9
WLAN Verkehr trennen (Zugriff untereinander verhindern)
Hallo zusammen!
Ich habe folgendes Problem:
Ich habe einen Linksys WLAN Router WRT54GL. Für unser Besucherzentrum soll dieser als freier WLAN-Zugriff fungieren. Weiters möchte ich im selben Netz auf diesem Router 2 Webcams betreiben (sind über http erreichbar).
Ich möchte jetzt natürlich nicht, das sich Besucher auf diese Webcams hängen können. Es soll also der Zugriff verhindert werden!
Gibt es eine Möglichkeit, um das zu gewährleisten?
Habe schon was über die Einstellung "AP Isolation" gelesen. Nach meinem Verständnis bewirkt das aber nur, dass sich die WLAN Clients untereinander nicht sehen, sondern nur ins Internet kommen. Die Webcams hängen aber direkt (mit Kabel) auf dem Router.
Hat jemand einen Lösungsansatz?
Danke im voraus!
Ich habe folgendes Problem:
Ich habe einen Linksys WLAN Router WRT54GL. Für unser Besucherzentrum soll dieser als freier WLAN-Zugriff fungieren. Weiters möchte ich im selben Netz auf diesem Router 2 Webcams betreiben (sind über http erreichbar).
Ich möchte jetzt natürlich nicht, das sich Besucher auf diese Webcams hängen können. Es soll also der Zugriff verhindert werden!
Gibt es eine Möglichkeit, um das zu gewährleisten?
Habe schon was über die Einstellung "AP Isolation" gelesen. Nach meinem Verständnis bewirkt das aber nur, dass sich die WLAN Clients untereinander nicht sehen, sondern nur ins Internet kommen. Die Webcams hängen aber direkt (mit Kabel) auf dem Router.
Hat jemand einen Lösungsansatz?
Danke im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138840
Url: https://administrator.de/contentid/138840
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Die Cams haben doch bestimmt auch ein Webinterface zur Config oder?
Guck doch einfach mal ob man das per PW schützen kann. Dann brauchste dir evtl. nicht so einen Stress machen.
Guck doch einfach mal ob man das per PW schützen kann. Dann brauchste dir evtl. nicht so einen Stress machen.
Hab ich schon!
Man kann die Einstellungen nicht mit Passwort schützen!
Man kann die Einstellungen nicht mit Passwort schützen!
Moin,
wie bist du mit dem Netzwerk verbunden - auch per WLAN oder kommst du über LAN?
Wenn du eine feste IP-Adresse hast, könntest du eine Access-List einrichten, die nur deine IP-Adresse durchlässt und alles andere blockt. Was natürlich auch nicht sonderlich sicher ist, denn jeder könnt sich manuell die IP-Adresse die du immer hast, zuweißen und schon hat er Zugang zu den Cams.
Grüße,
Dani
wie bist du mit dem Netzwerk verbunden - auch per WLAN oder kommst du über LAN?
Wenn du eine feste IP-Adresse hast, könntest du eine Access-List einrichten, die nur deine IP-Adresse durchlässt und alles andere blockt. Was natürlich auch nicht sonderlich sicher ist, denn jeder könnt sich manuell die IP-Adresse die du immer hast, zuweißen und schon hat er Zugang zu den Cams.
Grüße,
Dani
Ich bin über LAN verbunden!
Der freie Zugriff wird über WLAN gemacht und der interne (Webcams) über LAN!
Was ich letztendlich erreichen möchte, ist eine Abkapselung (Trennung) von LAN und WLAN (so, das Geräte vom WLAN nicht ins LAN kommen)!
Oder, dass Clients die eine IP Adresse aus einem gewissen Bereich haben, nur ins Internet kommen und sonst nirgends hin!
Ganz schön verzwickt!
Der freie Zugriff wird über WLAN gemacht und der interne (Webcams) über LAN!
Was ich letztendlich erreichen möchte, ist eine Abkapselung (Trennung) von LAN und WLAN (so, das Geräte vom WLAN nicht ins LAN kommen)!
Oder, dass Clients die eine IP Adresse aus einem gewissen Bereich haben, nur ins Internet kommen und sonst nirgends hin!
Ganz schön verzwickt!
In deinem Fall gehen die WLAN-Clients durch euer LAN ins Internet?! *respekt* Ihr traut euch was...
Ich würde das Ganze durch VLAN's trennen - 1x Firmen-LAN, 1x. Gästenetz - bis du euer Firewall. Somit hast du den Vorteil, dass du beide Netze sauber getrennt hast und das Netz wieder ein bisschen sicherer geworden ist. Von Aufwand her ist es natürlich je nach Netzwerkgröße und Anzahl von Switches die von Access-Point bzw. Internetrouter dazwischen stehen abhängig. Des Weiteren müssen diese min. Layer 2 Managemed sein.
Die andere Lösung wären eben Accesslisten. Aber davon halte ich nichts. Meiner Ansicht nach sollte, man sowas sauber und vorallem sicher strukturieren.
Grüße,
Dani
Ich würde das Ganze durch VLAN's trennen - 1x Firmen-LAN, 1x. Gästenetz - bis du euer Firewall. Somit hast du den Vorteil, dass du beide Netze sauber getrennt hast und das Netz wieder ein bisschen sicherer geworden ist. Von Aufwand her ist es natürlich je nach Netzwerkgröße und Anzahl von Switches die von Access-Point bzw. Internetrouter dazwischen stehen abhängig. Des Weiteren müssen diese min. Layer 2 Managemed sein.
Die andere Lösung wären eben Accesslisten. Aber davon halte ich nichts. Meiner Ansicht nach sollte, man sowas sauber und vorallem sicher strukturieren.
Grüße,
Dani
Wenn die Webcams per LAN angebunden sind, dann nimm eine kleine Firewall Appliance mit 3 Interfaces wie hier im Tutorial beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Über das Captive Portal fackelst du auf einem Interface deine Besucher ab mit einer Begrüssungsseite usw..
Auf dem lokalen LAN schliesst du deine Webcams an und ans 3te Interface den Internet Zugang. Fertig ist deine Lösung.
Wenn du alles richtig gemacht hast ist damit der Kamera Traffic komplett getrennt von den Gästen und die Lösung sollte so aussehen:
Verzwickt ist da gar nix sondern das ist auch von einem kompletten Laien im Handumdrehen umgesetzt. Kannst noch einen ollen PC recyceln dafür oder nimmst eine Alix Board Appliance.
Einfacher geht ja nun wirklich nicht.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Über das Captive Portal fackelst du auf einem Interface deine Besucher ab mit einer Begrüssungsseite usw..
Auf dem lokalen LAN schliesst du deine Webcams an und ans 3te Interface den Internet Zugang. Fertig ist deine Lösung.
Wenn du alles richtig gemacht hast ist damit der Kamera Traffic komplett getrennt von den Gästen und die Lösung sollte so aussehen:
Verzwickt ist da gar nix sondern das ist auch von einem kompletten Laien im Handumdrehen umgesetzt. Kannst noch einen ollen PC recyceln dafür oder nimmst eine Alix Board Appliance.
Einfacher geht ja nun wirklich nicht.
Nein, die WLAN-Clients gehen nicht über unser Firmen-LAN ins Internet!
Das Netz für unser Besucherzentrum ist komplett eigen (hat mit unserem Firmen-LAN nichts zu tun -> und so soll es auch bleiben). Es hängt nur auf der selben Internetleitung. Gehe direkt vom ISP-Router/Switch nochmal weg.
IP-Kreis Firmen-LAN: 192.168.1.0/24
IP-Kreis Besucherzentrum: 172.20.1.0/24
In dem Besucherzentrum-Netz befinden sich wie gesagt, Webcams, ein PC für die Steuerung der Webcams (beides hängt mir Kabel am WLAN-Router) und unsere Besucher würde ich gerne über WLAN ins Internet lassen.
Nun sollen unsere Gäste den PC+Webcams natürlich nicht ansteuern können. Sie sollen quasi nur ins Internet dürfen aber sonst nirgends hin!
Mir ist schon klar, dass ich das ganze mit einem 2. Netz lösen kann. Möchte es mir allerdings ersparen.
Grüße,
Bernhard
Das Netz für unser Besucherzentrum ist komplett eigen (hat mit unserem Firmen-LAN nichts zu tun -> und so soll es auch bleiben). Es hängt nur auf der selben Internetleitung. Gehe direkt vom ISP-Router/Switch nochmal weg.
IP-Kreis Firmen-LAN: 192.168.1.0/24
IP-Kreis Besucherzentrum: 172.20.1.0/24
In dem Besucherzentrum-Netz befinden sich wie gesagt, Webcams, ein PC für die Steuerung der Webcams (beides hängt mir Kabel am WLAN-Router) und unsere Besucher würde ich gerne über WLAN ins Internet lassen.
Nun sollen unsere Gäste den PC+Webcams natürlich nicht ansteuern können. Sie sollen quasi nur ins Internet dürfen aber sonst nirgends hin!
Mir ist schon klar, dass ich das ganze mit einem 2. Netz lösen kann. Möchte es mir allerdings ersparen.
Grüße,
Bernhard
Die Skizze ist schon sehr wohl richtig !! (Nur jetzt nochmal auf deine vermutlichen Verhältnisse angepasst ?!)
Mit der kleinen Firewall trennst du deine Netze eben auf ! Das musst du zwangsweise machen um den Traffic sauber zu trennen eine andere Chance wären dann nur VLANs aber leider teilst du uns ja nicht mit ob du VLAN fähige Switches einsetzt so das man dir zu dem Thema keine hilfreiche Antwort geben kann
!!
Groß umstrukturieren musst du ja nicht, denn es ist ja schon sauber in 2 IP Bereich getrennt also wo ist dein Problem ?? Klemm die kleine FW dazwischen und gut ist. Damit bekommst du eine Top Lösung und das sogar noch mit einem Captive Portal also einer Hotspot Lösung für die Gäste des Besucherzentrums !
Denkbar ist noch die Billiglösung mit einem 20 Euro Router ohne integriertes DSL Modem, das sähe dann so aus:
Das ginge auch aber damit hast du keine schöne CP Lösung für das Gäste WLAN !! Ferner durch das NAT nur geringe Möglichkeiten im Gast WLAN Zugriff zu bekommen !
Das entsprechende Tutorial zu diesem Lösungsansatz findest du hier:
Kopplung von 2 Routern am DSL Port
Das 2te Netz ist ein Muss um das zu trennen ! Wieso redest du von "ersparen" du hast doch schon 2 Netze dein Gast WLAN 172.120.1.0 /24 und das Firmen LAN 192.168.1.0 /24 !! Wo ist denn nun dein Problem genau ?!
Mit der kleinen Firewall trennst du deine Netze eben auf ! Das musst du zwangsweise machen um den Traffic sauber zu trennen eine andere Chance wären dann nur VLANs aber leider teilst du uns ja nicht mit ob du VLAN fähige Switches einsetzt so das man dir zu dem Thema keine hilfreiche Antwort geben kann
!!Groß umstrukturieren musst du ja nicht, denn es ist ja schon sauber in 2 IP Bereich getrennt also wo ist dein Problem ?? Klemm die kleine FW dazwischen und gut ist. Damit bekommst du eine Top Lösung und das sogar noch mit einem Captive Portal also einer Hotspot Lösung für die Gäste des Besucherzentrums !
Denkbar ist noch die Billiglösung mit einem 20 Euro Router ohne integriertes DSL Modem, das sähe dann so aus:
Das ginge auch aber damit hast du keine schöne CP Lösung für das Gäste WLAN !! Ferner durch das NAT nur geringe Möglichkeiten im Gast WLAN Zugriff zu bekommen !
Das entsprechende Tutorial zu diesem Lösungsansatz findest du hier:
Kopplung von 2 Routern am DSL Port
Das 2te Netz ist ein Muss um das zu trennen ! Wieso redest du von "ersparen" du hast doch schon 2 Netze dein Gast WLAN 172.120.1.0 /24 und das Firmen LAN 192.168.1.0 /24 !! Wo ist denn nun dein Problem genau ?!
