5
Per WLAN im Unternehmen, mit dem Unternehmen verbinden
Hallo zusammen,
sorry, für den komplizierten Titel.
Zur Erklärung:
Ich habe in unserer Firma ein offenes Gäste-WLAN eingerichtet (durch VLAN von den restlichen Netzen isoliert), welches auch über unsere Internetleitung in die weite Welt hinaus geht.
Ich habe nun folgendes Problem:
Wenn ein Mitarbeiter von uns mit seinem Laptop über dieses Gäste-WLAN eine VPN-Verbindung aufbauen möchte, funktioniert das nicht. Hängt das damit zusammen, dass der Ausgangs und Eingangsknoten der selbe ist?
Kann das generell funktionieren?
Danke im Voraus!
Lg edvmäderl
sorry, für den komplizierten Titel.
Zur Erklärung:
Ich habe in unserer Firma ein offenes Gäste-WLAN eingerichtet (durch VLAN von den restlichen Netzen isoliert), welches auch über unsere Internetleitung in die weite Welt hinaus geht.
Ich habe nun folgendes Problem:
Wenn ein Mitarbeiter von uns mit seinem Laptop über dieses Gäste-WLAN eine VPN-Verbindung aufbauen möchte, funktioniert das nicht. Hängt das damit zusammen, dass der Ausgangs und Eingangsknoten der selbe ist?
Kann das generell funktionieren?
Danke im Voraus!
Lg edvmäderl
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201815
Url: https://administrator.de/contentid/201815
Printed on: April 25, 2024 at 16:04 o'clock
5 Comments
Latest comment
Zitat von @edvmaedchenfueralles:
Wenn ein Mitarbeiter von uns mit seinem Laptop über dieses Gäste-WLAN eine VPN-Verbindung aufbauen möchte,
funktioniert das nicht.
Mal ne Frage:Wenn ein Mitarbeiter von uns mit seinem Laptop über dieses Gäste-WLAN eine VPN-Verbindung aufbauen möchte,
funktioniert das nicht.
Warum sollte er/sie das tun?
Geht einfach nicht, Mitarbeiter soll das dafür vorgesehene WLAN nutzen.
Oder willst du es nur technisch wissen?
Dann müssten wir zumindest wissen, welche Komponenten du für den VPN benutzt (Firewall, RAS-Server, ...).
VG
Deepsys
Danke für die rasche Antwort.
Das Problem ist, wir haben zur Zeit nur 1 WLAN. Und das ist eben das Gäste-WLAN.
Möchte einfach vermeiden, hier extra dafür ein 2. WLAN aufzubauen.
Aber anscheinend wird mir nichts anderes übrif bleiben.
Lg
Das Problem ist, wir haben zur Zeit nur 1 WLAN. Und das ist eben das Gäste-WLAN.
Möchte einfach vermeiden, hier extra dafür ein 2. WLAN aufzubauen.
Aber anscheinend wird mir nichts anderes übrif bleiben.
Lg
Hi Mädchen für alles oder Kümmerer,
herzliches Beileid zu dem Job.
Einwählen in ein anderes Netz (VPN) erfordert eben auch ein anderes Netz.
Wenn das Gast-VLAN/WLAN aber andere IPs hat und die richtige Schnittstelle des Routers erreicht werden kann, und das scheint ein weiterer Knackpunkt zu sein, dann kann das gehen.
Gruß
Netman
herzliches Beileid zu dem Job.
Einwählen in ein anderes Netz (VPN) erfordert eben auch ein anderes Netz.
Wenn das Gast-VLAN/WLAN aber andere IPs hat und die richtige Schnittstelle des Routers erreicht werden kann, und das scheint ein weiterer Knackpunkt zu sein, dann kann das gehen.
Gruß
Netman
Hallo edvmaedchenfueralles,
- Ist Zustand bitte hier beschreiben: Anzahl PC, WSs, Server, WLAN APs, Switche (L2 & L3), Router oder Firewalls
WLAN Controller falls vorhanden,....
- Du brauchst WLAN APs die Mulkti SSID fähig sind und Switche die VLAN fähig sind evtl. je nach Lage auch Router und Firewall die VLAN fähig sind
- WLAN am Wochenende schließen und neu aufsetzen, aber bitte gesichert
- WLAN Struktur neu überprüfen und Sicherungsmaßnahmen auswählen!!
Cisco RV220W
Cisco SG300-28
CiscoSG300-28P
WLAN APs die VLAN Unterstützung und Multi SSID Funktion bieten
An jedem Switch drei VLANs anlegen
An jedem WLAN AP drei SSIDs anlegen
SSID1 extern1 (Gäste in der Firma z.B. Konferenzraum) Captive Portal gesichert Gruppe ext1
SSID2 extern2 (für die Mitarbeiter zum privaten Email abholen) Captive Portal Gruppe ext2
SSID3 intern1 (nur für Firmengeräte und eigene Mitarbeiter) Radius gesichert Gruppe int1
VLAN20 - SSID1
VLAN30 - SSID2
VLAN40 - SSID3
Jede SSID in ein eigenes VLAN packen (anlegen)
Jedes VLAN bekommt sein eigenes Subnetz und gut ist es
Dem int1 wird der Radius Server zugewiesen und dem ext1 und ext2 das Captive Portal!
Sollten über die WLAN APs Echtzeitanwendungen laufen wie z.B. Telefonate, Datenbankzugriffe
benötigt man außerdem od er besser in aller Regel nach einen echten WLAN Controller und nicht nur ein
Geräte zur WLAN Administration und die WLAN APs sollten fast roaming support auf Layer2 und Layer3 bieten!!!!!
WLAN management device = ein paar hundert Euro
WLAN Controller ein paar Euronen mehr!!
WLAN AP = Multi SSID, VLAN Fast Roaming L2 & L3
Radius Server und Captive Portal Lösungen:
- mOnOwall kostenlos
- Eisfair kostenlos
- pfSense kostenlos
- Free Radius kostenlos
- MikroTik kostenpflichtig
- Handlink kostenpflichtig
- DD-WRT kostenpflichtig oder kostenlos je nach Router
Um das alles flott über die Bühne zu bringen und je nach dem wie groß die Anzahl der Benutzer nebst der Geräte
und der verwendeten Protokolle mitsamt allen Anwendungen, würde ich vorne am WAN die Firewall oder den Router
das Routing übernehmen lassen und den Layer3 Switch im LAN!
Viel Erfolg und Gruß
Dobby
P.S.
Hier im Forum sind auch zu all diesen Sachen sehr gut gelungene Anleitungen vorhanden unter der Verwendung von verschiedenen Systemen und verschiedener Hardware.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Routing mit 2 Netzwerkkarten unter Windows u. Linux
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
VLAN Routing über 802.1q Trunk auf MS und Linux Server o. PC und Intel NIC
(durch VLAN von den restlichen Netzen isoliert)
Man isoliert ja auch nichts und dann kann doch jeder wieder machen was er will und vor allem anderen wohin er will!Ich habe in unserer Firma ein offenes Gäste-WLAN eingerichtet
Na herzlichen Glückwunsch! Das sollte doch wohl eher mit einem Radius Server Abgesichert werden, oder meinst Du nicht auch?Ich habe nun folgendes Problem:
Das braucht nun keiner Erklärung mehr;- Ist Zustand bitte hier beschreiben: Anzahl PC, WSs, Server, WLAN APs, Switche (L2 & L3), Router oder Firewalls
WLAN Controller falls vorhanden,....
- Du brauchst WLAN APs die Mulkti SSID fähig sind und Switche die VLAN fähig sind evtl. je nach Lage auch Router und Firewall die VLAN fähig sind
- WLAN am Wochenende schließen und neu aufsetzen, aber bitte gesichert
- WLAN Struktur neu überprüfen und Sicherungsmaßnahmen auswählen!!
Cisco RV220W
Cisco SG300-28
CiscoSG300-28P
WLAN APs die VLAN Unterstützung und Multi SSID Funktion bieten
An jedem Switch drei VLANs anlegen
An jedem WLAN AP drei SSIDs anlegen
SSID1 extern1 (Gäste in der Firma z.B. Konferenzraum) Captive Portal gesichert Gruppe ext1
SSID2 extern2 (für die Mitarbeiter zum privaten Email abholen) Captive Portal Gruppe ext2
SSID3 intern1 (nur für Firmengeräte und eigene Mitarbeiter) Radius gesichert Gruppe int1
VLAN20 - SSID1
VLAN30 - SSID2
VLAN40 - SSID3
Jede SSID in ein eigenes VLAN packen (anlegen)
Jedes VLAN bekommt sein eigenes Subnetz und gut ist es
Dem int1 wird der Radius Server zugewiesen und dem ext1 und ext2 das Captive Portal!
Sollten über die WLAN APs Echtzeitanwendungen laufen wie z.B. Telefonate, Datenbankzugriffe
benötigt man außerdem od er besser in aller Regel nach einen echten WLAN Controller und nicht nur ein
Geräte zur WLAN Administration und die WLAN APs sollten fast roaming support auf Layer2 und Layer3 bieten!!!!!
WLAN management device = ein paar hundert Euro
WLAN Controller ein paar Euronen mehr!!
WLAN AP = Multi SSID, VLAN Fast Roaming L2 & L3
Radius Server und Captive Portal Lösungen:
- mOnOwall kostenlos
- Eisfair kostenlos
- pfSense kostenlos
- Free Radius kostenlos
- MikroTik kostenpflichtig
- Handlink kostenpflichtig
- DD-WRT kostenpflichtig oder kostenlos je nach Router
Um das alles flott über die Bühne zu bringen und je nach dem wie groß die Anzahl der Benutzer nebst der Geräte
und der verwendeten Protokolle mitsamt allen Anwendungen, würde ich vorne am WAN die Firewall oder den Router
das Routing übernehmen lassen und den Layer3 Switch im LAN!
Viel Erfolg und Gruß
Dobby
P.S.
Hier im Forum sind auch zu all diesen Sachen sehr gut gelungene Anleitungen vorhanden unter der Verwendung von verschiedenen Systemen und verschiedener Hardware.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Routing mit 2 Netzwerkkarten unter Windows u. Linux
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
VLAN Routing über 802.1q Trunk auf MS und Linux Server o. PC und Intel NIC
Um deinen Frage einfacher zu beantworten solltest du ein paar mehr Fakten liefern:
Zu 1.) Wenn es IPsec ist kann das nicht ohne weiteres über NAT (Adress Translation) Router übertragen werden wenn kein NAT Traversal aktiviert ist.
Ggf. filterst du Traffic im Gast WLAN oder der Hotspot für die Gäste ?!
Wenn der VPN Endpoint eine Adresse im lokalen LAN ist ist es möglich das du ein NAT_Hairpin_Problem hast das dein (Billig)Router vermutlich kein NAT Hairpinning supportet und es deshalb nicht klappt.
Leider teilst du uns diese wichtigen Netzwerk Facts nicht mit so das ein Hilfestellung leider in Raterei enden muss
Letzeres ist aber das wahrscheinlichste Problem...vermutlich (geraten).
- WELCHES VPN Protokoll benutzt du ??
- Ist der Internet Router der gleiche der auch das interne Netz bedient ?
Zu 1.) Wenn es IPsec ist kann das nicht ohne weiteres über NAT (Adress Translation) Router übertragen werden wenn kein NAT Traversal aktiviert ist.
Ggf. filterst du Traffic im Gast WLAN oder der Hotspot für die Gäste ?!
Wenn der VPN Endpoint eine Adresse im lokalen LAN ist ist es möglich das du ein NAT_Hairpin_Problem hast das dein (Billig)Router vermutlich kein NAT Hairpinning supportet und es deshalb nicht klappt.
Leider teilst du uns diese wichtigen Netzwerk Facts nicht mit so das ein Hilfestellung leider in Raterei enden muss
Letzeres ist aber das wahrscheinlichste Problem...vermutlich (geraten).
