6
WLAN vom LAN trennen mit DD-WRT?
Hallo
Ich möchte mit einem Linksys WRT54GL und DD-WRT v.24 das WLAN vom LAN trennen.
Mit der AP-Isolierung kann ich, soweit ich gelesen habe, nur die WLAN clients untereinander “trennen”, in dem diese ein eigenes virtuelles Netzwerk erhalten.
Wie aber kann ich verhindern, dass WLAN-Nutzer auf die Rechner, die am LAN-Port angeschlossen sind, zugreifen können?
Reicht ein sicheres Windows Passwort an den Rechnern aus oder kann im DD-WRT evtl. eine physische Trennung eingestellt werden? Sind evtl. auch zwei unterschiedliche Subnetze eine Lösung?
Bei meiner Suche bin ich auf vLan-tagging und ip-tables gestossen, ich schnalle jedoch die zahlreichen, möglichen Einstellungen nicht.
Hat diesbezüglich jemand Erfahrung und kann mir die nötigen Einstellungen angeben?
Mein NW sieht so aus:
- Modem Cablecom - Router Linksys WRT54GL (mit DD-WRT v24)
- Offenes WLAN für alle Restaurantkunden
- Abgesichertes LAN für 2 PCs (verbunden am LAN-Port 1 - Switch)
Danke für jedes Feedback!
Nachtrag: Noch zwei Bilder des Linksys:
Ich möchte mit einem Linksys WRT54GL und DD-WRT v.24 das WLAN vom LAN trennen.
Mit der AP-Isolierung kann ich, soweit ich gelesen habe, nur die WLAN clients untereinander “trennen”, in dem diese ein eigenes virtuelles Netzwerk erhalten.
Wie aber kann ich verhindern, dass WLAN-Nutzer auf die Rechner, die am LAN-Port angeschlossen sind, zugreifen können?
Reicht ein sicheres Windows Passwort an den Rechnern aus oder kann im DD-WRT evtl. eine physische Trennung eingestellt werden? Sind evtl. auch zwei unterschiedliche Subnetze eine Lösung?
Bei meiner Suche bin ich auf vLan-tagging und ip-tables gestossen, ich schnalle jedoch die zahlreichen, möglichen Einstellungen nicht.
Hat diesbezüglich jemand Erfahrung und kann mir die nötigen Einstellungen angeben?
Mein NW sieht so aus:
- Modem Cablecom - Router Linksys WRT54GL (mit DD-WRT v24)
- Offenes WLAN für alle Restaurantkunden
- Abgesichertes LAN für 2 PCs (verbunden am LAN-Port 1 - Switch)
Danke für jedes Feedback!
Nachtrag: Noch zwei Bilder des Linksys:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164326
Url: https://administrator.de/contentid/164326
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
DAS hier hast du durchgelesen um das umzusetzen ???
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ggf. noch in Kombination mit:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
für das Restaurant.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ggf. noch in Kombination mit:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
für das Restaurant.
Hi,
Also mit unterschiedlichen Subnetzen und Windows-Passwörtern wirst du keinen besonders hohen Grad an Sicherheit erreichen.
Die Idee mit den unterschiedlichen VLANS ist da schon deutlich besser.
Mit DD-WRT habe ich keine Erfahrungen, deshalb nur die Theorie:
Mit VLANS hast du die möglichkeit innerhalb eines physikalischen Netzes zwei Virtuelle Netze zu betreiben. Es gibt zwei wichtige Modi für VLAN:
- tagged
- untagged
- Tagged VLAN funktioniert nur dann, wenn alle Endgeräte (Router, Switches, PCs, WLAN-Clients) dies unterstützen. Ist also für dein offenes WLAN ungeeignet.
- Mit dem untagged VLAN werden die Geräte anhand des Ports an dem sie angeschlossen sind in verschiedene VLANs sortiert, funktioniert also sobald das Gerät VLANS unterstützt (ob das bei DD-WRT der Fall ist kann ich nicht sagen)
Wenn ja dann müsste deine Konfiguration ungefähr so aussehen:
- Port 0 - Uplink ins Internet - VLAN-ID: 1,2
- Port 1 - Port des WLAN-Radios - VLAN-ID: 2
- Port 2 - Port an dem die Rechner im LAN hängen - VLAN-ID: 1
Wie du oben sehen kannst musst du zwei VLANS mit der ID 1 und 2 anlegen.
Alles am WLAN-Radio hängt in VLAN 2
Alles im LAN hängt in VLAN 1
Der uplink ins Internet, der ja sowohl für die LAN als auch die WLAN-Clients funktionieren muss (denke ich mal) hängt in beiden VLANS: 1,2
Wie genau du das an deinem Router einstellst kann ich dir leider nicht sagen.
Hoffe das hilft ein bisschen
Grüße
Bastian
Also mit unterschiedlichen Subnetzen und Windows-Passwörtern wirst du keinen besonders hohen Grad an Sicherheit erreichen.
Die Idee mit den unterschiedlichen VLANS ist da schon deutlich besser.
Mit DD-WRT habe ich keine Erfahrungen, deshalb nur die Theorie:
Mit VLANS hast du die möglichkeit innerhalb eines physikalischen Netzes zwei Virtuelle Netze zu betreiben. Es gibt zwei wichtige Modi für VLAN:
- tagged
- untagged
- Tagged VLAN funktioniert nur dann, wenn alle Endgeräte (Router, Switches, PCs, WLAN-Clients) dies unterstützen. Ist also für dein offenes WLAN ungeeignet.
- Mit dem untagged VLAN werden die Geräte anhand des Ports an dem sie angeschlossen sind in verschiedene VLANs sortiert, funktioniert also sobald das Gerät VLANS unterstützt (ob das bei DD-WRT der Fall ist kann ich nicht sagen)
Wenn ja dann müsste deine Konfiguration ungefähr so aussehen:
- Port 0 - Uplink ins Internet - VLAN-ID: 1,2
- Port 1 - Port des WLAN-Radios - VLAN-ID: 2
- Port 2 - Port an dem die Rechner im LAN hängen - VLAN-ID: 1
Wie du oben sehen kannst musst du zwei VLANS mit der ID 1 und 2 anlegen.
Alles am WLAN-Radio hängt in VLAN 2
Alles im LAN hängt in VLAN 1
Der uplink ins Internet, der ja sowohl für die LAN als auch die WLAN-Clients funktionieren muss (denke ich mal) hängt in beiden VLANS: 1,2
Wie genau du das an deinem Router einstellst kann ich dir leider nicht sagen.
Hoffe das hilft ein bisschen
Grüße
Bastian
@ Bastian
Danke für die Infos! Ja, DD-WRT kann das.
Hab trotzdem noch ein paar Verständnisfragen:
- Was ist WLAN-Radio? Einfach der WLAN-Bereich gemeint?
- Port 0 = WAN-Port zum Modem?
Leider schaffe ich es im DD-WRT nicht, dies so einzustellen. Scheitere schon am "VLAN0"-Interface (eth0, eth1, br0, vlan0, vlan1), an der tag-nummer, bei "der Bridge zuweisen"...
@ aqui
Werde das mal durchlesen. Danke!
Gruss,
Freddie
Danke für die Infos! Ja, DD-WRT kann das.
Hab trotzdem noch ein paar Verständnisfragen:
- Was ist WLAN-Radio? Einfach der WLAN-Bereich gemeint?
- Port 0 = WAN-Port zum Modem?
Leider schaffe ich es im DD-WRT nicht, dies so einzustellen. Scheitere schon am "VLAN0"-Interface (eth0, eth1, br0, vlan0, vlan1), an der tag-nummer, bei "der Bridge zuweisen"...
@ aqui
Werde das mal durchlesen. Danke!
Gruss,
Freddie
Hi,
schau dir mal die Wiki an:
http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN
Gibts auch noch Konfigurationsbeispiele mit extra DHCP, und und und.
Lg David
schau dir mal die Wiki an:
http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN
Gibts auch noch Konfigurationsbeispiele mit extra DHCP, und und und.
Lg David
Zitat von @eguina:
@ Bastian
Danke für die Infos! Ja, DD-WRT kann das.
Hab trotzdem noch ein paar Verständnisfragen:
- Was ist WLAN-Radio? Einfach der WLAN-Bereich gemeint?
In der Regel ist es so, dass in einem solchen Router wie WLAN-Komponente eigenständig ist und mit dem Rest des Netzwerks intern an einen Port des Routers angeschlossen ist. Stell dir einfach vor der WLAN-AP ist ein eigenständiges Gerät, dass mit Ethernet an eine der Buchsen deines Routers angeschlossen ist. Nur ist das in diesem Fall eben nicht so gut zu sehen, da das intern passiert. Diese Buchse musst du in VLAN2 legen.@ Bastian
Danke für die Infos! Ja, DD-WRT kann das.
Hab trotzdem noch ein paar Verständnisfragen:
- Was ist WLAN-Radio? Einfach der WLAN-Bereich gemeint?
- Port 0 = WAN-Port zum Modem?
Genau.Leider schaffe ich es im DD-WRT nicht, dies so einzustellen. Scheitere schon am "VLAN0"-Interface (eth0, eth1, br0,
vlan0, vlan1), an der tag-nummer, bei "der Bridge zuweisen"...
Wie besagt, habe keine Erfahrungen wie das genau zu konfigurieren ist bei DD-WRT. Vielleicht mal in deren Wiki nachlesen?vlan0, vlan1), an der tag-nummer, bei "der Bridge zuweisen"...
@ aqui
Werde das mal durchlesen. Danke!
Gruss,
Freddie
Steht entsprechend auch alles detailiert im o.a. Tutorial !!
