3
HP 2524 - WLAN erweitern - begrenzter Zugriff
Hallo Forum,
folgende Konfiguration ist vorhanden.
- HP ProCurve Switch 2524 mit unserem Firmennetzwerk
- WIN 2k Server am Switch angeschlossen
- DSL-Router ist am Switch angeschlossen
Das Netzwerk soll jetzt mit WLAN erweitert werden. Über das WLAN sollen nur bestimmte Rechner zugriff haben (MAC-Adress-Filterung)
Die Rechner im WLAN dürfen nur Internet surfen. Sie sollen keinen Zugriff auf andere Netzressourcen bekommen.
Wie richte ich sowas am sinnvollsten und ohne neue Hardware ein?
Gruß
Daniel
folgende Konfiguration ist vorhanden.
- HP ProCurve Switch 2524 mit unserem Firmennetzwerk
- WIN 2k Server am Switch angeschlossen
- DSL-Router ist am Switch angeschlossen
Das Netzwerk soll jetzt mit WLAN erweitert werden. Über das WLAN sollen nur bestimmte Rechner zugriff haben (MAC-Adress-Filterung)
Die Rechner im WLAN dürfen nur Internet surfen. Sie sollen keinen Zugriff auf andere Netzressourcen bekommen.
Wie richte ich sowas am sinnvollsten und ohne neue Hardware ein?
Gruß
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 65386
Url: https://administrator.de/contentid/65386
Printed on: April 25, 2024 at 00:04 o'clock
3 Comments
Latest comment
Ohne zusätzliche HW ist es nicht ganz einfach. Wichtig ist allerdings das du das geplante WLAN über ein VLAN auf dem Switch vom Unternehmensnetz trennst. Aus Sicherheitsgründen ist da natürlich anzustreben.
Der HP 2524 ist leider kein Layer 3 Switch und supportet somit keine Layer 3 (Routing) Funktion um deine beiden Netze IP Technsich wieder zusammenzubringen
D.h. du musst das über einen externen Router lösen. Leider willst du ja keine HW investieren. Ganz drum rumkommen wirst du aber nicht, denn ganz ohne ist eine sichere Trennung nicht möglich.
Das minimalste was du investieren musst ist eine weitere Netzwerkkarte für den Win2k Server.
Aber wenn du glücklicher Besitzer einen Intel netzwerkkarte in dem Server bist kannst du ggf. auch das sparen und den Zugang dann wirklich kostenfrei realisieren.
Wenn du also ein separates VLAN eingerichtet hast auf dem Switch und dem Accesspoint einen Link Port zugewiesen hast wie z.B. in dieser Beispielkonfig:
vlan 1
name "DEFAULT_VLAN"
untagged 1-22
ip address 172.16.1.254 255.255.255.0
exit
vlan 20
name "Wireless-LAN"
untagged 23-24
exit
Dann sind die Ports 1 bis 22 im Unternehmens LAN und die Ports 23 bis 24 abgetrennt davon im neuen WLAN Segment. Das du hier naürlich ein anderes IP Netz (z.B. 172.16.100.0/24 wenn das LAN 172.16.1.0/24 ist) nutzen musst ist klar !
Da du keinen Router auf dem Switch selber hast (Layer 3 Funktion) musst du über den Server routen. Hier must du nun in der Firewall sicherstellen das kein Zugriff aus dem 172.16.100er Netzwerk ins 172.16.1er Netz möglich ist. Das ist aber recht einfach indem man mit einem Mausklick das gesamte Netz sperrt.
Wie das Routing Szenario zu lösen ist siehst du hier:
oder wie bei deinem Switch möglich mit Intelkarte ein elegantes Routing über ein .1q Trunk ohne zusätzliche Hardware:
Es gibt auch die Möglichkeit einer DMZ Lösung allerdings erfordert das einen 2ten WLAN Router und wieder neue HW.
Wie man das macht siehst du hier:
http://www.heise.de/netze/artikel/78397
Dann entfällt natürlich die o.a. die VLAN Konfig komplett.
Der HP 2524 ist leider kein Layer 3 Switch und supportet somit keine Layer 3 (Routing) Funktion um deine beiden Netze IP Technsich wieder zusammenzubringen
D.h. du musst das über einen externen Router lösen. Leider willst du ja keine HW investieren. Ganz drum rumkommen wirst du aber nicht, denn ganz ohne ist eine sichere Trennung nicht möglich.
Das minimalste was du investieren musst ist eine weitere Netzwerkkarte für den Win2k Server.
Aber wenn du glücklicher Besitzer einen Intel netzwerkkarte in dem Server bist kannst du ggf. auch das sparen und den Zugang dann wirklich kostenfrei realisieren.
Wenn du also ein separates VLAN eingerichtet hast auf dem Switch und dem Accesspoint einen Link Port zugewiesen hast wie z.B. in dieser Beispielkonfig:
vlan 1
name "DEFAULT_VLAN"
untagged 1-22
ip address 172.16.1.254 255.255.255.0
exit
vlan 20
name "Wireless-LAN"
untagged 23-24
exit
Dann sind die Ports 1 bis 22 im Unternehmens LAN und die Ports 23 bis 24 abgetrennt davon im neuen WLAN Segment. Das du hier naürlich ein anderes IP Netz (z.B. 172.16.100.0/24 wenn das LAN 172.16.1.0/24 ist) nutzen musst ist klar !
Da du keinen Router auf dem Switch selber hast (Layer 3 Funktion) musst du über den Server routen. Hier must du nun in der Firewall sicherstellen das kein Zugriff aus dem 172.16.100er Netzwerk ins 172.16.1er Netz möglich ist. Das ist aber recht einfach indem man mit einem Mausklick das gesamte Netz sperrt.
Wie das Routing Szenario zu lösen ist siehst du hier:
oder wie bei deinem Switch möglich mit Intelkarte ein elegantes Routing über ein .1q Trunk ohne zusätzliche Hardware:
Es gibt auch die Möglichkeit einer DMZ Lösung allerdings erfordert das einen 2ten WLAN Router und wieder neue HW.
Wie man das macht siehst du hier:
http://www.heise.de/netze/artikel/78397
Dann entfällt natürlich die o.a. die VLAN Konfig komplett.
Danke für die Antwort, werde es mal anhand dieser Anleitung versuchen einzurichten. Bin nur ab Montag im Urlaub, werde es wohl nach dem Urlaub machen und dann hoffentlichen einen Erfolgsbericht abgeben können!
Bis dann.
Bis dann.
Vielleicht bis dahin ggf.:
How can I mark a post as solved?
How can I mark a post as solved?
