9
Eingeschränktes Subnetz für Kunden
Hallo,
ich habe ein Problem, dass mich seit Tagen beschäftigt. Leider komme ich mit Try&error nicht weiter - mein Fachwissen scheint auch nicht gut genug zu sein
Wir betreiben aktuell ein "Standard"-LAN, welches den Mitarbeitern einen Zugang per DSL zum Internet gestattet.
Außerdem gibt es einen geschützten WLAN Access Point, mit welchem die Laptopts der Mitarbeiter bedient werden.
Die Geschäftsführung möchte nun für Besucher ein offenes WLAN - damit soll lediglich der Zugang ins Internet gestattet sein, auf die Firmenrechner soll man damit nicht kommen.
Ich denke mal, ich brauche für die Besucher also ein Subnetz - zwischem dem Bestehende Netz und dem neuen Subnetz also einen Router....
Muss ich nun in dem Router, welcher die Internetverbindung aufbaut (192.168.1.1 - "Router A" im Bild) eine statische Route eintragen? Wenn ja, wie muss diese aussehen??
Darf Router B (192.168.100.1) als DHCP Server für die Besucher agieren?
Den WAN-Port ("Internet-Port") des Router B verbinde ich mit Router A. Somit gehen alle Pakete der Besucher über das Gateway 192.168.100.1 zu Router A...
Mein Hauptproblem ist die statische Route - brauche ich die überhaupt?`
Ich weiß, viele Fragen... Ich bin euch für jede Idee/Antwort dankbar!!
Lg,
Daniel
http://c2it.de/lanbild.jpg
ich habe ein Problem, dass mich seit Tagen beschäftigt. Leider komme ich mit Try&error nicht weiter - mein Fachwissen scheint auch nicht gut genug zu sein
Wir betreiben aktuell ein "Standard"-LAN, welches den Mitarbeitern einen Zugang per DSL zum Internet gestattet.
Außerdem gibt es einen geschützten WLAN Access Point, mit welchem die Laptopts der Mitarbeiter bedient werden.
Die Geschäftsführung möchte nun für Besucher ein offenes WLAN - damit soll lediglich der Zugang ins Internet gestattet sein, auf die Firmenrechner soll man damit nicht kommen.
Ich denke mal, ich brauche für die Besucher also ein Subnetz - zwischem dem Bestehende Netz und dem neuen Subnetz also einen Router....
Muss ich nun in dem Router, welcher die Internetverbindung aufbaut (192.168.1.1 - "Router A" im Bild) eine statische Route eintragen? Wenn ja, wie muss diese aussehen??
Darf Router B (192.168.100.1) als DHCP Server für die Besucher agieren?
Den WAN-Port ("Internet-Port") des Router B verbinde ich mit Router A. Somit gehen alle Pakete der Besucher über das Gateway 192.168.100.1 zu Router A...
Mein Hauptproblem ist die statische Route - brauche ich die überhaupt?`
Ich weiß, viele Fragen... Ich bin euch für jede Idee/Antwort dankbar!!
Lg,
Daniel
http://c2it.de/lanbild.jpg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33316
Url: https://administrator.de/contentid/33316
Printed on: April 18, 2024 at 06:04 o'clock
9 Comments
Latest comment
Hi,
einer der beiden Router (A oder B) braucht ein "Bein" im jeweils anderern Netz, weil sie ja sonst keine Daten miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder aber zumindest die Möglichkeit, einer physischen Schnittstelle zwei IP-Adressen geben zu können.
Angenommen Router B hätte noch eine Adresse im Firmen-Netz (192.168.1.200), dann sieht die statische Route auf Router A so ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0 übers Gateway 192.168.1.200.
Andersrum, wenn Router A noch eine IP im anderen Netz hat, sollte es ohne statische Route gehen. Diese 2. IP von Router A ist dann das GW von Router B.
Die meinsten "Billigrouter" haben aber nur 1 Lan-Schnittstelle und lassen auch keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server das Routing übernehmen.
Gruß,
Thomas
einer der beiden Router (A oder B) braucht ein "Bein" im jeweils anderern Netz, weil sie ja sonst keine Daten miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder aber zumindest die Möglichkeit, einer physischen Schnittstelle zwei IP-Adressen geben zu können.
Angenommen Router B hätte noch eine Adresse im Firmen-Netz (192.168.1.200), dann sieht die statische Route auf Router A so ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0 übers Gateway 192.168.1.200.
Andersrum, wenn Router A noch eine IP im anderen Netz hat, sollte es ohne statische Route gehen. Diese 2. IP von Router A ist dann das GW von Router B.
Die meinsten "Billigrouter" haben aber nur 1 Lan-Schnittstelle und lassen auch keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server das Routing übernehmen.
Gruß,
Thomas
Die Möglichkeit, einer physik NIC ZWEI Adressen zu geben bringt mich auf einen einfachen Linux Server. Ich denke da auch wieder an Lizenzen...
Oder einen vernünftigen Router kaufen.
Oder einen vernünftigen Router kaufen.
Die "elegante" Lösung ist ein separates VLAN auf deinem Switch in dem du das offene WLAN betreibst. Das erfordert dann aber natürlich ein VLAN fähigen Switch, der mindestens auch noch base Layer 3 Funktion hat (er muss ja routen zwischen den VLANs !) und du brauchst dann natürlich die statische Route auf deinem Internet Router.
Vorteil: Klassische Routing Lösung mit allen Filtermöglichkeit auf dem Switch
Nachteil: Hast du diese Infrastruktur nicht wirds teuer, da du alles beschaffen musst.
Ist dieses offene WLAN nicht groß, kannst du dir aber recht elegant mit Bordmitteln helfen:
Du betreibst einfach ein WLAN Router "andersrum"..... D.h. du nimmst einen normalen WLAN Router z.B. Linksys WRT54G und steckst das WAN (DSL !) Interface auf dein normales LAN, die Ethernet Ports lässt du unbenutzt. Hier richtest du jetzt dein offenenes Gast-WLAN ein. Achtung auf genügenden Kanalabstand (5er oder 6er Regel) zum Firmen WLAN achten damit es keine gegenseitige Störung gibt !
Auf dem Router richtest du jetzt ganz normal ein 2tes IP Netz ein und kannst auch in diesem Segment einen separaten DHCP Server auf dem Router für dein offenes WLAN betreiben. Dies Netz ist ja komplett abgetrennt vom Firmennetz, stört dieses also folglich nicht.
Was jetzt wichtig ist, ist das du auf dem WAN Interface PPPoE abschaltest und dem Interface eine feste freie IP Adresse aus deinem Firmennetz gibst. Auch wenn du keinen Linksys einsetzt musst du sicherstellen, das der WLAN Router deiner Wahl diese Option hat sonst ist diese Lösung nicht realisierbar !! Also vor der Anschaffung in die Featureliste sehen !!
Das wars mit dem Setup.
Was du jetzt machst ist die NAT Funktion (Network Adress Translation) des Routers für dich zu nutzen. Dein gesamtes offenes WLAN wird nun auf einen Adresse im Firmen LAN umgesetzt und du musst keinerlei statische Routen mehr konfigurieren. D.h. das offenen WLAN ist gewissermaßen versteckt und niemand sieht die Struktur des FirmenLANs bzw. des offenen WLANs.
Schöner Nebeneffekt: Du kannst auf dem Firmen Internet Router eine Access Liste nur für diese Adresse aufsetzen, die z.B. nur HTTP Traffic zulässt, damit schränkst du dann z.B. die Nutzung des offenen WLANs nur auf Webtraffic ein.
Vorteil: Schnell und einfach zu implementieren, Sicherheitstechnisch einige Vorteil o.a. ACL Möglichkeit und keine Any to Any Kommunikation von dem Firmen LAN durch die NAT Funktion ins offene WLAN möglich !
Nachteil: Soll doch eine Kommunikationsmöglichkeit mit Systemen des FirmenLAN und dem offenen WLAN möglich sein (nur diese Richtung !) geht dies lediglich begrenzt über einzelnes Port Forwarding über den Router. Ein Sicherheitsloch besteht weiterhin wenn Stationen aus dem offenen WLAN Maschinen im FirmenLAN ansprechen, das ist möglich allerdings muss diesen Stationen dann natürlich die genaue IP Struktur bekannt sein, denn die "sehen" sie normalerweise nicht. Die Verbindung ist aber generell möglich entsprechende kriminelle Energie vorausgesetzt was ich bei einem offenen WLAN im berücksichten würde!! Der WRT lässt hier aber auch eine ACL zu, so das dieses Loch auch stopfbar ist.
Ist dir diese Lösung zu riskant führt kein Weg um einen Layer 3 VLAN Switch drumherum es sei denn du willst dir das antun mit einem separaten Rechner und mehreren Netzwerkkarten zu routen. Davon würde ich aus Gründen der Ausfallsicherheit eher abraten !
Vorteil: Klassische Routing Lösung mit allen Filtermöglichkeit auf dem Switch
Nachteil: Hast du diese Infrastruktur nicht wirds teuer, da du alles beschaffen musst.
Ist dieses offene WLAN nicht groß, kannst du dir aber recht elegant mit Bordmitteln helfen:
Du betreibst einfach ein WLAN Router "andersrum"..... D.h. du nimmst einen normalen WLAN Router z.B. Linksys WRT54G und steckst das WAN (DSL !) Interface auf dein normales LAN, die Ethernet Ports lässt du unbenutzt. Hier richtest du jetzt dein offenenes Gast-WLAN ein. Achtung auf genügenden Kanalabstand (5er oder 6er Regel) zum Firmen WLAN achten damit es keine gegenseitige Störung gibt !
Auf dem Router richtest du jetzt ganz normal ein 2tes IP Netz ein und kannst auch in diesem Segment einen separaten DHCP Server auf dem Router für dein offenes WLAN betreiben. Dies Netz ist ja komplett abgetrennt vom Firmennetz, stört dieses also folglich nicht.
Was jetzt wichtig ist, ist das du auf dem WAN Interface PPPoE abschaltest und dem Interface eine feste freie IP Adresse aus deinem Firmennetz gibst. Auch wenn du keinen Linksys einsetzt musst du sicherstellen, das der WLAN Router deiner Wahl diese Option hat sonst ist diese Lösung nicht realisierbar !! Also vor der Anschaffung in die Featureliste sehen !!
Das wars mit dem Setup.
Was du jetzt machst ist die NAT Funktion (Network Adress Translation) des Routers für dich zu nutzen. Dein gesamtes offenes WLAN wird nun auf einen Adresse im Firmen LAN umgesetzt und du musst keinerlei statische Routen mehr konfigurieren. D.h. das offenen WLAN ist gewissermaßen versteckt und niemand sieht die Struktur des FirmenLANs bzw. des offenen WLANs.
Schöner Nebeneffekt: Du kannst auf dem Firmen Internet Router eine Access Liste nur für diese Adresse aufsetzen, die z.B. nur HTTP Traffic zulässt, damit schränkst du dann z.B. die Nutzung des offenen WLANs nur auf Webtraffic ein.
Vorteil: Schnell und einfach zu implementieren, Sicherheitstechnisch einige Vorteil o.a. ACL Möglichkeit und keine Any to Any Kommunikation von dem Firmen LAN durch die NAT Funktion ins offene WLAN möglich !
Nachteil: Soll doch eine Kommunikationsmöglichkeit mit Systemen des FirmenLAN und dem offenen WLAN möglich sein (nur diese Richtung !) geht dies lediglich begrenzt über einzelnes Port Forwarding über den Router. Ein Sicherheitsloch besteht weiterhin wenn Stationen aus dem offenen WLAN Maschinen im FirmenLAN ansprechen, das ist möglich allerdings muss diesen Stationen dann natürlich die genaue IP Struktur bekannt sein, denn die "sehen" sie normalerweise nicht. Die Verbindung ist aber generell möglich entsprechende kriminelle Energie vorausgesetzt was ich bei einem offenen WLAN im berücksichten würde!! Der WRT lässt hier aber auch eine ACL zu, so das dieses Loch auch stopfbar ist.
Ist dir diese Lösung zu riskant führt kein Weg um einen Layer 3 VLAN Switch drumherum es sei denn du willst dir das antun mit einem separaten Rechner und mehreren Netzwerkkarten zu routen. Davon würde ich aus Gründen der Ausfallsicherheit eher abraten !
Habe mir dein Problem mal durch den Kopf gehen lassen, und denke das du es ganz einfach lösen kannst. Da du einen separaten Accesspoint hast kann der direkt bzw über ein Switch an das Modem angeschlossen werden. Dann konfigurierst du den Accesspoint so das DHCP aktiv ist und z.B. Adressen aus dem Bereich: 192.168.10.1 - 192.168.10.10 an den Besucher vergeben werden. Da das Firmen-LAN mit dem 192.168.1.XXX arbeitet haben die Besucher ein anderes Subnetz und so keinen freien Zugriff auf das Netz!
Dieser Vorschlag von "Lars" ist nicht ganz ungefährlich sofern auch im Firmen LAN noch ein DHCP Server läuft. Beide DHCP Server würden dann dieses offene WLAN bedienen und dann kann es passieren das das offene WLAN IP Adressen aus dem Firmennetz vergibt. ( Der DHCP Request ist ein allgemeiner Broadcast auf den immer beide DHCP Dienste antworten !!)
M.E. ein nicht zu akzeptierendes Szenario aus Sicherheitsgründen !! Generell würde es gehen aber ein offenes WLAN auf ein Firmen LAN über einen AP zu bridgen ohne Zugangsbeschränkung sollte eigentlich niemals eine Überlegung wert sein. Die Gründe liegen auf der Hand.
Auch die NAT Lösung von oben ist zwar akzeptabel und mit wenig Aufwand relativ sicher realisierbar aber natürlich nicht das non plus ultra.
Normalerweise würde man das aber professionell mit einem VLAN Switch machen, den Internet Router in ein DMZ VLAN hängen und Firmen LAN und offenes WLAN mit jeweils weiteren VLANs konsequent mit entsprechenden Filtern voneinander trennen.
Ein offenes Gast-Wlan ist ein viel zu großes Risiko hier rumzuexperimentieren oder irgendwelche "Quick and Dirty" Lösungen auf einem Unternehmensnetz auszuprobieren. Die personalrechtlichen Konsequenzen im Fehlerfalle könnten fatal sein....
M.E. ein nicht zu akzeptierendes Szenario aus Sicherheitsgründen !! Generell würde es gehen aber ein offenes WLAN auf ein Firmen LAN über einen AP zu bridgen ohne Zugangsbeschränkung sollte eigentlich niemals eine Überlegung wert sein. Die Gründe liegen auf der Hand.
Auch die NAT Lösung von oben ist zwar akzeptabel und mit wenig Aufwand relativ sicher realisierbar aber natürlich nicht das non plus ultra.
Normalerweise würde man das aber professionell mit einem VLAN Switch machen, den Internet Router in ein DMZ VLAN hängen und Firmen LAN und offenes WLAN mit jeweils weiteren VLANs konsequent mit entsprechenden Filtern voneinander trennen.
Ein offenes Gast-Wlan ist ein viel zu großes Risiko hier rumzuexperimentieren oder irgendwelche "Quick and Dirty" Lösungen auf einem Unternehmensnetz auszuprobieren. Die personalrechtlichen Konsequenzen im Fehlerfalle könnten fatal sein....
Hi,
einer der beiden Router (A oder B) braucht
ein "Bein" im jeweils anderern
Netz, weil sie ja sonst keine Daten
miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder
aber zumindest die Möglichkeit, einer
physischen Schnittstelle zwei IP-Adressen
geben zu können.
Angenommen Router B hätte noch eine
Adresse im Firmen-Netz (192.168.1.200), dann
sieht die statische Route auf Router A so
ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0
übers Gateway 192.168.1.200.
Andersrum, wenn Router A noch eine IP im
anderen Netz hat, sollte es ohne statische
Route gehen. Diese 2. IP von Router A ist
dann das GW von Router B.
Die meinsten "Billigrouter" haben
aber nur 1 Lan-Schnittstelle und lassen auch
keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server
das Routing übernehmen.
Gruß,
Thomas
einer der beiden Router (A oder B) braucht
ein "Bein" im jeweils anderern
Netz, weil sie ja sonst keine Daten
miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder
aber zumindest die Möglichkeit, einer
physischen Schnittstelle zwei IP-Adressen
geben zu können.
Angenommen Router B hätte noch eine
Adresse im Firmen-Netz (192.168.1.200), dann
sieht die statische Route auf Router A so
ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0
übers Gateway 192.168.1.200.
Andersrum, wenn Router A noch eine IP im
anderen Netz hat, sollte es ohne statische
Route gehen. Diese 2. IP von Router A ist
dann das GW von Router B.
Die meinsten "Billigrouter" haben
aber nur 1 Lan-Schnittstelle und lassen auch
keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server
das Routing übernehmen.
Gruß,
Thomas
Hallo Thomas,
danke für deine Anregung. Es handelt sich um Netgear-Produkte:
Router A: Modell "FVS318"
Router B: Modell "FVS114GR"
Ich kann in den Basic Setting des Router B einstellen, dass der Zugang zum Internet ohne Zugangsdaten läuft. Dann fragt er nach "Internet IP Adress". Ich würde dann (sofern ich dich richtig verstehe) dort eintragen:
IP: 192.168.1.2 (damit wäre er am "WAN"-Port im selben Netz wie Router A)
Subnetmask: 255.255.255.000
Gateway: 192.168.1.1
Im "LAN IP Setup" würde ich einstellen:
IP-Adress: 192.168.100.1
Subnetzmask: 255.255.255.000
Weiters den DCHP-Server aktivieren mit (z.B.)
Range: 192.168.100.10 bis 192.168.100.199
Dürfte das klappen?! Brauche ich dann im Router A noch statische Routen?
DANKE !!
Hallo Daniel
Ja, das dürfte soweit klappen. Da der DHCP-Server dann in einem eigenen Subnetz steht, sollte es auch keine Probleme mit einem evtl. im andern Netz schon vorhandenen DHCP-Server geben.
Denn eine Internet-Anfrage aus Netz B wird ja über Router B dann an Router A weitergeleitet, welcher die Anfrage wiederum zum Provider weiterleitet. Irgenwann kommt auf die Anfrage dann die Antwort, die Router A dann ja an die ursprünglich anfragende Stelle zurück schicken soll, also den Rechner aus Netz B.
Nur woher weiss Router A wie er Netz B erreicht? Er kennt alle Adressen im eigenen Netz. Für alles andere hat er in Normalfall nur sein Standart-Gateway ... und das würde heissen alles andere schickt er in Internet bzw. zum Provider.
Daher musst Du ihm eine statische Route eingeben, damit er weiss, dass er das Netz 192.168.100.0 über die IP-Adresse 192.168.1.2, nämlich die WAN-Adresse von Router B erreicht.
Eine statische Route kann man bei vielen Routern nur über die Knfiguration per Telnet eintragen.
Gruß,
Thomas
IP: 192.168.1.2 (damit wäre er am "WAN"-Port im selben Netz wie Router A)
Subnetmask: 255.255.255.000
Gateway: 192.168.1.1
Im "LAN IP Setup" würde ich einstellen:
IP-Adress: 192.168.100.1
Subnetzmask: 255.255.255.000
Weiters den DCHP-Server aktivieren mit
(z.B.)
Range: 192.168.100.10 bis 192.168.100.199
Subnetmask: 255.255.255.000
Gateway: 192.168.1.1
Im "LAN IP Setup" würde ich einstellen:
IP-Adress: 192.168.100.1
Subnetzmask: 255.255.255.000
Weiters den DCHP-Server aktivieren mit
(z.B.)
Range: 192.168.100.10 bis 192.168.100.199
Ja, das dürfte soweit klappen. Da der DHCP-Server dann in einem eigenen Subnetz steht, sollte es auch keine Probleme mit einem evtl. im andern Netz schon vorhandenen DHCP-Server geben.
Brauche ich dann im Router A noch statische Routen?
Ja, brauchst Du.Denn eine Internet-Anfrage aus Netz B wird ja über Router B dann an Router A weitergeleitet, welcher die Anfrage wiederum zum Provider weiterleitet. Irgenwann kommt auf die Anfrage dann die Antwort, die Router A dann ja an die ursprünglich anfragende Stelle zurück schicken soll, also den Rechner aus Netz B.
Nur woher weiss Router A wie er Netz B erreicht? Er kennt alle Adressen im eigenen Netz. Für alles andere hat er in Normalfall nur sein Standart-Gateway ... und das würde heissen alles andere schickt er in Internet bzw. zum Provider.
Daher musst Du ihm eine statische Route eingeben, damit er weiss, dass er das Netz 192.168.100.0 über die IP-Adresse 192.168.1.2, nämlich die WAN-Adresse von Router B erreicht.
Eine statische Route kann man bei vielen Routern nur über die Knfiguration per Telnet eintragen.
Gruß,
Thomas
@aqui:
Ein DHCP-Broadcast wird aber nicht über den Router in ein anderes Subnetz weitergeleitet.
Ein DHCP-Broadcast wird aber nicht über den Router in ein anderes Subnetz weitergeleitet.
Das ist richtig ! Allerdings ist die Lösungsbeschreibung von Lars etwas diffus und es sieht so aus als ob er beide Router inklusiver ihrer DHCP Server mit unterschiedlichen IP Ranges an einem Switch betreiben will. Also das beide IP Netze auf einer Layer 2 Infrastruktur arbeiten und das ist höchst gefährlich, denn beide DHCP Server antworten ja dann auf einen DHCP Broadcast. Ich gehe aber auch mal davon aus das der Lars es so nicht gemeint hat, nur falsch ausgedrückt...
