24
Internet für Gäste über WLAN oder Kabel anbieten, Abtrennung von meinem Netz
Bekomme Besuch und möchte Freunden Internet zur Verfügung stellen. Die sollen aber nciht auf meine Rechner zugreifen können.
Ah ja, bin Politologe kein It'ler sollte also halbwegs einfach sein die Lösung (und einen Linux Server will ich mir nicht hinstellen).
Lese aber immerhin seit 5 Jahren c't 
Hallo zusammen,
nachdem ich nun einen Tag recherchiert habe und nicht schlauer bin:
Aufgabenstellung:
Es kommen ein paar Freunde für eine Woche. Die wollen mit Laptop ins Netz. Ich möchte, dass sie keinen Zugriff auf meine Rechner
haben. Der Zugang kann per Kabel laufen oder WLAN. Habe einen Netzwerkdrucker. Wäre schön wenn sie und ich auf den
zugreifen können - kein muß.
Infrastruktur:
DSL, Speedport 503, HP 1800 24 Switch, ausreichend verkabelte Netzwerkdosen wo man leicht anstecken könnte, Patchpanel über Switch
kann also umstecken.
Bisherige Überlegungen:
Funk
Es gibt WLAN Access Points wie von Fon. Die trennen scheinbar die zwei Netze komplett. Da bräuchten sie aber Tickets von Fon und habe
nicht gefunden ob man das Gerät einfach so kaufen kann (also nur mit Funktion getrenntes zweits Netz aber ohne bezahlen zu müssen).
Habe dann aber gesehen es gibt einige Access Points die verschiedene SSIDs anbieten. Den würde ich dann wohl an den DSL Router
stecken. Aber trennt der dann komplette zwischen meinem Netz und dem WLAN?
Sehr gerade http://www.cisco.com/en/US/products/ps10052/index.html scheint ein AC zu sein der Trennung anbietet. Für 130 Euro ok.
Also den an DSl router und fertig und dann habe ich ein WLAN Netz das getrennt ist aber Internet anbietet?
Unsicher bin ich ob ich: Einen alten WLAN Router nehmen kann, an den DSL Router anschließe eine anderen Ip Bereich angebe und
DHCP einstelle (also mein Netz von 192.168.2.1-150 und das andere dann villeicht von 151-200). Wäre das dann komplett getrennt?
Kabel:
Habe hier und in c't über Vlan gelesen. Das klingt ja genau richtig - zwei getrennte Netze. Nur was die Gurken bei HP nicht so laut sagten:
Scheinbar muß wenn ich habe
DSLrouter - Switch - VLAN 1
- Switch - Vlan 2
der Switch Level 3 können um in den beiden VLANs dann auch Internet verteilen können. Ja, könnte gerne die Lachmuskeln anspannen
habe auch mal Port 1-5 zu einem VLAN gemacht und 6-10 zum zweiten und jeweils ein Kabel aus jedem Berich in den DSLrouter (in der
Hoffnung dann gäbe es in beiden VLANs Internet). Naja, das war es wohl nicht.
Nun lese ich in diesem Forum:
Entweder Level 3 oder es geht nicht.
Dann gab es wohl noch die Option einen Server zu bauen. Will und kann ich nicht.
Schließlich las ich noch von VLAN fähigen Routern - kann ich dann mit dem und meinen Switch VLANs so bauen, dass ich zwei
getrennte Netze habe aber beide Netze über den einen Anschluß ins Internet kommen?
Und wie gesagt - großes Severbauen habe ich keinen Plan und auch keine Lust. Am liebsten wäre mir ein kleiner Access Point der
eine Trennung macht (habe ich aber nichts gefunden bisher außer den fetten Dingern für den Profieinsatz). Damit könnte man dann auch
mal unterwegs schnell WLAN für Freund zur Verfügung stellen.
Schönen Sonntag und vorab Danke,
Christian
PS: Das Tutorial für WLAN Access Point habe ich gelesen (wie baue ich meinen Hotspot). Das ist aber overkill für mich. Im Prinzip reicht
ein offnes Wlan. Bin auf dem Land und habe keine Angst wenn ein offenes getrenntes WLAN für eine Woche rumsteht.
nachdem ich nun einen Tag recherchiert habe und nicht schlauer bin:
Aufgabenstellung:
Es kommen ein paar Freunde für eine Woche. Die wollen mit Laptop ins Netz. Ich möchte, dass sie keinen Zugriff auf meine Rechner
haben. Der Zugang kann per Kabel laufen oder WLAN. Habe einen Netzwerkdrucker. Wäre schön wenn sie und ich auf den
zugreifen können - kein muß.
Infrastruktur:
DSL, Speedport 503, HP 1800 24 Switch, ausreichend verkabelte Netzwerkdosen wo man leicht anstecken könnte, Patchpanel über Switch
kann also umstecken.
Bisherige Überlegungen:
Funk
Es gibt WLAN Access Points wie von Fon. Die trennen scheinbar die zwei Netze komplett. Da bräuchten sie aber Tickets von Fon und habe
nicht gefunden ob man das Gerät einfach so kaufen kann (also nur mit Funktion getrenntes zweits Netz aber ohne bezahlen zu müssen).
Habe dann aber gesehen es gibt einige Access Points die verschiedene SSIDs anbieten. Den würde ich dann wohl an den DSL Router
stecken. Aber trennt der dann komplette zwischen meinem Netz und dem WLAN?
Sehr gerade http://www.cisco.com/en/US/products/ps10052/index.html scheint ein AC zu sein der Trennung anbietet. Für 130 Euro ok.
Also den an DSl router und fertig und dann habe ich ein WLAN Netz das getrennt ist aber Internet anbietet?
Unsicher bin ich ob ich: Einen alten WLAN Router nehmen kann, an den DSL Router anschließe eine anderen Ip Bereich angebe und
DHCP einstelle (also mein Netz von 192.168.2.1-150 und das andere dann villeicht von 151-200). Wäre das dann komplett getrennt?
Kabel:
Habe hier und in c't über Vlan gelesen. Das klingt ja genau richtig - zwei getrennte Netze. Nur was die Gurken bei HP nicht so laut sagten:
Scheinbar muß wenn ich habe
DSLrouter - Switch - VLAN 1
- Switch - Vlan 2
der Switch Level 3 können um in den beiden VLANs dann auch Internet verteilen können. Ja, könnte gerne die Lachmuskeln anspannen
habe auch mal Port 1-5 zu einem VLAN gemacht und 6-10 zum zweiten und jeweils ein Kabel aus jedem Berich in den DSLrouter (in der
Hoffnung dann gäbe es in beiden VLANs Internet). Naja, das war es wohl nicht.
Nun lese ich in diesem Forum:
Entweder Level 3 oder es geht nicht.
Dann gab es wohl noch die Option einen Server zu bauen. Will und kann ich nicht.
Schließlich las ich noch von VLAN fähigen Routern - kann ich dann mit dem und meinen Switch VLANs so bauen, dass ich zwei
getrennte Netze habe aber beide Netze über den einen Anschluß ins Internet kommen?
Und wie gesagt - großes Severbauen habe ich keinen Plan und auch keine Lust. Am liebsten wäre mir ein kleiner Access Point der
eine Trennung macht (habe ich aber nichts gefunden bisher außer den fetten Dingern für den Profieinsatz). Damit könnte man dann auch
mal unterwegs schnell WLAN für Freund zur Verfügung stellen.
Schönen Sonntag und vorab Danke,
Christian
PS: Das Tutorial für WLAN Access Point habe ich gelesen (wie baue ich meinen Hotspot). Das ist aber overkill für mich. Im Prinzip reicht
ein offnes Wlan. Bin auf dem Land und habe keine Angst wenn ein offenes getrenntes WLAN für eine Woche rumsteht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119232
Url: https://administrator.de/contentid/119232
Printed on: April 25, 2024 at 10:04 o'clock
24 Comments
Latest comment
Warum überhaupt so kompliziert? Benutzt du Vista = Freigabe deaktiveren? Konfig dein BS so das niemand zugriff hat, deaktivere die administrativen freigaben, setz ein Adminkonto Passwort.
Klar kann man per Subnetting die Netze von einander trennen und per ACL Access Control List eine Eingehende verbindung von ein Netz in das andere verbieten, wobei dein Switch dies nicht unterstüzten wird.
Dein DSL-Router als Gateway konfigurieren und 2 weitere Router für die unterschiedlichen Netze, und auf den 2 zusätzlichen Router die ACL kopnfigurieren, somit hättest auch die möglichkeit das du ins Netz B kommst, aber Netz B nicht in dein Netz A, wobei dann der Drucker in das Netz B gelegt werden muss, damit noch jeder zugriff drauf hat.
Aber wie gesagt, Aufwand und Einsatz abwägen, ein paar Freunde zu besuch, vlt reicht es deine lokalen freigaben zu deaktivieren.
Klar kann man per Subnetting die Netze von einander trennen und per ACL Access Control List eine Eingehende verbindung von ein Netz in das andere verbieten, wobei dein Switch dies nicht unterstüzten wird.
Dein DSL-Router als Gateway konfigurieren und 2 weitere Router für die unterschiedlichen Netze, und auf den 2 zusätzlichen Router die ACL kopnfigurieren, somit hättest auch die möglichkeit das du ins Netz B kommst, aber Netz B nicht in dein Netz A, wobei dann der Drucker in das Netz B gelegt werden muss, damit noch jeder zugriff drauf hat.
Aber wie gesagt, Aufwand und Einsatz abwägen, ein paar Freunde zu besuch, vlt reicht es deine lokalen freigaben zu deaktivieren.
Hi, ja warum so kompliziert - bei mir stehen noch vier andere Rechner rum (in dem Netz), ein NAS, der NEtzwerkdrucker und Netzwerkfax. Läuft XP auf den Rechnern (NAS Linux). Habe ein paar Freigaben zum Datensync zwischen Laptops und Desktops. So wäre mir eine "saubere" Lösung lieber.
Gruss,
Christian
Ach so. Und die Sicherheit gibt es ja auch noch zu bedenken. Keine Ahnung welches Ungeziefer auf den Laptops sein könnte. Und bei MS gibt es ja immer Lücken
Gruss,
Christian
Ach so. Und die Sicherheit gibt es ja auch noch zu bedenken. Keine Ahnung welches Ungeziefer auf den Laptops sein könnte. Und bei MS gibt es ja immer Lücken
OK, wenn sich nicht nur um dein PC dreht sondern noch weitere....
Die Sache mit VLans haste hinbekommen? Das Netze virtuell getrennt sind? Leider kann ich so jetzt schwer einschätzen was deine Hardware kann. Wenn die VLans laufen und die möglichkeit hast ACLs zu konfigurieren reicht das aus. Wie oben beschrieben.
Falls dein DSL Router uplink fähig ist, pack 2 Router dahinter für dein Netz A könntest dann auch weiterhin deinen Switch einsetzen und auf den Router die ACLs konfigurieren.
Diese Lösung wird zwar ein wenig geld kosten, und konfigurations Arbeit, wenn pech hast müsstet die Router über Console konig. Ob das ein Ansatz für eine Lösung ist?
Bei Gelgenheit werd ich mir mal ne PDF von deinem Speedport anschauen, vlt ergibt sich ja noch eine (sicherlich) andere Möglichkeit.
Die Sache mit VLans haste hinbekommen? Das Netze virtuell getrennt sind? Leider kann ich so jetzt schwer einschätzen was deine Hardware kann. Wenn die VLans laufen und die möglichkeit hast ACLs zu konfigurieren reicht das aus. Wie oben beschrieben.
Falls dein DSL Router uplink fähig ist, pack 2 Router dahinter für dein Netz A könntest dann auch weiterhin deinen Switch einsetzen und auf den Router die ACLs konfigurieren.
Diese Lösung wird zwar ein wenig geld kosten, und konfigurations Arbeit, wenn pech hast müsstet die Router über Console konig. Ob das ein Ansatz für eine Lösung ist?
Bei Gelgenheit werd ich mir mal ne PDF von deinem Speedport anschauen, vlt ergibt sich ja noch eine (sicherlich) andere Möglichkeit.
Ok. Würde also bedeuten
Speedport ->Router 1 - ggf Switch dahinter
->Router 2 - Rechner der Freunde
Ok. Da frage ich mich aber - das kann es doch nicht sein? Geht das ncht einfacher? Nur einen Router
hinter den Speedport und da die Freund ran geht nicht?
VLAN Trennung hat gut geklappt. Habe mit Look@Lan geschaut und in Netzwerkumegebung und mit
Ping - das eine VLAN kommt nicht auf das andere. Aber eben dann Internet nur in dem einem VLAN...
Gruss,
Christian
Speedport schaue ich mal rein. Mache ich mir aber keine großen Hoffnungen...
handbuch http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/theme-2000178/theme ...
Speedport ->Router 1 - ggf Switch dahinter
->Router 2 - Rechner der Freunde
Ok. Da frage ich mich aber - das kann es doch nicht sein? Geht das ncht einfacher? Nur einen Router
hinter den Speedport und da die Freund ran geht nicht?
VLAN Trennung hat gut geklappt. Habe mit Look@Lan geschaut und in Netzwerkumegebung und mit
Ping - das eine VLAN kommt nicht auf das andere. Aber eben dann Internet nur in dem einem VLAN...
Gruss,
Christian
Speedport schaue ich mal rein. Mache ich mir aber keine großen Hoffnungen...
handbuch http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/theme-2000178/theme ...
nein, also in dem von mir beschrieben fall müsstest du sogar 2 router kaufen:
Speedport = Gateway
1.Router Netz A + Switch
2. Router Netz B
Bei deiner Vlan konfiguration hast du Vlan B =das deiner Freunde so konfiguriert, dass es nicht in VLan A dein Netz kommt?
Frage A: Wie ist der Router als Gateway konfig, liegt er im IP Bereich deines Netzes, also Vlan A?
B: Kommt dein Netz denn in VLan B
Wenn A + B zutreffen ;) versuche den Speedport als Gateway in Vlan B zu konfigurieren.
Speedport = Gateway
1.Router Netz A + Switch
2. Router Netz B
Bei deiner Vlan konfiguration hast du Vlan B =das deiner Freunde so konfiguriert, dass es nicht in VLan A dein Netz kommt?
Frage A: Wie ist der Router als Gateway konfig, liegt er im IP Bereich deines Netzes, also Vlan A?
B: Kommt dein Netz denn in VLan B
Wenn A + B zutreffen ;) versuche den Speedport als Gateway in Vlan B zu konfigurieren.
Hmm. Versuche das beantworten. Habe zwei VLANs im Switch angelegt. Konfigurieren kann man da wenig sondern nur ports zu vlans zu ordnen.
und das habe ich dann probiert - die sind getrennt. per default sind alle ports in vlan 1. dann habe ich 2 ports auf vlan zwei geändert und laptop
ran. sind dann beide getrennt aber eben kein internet im vlan 2.
router hat eine feste ip. die rechner liegen im dhcp bereich der außerhalb der festen ip liegt (denke ich, nee sollte so sein).
Also Gate way 192.168.2.1 (dsl router)
Router 192.168.2.5
DHCP geht von 192.168.2.100-150
Hoffe das ist die Antwort auf Deine Frage?
Der Switch verteilt ja keine IPs wenn ich da verstehe. Die bekommt er doch vom Router? Wie er die im VLAN verteilt habe ich keine
Ahnung.
Gruss,
Christian
Gerade darauf gestossen:
http://www.cisco.com/en/US/products/ps100 ... scheint ein AC zu sein der Trennung anbietet. Für 130 Euro ok.
Also den an DSl router und fertig und dann habe ich ein WLAN Netz das getrennt ist aber Internet anbietet?
und das habe ich dann probiert - die sind getrennt. per default sind alle ports in vlan 1. dann habe ich 2 ports auf vlan zwei geändert und laptop
ran. sind dann beide getrennt aber eben kein internet im vlan 2.
router hat eine feste ip. die rechner liegen im dhcp bereich der außerhalb der festen ip liegt (denke ich, nee sollte so sein).
Also Gate way 192.168.2.1 (dsl router)
Router 192.168.2.5
DHCP geht von 192.168.2.100-150
Hoffe das ist die Antwort auf Deine Frage?
Der Switch verteilt ja keine IPs wenn ich da verstehe. Die bekommt er doch vom Router? Wie er die im VLAN verteilt habe ich keine
Ahnung.
Gruss,
Christian
Gerade darauf gestossen:
http://www.cisco.com/en/US/products/ps100 ... scheint ein AC zu sein der Trennung anbietet. Für 130 Euro ok.
Also den an DSl router und fertig und dann habe ich ein WLAN Netz das getrennt ist aber Internet anbietet?
Eine elegante Lösung wie du so etwas umsetzt findest du in diesem Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Detaliertere Infos hat auch dieser Thread im Forum:
Hotspot Lösung für Gastzugang
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Detaliertere Infos hat auch dieser Thread im Forum:
Hotspot Lösung für Gastzugang
Danke für den Tip, aber wie oben geschrieben wollte ich keinen Server bauen...
Aber nun mal großen Bruder gefragt. Wie schaut es aus mit:
Telekomrouter hat 192.168.2.1-200
Ich nehme Router zwei und stecke Kabel von seinem WAN in den Telekomrouter und
gebe für DHCP 192.168.50.1-50
Dann sollte doch der Speedport IP Anfragen ins Interlassen aber ping etc auf den
Bereich 192.168.2.1-200 NICHT zulassen. Damit wäre dann doch Ruhe oder? Per
Hand werden die Freund auch nicht ihre Rechner IP einstellen sondern DHCP nehmen und
Virus, Wurm usw wird das ja auch nicht umstellen.
Ist der Plan richtig?
So, nun Pasta...
Gruss,
Christian
UNd danke für Eure Hilfe! Versteht sogar ein sozialwissenschaftler...
Aber nun mal großen Bruder gefragt. Wie schaut es aus mit:
Telekomrouter hat 192.168.2.1-200
Ich nehme Router zwei und stecke Kabel von seinem WAN in den Telekomrouter und
gebe für DHCP 192.168.50.1-50
Dann sollte doch der Speedport IP Anfragen ins Interlassen aber ping etc auf den
Bereich 192.168.2.1-200 NICHT zulassen. Damit wäre dann doch Ruhe oder? Per
Hand werden die Freund auch nicht ihre Rechner IP einstellen sondern DHCP nehmen und
Virus, Wurm usw wird das ja auch nicht umstellen.
Ist der Plan richtig?
So, nun Pasta...
Gruss,
Christian
UNd danke für Eure Hilfe! Versteht sogar ein sozialwissenschaftler...
Ja das geht auch. Das ist die DMZ des kleinen Mannes wie sie hier sehr genau beschrieben ist:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Damit hast du im Handumdrehen das was du wolltest !!
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Damit hast du im Handumdrehen das was du wolltest !!
Aha! Dann wäre der erste Router (Telekom) auf Funk geschaltet und dahinter hänge ich meinen Kram an einen zweiten Router. Oder ist das egal wie rum?
Und die folgenden Fragen hätte ich noch interessehalber:
1) Anfang Jahr war ein Gibtswitch Test in der c't. Da wurde lange und breit gepriesen: VLAN. Soweit ich nun verstehe ist VlAn Layer 2 ziemlich
nutzlos weil Du zwar die Netze schönen trennen kannst aber nur mit einem ins Internet kommst. Und dafür wurde ja gepriesen - Rechner
Sohn von Arbeitsrechner Vater trennen. Du hast aber mehrfach geschrieben das geht nur mit Layer 3. Wozu wird das dann angepriesen??
2) Trennt der nicht auch vollständig? Oder nur innerhalb des Routers und nicht zwischen zwei Routern
http://www.cisco.com/en/US/products/ps100 Habe mal an Support geschrieben. Mal schauen was kommt.
Uff, die Pasta liegt noch im Magen. Da kommt keine Arbeitsstimmung auf...
Gruss,
Christian
Und die folgenden Fragen hätte ich noch interessehalber:
1) Anfang Jahr war ein Gibtswitch Test in der c't. Da wurde lange und breit gepriesen: VLAN. Soweit ich nun verstehe ist VlAn Layer 2 ziemlich
nutzlos weil Du zwar die Netze schönen trennen kannst aber nur mit einem ins Internet kommst. Und dafür wurde ja gepriesen - Rechner
Sohn von Arbeitsrechner Vater trennen. Du hast aber mehrfach geschrieben das geht nur mit Layer 3. Wozu wird das dann angepriesen??
2) Trennt der nicht auch vollständig? Oder nur innerhalb des Routers und nicht zwischen zwei Routern
http://www.cisco.com/en/US/products/ps100 Habe mal an Support geschrieben. Mal schauen was kommt.
Uff, die Pasta liegt noch im Magen. Da kommt keine Arbeitsstimmung auf...
Gruss,
Christian
.
"1) Anfang Jahr war ein Gibtswitch Test in der c't. Da wurde lange und breit gepriesen: VLAN. Soweit ich nun verstehe ist VlAn Layer 2 ziemlich
nutzlos weil Du zwar die Netze schönen trennen kannst aber nur mit einem ins Internet kommst. Und dafür wurde ja gepriesen - Rechner
Sohn von Arbeitsrechner Vater trennen. Du hast aber mehrfach geschrieben das geht nur mit Layer 3. Wozu wird das dann angepriesen??.."
A.: Was ist ein Gibtswitch ?? Gibts den umsonst ?? Vermutlich meinst du wohl einen Gigabit Switch, richtig ??
Es gibt manche Router die mit VLANs umgehen können wie z.B. hier zu sehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder Linksys WRT54 mit dd-wrt oder open WRT oder andere Router. Die bringen dann auch VLANs problemlso ins Internet inkl. der Trennung.
So macht das also Sinn. Wenn man einen dummen DSL Router mit einem VLAN Switch hat hilft nur ein externer Router:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
oder ein Layer 3 (Routing) fähiger Switch !
Frage 2 kann man dir nicht beantworten weil der Bezug zu "Trennt der nicht auch vollständig" vollkommen fehlt.
Klickt man auf deinen Link erhält man ein The Page You Have Requested Is Not Available
Da hast du wohl zuviel Pasta intus gehabt, oder ???
"Plenus venter non studet libenter !" Das gilt nicht nur in der IT sondern ebenso auch für Sozialwissenschaftler...
"1) Anfang Jahr war ein Gibtswitch Test in der c't. Da wurde lange und breit gepriesen: VLAN. Soweit ich nun verstehe ist VlAn Layer 2 ziemlich
nutzlos weil Du zwar die Netze schönen trennen kannst aber nur mit einem ins Internet kommst. Und dafür wurde ja gepriesen - Rechner
Sohn von Arbeitsrechner Vater trennen. Du hast aber mehrfach geschrieben das geht nur mit Layer 3. Wozu wird das dann angepriesen??.."
A.: Was ist ein Gibtswitch ?? Gibts den umsonst ?? Vermutlich meinst du wohl einen Gigabit Switch, richtig ??
Es gibt manche Router die mit VLANs umgehen können wie z.B. hier zu sehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder Linksys WRT54 mit dd-wrt oder open WRT oder andere Router. Die bringen dann auch VLANs problemlso ins Internet inkl. der Trennung.
So macht das also Sinn. Wenn man einen dummen DSL Router mit einem VLAN Switch hat hilft nur ein externer Router:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
oder ein Layer 3 (Routing) fähiger Switch !
Frage 2 kann man dir nicht beantworten weil der Bezug zu "Trennt der nicht auch vollständig" vollkommen fehlt.
Klickt man auf deinen Link erhält man ein The Page You Have Requested Is Not Available
Da hast du wohl zuviel Pasta intus gehabt, oder ???
"Plenus venter non studet libenter !" Das gilt nicht nur in der IT sondern ebenso auch für Sozialwissenschaftler...
Hmm, nicht Igitt sondern Gbit Habe mir dann aber doch in den Ar... gebissen als mir langsam dämmerte, dass es nichts ist mit
dem VLAN wie ich wollte.
Ok, die Links von Dir muß ich mal in Ruhe verdauen.
Zu 2:
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10047/ps10 ...
Was ich meine: Da gibt es einen WLAn Router der mehrere SSIDs anbietet und sagt "Du kannst Dein privates Netz
(Kabel/ WLAN) abtrennen von einem WLAN Netz das Du zusätzlich anbietest. Soll wohl sagen: Du hast ein WLAN für Dich
und ein zusätzliches für Freunde. Beide sind voneinander komplett getrennt. Nun aber meine Frage: Diesen Router würde
ich ja an meinen Telekomrouter hängen und daran hängt mein Netzwerk. Bezieht sich die versprochene Trennung nur auf
den Linksysrouter oder habe ich dann auch eine Trennung von dem Telekomrouter:
Telekom DSLrouter-----------privates Netz
'------------------------------------Linksys-----Netz 1(privat)
'-Netz 2 (offen).
Andereseits - damit habe ich ja auch wieder DMZ des kleinen Mannes/ Weibleins. Nur hier noch die Frage: In dem c't Beispiel ging es darum
einen Angriff von außen abzuwehren. Bei mir geht es ja darum, dass die Kumpels nicht abbiegen bevor sie rausgehen ins Internet. Daher noch
die Frage: Ist es egal ob sie am ersten Router hängen (Telekom) oder am zweiten? Aus dem Bauch hätte ich gesagt sie sollten am Telekom
Ding hängen und ich mit priavt dahinter an Router 2. Dann müßte ich aber etwas umstöpseln.
Ahja, der Kaffee wirkt. Die Pestoschwere verflüchtigt sich.
Hmm, ein Freund arbeitet bei Genua. Vielleicht hat der ja was zum ausleihen)
Gruss,
Christian
ah, und wirklich danke für die tips! ich bastle gerne zur entspannung. wieviel politologen haben auch nen 2 meter 19 zoll schrank im arbeitszimmer (wenn auch das meiste darinnen geraffel ist).
Habe mir dann aber doch in den Ar... gebissen als mir langsam dämmerte, dass es nichts ist mitdem VLAN wie ich wollte.
Ok, die Links von Dir muß ich mal in Ruhe verdauen.
Zu 2:
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10047/ps10 ...
Was ich meine: Da gibt es einen WLAn Router der mehrere SSIDs anbietet und sagt "Du kannst Dein privates Netz
(Kabel/ WLAN) abtrennen von einem WLAN Netz das Du zusätzlich anbietest. Soll wohl sagen: Du hast ein WLAN für Dich
und ein zusätzliches für Freunde. Beide sind voneinander komplett getrennt. Nun aber meine Frage: Diesen Router würde
ich ja an meinen Telekomrouter hängen und daran hängt mein Netzwerk. Bezieht sich die versprochene Trennung nur auf
den Linksysrouter oder habe ich dann auch eine Trennung von dem Telekomrouter:
Telekom DSLrouter-----------privates Netz
'------------------------------------Linksys-----Netz 1(privat)
'-Netz 2 (offen).
Andereseits - damit habe ich ja auch wieder DMZ des kleinen Mannes/ Weibleins. Nur hier noch die Frage: In dem c't Beispiel ging es darum
einen Angriff von außen abzuwehren. Bei mir geht es ja darum, dass die Kumpels nicht abbiegen bevor sie rausgehen ins Internet. Daher noch
die Frage: Ist es egal ob sie am ersten Router hängen (Telekom) oder am zweiten? Aus dem Bauch hätte ich gesagt sie sollten am Telekom
Ding hängen und ich mit priavt dahinter an Router 2. Dann müßte ich aber etwas umstöpseln.
Ahja, der Kaffee wirkt. Die Pestoschwere verflüchtigt sich.
Hmm, ein Freund arbeitet bei Genua. Vielleicht hat der ja was zum ausleihen
)Gruss,
Christian
ah, und wirklich danke für die tips! ich bastle gerne zur entspannung. wieviel politologen haben auch nen 2 meter 19 zoll schrank im arbeitszimmer (wenn auch das meiste darinnen geraffel ist).
Hi !
Die M0n0wall kannst Du auch in einem Einplatinenpc (embedded-PC) betreiben und als Serverhardware würde ich sowas nicht wirklich bezeichnen. Das Ding brauch dann nicht mehr Strom als ein normaler Router.
So ein embedded PC kostet mit Gehäuse nicht mal 150 Euro und wenn die für ein komplettes Captive Portal (Gastnetzwerk) noch zuviel sind, dann brauchst Du auch keins, Du hast es nur noch nicht bemerkt.
mrtux
Zitat von @leviathan123:
Danke für den Tip, aber wie oben geschrieben wollte ich keinen
Server bauen...
Danke für den Tip, aber wie oben geschrieben wollte ich keinen
Server bauen...
Die M0n0wall kannst Du auch in einem Einplatinenpc (embedded-PC) betreiben und als Serverhardware würde ich sowas nicht wirklich bezeichnen. Das Ding brauch dann nicht mehr Strom als ein normaler Router.
So ein embedded PC kostet mit Gehäuse nicht mal 150 Euro und wenn die für ein komplettes Captive Portal (Gastnetzwerk) noch zuviel sind, dann brauchst Du auch keins, Du hast es nur noch nicht bemerkt.
mrtux
Ehrlich gesagt will ich schon lange einen Server bauen. Und zwar ein NAS auf Opensolaris Basis. In der aktuellen c't war auch ein schönes Board das endlich Gbit Nic hat und mit Atom und Nvidiachip läuft. Also wenig Strom braucht aber Performance hat. Ah und 3 SATA Ports. Dann habe ich aber gelesen, dass bei Opensolaris manche Stromsparmodi nicht klappen. Kann das Ding also viel Strom fressen. Dafür soll diese Snapshot Funktion super sein.
Also ganz abgeneigt bin ich nicht. Kenne mich leider wenig aus mit Linuxbasiertem Kram. Mit einer Anleitung komme ich meistens durch.
Das M0n0wall finde ich wohl. Hast Du einen Vorschlag für die Hardware? Geht dann Richtung Industrierechner? Der Kram ist meistens
teuer oder? Ein paar alte Mühlen hätte ich noch rumstehen. Aber die fressen 40 Watt. Muß nicht sein. Daher auch der Telekomrouter - Modem
und Router mit 6-7 Watt.
Gruss,
Christian
Also ganz abgeneigt bin ich nicht. Kenne mich leider wenig aus mit Linuxbasiertem Kram. Mit einer Anleitung komme ich meistens durch.
Das M0n0wall finde ich wohl. Hast Du einen Vorschlag für die Hardware? Geht dann Richtung Industrierechner? Der Kram ist meistens
teuer oder? Ein paar alte Mühlen hätte ich noch rumstehen. Aber die fressen 40 Watt. Muß nicht sein. Daher auch der Telekomrouter - Modem
und Router mit 6-7 Watt.
Gruss,
Christian
Der Cisco AP kann sog. virtuell SSIDs aufspannen. Auf dem LAN Interface addiert dieser AP denn dem Traffic aus dem spezifischen WLAN ein entsprechendes VLAN Tag nach IEEE 802.1q. Ein VLAN Switch kann dann den Traffic von diesen unterschiedlichen WLAN SSIDs so separieren.
Eine sehr gute Lösung um auch unterschedliche WLAN Infrastrukturen mit unterschiedlichen Sicherheitsanforderungen für den Zugang preiswert und Kosten sparend auf einer einzigen Hardware zu realisieren.
Du benötigst aber eine Firewall oder einen externen Router wenn du eine volle oder nur Teilweise Kopplung dieser VLANs benötigst.
Damit würde sich dein Problem (das eigentlich keins ist...) natürlich am elegantesten lösen lassen und das ist das was heute dann gemeinhin im Profibereich gemacht wird.
Für dich als Bastler wird es letztlich zu teuer...aber wenn du willst, nur zu ...das funktioniert natürlich auch !
Thema DMZ des kleinen Mannes
"...In dem c't Beispiel ging es darum einen Angriff von außen abzuwehren..."
Nein, das ist natürlich Unsinn was du da sagtst, und zeigt das du das Konzept nicht verstanden hast
Denn es geht genau darum nicht, sondern um genau dein Thema !
Nämlich das du mit 2 Netzwerken einen Internet Zugang realisierst, die Netze sich aber nicht untereinander sehen bzw. zugriffssicher sind !!
Hier nochmals eine Zeichnung damit auch Politologen das verstehen:
Den Grund für den WLAN Kanalabstand findest du HIER.
Das ist die Lösung der Wahl für einen Firewall Bastel Muffel....
Sonst eben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder die Cisco de Luxe Lösung ...
Eine sehr gute Lösung um auch unterschedliche WLAN Infrastrukturen mit unterschiedlichen Sicherheitsanforderungen für den Zugang preiswert und Kosten sparend auf einer einzigen Hardware zu realisieren.
Du benötigst aber eine Firewall oder einen externen Router wenn du eine volle oder nur Teilweise Kopplung dieser VLANs benötigst.
Damit würde sich dein Problem (das eigentlich keins ist...) natürlich am elegantesten lösen lassen und das ist das was heute dann gemeinhin im Profibereich gemacht wird.
Für dich als Bastler wird es letztlich zu teuer...aber wenn du willst, nur zu ...das funktioniert natürlich auch !
Thema DMZ des kleinen Mannes
"...In dem c't Beispiel ging es darum einen Angriff von außen abzuwehren..."
Nein, das ist natürlich Unsinn was du da sagtst, und zeigt das du das Konzept nicht verstanden hast
Denn es geht genau darum nicht, sondern um genau dein Thema !
Nämlich das du mit 2 Netzwerken einen Internet Zugang realisierst, die Netze sich aber nicht untereinander sehen bzw. zugriffssicher sind !!
Hier nochmals eine Zeichnung damit auch Politologen das verstehen:
Den Grund für den WLAN Kanalabstand findest du HIER.
Das ist die Lösung der Wahl für einen Firewall Bastel Muffel....
Sonst eben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder die Cisco de Luxe Lösung ...
uff. gerade wohnungputz sonst zieht mir freundin ohren lang. gehe Deinen punkt später durch. da schöpfe ich ja hoffnung
was ich wegen dmz meinte - dachte anwemdung nach c't war: ich habe einen webserver und wenn jemand auf den von außen (!)
einbricht soll er nicht weiter kommen an mein internes netz. und das was aus meiner sicht sozusagen das gegenteil von meinem
"problem" - die jungs sollen zwar auch nicht drauf, sietzen aber innen und nicht außen. daher fragte ich mich ob das einen unter-
schied macht oder jacke wie hose...
so, putzlumpen marsch.
gruss,
christian
was ich wegen dmz meinte - dachte anwemdung nach c't war: ich habe einen webserver und wenn jemand auf den von außen (!)
einbricht soll er nicht weiter kommen an mein internes netz. und das was aus meiner sicht sozusagen das gegenteil von meinem
"problem" - die jungs sollen zwar auch nicht drauf, sietzen aber innen und nicht außen. daher fragte ich mich ob das einen unter-
schied macht oder jacke wie hose...
so, putzlumpen marsch.
gruss,
christian
Da brauchst du keinen Hoffnung schöpfen.... das funktioniert genau so wie du es willst !!!
Das Konzept ist so auch mit einem Webserver verwendebar...das stimmt. Ist eben universell verwendbar und eben auch um Gäste vom privaten Netz fernzuhalten !!
Das Konzept ist so auch mit einem Webserver verwendebar...das stimmt. Ist eben universell verwendbar und eben auch um Gäste vom privaten Netz fernzuhalten !!
Ha, Hirn freigeputzt:
Ich hole mir den Cisco/Linksys AP für 110 Euro. Dann kann ich ja mit meinem Procurve Vlan spielen. Und ich habe noch irgendwo nen
alten SMC Router. Dann kann ich ja damit auch mal die DMZ Variante durchspielen. Und wenn ich mal nen WE nichts zu tun habe
probiere ich die Severvariante. Damit bin ich nun für ein Quartal mit Spielzeug versorgt. Das schätze ich nämlich sehr - da sieht
man gleich (meistens) ob was läuft oder nicht. Bei den Politologen eher selten
Und den DMZ Artikel lese ich nochmal in Ruhe durch. Sehe nun Du hast die Gäste an den Router gehängt wo auch das
Internet drüber läuft und das private Netz hinter den zweiten. Dann nehme ich mal an es muß so rum gebaut werden - also was zu sichern
ist hinter den zweiten router.
Dann bleibt mir mal "tausend Dank" zu sagen. Habe mal an c't geschrieben ob sie nicht einen kleiner Artikel damit im Bereich
Netze schreiben wollen - dann können auch andere von unserer (v.a. hier Eurer) Arbeit zusätzlich profitieren.
Einen schönen Abend!
Christian
Ah ja, und wenn ich ganz viel Zeit habe kann ich ja Linksys plus alten zweiten Router zusammenprobieren
für "Du benötigst aber eine Firewall oder einen externen Router wenn du eine volle oder nur Teilweise Kopplung
dieser VLANs benötigst. Damit würde sich dein Problem (das eigentlich keins ist...) natürlich am elegantesten lösen
lassen und das ist das was heute dann gemeinhin im Profibereich gemacht wird. Für dich als Bastler wird es letztlich
zu teuer...aber wenn du willst, nur zu ...das funktioniert natürlich auch !"
Ich hole mir den Cisco/Linksys AP für 110 Euro. Dann kann ich ja mit meinem Procurve Vlan spielen. Und ich habe noch irgendwo nen
alten SMC Router. Dann kann ich ja damit auch mal die DMZ Variante durchspielen. Und wenn ich mal nen WE nichts zu tun habe
probiere ich die Severvariante. Damit bin ich nun für ein Quartal mit Spielzeug versorgt. Das schätze ich nämlich sehr - da sieht
man gleich (meistens) ob was läuft oder nicht. Bei den Politologen eher selten
Und den DMZ Artikel lese ich nochmal in Ruhe durch. Sehe nun Du hast die Gäste an den Router gehängt wo auch das
Internet drüber läuft und das private Netz hinter den zweiten. Dann nehme ich mal an es muß so rum gebaut werden - also was zu sichern
ist hinter den zweiten router.
Dann bleibt mir mal "tausend Dank" zu sagen. Habe mal an c't geschrieben ob sie nicht einen kleiner Artikel damit im Bereich
Netze schreiben wollen - dann können auch andere von unserer (v.a. hier Eurer) Arbeit zusätzlich profitieren.
Einen schönen Abend!
Christian
Ah ja, und wenn ich ganz viel Zeit habe kann ich ja Linksys plus alten zweiten Router zusammenprobieren
für "Du benötigst aber eine Firewall oder einen externen Router wenn du eine volle oder nur Teilweise Kopplung
dieser VLANs benötigst. Damit würde sich dein Problem (das eigentlich keins ist...) natürlich am elegantesten lösen
lassen und das ist das was heute dann gemeinhin im Profibereich gemacht wird. Für dich als Bastler wird es letztlich
zu teuer...aber wenn du willst, nur zu ...das funktioniert natürlich auch !"
Hi !
Steht alles in der Anleitung von Aqui, ansonsten hilft auch Google weiter.
Die M0n0wall braucht als embedded System auch nicht mehr Leistung als ein normaler Router (Fritzbox o.ä.) und die Boards sind mit bis zu drei Ethernet Ports erhältlich. Die genauen Leistungsangaben kannst Du den Datenblättern des Herstellers entnehmen.
mrtux
Zitat von @leviathan123:
Das M0n0wall finde ich wohl. Hast Du einen Vorschlag für die
Hardware? Geht dann Richtung Industrierechner? Der Kram ist meistens
Das M0n0wall finde ich wohl. Hast Du einen Vorschlag für die
Hardware? Geht dann Richtung Industrierechner? Der Kram ist meistens
Steht alles in der Anleitung von Aqui, ansonsten hilft auch Google weiter.
Aber die fressen 40 Watt. Muß nicht sein. Daher auch der
und Router mit 6-7 Watt.
und Router mit 6-7 Watt.
Die M0n0wall braucht als embedded System auch nicht mehr Leistung als ein normaler Router (Fritzbox o.ä.) und die Boards sind mit bis zu drei Ethernet Ports erhältlich. Die genauen Leistungsangaben kannst Du den Datenblättern des Herstellers entnehmen.
mrtux
Ok. Klingt gut. Ein GUI ist ja dabei http://m0n0.ch/wall/screenshots.php Dann finde ich wenigstens
wo zu klicken wenn ich auch nicht weiß was ich tue
Schönen Abend,
Christian
wo zu klicken wenn ich auch nicht weiß was ich tue
Schönen Abend,
Christian
Zum Abschluss nochmal zum zweiten Router und deiner Bemerkung:
"...und das private Netz hinter den zweiten. Dann nehme ich mal an es muß so rum gebaut werden - also was zu sichern ist hinter den zweiten router...."
A.: Ja, logisch, denn der 2te Router ist mit dem WAN Interface zum ersten verbunden. Hier greift dann die NAT Firewall des zweiten Routers die das lokale LAN hinter dem 2ten Router somit sicher vor Zugriffen aus dem ersten Netz schützt, denn Clients dort können diese Firewall nicht überwinden....logisch so soll eine Firewall ja auch sein !!
So musst du keinerlei Angst haben das die Bösen unter den Politologen Gästen dein privates Netzwerk missbrauchen !!
"...und das private Netz hinter den zweiten. Dann nehme ich mal an es muß so rum gebaut werden - also was zu sichern ist hinter den zweiten router...."
A.: Ja, logisch, denn der 2te Router ist mit dem WAN Interface zum ersten verbunden. Hier greift dann die NAT Firewall des zweiten Routers die das lokale LAN hinter dem 2ten Router somit sicher vor Zugriffen aus dem ersten Netz schützt, denn Clients dort können diese Firewall nicht überwinden....logisch so soll eine Firewall ja auch sein !!
So musst du keinerlei Angst haben das die Bösen unter den Politologen Gästen dein privates Netzwerk missbrauchen !!
Ok. Danke! Auch wenn wohl eine weitere dumme Frage: Die Idee einen kleinen Rechner mit einer Firewall drauf zu bauen hat mich
angesteckt. Nun spracht Ihr von m0n0wall, sehe es gibt noch IPCop und hier fand ich einen Hinwies auf http://www.endian.com/products/software/
Nun die dumme Frage - womit fährt man gut i.e. in meinem Fall - einfach zu bedienen, für einfache Fälle (s.o.) die notwendigen Funktionen
und v.a. sicher? IpCop war mal ne lange Anleitung in der c't. Da könnte ich mich entlanghangeln. Kann aber null einschätzen wie gut, sicher
die oben genannten Programme sind.
Grus,
Christian
angesteckt. Nun spracht Ihr von m0n0wall, sehe es gibt noch IPCop und hier fand ich einen Hinwies auf http://www.endian.com/products/software/
Nun die dumme Frage - womit fährt man gut i.e. in meinem Fall - einfach zu bedienen, für einfache Fälle (s.o.) die notwendigen Funktionen
und v.a. sicher? IpCop war mal ne lange Anleitung in der c't. Da könnte ich mich entlanghangeln. Kann aber null einschätzen wie gut, sicher
die oben genannten Programme sind.
Grus,
Christian
M0nowall und IPCop sind von der bedienung her einfach da Webinterface.
M0nowall hat noch den Charme auf einem Minimainboard und damit auf einer Modemgroßen Applinace zu laufen wie du am o.a. Tutorial zum Hotspot oder hier:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
sehen kannst.
Zudem ist sie einfach aufzubauen und kann sogar in einem VMware VM laufen. Das Image ist von der Monowall Seite dafür ladbar.
IPCop ist ähnlich erfordert aber mehr Handarbeit bei Erweiterungen. Monowall ist nicht erweiterbar sondern eine fixe Lösung, die aber (fast) alles schon intus hat.
Die Endian Firewall ist eine reine Firewall und etwas mächtiger in den Funktionen. Mit einem kleinen Atom Mainboard aber auch zu einer handlichen Appliance zu machen.
Brenn dir einfach mal eine M0n0wall Boot CD nimm einen ollen PC aus der Bastelkiste, dem du eine 2te oder 3te Netzwerkkarte gönnst (Platte brauchst du nicht) und boote die SW.
Dann kannst du ganz einfach mal etwas spielen damit und dich schlau machen...
M0nowall hat noch den Charme auf einem Minimainboard und damit auf einer Modemgroßen Applinace zu laufen wie du am o.a. Tutorial zum Hotspot oder hier:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
sehen kannst.
Zudem ist sie einfach aufzubauen und kann sogar in einem VMware VM laufen. Das Image ist von der Monowall Seite dafür ladbar.
IPCop ist ähnlich erfordert aber mehr Handarbeit bei Erweiterungen. Monowall ist nicht erweiterbar sondern eine fixe Lösung, die aber (fast) alles schon intus hat.
Die Endian Firewall ist eine reine Firewall und etwas mächtiger in den Funktionen. Mit einem kleinen Atom Mainboard aber auch zu einer handlichen Appliance zu machen.
Brenn dir einfach mal eine M0n0wall Boot CD nimm einen ollen PC aus der Bastelkiste, dem du eine 2te oder 3te Netzwerkkarte gönnst (Platte brauchst du nicht) und boote die SW.
Dann kannst du ganz einfach mal etwas spielen damit und dich schlau machen...
He, he. Das Paket ist da. Das Alix mit 3 NICs und WLAN. In der CH gekauft, alles zusammen mit CF Karte, Gehäuse, WLAN 180 CHF.
m0n0wall ist auf der CF Karte und nicht aus Versehen auf den HDDs Auf die Konfigurationsseite komme ich auch. Nun mal das
Handbuch durchackern. Naja, das WE ist da. Und notfalls kommt ja morgen der neue c't Debian Server..
Ciao CHristian
m0n0wall ist auf der CF Karte und nicht aus Versehen auf den HDDs
Auf die Konfigurationsseite komme ich auch. Nun mal dasHandbuch durchackern. Naja, das WE ist da. Und notfalls kommt ja morgen der neue c't Debian Server..
Ciao CHristian
