verwenden, dann kannst du die APs am Lichtmast in ein wasserdichtes Elektrogehäuse aus Plastik montieren und externe Sektorantennen verwenden die dir die Ausleuchtung des Platzes erheblich verbessern.
Eine reichhaltige Auswahl findest du hier:
http://www.wimo.de/uebersicht-wlan-antennen_d.html

Ideal wäre natürlich noch wenn die APs PoE (Power over Ethernet) supporten, dann kannst du mit externen Power Injektoren die Versorgungsspannung direkt über das Ethernetkabel an die APs bringen, was dir die Elektroverkabelung erspart !
Cybertracker
Cybertracker 13.05.2007 um 10:48:37 Uhr
Goto Top
Hallo,
Any to Any Kommunikation
genau danach habe ich gesucht.
Mir ist nur der Begriff nicht eingefallen.
21 Port deswegen weil wir 3 Gäste haben die damit Arbeiten wollen.
Strom ist das kleinste Problem.
Es sind überall Stromverteilerkästen installiert wo ich eien Inder Mitte nehmen wollte. sind etwa 30m frei Sicht. Da den AP rein und Kabel am Baum daneben hoch zur Antenne.
Könnt Ihr mir da was an AP empfehlen??
Router. Naja noch Telkom Schrott.
Wollte da aber auch eien anderen reinhängen.
Es ging mir eher um die Downloadgeschichten nicht das dem Betreiber nachher ein Strick draus gedreht wird.
t3r0x
t3r0x 13.05.2007 um 11:11:26 Uhr
Goto Top
Guten Morgen

Ich hatte vor ca. 4 Monaten ein Hotelkomplex vernetzt mit W-Lan. Es ist ein Hotspot in Betrieb und zusätzlich 6 Access-Points. Die Kommunikation under den Clients ist ganz einfach zu deaktivieren. Das WLAN ist unverschlüsselt, jedoch kann man nicht einfach darauf los surfen ;)
Man muss an den Empfang und ein Wireless-Ticket abholen. Auf diesem steht ein Benutzernamen und Passwort. Die Empfangsdame kann dann auf ihrem kleinen Ticket-Printer bestimmen, wie lange der Kunde surfen darf. Bei den Access Point wo kein LAN Anschluss vorhanden war, wurde eine PCMCIA Karte eingebaut (PCMCIA: Empfangen, Antennen auf AP : Senden -> Keine Bandbreiten Verluste.. Da wo ein LAN Anschluss vorhanden war, wurde der AP mit PoE in Betrieb genommen. Ein PoE Switch kostet ja auch nicht mehr allzuviel...
An einem Access-Point wurde eine Richstrahlantenne angebracht.

Ob es was für dich ist, musst du wissen... Läuft jetzt seit 4 Monaten ohne Unterbrüche oder sonstige Probleme (ausser das Papier vom Ticket-Printer ging aus ;) )

Hotspot: ZyXEL G-4100 V2 inkl. Printer
Access-Points: ZyXEL G-3000 mit zusätzlicher PCMCIA W-LAN Karte

Gruss Andy
Cybertracker
Cybertracker 13.05.2007 um 11:29:38 Uhr
Goto Top
Genau sowas in der Art suche ich.
Denke nur das es denne zu Teuer sein wird.
Die wollennicht merh wie 300€ ausgeben.
Und das mit dem Tickets wird ja nicht gebraucht.
Frage jetzt wenn ich den AP von dir nehme
den an der Anmeldung wo der Router ist, ist noch Speedport 700 festmache.
Und dann eien Repeater auf dem Platz.
Wenn ich an letztes Jhar denke da waren es gerade mal 10 die Gleichzeitig im Netz waren.
t3r0x
t3r0x 13.05.2007 um 11:33:40 Uhr
Goto Top
Selbstverständlich würde dies auch gehen. Am Empfang ein G3000H und als Repeater ein G3000 mit zusätzlicher PCMCIA W-LAN Karte... Der Grund wieso noch eine zusätzliche Karte: Die PCMCIA läuft im Repeater Modus und die zwei Antennen am AP funktionieren im AP-Modus.

Voraussetzung ist natürlich, dass du überhaupt ein Signal hast vom Empfang bis zum Repeater. Oder hat es da einen LAN Anschluss?

Wenns dich intressiert kannst du die WEB-GUI mal betrachten des AP.
Klick mich
Cybertracker
Cybertracker 13.05.2007 um 11:46:33 Uhr
Goto Top
Also habe in der Mitte des Platzes wo ich das Plane laut Notebook noch 11mb Link.
Mist die Geräte gibt es nicht merh im Handel.
Hat da einer eine Alternative?
t3r0x
t3r0x 13.05.2007 um 11:48:20 Uhr
Goto Top
Die Zyxel Geräte ?!?

Klar gibt es diese noch zukaufen.. Werden auch immer iweder neue Firmwares herausgebracht. Da ich in der Schweiz wohne beziehe ich alles über unseren Zyxel-Reseller:
Studerus

Gruss Andy
tbw-01
tbw-01 13.05.2007 um 11:58:35 Uhr
Goto Top
@Cybertracker

Mal abgesehen von der technischen Problematik:

Ist sich der Platzbesitzer (und vermutlich auch auch Inhaber des DSL-Anschlusses)
sich darüber im Klaren, das wenn keine besonderen Sicherheits und Protokollierungseinrichtungen vorhanden sind,
er für die Straftaten, die seine Kunden, Mieter, Camper oder eventl. WarDriver mit diesem DSL-Anschluss ausführen,
voll zu Rechenschaft gezogen werden kann ??

Ich will niemanden etwas unterstellen, aber es könnte sich jemand an der Grenze des Grundstücks postieren
um kriminelle Handlungen (ebay-Betrug etc.) durchzuführen.
Ganz zu schweigen von dem schon erwähnten MP3-Download für die kommende Grillparty (sollte er nicht legal sein).

Ich meine, das gerade solche Sachen in der Planung eines HotSpots bzw. öffentlichen WLan mit einfliessen sollten.


EDIT:

Die Sache mit dem "Any to Any Kommunikation" greift auch nur innerhalb eines Accesspoints.

Aber was ist, wenn ich die Kommunikation auf IP-Ebene suche ??
Spätestens am Router bekomme ich doch eine Verbindung zu anderen Clients.


Cu,
TBW
t3r0x
t3r0x 13.05.2007 um 12:03:45 Uhr
Goto Top
Genau diese Frage habe ich mir dazumal auch gestellt, darum hat es auch ein Hotspot System gegeben mit Tickets... Was noch zusätzlich installiert wurde war ein Content-Filter und einen externen Sys-Log Srv um gewisse Handlungen nachvollziehen zu können.
aqui
aqui 13.05.2007 um 13:41:10 Uhr
Goto Top
APs für deine Preisklasse wenn du ein Gesamtbudget von 300 Euronen hast sind aber so gut wie nie Syslog fähig. Fast alle APs, wenns nun nicht gerade die Allerbilligsten sind, supporten aber eine Benutzerauthentifizierung und Accounting mit Radius. Wenn du irgendwo noch einen Uralt PC hast mit einer Minimalausstattung spielst du da eine Linux Distro rauf und lässt dort einen Freeradius laufen. So kannst du auch an einem freien WLAN dort die Benutzer problemlos einrichten die sich dann am WLAN authentifizieren. So kannst du einfach kontrollieren wer was wann macht.
Hast du sowieso am Campingplatz zur verwaltung einen Windows Server laufen macht das problemlos aus der Windows IAS.
Wenn das zu kompliziert sein sollte für die Camper lässt du z.B. den HTTP und FTP Verkehr über die gleiche Linux Maschine und einen einen freien Proxy wie den Squid Cache laufen mit Authentifizierung. Hat den gleichen Effekt, allerdings fängst du damit keinen Mail Traffic usw. ab. In der Beziehung ist die Radius Benutzer Authentifizierung am WLAN etwas besser.
Torsten72
Torsten72 13.05.2007 um 14:38:52 Uhr
Goto Top
das ist unsinn, der platzbesitzer kann nicht zur rechenschaft gezogen werden, denn er leitet offensichtlich nur durch. den vorwurf des mitstörers müsste man beweisen. wenn er aus der bereitstellung keinen direkten gewinn zieht, muss er das nicht mal melden
Cybertracker
Cybertracker 13.05.2007 um 14:58:01 Uhr
Goto Top
das ist unsinn, der platzbesitzer kann nicht
zur rechenschaft gezogen werden, denn er
leitet offensichtlich nur durch. den vorwurf
des mitstörers müsste man beweisen.
wenn er aus der bereitstellung keinen
direkten gewinn zieht, muss er das nicht mal
melden
So ist mein Wissensstand auch.
Was halltet Ihr vom: Linksys WRT54GL
Kann der das geforderte??
maxspot.de
Bietet den ja mit anderer Firmware mit zugangskontrolle an.
Also sollte das doch auch mit der Original gehen, oder??
Denn wie gesagt die haben keine Lust für alles Extra zu Zahlen, sprich Mieten.
tbw-01
tbw-01 13.05.2007 um 15:36:05 Uhr
Goto Top
das ist unsinn, der platzbesitzer kann nicht
zur rechenschaft gezogen werden, denn er
leitet offensichtlich nur durch. den vorwurf
des mitstörers müsste man beweisen.
wenn er aus der bereitstellung keinen
direkten gewinn zieht, muss er das nicht mal
melden

Das ist völliger Unsinn und gefährlich dazu!!
Warum meinst Du, gibt es denn in der letzten Zeit, viele Debatten darüber, das
Inhaber eines Internetanschlusses mit Wlan abgemahnt wurden und werden, die
entweder WEP oder gar keine Verschlüsselung nutzen, und dubiosen Wardrivern einen anonymen Zugang
zum Netzt verschafften ?? Hirngespinste ??
Entweder vor zwei oder drei Wochen hatte Ct-TV über so einen Fall berichtet.

Und nach derzeitigem Recht wird der Anschlussinhaber bestraft, solange er nichts gegenteiliges beweisen kann. PUNKT, AUS und BASTA

Wenns nach Deiner Auffassung gehen würde, könnten wir aus Deutschland ja einen einzigen rieseigen HotSpot machen und das
"Anonyme Internet" hätte endlich einen Durchbruch erlebt.

Warum werden in großen Firmen den Proxys eingerichtet ??
Nicht nur zum Schutz sonder auch zu Kontrolle und Protokolierung.
Und der Platzbesitzer ist kein Telekomunikationunternehmen, das Du von Weiter- bzw. Durchleitung sprichst.


CU,
TBW
Cybertracker
Cybertracker 13.05.2007 um 18:03:28 Uhr
Goto Top
Hallo,
also bin schon den ganzen Tag am Recherchieren.
Ich weiß das einige Firmen das für den Linksys anbieten aber dan kommen ja wieder weitere Kosten die der Kunde ja umgehen will.
Kernstück aller dieser geschichten ist der Linksys WRT54GL.
Der ja mit Linux läuft und einer Modifizierten Software.
Unterm Strich ist das genau das was ich Suche nur eben iohen Weiteren Provieder der die Keys erstellt usw....
Habe zwar:
http://freeservices.hotspotsolutions.de/static/ger/freeservices
gefunden. Aber keienr kann mir erzählen das die das absolut kostenlos machen.
Suche schon dauernd den Hacken.
Rootserver für Keys währe vorhanden um die abzugleichen.
aqui
aqui 14.05.2007 um 16:16:30 Uhr
Goto Top
In der Standardausstattung läuft er keineswegs mit einem modifizierten Image sondern mit einer normalen, beim Kauf lizensierten Firmware von Linksys !!!

Man kann dann, sofern man möchte, sich eine der freien Firmwares wie OpenWRT oder dd-wrt.de auf die Maschine spielen !

Deine o.a. Lösung ist eine Firmware Lösung die auf dem FON Prinzip (FONeros, La Fonera) beruht.

http://www.fon.com/de

Du meldest dich bei den Betreibern an, stellst deinen AP oder deine APs zur Verfügung, musst eine spezielle Firmware auf die Maschinen spielen und bist Teil eines weltweiten freien HotSpot Netzwerks das zentral verwaltet wird. Für dich ist eine benutzung anderer HotSpots aus dem Verbund kostenlos andere müssen bezahlen.... Die Verwaltung liegt dann zentral in anderen Händen ! Das ist der Haken den du suchst...

Also nicht wirklich das was du für deinen Campingplatz haben möchtest oder ???
Also normales banales netzwerk aufbauen, offen lassen und die Nutzerauthentifizierung mit Radius machen.
Es geht auch etwas einfacher mit einer freien Portalserver Lösung. D.h. alle Benutzer bekommen eine Zwangswebsite und müssen sich dort dann erstmal mit einem Usernamen und Passwort anmelden. Dort gibt es Lösungen zuhauf für Linux wie z.B. MadWiFi... Dr. Google ist dein Freund !
Torsten72
Torsten72 28.05.2007 um 23:09:37 Uhr
Goto Top
wer lesen kann, ist klar im vorteil

http://www.recht-im-internet.de/themen/wlan.htm
tbw-01
tbw-01 29.05.2007 um 08:38:02 Uhr
Goto Top
wer lesen kann, ist klar im vorteil

http://www.recht-im-internet.de/themen/wlan.htm

Hierin steht:
"Allerdings müssen sie im Zweifelsfalle selbst nachweisen, die Handlungen nicht begangen zu haben,
da sie nach außen zunächst als Verantwortlicher für die IP auftreten."


Hab ich den mit meinem Post was anderes behauptet ??

Und nach derzeitigem Recht wird der Anschlussinhaber bestraft, solange er nichts gegenteiliges beweisen kann. PUNKT, AUS und BASTA

hast aber recht: Wer lesen kann...


Cu,
TBW