4
WLAn Zugangskontrolle
Benutzergesteuerte Zugangskontrolle
Hallo an alle,
ich habe ein Netzwerk (256 Adressen). Dieses Netzwerk besteht aus einem normalen Lan und einem WLAN (drei Accesspoints).
Derzeit meldet sich ein Notebook im Wlan an (WPA/AES) gesichert, bekommt eine dynamische IP zugewiesen und kann das Netzwerk nutzen. Alle anderen PCs sind mit der Macadresse fest im DHCP eingetragen.
Ich hätte gerne folgendes Szenario.
Ein Server (zb Server1) hat eine Software laufen.
Der DHCP Server (zB Server2) verwaltet zwei Adressbereiche (zB Bereich 192.168.0.x und 192.168.1.x).
Alle Clients welche fest mit der MAC Adresse eingetragen sind bekommen die ihnen festzugewiesene Ip aus Bereich 192.168.0.x.
Alle anderen bekommen eine IP-Adresse aus dem Netz 192.168.1.x dynamsich zugewiesen (Gateway wäre hier Server1)
Server1 hat nun die aufgabe eine defaultwebsite anzuzeigen. dort muss ich mich mit einem benutzernamen und einem passwort anmelden. Melde ich mich korrekt an, werde ich in das netz 192.168.0.x geroutet und kann das internet nutzen. Schlägt die authentifizierung fehl, so werde ich nirgendwohin geroutet und kann mit dem wlan nichts anfangen oder nur auf den Gateway in 192.168.0.x geroutet um das Internet nutzen zu können.
Ist soetwas Softwarebasiert möglich? Kennt jemand solch eine Software (am allerliebsten natürlich Freeware)? Bei den Servern handelt es sich um Win2k3R2 Server, die Aps sind herkömmliche APs (WRT).
Liebe Grüße,
V..
ich habe ein Netzwerk (256 Adressen). Dieses Netzwerk besteht aus einem normalen Lan und einem WLAN (drei Accesspoints).
Derzeit meldet sich ein Notebook im Wlan an (WPA/AES) gesichert, bekommt eine dynamische IP zugewiesen und kann das Netzwerk nutzen. Alle anderen PCs sind mit der Macadresse fest im DHCP eingetragen.
Ich hätte gerne folgendes Szenario.
Ein Server (zb Server1) hat eine Software laufen.
Der DHCP Server (zB Server2) verwaltet zwei Adressbereiche (zB Bereich 192.168.0.x und 192.168.1.x).
Alle Clients welche fest mit der MAC Adresse eingetragen sind bekommen die ihnen festzugewiesene Ip aus Bereich 192.168.0.x.
Alle anderen bekommen eine IP-Adresse aus dem Netz 192.168.1.x dynamsich zugewiesen (Gateway wäre hier Server1)
Server1 hat nun die aufgabe eine defaultwebsite anzuzeigen. dort muss ich mich mit einem benutzernamen und einem passwort anmelden. Melde ich mich korrekt an, werde ich in das netz 192.168.0.x geroutet und kann das internet nutzen. Schlägt die authentifizierung fehl, so werde ich nirgendwohin geroutet und kann mit dem wlan nichts anfangen oder nur auf den Gateway in 192.168.0.x geroutet um das Internet nutzen zu können.
Ist soetwas Softwarebasiert möglich? Kennt jemand solch eine Software (am allerliebsten natürlich Freeware)? Bei den Servern handelt es sich um Win2k3R2 Server, die Aps sind herkömmliche APs (WRT).
Liebe Grüße,
V..
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103409
Url: https://administrator.de/contentid/103409
Printed on: April 24, 2024 at 07:04 o'clock
4 Comments
Latest comment
da gibts hier im forum eine super anleitung:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mmh, eigentlich eine ganz nette Idee, doch leider bei mir nicht realisierbar. Leider kann ich keine physikalisch getrennten Netzwerke aufbauen und auch die Integration von VLans ist auf Grund der gegebenen Hardware nicht möglich. In unserem Netzwerk befinden sich mehrere Gebäude, welche teilweise mit nur einem einizigen Kabel angebunden sind.
Leider eine total veraltete Infrastruktur, welche nicht aktualisiert werden darf/soll (bitte frag nicht warum, dafür sind leider andere verantwortlich..) und da muss nun ein WLan rein, welches wie oben (oder ähnlich) beschrieben "gesichert" ist.
Grüße, V...
Leider eine total veraltete Infrastruktur, welche nicht aktualisiert werden darf/soll (bitte frag nicht warum, dafür sind leider andere verantwortlich..) und da muss nun ein WLan rein, welches wie oben (oder ähnlich) beschrieben "gesichert" ist.
Grüße, V...
Das ist ja gerade der tiefere Sinn von VLANs unterschedliche Netzsegmente nur über ein einziges Kabel zu bringen.... !!
So oder so...ohne diese Strukturierung hast du keine Chance, denn du kannst niemals in einem IP Segment mit unterschiedlichen IP Netzwerkadressen arbeiten. Sollte dir als Netzwerker eigentlich klar sein... ?! Denn das würde immer ein Routing erzwingen.
So wie du es vorhast bzw. oben beschrieben hast du keine Chance und kannst es gleich vergessen....
Es gibt aber trotzdem eine Lösung die vermutlich akzeptabel ist bei deinen Rahmenbedingungen:
Die o.a. Captive Portal Lösung bietet die Möglichkeit IP Adressen oder Mac Adressen über eine Ausnahmeliste am Captive Portal "vorbeizuschleusen" ihnen also die Authentifizierung zu ersparen.
Letztlich ist es genau das was du willst und so ist die o.a. Lösung dann wieder der Schlüssel zu einem solchen WLAN wie du es haben willst !!!
Die dazugehörige Doku findest du hier:
http://doc.m0n0.ch/handbook/captiveportal.html#id11638208
Pass Through Mac und Allowed IP. Du kannst also nach beidem filtern und bestimmte IPs oder Macs so durchlassen !
So oder so...ohne diese Strukturierung hast du keine Chance, denn du kannst niemals in einem IP Segment mit unterschiedlichen IP Netzwerkadressen arbeiten. Sollte dir als Netzwerker eigentlich klar sein... ?! Denn das würde immer ein Routing erzwingen.
So wie du es vorhast bzw. oben beschrieben hast du keine Chance und kannst es gleich vergessen....
Es gibt aber trotzdem eine Lösung die vermutlich akzeptabel ist bei deinen Rahmenbedingungen:
Die o.a. Captive Portal Lösung bietet die Möglichkeit IP Adressen oder Mac Adressen über eine Ausnahmeliste am Captive Portal "vorbeizuschleusen" ihnen also die Authentifizierung zu ersparen.
Letztlich ist es genau das was du willst und so ist die o.a. Lösung dann wieder der Schlüssel zu einem solchen WLAN wie du es haben willst !!!
Die dazugehörige Doku findest du hier:
http://doc.m0n0.ch/handbook/captiveportal.html#id11638208
Pass Through Mac und Allowed IP. Du kannst also nach beidem filtern und bestimmte IPs oder Macs so durchlassen !
Hallo und erstmal ein großes Dankeschön an alle die geantwortet haben.
Leider musste ich in unserem Netz viel umbauen, habe nun aber die Monowall in Betrieb und muss sagen das ich begeistert bin.
Firewall/Routingfunktion, Webseite zur Authentifikation der Clients + abgleich mit dem Radiusserver und vieles mehr. Eine echt Schucke Lösung. Vielen Dank soweit.
LG, V..
Leider musste ich in unserem Netz viel umbauen, habe nun aber die Monowall in Betrieb und muss sagen das ich begeistert bin.
Firewall/Routingfunktion, Webseite zur Authentifikation der Clients + abgleich mit dem Radiusserver und vieles mehr. Eine echt Schucke Lösung. Vielen Dank soweit.
LG, V..
