15
Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes
Hallo liebe Administratoren,
ich habe ein Problem das ich zwar lösen könnte, aber nicht ohne größere Sicherheitsmängel. Ich habe leider kein passendes Szenario hier im Forum gefunden.
Folgende Situation ist aktuell gegeben:
An einem WLAN Router (mit Internetanschluss) ist ein Datenserver (Daten unserer Tanzgruppe) eine Workstation per Kabel und zusätzlich ist an dem Router WLAN aktiviert und über dieses ist ein Laptop und diverse mobile Geräte angebunden. Der Router hat die IP-Adresse 192.168.2.1 (Subnetz 255.255.255.0), die Clients sind entsprechend per DHCP angebunden.
Folgendes soll neu hinzu kommen:
Es soll ein weiterer WLAN-AP zugefügt werden, der unseren Internetanschluss mit nutzen darf.
Aber mit der Vorraussetzung das es ausgeschlossen ist, dass auf unser bestehendes Netzwerk (Fileserver) zugegriffen werden kann, sollte jemand das neue WLAN Netzwerk hacken.
*Man könnte zwar den neuen WLAN-AP per Kabel an das bestehende anschließen, neues Subnetz und IPs vergeben. Aber trotzdem kommme ich über den neuen AP auf das bestehende Netzwerk.
Hättet Ihr vielleicht einen Tip für mich?
Vielen Dank im Voraus.
Liebe Grüße
Sarah
Edit: (26.01.)
ich habe ein Problem das ich zwar lösen könnte, aber nicht ohne größere Sicherheitsmängel. Ich habe leider kein passendes Szenario hier im Forum gefunden.
Folgende Situation ist aktuell gegeben:
An einem WLAN Router (mit Internetanschluss) ist ein Datenserver (Daten unserer Tanzgruppe) eine Workstation per Kabel und zusätzlich ist an dem Router WLAN aktiviert und über dieses ist ein Laptop und diverse mobile Geräte angebunden. Der Router hat die IP-Adresse 192.168.2.1 (Subnetz 255.255.255.0), die Clients sind entsprechend per DHCP angebunden.
Folgendes soll neu hinzu kommen:
Es soll ein weiterer WLAN-AP zugefügt werden, der unseren Internetanschluss mit nutzen darf.
Aber mit der Vorraussetzung das es ausgeschlossen ist, dass auf unser bestehendes Netzwerk (Fileserver) zugegriffen werden kann, sollte jemand das neue WLAN Netzwerk hacken.
*Man könnte zwar den neuen WLAN-AP per Kabel an das bestehende anschließen, neues Subnetz und IPs vergeben. Aber trotzdem kommme ich über den neuen AP auf das bestehende Netzwerk.
Hättet Ihr vielleicht einen Tip für mich?
Vielen Dank im Voraus.
Liebe Grüße
Sarah
Edit: (26.01.)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 260592
Url: https://administrator.de/contentid/260592
Printed on: April 16, 2024 at 14:04 o'clock
15 Comments
Latest comment
was du suchst ist ein Captive Portal, wenn du dannach suchst wirst du viele Lösungen finden. Die einfachst wäre den Gastzugang auf der Fritzbox zu aktivieren..
1
Hallo user217,
vielen Dank für die Info. Siehe da, jetzt finde ich einige Threads zu dem Thema
Ich lese mich jetzt mal ein.
LG
Sarah
vielen Dank für die Info. Siehe da, jetzt finde ich einige Threads zu dem Thema
Ich lese mich jetzt mal ein.
LG
Sarah
Besorg dir eine kleine Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und schalte die zwischen Router und dem Gast der euren Internet Anschluss mitbenutzen darf oder soll. Die FW hat 3 LAN Ports.
Das ist von allen Dingen die wasserdichteste !
Vergiss Lösungen mit sog. integrierten "Gastnetzen" an Routern, das ist nur Makulatur und kann man in Sekundenschnelle überwinden. Nur die Firewall schützt eure Daten zuverlässig.
Wenn du es ganz toll machen willst nutzt du die in der o.a. Firewall integrierte Hotspot / Captive Portal Lösung für Gäste mit zeitlich limitierten Einmalpasswörtern.
Das sichert dich auch rechtlich ab wenn der gast mal Unsinn macht.
In D gilt die Störerhaftung und wenn dein Gast Straftaten usw. begeht über den Anschluss haftest DU als Anschlussinhaber !! Vergiss das nicht.
Mit der CP Lösung hast du immer ein User Tracking und kannst dich rechtlich absichern.
Wie man diese Lösung schnell und preiswert umsetzt erklärt dir dieses Forumstutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und schalte die zwischen Router und dem Gast der euren Internet Anschluss mitbenutzen darf oder soll. Die FW hat 3 LAN Ports.
Das ist von allen Dingen die wasserdichteste !
Vergiss Lösungen mit sog. integrierten "Gastnetzen" an Routern, das ist nur Makulatur und kann man in Sekundenschnelle überwinden. Nur die Firewall schützt eure Daten zuverlässig.
Wenn du es ganz toll machen willst nutzt du die in der o.a. Firewall integrierte Hotspot / Captive Portal Lösung für Gäste mit zeitlich limitierten Einmalpasswörtern.
Das sichert dich auch rechtlich ab wenn der gast mal Unsinn macht.
In D gilt die Störerhaftung und wenn dein Gast Straftaten usw. begeht über den Anschluss haftest DU als Anschlussinhaber !! Vergiss das nicht.
Mit der CP Lösung hast du immer ein User Tracking und kannst dich rechtlich absichern.
Wie man diese Lösung schnell und preiswert umsetzt erklärt dir dieses Forumstutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
3
Hallo aqui,
vielen Dank für die Unterstüzung
Ich habe mir einen groben Überblick anhand deine beiden Umfangreichen Anleitungen zu dem Thema gemacht.
Ich werde uns erst einmal das günstige Bundle bei Amazon bestellen...
http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK/ ...
Und wenn es da ist versuche ich es mit Hilfe deiner Anleitung zum Laufen zu bekommen ;)
Vielen Dank
Liebe Grüße
Sarah
vielen Dank für die Unterstüzung
Ich habe mir einen groben Überblick anhand deine beiden Umfangreichen Anleitungen zu dem Thema gemacht.
Ich werde uns erst einmal das günstige Bundle bei Amazon bestellen...
http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK/ ...
Und wenn es da ist versuche ich es mit Hilfe deiner Anleitung zum Laufen zu bekommen ;)
Vielen Dank
Liebe Grüße
Sarah
Das wird klappen..keine Sorge 
Wenn nicht dann weisst du ja wo du deine Frage posten musst !!!
Wenn nicht dann weisst du ja wo du deine Frage posten musst !!!
1
Günstige Alternative ohne Protokollierung wer was wo wann macht:
Ein kleiner 5 Port Layer 2 Switch für ca 30 Euro.
Port Based Vlan einschalten,
z.B. Port 1 Router dran, Port 2 neuer AP, Port 3-5 der interne Rest
vlan1 = Port 1+2 (ap darf auf router und umgekehrt)
vlan2 = Port 1+3+4+5
Ein kleiner 5 Port Layer 2 Switch für ca 30 Euro.
Port Based Vlan einschalten,
z.B. Port 1 Router dran, Port 2 neuer AP, Port 3-5 der interne Rest
vlan1 = Port 1+2 (ap darf auf router und umgekehrt)
vlan2 = Port 1+3+4+5
So so...und wie schliesst du dann auf den User zurück und was der gemacht hat ?? Das ist technischer Unsinn was du da vorschlägst und wenig hilfreich, sorry !
Wie man es richtig macht mit einem Multi SSID AP, einem VLAN Switch und einer Firewall behandelt unter anderem ein ausführliches Tutorial hier im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel = Praxisbeispiel
Bei den Minimalanforderungen des TO ist das aber Overkill und solchen Aufwand muss er / sie erstmal nicht betreiben im ersten Schritt.
- Keinerlei User Identifizierung die rechtssicher ist
- Keinerlei Absicherung des Gast APs oder Gastzugangs
- Rudimentäre bis keine Beschreibung wie die Isolation der VLANs passieren soll
- Keinerlei Captive Portal oder sonstige WLAN Absicherung. Du willst dann wohl jedem Gast immer und immer wieder neu ein WLAN Passwort verraten oder gleich mit auf die Kurkarte drucken, damit nach 3 Wochen die ganze Stadt das Passwort kennt, oder wie ?
Wie man es richtig macht mit einem Multi SSID AP, einem VLAN Switch und einer Firewall behandelt unter anderem ein ausführliches Tutorial hier im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel = Praxisbeispiel
Bei den Minimalanforderungen des TO ist das aber Overkill und solchen Aufwand muss er / sie erstmal nicht betreiben im ersten Schritt.
Hallo aqui,
seit Samstag haben wir die Hardware und ich bin seitdem (vor allem bei den Firewall-Regeln) am verzweifeln. Deine Beiträge habe ich mehrmals durchgelesen, und ich stecke trotzdem in einer Sackgasse
Google mag mir auch nicht wirklich helfen, so dass ich es verstehe.
Am Ende der Eingangsfrage habe ich unseren aktuellen Aufbau eingefügt. (Auf dem ALIX läuft mOnOwall)
Nur bekomme ich es nicht hin, dass das Gastnetzwerk keinen Zugriff auf unser Netzwerk hat.
Mir stellt sich auch die Frage, ob ich das Gastnetz an den OPT1 Port hängen soll? (Habe ich versucht, bekomme das aber nicht zum Laufen)
Ich bin auch am überlegen ob das ganze überhaupt so funktioniert wie ich mir das vorstelle. Denn ich müsste ja eine Regel am LAN-Port anlegen, die den Zugriff auf den DSL-Router verbietet. Aber über diesen wird ja die Internetverbindung realisiert!?!
Ich wäre dankbar für den ein oder anderen Tip, damit ich wieder etwas voran komme
Vielen Dank
LG
Sarah
seit Samstag haben wir die Hardware und ich bin seitdem (vor allem bei den Firewall-Regeln) am verzweifeln. Deine Beiträge habe ich mehrmals durchgelesen, und ich stecke trotzdem in einer Sackgasse
Google mag mir auch nicht wirklich helfen, so dass ich es verstehe.Am Ende der Eingangsfrage habe ich unseren aktuellen Aufbau eingefügt. (Auf dem ALIX läuft mOnOwall)
- Unser Privates Netzwerk (Inkl Server) hängen an dem DSL-Router (192.168.188.1/24)
- Dieser ist momentan verbunden mit dem WAN Port des ALIX. (DHCP aktiv)
- Der WLAN-AP für das "Gastnetz" hängt am LAN Port des ALIX (192.168.1.1/24)
- Captive Portal ist am LAN Port aktiv und funktioniert auch (Einloggen => Internet)
Nur bekomme ich es nicht hin, dass das Gastnetzwerk keinen Zugriff auf unser Netzwerk hat.
Mir stellt sich auch die Frage, ob ich das Gastnetz an den OPT1 Port hängen soll? (Habe ich versucht, bekomme das aber nicht zum Laufen)
Ich bin auch am überlegen ob das ganze überhaupt so funktioniert wie ich mir das vorstelle. Denn ich müsste ja eine Regel am LAN-Port anlegen, die den Zugriff auf den DSL-Router verbietet. Aber über diesen wird ja die Internetverbindung realisiert!?!
Ich wäre dankbar für den ein oder anderen Tip, damit ich wieder etwas voran komme
Vielen Dank
LG
Sarah
Hallo Sarah !
Zuallererstmal hast du einen schlimmen Netzwerk Design Fehler gemacht der die Ursache aller deiner Probleme ist !!
So darfst du das Szenario NIEMALS aufbauen, denn der Gastnetz Traffic fliesst ja so immer durch dein privates Netzwerk und du hast so keinerlei Chance das zu verhindern !!!
Deshalb greifen auch alle deine Bemühungen mit den Regeln niemals !
Das ist ja genau der Grund warum das ALX Board DREI Port shat denn nur damit lassen sich wasserdichte und gescihterte Netze mit einer FW betreiben !
Fazit: So kann das nie klappen !!
Aber nicht verzweifeln, du hast nur ein falsches Design verwendet und das ALIX Board hat 3 Ports um das in Sekundenschnelle zu fixen !
Du darfst halt nur dein privates Netz NIEMALS als Transfernetz zum Router benutzen !!!
Das darf NUR lediglich eine simple Verbindungsstrippe sein die direkt zum Router geht und KEIN aktives Netz mit Endgeräten darf daran hängen !
Das passende 3 Port Design dazu sieht immer so aus:
So gehst du vor:
1.) Den Gästen ohne Restriktion alles erlauben. Das geht mit der Regel: Pass, Source: OPT1 network, Port: any, Destination: any, Port: any
Jetzt kommen die Gäste ins Internet ohne jegliche Restriktion aber nicht auf dein privates Netz !
2.) Den Gästen nur bestimmte Dienste wie Surfen erlauben. Das geht mit einem restriktiven Regelwerk indem du nur das erlaubst was du willst. Sog. Whitelist.
Fürs nur Surfen sind das dann z.B. 2 Regeln:
DNS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP und UDP 53 (DNS)
HTTP erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 80 (HTTP)
HTTPS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 443 (HTTPS)
Nun können Gäste nur surfen aber kein emailen usw.
Sollen sie das auch oder andere Dienste noch zusätzlich können musst du die entsprechenden TCP oder UDP Ports dieser Dienste zusätzlich sukkzessive öffnen.
Was du hier deinen Gästen erlauben willst ist dann rein von dir abhängig.
Also kurz umbauen und alles wird gut !
Zuallererstmal hast du einen schlimmen Netzwerk Design Fehler gemacht der die Ursache aller deiner Probleme ist !!
So darfst du das Szenario NIEMALS aufbauen, denn der Gastnetz Traffic fliesst ja so immer durch dein privates Netzwerk und du hast so keinerlei Chance das zu verhindern !!!
Deshalb greifen auch alle deine Bemühungen mit den Regeln niemals !
Das ist ja genau der Grund warum das ALX Board DREI Port shat denn nur damit lassen sich wasserdichte und gescihterte Netze mit einer FW betreiben !
Fazit: So kann das nie klappen !!
Aber nicht verzweifeln, du hast nur ein falsches Design verwendet und das ALIX Board hat 3 Ports um das in Sekundenschnelle zu fixen !
Du darfst halt nur dein privates Netz NIEMALS als Transfernetz zum Router benutzen !!!
Das darf NUR lediglich eine simple Verbindungsstrippe sein die direkt zum Router geht und KEIN aktives Netz mit Endgeräten darf daran hängen !
Das passende 3 Port Design dazu sieht immer so aus:
So gehst du vor:
- LAN Port des Internet Routers DIREKT mit dem WAN Port der FW verbinden ! Hier dürfen KEINE Netze oder Endgeräte angeschlossen sein !
- Dein privates Netzwerk hängst du an den per Default eingerichteten LAN Port ! Dort ist auch DHCP usw. aktiv und du solltest dort sofort wieder Internet Zugriff für alle privaten Endgeräte haben !
- Für das Gastnetz aktivierst du jetzt den 3ten Port auf dem ALIX Board !! Das geht unter Interfaces --> Assign und dort klickst du auf + Dann erscheint ein OPT1 Netz das du wenn du magst in Gast umbenennen kannst.
- Hier aktivierst du das Interface (enable) und konfigurierst eine statische IP Adresse z.B. 172.16.1.1 mit einer 24 Bit Maske 255.255.255.0 (Ist leider i.d. Zeichnung oben genau umgedreht )
- Damit ist das Interface für die Gäste an der FW aktiv aber Achtung ! Wie üblich bei einer Firewall ist an jedem neuen Port ALLES verboten, also kommt erstmal von den Gästen keiner raus. Außerdem bekommen die am 3ten Port noch keinen IP Adressen da dort noch kein DHCP Server aktiv ist. Aber keine Angst das kommt jetzt...
- Erstmal den DHCP aktivieren unter Services DHCP Server. Im Karteireiter klickst du auf das Interface für das der DHCP aktiv sein soll also OPT1 oder Gast wenn du es so genannt hast. Dann trägst du dort eine Range ein z.B. 172.16.1.100 bis 172.16.1.150 und lässt den rest auf Default. Wenn du nun einen PC am Gastport anschliesst solltest du eine entsprechende IP von der FW bekommen (Check mit ipconfig !) kommst aber noch nicht raus weil die Regeln fehlen. Die kommen jetzt....
- Die Regeln sind Reihenfolge abhängig ! Zuallererst kommt also die Verbotsregel ins private LAN für die Gäste am OPT1 (Gast) Interface mit: deny Source: OPT1 network, Port: any -> Destination: LAN network, Port any
- Damit kommen keine Gäste mehr in dein privates Netz !
1.) Den Gästen ohne Restriktion alles erlauben. Das geht mit der Regel: Pass, Source: OPT1 network, Port: any, Destination: any, Port: any
Jetzt kommen die Gäste ins Internet ohne jegliche Restriktion aber nicht auf dein privates Netz !
2.) Den Gästen nur bestimmte Dienste wie Surfen erlauben. Das geht mit einem restriktiven Regelwerk indem du nur das erlaubst was du willst. Sog. Whitelist.
Fürs nur Surfen sind das dann z.B. 2 Regeln:
DNS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP und UDP 53 (DNS)
HTTP erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 80 (HTTP)
HTTPS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 443 (HTTPS)
Nun können Gäste nur surfen aber kein emailen usw.
Sollen sie das auch oder andere Dienste noch zusätzlich können musst du die entsprechenden TCP oder UDP Ports dieser Dienste zusätzlich sukkzessive öffnen.
Was du hier deinen Gästen erlauben willst ist dann rein von dir abhängig.
Also kurz umbauen und alles wird gut !
1Ojeh, das habe ich völlig falsch verstanden.
Danke für deine Mühen.
Ich setze mich heute Abend noch einmal auf meinen Hintern und berichte
Bis später
LG
Sarah
Wir sind gespannt....
1
Hallo aqui,
deine letze Anleitung war "Idiotinnensicher".
Blond halt...
Es funktioniert soweit alles prima, aktuell mit deinen Firewall-Regeln "Option 1" (ohne Einschränkungen).
Was wir natürlich nicht wollen, der Gast soll ja schließlich keinen "Unfug" mit unserem Anschluss veranstalten können. Da werde ich die nächsten Tage noch mit "spielen" und berichte wieder
Vielen Vielen Dank noch einmal. Bis die Tage
LG
Sarah
deine letze Anleitung war "Idiotinnensicher".
Blond halt...
Es funktioniert soweit alles prima, aktuell mit deinen Firewall-Regeln "Option 1" (ohne Einschränkungen).
Was wir natürlich nicht wollen, der Gast soll ja schließlich keinen "Unfug" mit unserem Anschluss veranstalten können. Da werde ich die nächsten Tage noch mit "spielen" und berichte wieder
Vielen Vielen Dank noch einmal. Bis die Tage
LG
Sarah
deine letze Anleitung war "Idiotinnensicher". Blond halt...
Na komm...nun mach dich mal nicht kleiner als du bist !! Ist schon klasse das du das aufsetzt und auch so aus dem Stand zum Fliegen bringst das allein verdient schon Respekt !!Klasse wenn nun alles so rennt wie es soll....
Als kleines Beispiel zur Hilfe siehst du hier mal ein Regelwerk für ein Gast WLAN was nur
- Browsen, HTTP
- FTP (File Transfer)
- iPhone Dienste
Was Gäste sonst noch so versuchen (aber nicht dürfen, weil du sie nicht lässt) kannst du dann immer schön in den Firewall Logs sehen !
Dort wird alles angezeigt was die Firewall blockiert auf dem Gastnetz da hat man dann eine schöne Kontrolle.Die Portalseite (TCP 8000) brauchst du da nur wenn dort ein Captive_Portal für die Gäste auf der FW rennt um das Feature mit den Einmalpasswörtern für Gäste nutzen zu können.
Das erfordert aber das du statt Monowall dann pfSense auf den ALIX flashst.
Die pfSense ist etwas "schicker" was ja gerade den "WAF" (Women Acceptance Factor) erhöht. Für dich also ein wichtiger Punkt
Die pfSense bietet auch ein paar mehr Funktionen...
1
Hallo aqui,
das Alix Board ist jetzt fertig und läuft aktuell mir der Monowall und der Konfiguration von deinem letzten Beitrag
Das "flashen" des Boards mit der pfSense habe ich erst einmal sein lassen, ich war froh als ich die Monowal auf der Karte hatte. (Wie andere in dem Forum auch, hatte ich Probleme mit der 4GB Karte)
Aber ich finde das Thema sehr interessant und werde noch eine weitere Speicherkarte kaufen um diese dann mit der pfSense zu testen.
Meine Frage hier habe ich erst einmal als "gelöst" markiert.
Ich werde aber sicherlich noch einmal auf euch zurück kommen wenns es an die pfSense geht.
Vielen Vielen Dank, dir hätte ich das niemals hin bekommen.
LG
Sarah
das Alix Board ist jetzt fertig und läuft aktuell mir der Monowall und der Konfiguration von deinem letzten Beitrag
Das "flashen" des Boards mit der pfSense habe ich erst einmal sein lassen, ich war froh als ich die Monowal auf der Karte hatte. (Wie andere in dem Forum auch, hatte ich Probleme mit der 4GB Karte)
Aber ich finde das Thema sehr interessant und werde noch eine weitere Speicherkarte kaufen um diese dann mit der pfSense zu testen.
Meine Frage hier habe ich erst einmal als "gelöst" markiert.
Ich werde aber sicherlich noch einmal auf euch zurück kommen wenns es an die pfSense geht.
Vielen Vielen Dank, dir hätte ich das niemals hin bekommen.
LG
Sarah
hatte ich Probleme mit der 4GB Karte
Sollte aber nicht der Fall sein. Ansonsten alternativ statt physdiskwrite immer den Win32 Disk Imager verwenden:http://sourceforge.net/projects/win32diskimager/
oder auch das Windows Image Tool
http://www.alexpage.de/usb-image-tool/download/
Damit klappt es unter Windows eigentlich immer fehlerfrei mit der pfSense.
Die pfSense hat mehr Features, bessere Update Policy und ein etwas besseres GUI. Aber die Monowall kann die Grundfunktionen natürlich auch problemlos...keine Frage.
Aber wie du selber sagst: Besorg dir für ein paar Euro einfach ne neue Flash Card und probier beide Versionen aus....
Dann viel Erfolg mit der neuen Firewall !!!