Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes

Frage Netzwerke

Mitglied: Sarah1990

Sarah1990 (Level 1) - Jetzt verbinden

21.01.2015, aktualisiert 26.01.2015, 2778 Aufrufe, 15 Kommentare, 6 Danke

Hallo liebe Administratoren,

ich habe ein Problem das ich zwar lösen könnte, aber nicht ohne größere Sicherheitsmängel. Ich habe leider kein passendes Szenario hier im Forum gefunden.
Folgende Situation ist aktuell gegeben:

e45aa13666470261d2b09e76a8645eb5 - Klicke auf das Bild, um es zu vergrößern

An einem WLAN Router (mit Internetanschluss) ist ein Datenserver (Daten unserer Tanzgruppe) eine Workstation per Kabel und zusätzlich ist an dem Router WLAN aktiviert und über dieses ist ein Laptop und diverse mobile Geräte angebunden. Der Router hat die IP-Adresse 192.168.2.1 (Subnetz 255.255.255.0), die Clients sind entsprechend per DHCP angebunden.

Folgendes soll neu hinzu kommen:

Es soll ein weiterer WLAN-AP zugefügt werden, der unseren Internetanschluss mit nutzen darf.
Aber mit der Vorraussetzung das es ausgeschlossen ist, dass auf unser bestehendes Netzwerk (Fileserver) zugegriffen werden kann, sollte jemand das neue WLAN Netzwerk hacken.

*Man könnte zwar den neuen WLAN-AP per Kabel an das bestehende anschließen, neues Subnetz und IPs vergeben. Aber trotzdem kommme ich über den neuen AP auf das bestehende Netzwerk.
Hättet Ihr vielleicht einen Tip für mich?

Vielen Dank im Voraus.

Liebe Grüße
Sarah


Edit: (26.01.)

b882b53368cf91bc3955dd5338f33187 - Klicke auf das Bild, um es zu vergrößern
Mitglied: user217
21.01.2015 um 09:52 Uhr
was du suchst ist ein Captive Portal, wenn du dannach suchst wirst du viele Lösungen finden. Die einfachst wäre den Gastzugang auf der Fritzbox zu aktivieren..
Bitte warten ..
Mitglied: Sarah1990
21.01.2015 um 10:05 Uhr
Hallo user217,

vielen Dank für die Info. Siehe da, jetzt finde ich einige Threads zu dem Thema

Ich lese mich jetzt mal ein.

LG

Sarah
Bitte warten ..
Mitglied: aqui
21.01.2015, aktualisiert um 10:14 Uhr
Besorg dir eine kleine Firewall wie z.B. diese hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
und schalte die zwischen Router und dem Gast der euren Internet Anschluss mitbenutzen darf oder soll. Die FW hat 3 LAN Ports.
Das ist von allen Dingen die wasserdichteste !
Vergiss Lösungen mit sog. integrierten "Gastnetzen" an Routern, das ist nur Makulatur und kann man in Sekundenschnelle überwinden. Nur die Firewall schützt eure Daten zuverlässig.
Wenn du es ganz toll machen willst nutzt du die in der o.a. Firewall integrierte Hotspot / Captive Portal Lösung für Gäste mit zeitlich limitierten Einmalpasswörtern.
Das sichert dich auch rechtlich ab wenn der gast mal Unsinn macht.
In D gilt die Störerhaftung und wenn dein Gast Straftaten usw. begeht über den Anschluss haftest DU als Anschlussinhaber !! Vergiss das nicht.
Mit der CP Lösung hast du immer ein User Tracking und kannst dich rechtlich absichern.
Wie man diese Lösung schnell und preiswert umsetzt erklärt dir dieses Forumstutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: Sarah1990
21.01.2015 um 15:48 Uhr
Hallo aqui,
vielen Dank für die Unterstüzung

Ich habe mir einen groben Überblick anhand deine beiden Umfangreichen Anleitungen zu dem Thema gemacht.
Ich werde uns erst einmal das günstige Bundle bei Amazon bestellen...

http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK/ ...

Und wenn es da ist versuche ich es mit Hilfe deiner Anleitung zum Laufen zu bekommen ;)

Vielen Dank

Liebe Grüße
Sarah
Bitte warten ..
Mitglied: aqui
21.01.2015 um 18:19 Uhr
Das wird klappen..keine Sorge
Wenn nicht dann weisst du ja wo du deine Frage posten musst !!!
Bitte warten ..
Mitglied: Hellione
21.01.2015 um 22:40 Uhr
Günstige Alternative ohne Protokollierung wer was wo wann macht:

Ein kleiner 5 Port Layer 2 Switch für ca 30 Euro.
Port Based Vlan einschalten,
z.B. Port 1 Router dran, Port 2 neuer AP, Port 3-5 der interne Rest
vlan1 = Port 1+2 (ap darf auf router und umgekehrt)
vlan2 = Port 1+3+4+5
Bitte warten ..
Mitglied: aqui
21.01.2015 um 23:14 Uhr
So so...und wie schliesst du dann auf den User zurück und was der gemacht hat ?? Das ist technischer Unsinn was du da vorschlägst und wenig hilfreich, sorry !
  • Keinerlei User Identifizierung die rechtssicher ist
  • Keinerlei Absicherung des Gast APs oder Gastzugangs
  • Rudimentäre bis keine Beschreibung wie die Isolation der VLANs passieren soll
  • Keinerlei Captive Portal oder sonstige WLAN Absicherung. Du willst dann wohl jedem Gast immer und immer wieder neu ein WLAN Passwort verraten oder gleich mit auf die Kurkarte drucken, damit nach 3 Wochen die ganze Stadt das Passwort kennt, oder wie ?
Fazit: Oberflächlicher, wenig hilfreicher Vorschlag der eher sinnfrei ist. Das wird dem TO eher verwirren als sinnvoll weiterhelfen.
Wie man es richtig macht mit einem Multi SSID AP, einem VLAN Switch und einer Firewall behandelt unter anderem ein ausführliches Tutorial hier im Forum:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Kapitel = Praxisbeispiel
Bei den Minimalanforderungen des TO ist das aber Overkill und solchen Aufwand muss er / sie erstmal nicht betreiben im ersten Schritt.
Bitte warten ..
Mitglied: Sarah1990
26.01.2015, aktualisiert um 23:43 Uhr
Hallo aqui,

seit Samstag haben wir die Hardware und ich bin seitdem (vor allem bei den Firewall-Regeln) am verzweifeln. Deine Beiträge habe ich mehrmals durchgelesen, und ich stecke trotzdem in einer Sackgasse Google mag mir auch nicht wirklich helfen, so dass ich es verstehe.

Am Ende der Eingangsfrage habe ich unseren aktuellen Aufbau eingefügt. (Auf dem ALIX läuft mOnOwall)

  • Unser Privates Netzwerk (Inkl Server) hängen an dem DSL-Router (192.168.188.1/24)
  • Dieser ist momentan verbunden mit dem WAN Port des ALIX. (DHCP aktiv)
  • Der WLAN-AP für das "Gastnetz" hängt am LAN Port des ALIX (192.168.1.1/24)
  • Captive Portal ist am LAN Port aktiv und funktioniert auch (Einloggen => Internet)

Nur bekomme ich es nicht hin, dass das Gastnetzwerk keinen Zugriff auf unser Netzwerk hat.

Mir stellt sich auch die Frage, ob ich das Gastnetz an den OPT1 Port hängen soll? (Habe ich versucht, bekomme das aber nicht zum Laufen)

Ich bin auch am überlegen ob das ganze überhaupt so funktioniert wie ich mir das vorstelle. Denn ich müsste ja eine Regel am LAN-Port anlegen, die den Zugriff auf den DSL-Router verbietet. Aber über diesen wird ja die Internetverbindung realisiert!?!

Ich wäre dankbar für den ein oder anderen Tip, damit ich wieder etwas voran komme

Vielen Dank

LG

Sarah
Bitte warten ..
Mitglied: aqui
27.01.2015, aktualisiert um 18:20 Uhr
Hallo Sarah !
Zuallererstmal hast du einen schlimmen Netzwerk Design Fehler gemacht der die Ursache aller deiner Probleme ist !!
So darfst du das Szenario NIEMALS aufbauen, denn der Gastnetz Traffic fliesst ja so immer durch dein privates Netzwerk und du hast so keinerlei Chance das zu verhindern !!!
Deshalb greifen auch alle deine Bemühungen mit den Regeln niemals !
Das ist ja genau der Grund warum das ALX Board DREI Port shat denn nur damit lassen sich wasserdichte und gescihterte Netze mit einer FW betreiben !
Fazit: So kann das nie klappen !!

Aber nicht verzweifeln, du hast nur ein falsches Design verwendet und das ALIX Board hat 3 Ports um das in Sekundenschnelle zu fixen !
Du darfst halt nur dein privates Netz NIEMALS als Transfernetz zum Router benutzen !!!
Das darf NUR lediglich eine simple Verbindungsstrippe sein die direkt zum Router geht und KEIN aktives Netz mit Endgeräten darf daran hängen !
Das passende 3 Port Design dazu sieht immer so aus:

c9817421dc15a0b4c5498ddbcbd98588 - Klicke auf das Bild, um es zu vergrößern

So gehst du vor:
  • LAN Port des Internet Routers DIREKT mit dem WAN Port der FW verbinden ! Hier dürfen KEINE Netze oder Endgeräte angeschlossen sein !
  • Dein privates Netzwerk hängst du an den per Default eingerichteten LAN Port ! Dort ist auch DHCP usw. aktiv und du solltest dort sofort wieder Internet Zugriff für alle privaten Endgeräte haben !
  • Für das Gastnetz aktivierst du jetzt den 3ten Port auf dem ALIX Board !! Das geht unter Interfaces --> Assign und dort klickst du auf + Dann erscheint ein OPT1 Netz das du wenn du magst in Gast umbenennen kannst.
  • Hier aktivierst du das Interface (enable) und konfigurierst eine statische IP Adresse z.B. 172.16.1.1 mit einer 24 Bit Maske 255.255.255.0 (Ist leider i.d. Zeichnung oben genau umgedreht )
  • Damit ist das Interface für die Gäste an der FW aktiv aber Achtung ! Wie üblich bei einer Firewall ist an jedem neuen Port ALLES verboten, also kommt erstmal von den Gästen keiner raus. Außerdem bekommen die am 3ten Port noch keinen IP Adressen da dort noch kein DHCP Server aktiv ist. Aber keine Angst das kommt jetzt...
  • Erstmal den DHCP aktivieren unter Services DHCP Server. Im Karteireiter klickst du auf das Interface für das der DHCP aktiv sein soll also OPT1 oder Gast wenn du es so genannt hast. Dann trägst du dort eine Range ein z.B. 172.16.1.100 bis 172.16.1.150 und lässt den rest auf Default. Wenn du nun einen PC am Gastport anschliesst solltest du eine entsprechende IP von der FW bekommen (Check mit ipconfig !) kommst aber noch nicht raus weil die Regeln fehlen. Die kommen jetzt....
  • Die Regeln sind Reihenfolge abhängig ! Zuallererst kommt also die Verbotsregel ins private LAN für die Gäste am OPT1 (Gast) Interface mit: deny Source: OPT1 network, Port: any -> Destination: LAN network, Port any
  • Damit kommen keine Gäste mehr in dein privates Netz !
Jetzt hast du 2 Optionen:
1.) Den Gästen ohne Restriktion alles erlauben. Das geht mit der Regel: Pass, Source: OPT1 network, Port: any, Destination: any, Port: any
Jetzt kommen die Gäste ins Internet ohne jegliche Restriktion aber nicht auf dein privates Netz !
2.) Den Gästen nur bestimmte Dienste wie Surfen erlauben. Das geht mit einem restriktiven Regelwerk indem du nur das erlaubst was du willst. Sog. Whitelist.
Fürs nur Surfen sind das dann z.B. 2 Regeln:
DNS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP und UDP 53 (DNS)
HTTP erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 80 (HTTP)
HTTPS erlauben: Pass, Source: OPT1 network, Port: any, Destination: any, Port: TCP 443 (HTTPS)
Nun können Gäste nur surfen aber kein emailen usw.
Sollen sie das auch oder andere Dienste noch zusätzlich können musst du die entsprechenden TCP oder UDP Ports dieser Dienste zusätzlich sukkzessive öffnen.
Was du hier deinen Gästen erlauben willst ist dann rein von dir abhängig.

Also kurz umbauen und alles wird gut !
Bitte warten ..
Mitglied: Sarah1990
27.01.2015 um 18:16 Uhr

Ojeh, das habe ich völlig falsch verstanden.
Danke für deine Mühen.

Ich setze mich heute Abend noch einmal auf meinen Hintern und berichte

Bis später

LG
Sarah
Bitte warten ..
Mitglied: aqui
27.01.2015 um 18:18 Uhr
Wir sind gespannt....
Bitte warten ..
Mitglied: Sarah1990
27.01.2015, aktualisiert um 22:11 Uhr
Hallo aqui,

deine letze Anleitung war "Idiotinnensicher".
Blond halt...

Es funktioniert soweit alles prima, aktuell mit deinen Firewall-Regeln "Option 1" (ohne Einschränkungen).

Was wir natürlich nicht wollen, der Gast soll ja schließlich keinen "Unfug" mit unserem Anschluss veranstalten können. Da werde ich die nächsten Tage noch mit "spielen" und berichte wieder

Vielen Vielen Dank noch einmal. Bis die Tage

LG
Sarah
Bitte warten ..
Mitglied: aqui
28.01.2015, aktualisiert um 12:00 Uhr
deine letze Anleitung war "Idiotinnensicher". Blond halt...
Na komm...nun mach dich mal nicht kleiner als du bist !! Ist schon klasse das du das aufsetzt und auch so aus dem Stand zum Fliegen bringst das allein verdient schon Respekt !!
Klasse wenn nun alles so rennt wie es soll....

Als kleines Beispiel zur Hilfe siehst du hier mal ein Regelwerk für ein Gast WLAN was nur
  • Browsen, HTTP
  • FTP (File Transfer)
  • Email
  • iPhone Dienste
erlaubt !
Was Gäste sonst noch so versuchen (aber nicht dürfen, weil du sie nicht lässt) kannst du dann immer schön in den Firewall Logs sehen ! Dort wird alles angezeigt was die Firewall blockiert auf dem Gastnetz da hat man dann eine schöne Kontrolle.
Die Portalseite (TCP 8000) brauchst du da nur wenn dort ein Captive_Portal für die Gäste auf der FW rennt um das Feature mit den Einmalpasswörtern für Gäste nutzen zu können.

c36003f48efa3e942d93325a1b237d31 - Klicke auf das Bild, um es zu vergrößern

Das erfordert aber das du statt Monowall dann pfSense auf den ALIX flashst.
Die pfSense ist etwas "schicker" was ja gerade den "WAF" (Women Acceptance Factor) erhöht. Für dich also ein wichtiger Punkt
Die pfSense bietet auch ein paar mehr Funktionen...
Bitte warten ..
Mitglied: Sarah1990
31.01.2015 um 10:40 Uhr
Hallo aqui,

das Alix Board ist jetzt fertig und läuft aktuell mir der Monowall und der Konfiguration von deinem letzten Beitrag

Das "flashen" des Boards mit der pfSense habe ich erst einmal sein lassen, ich war froh als ich die Monowal auf der Karte hatte. (Wie andere in dem Forum auch, hatte ich Probleme mit der 4GB Karte)

Aber ich finde das Thema sehr interessant und werde noch eine weitere Speicherkarte kaufen um diese dann mit der pfSense zu testen.

Meine Frage hier habe ich erst einmal als "gelöst" markiert.

Ich werde aber sicherlich noch einmal auf euch zurück kommen wenns es an die pfSense geht.

Vielen Vielen Dank, dir hätte ich das niemals hin bekommen.

LG
Sarah
Bitte warten ..
Mitglied: aqui
31.01.2015 um 11:06 Uhr
hatte ich Probleme mit der 4GB Karte
Sollte aber nicht der Fall sein. Ansonsten alternativ statt physdiskwrite immer den Win32 Disk Imager verwenden:
http://sourceforge.net/projects/win32diskimager/
oder auch das Windows Image Tool
http://www.alexpage.de/usb-image-tool/download/
Damit klappt es unter Windows eigentlich immer fehlerfrei mit der pfSense.
Die pfSense hat mehr Features, bessere Update Policy und ein etwas besseres GUI. Aber die Monowall kann die Grundfunktionen natürlich auch problemlos...keine Frage.
Aber wie du selber sagst: Besorg dir für ein paar Euro einfach ne neue Flash Card und probier beide Versionen aus....

Dann viel Erfolg mit der neuen Firewall !!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Finde keine Geräte im Netzwerk über WLAN (5)

Frage von mixmastertobsi zum Thema Windows 10 ...

LAN, WAN, Wireless
Wie pfSense als CaptivePortal am besten in bestehendes Netzwerk einbinden? (9)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst WLAN AP einrichten aber ohne zweites Netzwerk (7)

Frage von NetNewbie zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN-Ortung ohne Anmeldung am WLAN-Netzwerk? (13)

Frage von daniel2104 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...