Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hotspot im DMZ mit Übergang zum anderen Lan - wie?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: sleeplessnight

sleeplessnight (Level 1) - Jetzt verbinden

03.01.2014, aktualisiert 06.01.2014, 2807 Aufrufe, 19 Kommentare, 8 Danke

Hi

mein Ziel ist es, das ich ein CP (Capitve Portal) einrichte, was selbst im DMZ sitzt. Gibt der User nun über seine Voucher ID den richtigen Mist ein, so sollte er selbstständig in das zweite WLAN Netzwerk "geswitcht" werden.
Grund dafür ist, das ein CP eigentlich recht unsicher ist. Mir gefällt es schon mal grundsätzlich nicht, das der Gast gleich im eigentlichen Gästenetz sitzt und quasi nur über eine Seite gesperrt wird. (wie in eurem Tutorial beschrieben)
Eurer Tutorial zu dem einrichten eines CP habe ich mir schon angeschaut und die notwendige Hardware wird bestellt, sobald ihr meint, dies sei notwenig (pfSense). Allerdings weiß ich nicht genau, wie man mein Vorhaben umsetzen kann.
Wie gesagt, derjenige, der aufs CP zugreift, soll sich eigens im DMZ befinden (einer Sandbox etc.) und erst anschließend in dem eigentlichen Gast-Wlan rumspielen. Aus der CP-DMZ heraus soll auch absolut kein Zugriff ins LAN/Internet etc. erfolgen.
Ich möchte eine "Sandbox" für den Fall des knackens des Hotspot's haben.

Geht sowas überhaupt? Oder ist das eher Wunschdenken.. ? :D
Oder geht das erst ab 1000€ aufwärts? :D

Hab dazu einmal eine Zeichnung. Ist zwar lückenhaft oder vielleicht auch überdemsoniert (1 Router zuviel), aber hat den Grund, das pfSense sicher bekannte Exploids hat, die bei dem Cisco nicht exestieren (können)... und anders herum genauso...
9fe2301571db928a59039e08dce42855 - Klicke auf das Bild, um es zu vergrößern
gruß
Mitglied: tikayevent
03.01.2014, aktualisiert um 14:00 Uhr
Eine Sandbox-Lösung ist eher sinnlos, denn sobald das Captive Portal geknackt ist, egal ob es in einer Sandbox sitzt oder nicht, muss ja dem Router vor Ort mitteilen, dass der WLAN-User ins Netz darf. Sobald ich also dem Captive Portal irgendwie klarmachen kann, dass ich authentifiziert bin, egal ob legitim oder nicht, bekomm ich Zugang.

Bei allen Captive Portal-Systemen läuft die die Sache auf dem Router, der die Verbindung zum Internet herstellt, ansonsten könnte man wirklich Umwege finden. Selbst die Telekom lässt es so laufen. Nur dass die Benutzer nicht lokal auf dem Hotspot-Gateway liegen sondern in einem RADIUS-Server.

Wenn du grundsätzlich sichergehen willst, leg dir einen zweiten Internetanschluss zu und trenne Hotspot von internem Netz, dann kann es keinen Übersprung geben. Desweiteren musst du dafür sorgen, dass die Anmeldung per HTTPS abläuft, damit keiner die Zugangsdaten mitsniffen kann.
Bitte warten ..
Mitglied: MrNetman
03.01.2014 um 14:19 Uhr
Prinzipiell ist so etwas möglich.
Die Switche können mittels VLANs die Benutzer ja beliebig umschwenken.
Der Start passiert in einem no-go VLAN.
Nach erfolgreicher Authorisierung geht es ins GAST-WLAN und Gast-VLAN und von dort ins Internet.

Solche Dinge kann man mittels SNMP realisieren. Switch-Skripte wären auch denkbar.
Wenn man den User nicht vorher identifizieren oder mit einer Datenbank vergleichen muss, dann ist das relativ einfach realisierbar. Fertige Lösungen gibt es, wobei fertig das Konzept und die Technik meinen. Implementierung und Automatisierung sind weitere Kostenfaktoren.

Gruß
Netman
Bitte warten ..
Mitglied: tikayevent
03.01.2014 um 14:33 Uhr
Bei 802.1X kann man sowas machen, bloß die Authentifizierung bei einem Captive Portal läuft ja über die Firewall, da klappt ein VLAN-Wechsel nicht.

Bedenke noch folgende Sachen:
Da es sich um ein WLAN handelt, muss der Schwenk am AP und nicht am Switch passieren, dazu benötigst du einen AP, der sowas kann. Wenn du das ganze per Switch realisierst, müsstest du für jeden eingeloggten Client einen eigenen AP oder zumindest eine eigene SSID haben, die auf einem eigenen Hardwareport aus dem AP herauskommt. Da APs maximal 16 SSIDs können, benötigst du einen AP mit 16 Ports.
Wie verfolgst du, welcher Client wo ist? Sobald der Client den AP wechselt, fliegt er aus dem Netz, also kein Roaming möglich, das Netz ist in der Größe auf einen AP beschränkt.
Der AP wechselt jetzt das VLAN, wie machst du das mit der IP-Adressierung? Es wird kein DHCP-Renew angesteuert, wenn im Hintergrund das VLAN gewechselt wird, das funktioniert nur bei 802.1X, weil der Client mitbekommt, dass sich was ändert.
Wie regelst du das mit einem Timeout, also einem Autologout bei Inaktivität? Irgendwie muss ja eine Information weitergegeben werden, dass der Client nicht mehr aktiv ist oder sich getrennt hat, die bekannten Captive-Portal-Lösungen machen das ja anhand eines Accountings mit IP-Adresse, MAC-Vergleich und evtl. anderen Merkmalen.
Bitte warten ..
Mitglied: sleeplessnight
03.01.2014 um 17:15 Uhr
Zitat von tikayevent:

Eine Sandbox-Lösung ist eher sinnlos, denn sobald das Captive Portal geknackt ist, egal ob es in einer Sandbox sitzt oder
nicht, muss ja dem Router vor Ort mitteilen, dass der WLAN-User ins Netz darf. Sobald ich also dem Captive Portal irgendwie
klarmachen kann, dass ich authentifiziert bin, egal ob legitim oder nicht, bekomm ich Zugang.

Irgendwie seh ich, das mein Vorhaben zwar nicht schlecht ist, aber du 100Pro recht hast
Dementsprechend ist's ja wurscht, wie ich's mach, wer rein will kommt rein...

Ich will's halt nur vermeiden, das selbst nen dummes Skriptkiddie es schafft, sich Zugang zu meinem Netz zu verschaffen.. Quasi per "one-Click"-Apps...


Bei allen Captive Portal-Systemen läuft die die Sache auf dem Router, der die Verbindung zum Internet herstellt, ansonsten
könnte man wirklich Umwege finden. Selbst die Telekom lässt es so laufen. Nur dass die Benutzer nicht lokal auf dem
Hotspot-Gateway liegen sondern in einem RADIUS-Server.

Wenn du grundsätzlich sichergehen willst, leg dir einen zweiten Internetanschluss zu und trenne Hotspot von internem Netz,
dann kann es keinen Übersprung geben. Desweiteren musst du dafür sorgen, dass die Anmeldung per HTTPS abläuft,
damit keiner die Zugangsdaten mitsniffen kann.
Nen zweiten Anschluss wäre machbar, aber soviel (laufende) Kosten ist's mir auch wieder net Wert. Hab ja keine Pentagon-Akten zu schützen...
Zumal ich auch nicht's gewonnen hätte, weil der Anschluss auf meinem Namen läuft. Baut der also auf der 2.ten Leitung in der USA mist, steh trotzdem ich gerade dafür ;)

Ich würd ansonsten beim dem Cisco DMZ ein Privat-Wlan draus machen
und bei dem PFsense das Gast-Zeugs.
Damit wird's jedenfalls schon mal für den halbstarken unmöglich, vom gast-gedöns ins Privat zu kommen.
Was halt auf der Strecke bleibt ist die Internetseite.
Oder gibt's noch ne möglichkeit, das etwas weiter abzuschotten?

Wie gesagt, mir geht's dabei nicht um die Profis. Wer rein will, kommt rein. Mir geht's nur um die gelegenheits vögel. die will ich ausgrenzen.

danke euch
Bitte warten ..
Mitglied: tikayevent
03.01.2014 um 17:27 Uhr
Und noch ein kleiner Hinweis am Rand:

Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen kann es auch sein, dass nie wieder ein Update kommt.
Bei pfSense kann man im Notfall noch selbst tätig werden, die Quelltexte sind ja frei verfügbar.
Bitte warten ..
Mitglied: aqui
03.01.2014, aktualisiert um 17:55 Uhr
Denn die kleinen Cisco Kisten sind ja jetzt Belkin wie jeder weiss (Linksys).
Du gehst auch auch von einen gehörigen Denkfehler aus ! Das Gästenetz ist nicht einfach nur so durch die CP Seite geschützt sondern zusätzlich noch durch ein stateful Firewall Regelset was im Gäste Segment ganz genau regelt was Gäste dürfen und was nicht.
Das Segment ist vollkommen getrennt von den anderen Segmenten und hat darauf auch keinen Zugang sofern du das nicht explizit erlaubst.
Wer rein will kommt rein ist auch Blödsinn jedenfalls wenn du mit Einmalpasswörtern arbeitest. Dann kommt nur rein wer auch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
OK wenn du das CP knackst dann ja aber dann musst du im Umkehrschluss auch Geldautomaten verbieten, denn wenn du die knackst...du siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Der Knackpunkt sind eher die schwachsinnigen DMZ in den Billigroutern die gar keine DMZ sind sondern nur eine dumme Port Forwarding Regel. Da solltest du also eher ansetzen....wenn dann !
Aber auch wenn du 2 Firewalls kaskadierst um eine "richtige" DMZ zu schaffen ist das doppelt gemoppelter Unsinn, denn dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Du kannst ja wenn du willst noch mit VLANs sprich VLAN Interfaces arbeiten um das WLAN auch noch vom Privaten zu trennen.
Aber alles eigentlich nur Overkill. Die Gelegenheitsvögel hast du schon durchs CP und den Einmal Passwort Zugang locker ausgegrenzt.
Wo ist also das wirkliche Problem hier...?! Bestell die HW, mach dein Ding und gut iss !
Bitte warten ..
Mitglied: sleeplessnight
03.01.2014, aktualisiert um 22:29 Uhr
Zitat von aqui:

Denn die kleinen Cisco Kisten sind ja jetzt Belkin wie jeder weiss (Linksys).
Denk ich net. Den Router gib's nirgendswo bei Linksys zu finden.
Deshalb hab ich schon extra nach den kleinsten Kisten großer Modellserien geschaut.
Für das Geld dieses Routers bekomm ich aber von anderen Herstellern das doppelte an Gegenwert, halt nur auf Mainstream-Basis und eher weniger auf korrekte IT..
Wer rein will kommt rein ist auch Blödsinn jedenfalls wenn du mit Einmalpasswörtern arbeitest. Dann kommt nur rein wer
auch von dir so einen Voucher bekommen hat und kein anderer. Wie kommst du auch solchen Mist ??
Schau mal dort unter dem Punkt "Einschränkungen": http://de.wikipedia.org/wiki/Captive_Portal
Wenn das schon dort (!!) steht, scheint's wohl alle mal kein "IT-Fachleut-geheimnis" mehr zu sein.
OK wenn du das CP knackst dann ja aber dann musst du im Umkehrschluss auch Geldautomaten verbieten, denn wenn du die knackst...du
siehst die etwas blödsinnige Argumentationskette sicher selber....?!
Schlechter Vergleich. Ich kenn welche, die sind schneller durch die Firewall als jemals einer an dem Inhalt eines Geldautomaten kommen wird. Die Zeiten mit dem Schneidbrenner sind mit den alten Hollywood-Streifen gestorben ;)
Aber auch wenn du 2 Firewalls kaskadierst um eine "richtige" DMZ zu schaffen ist das doppelt gemoppelter Unsinn, denn
dein CP ist ja so oder so schon in einer DMZ sprich einem abgetrennten eigenen LAN Segment auf der FW.
Anscheinend hast du noch nie was von Exploids gehört...

Sry, sehr hilfreich ist das nicht wirklich von dir. Ich werde auf diese Sache mit der Doppelten FW in Zukunft auch nicht mehr eingehen, sondern eher dem Beispiel meiner Firma folgen. Nicht umsonst ist dort der Astaro noch eine weitere vom anderen gleich großen Hersteller vorgeschaltet, wo wirklich Werte im Millionenbereich geschützt werden müssen.

Zitat von tikayevent:

Und noch ein kleiner Hinweis am Rand:

Bekannte Sicherheitslücken werden bei pfSense mit hoher Wahrscheinlichkeit schneller geschlossen als bei den kleinen
Cisco-Kisten. Wenn es ein richtiger Cisco wäre, wird es eine gewisse Zeit nach Vertriebsbeginn Support geben, bei den kleinen
kann es auch sein, dass nie wieder ein Update kommt.
Magst vielleicht recht haben. traurige Realität, jedoch wohl immer noch besser, als eine Fritzbox, Belkin, Linksys-gerät mit 100 Sharing-Diensten wie UpnP etc., die keine Sau braucht und nur die Hälfte an möglichkeiten einer vernüftigen Firewall mit sich trägt.
Bei pfSense kann man im Notfall noch selbst tätig werden, die Quelltexte sind ja frei verfügbar.
Frage an dich: Würdest du es machen?
Ich jedenfalls nicht, obendrauf hab ich mich vor 10 Jahren mal wenns hochkommt 10 std mit C++ beschäftigt. Auf deutsch: Ich kann gar nichts, was das Programmieren angeht und von daher bin ich auf andere angewiesen. Außerdem muss mir der Exploid erst mal selbst (!) auffallen...

Dennoch möchte ich noch auf die von aqui und dir erwähnte Sache eingehen und eine Frage stellen:
Der bei diesem Cisco Router existierende DMZ Port, ist das ein "echter" oder eher nur ein "dahin gepfuschter"?
zur info: er hat hinten 4 LAN Ports, 1 WAN und 1 WAN/DMZ Port.
Schaut euch die Kiste einmal an, bevor ich da mir schrott kaufen würde... :D

Und @ tikayevent, würde es also Sinn machen, die beiden aus deim Genannten Grund zu tauschen? PFsense fürs Privat und Cisco (klein) für das Gastgedöns?
Bitte warten ..
Mitglied: tikayevent
03.01.2014 um 22:50 Uhr
Ich würde die Sache mit der DMZ auf der Cisco-Kiste sein lassen, die scheint mir sehr komisch zu sein, ich habs mir gerade im Online Simulator der Kiste angeschaut, so ganz schlau werd ich daraus nicht.

Da du ja scheinbar am pfSense festhalten willst und für die Captive Portal-Sache eh drei Netzwerkschnittstellen brauchst (WAN, LAN, Captive Portal), würde ich das ganz einfach so regeln:

pfSense mit dem WAN direkt am Internet, am LAN hängt dann dein Cisco-Router und am Interface fürs Capitve Portal halt dein GästeWLAN. Damit würde ein Einbrecher den Cisco nur von außen sehen und müsste dann noch am Cisco vorbei.

Das mit dem "Exploit auffallen" kann sehr schnell passieren, zumindest bei Geschäftskunden. Wenn dann nämlich die E-Mail von abuse@provider.de kommt mit nem Satz Logfiles hinten dran.

Im Notfall selbst programmieren: ja! Wenns keine andere Möglichkeit gibt, muss ich das in Kauf nehmen. Bei uns gilt "Es muss laufen, egal wie". Das 99% der Sachen, die ich nutze, sind kommerzielle Produkte, weil einfach nicht die Zeit dafür da ist, bei den Sachen, wo kommerzielle Produkte zu teuer sind, muss dann Open Source herhalten und das Pflege ich dann auch irgendwie.

Aqui hat sich etwas unglücklich ausgedrückt. Linksys gehört jetzt zu Belkin, das ist richtig, der Router, den du da im Auge hast, stammt auch aus der Linksysschiene, aber von dem Teil, der bei Cisco geblieben ist, denn Cisco hat nur den Heimuserbereich an Belkin abgetreten. Sprich die Kiste, die du im Auge hast, hat eigentlich nur den Namen mit den professionellen Ciscogeräten gemeinsam, der Rest ist Linksys.
Bitte warten ..
Mitglied: sleeplessnight
04.01.2014 um 00:50 Uhr
Zitat von tikayevent:

Ich würde die Sache mit der DMZ auf der Cisco-Kiste sein lassen, die scheint mir sehr komisch zu sein, ich habs mir gerade im
Online Simulator der Kiste angeschaut, so ganz schlau werd ich daraus nicht.
was käme denn alternativ in frage?
Der Cisco ASA 5505 ist eher etwas dafür? (Obwohl ich glaube, für meine Anwendung leicht "zuviel" des guten. Und auch sicher net leicht einzustellen....)

Da du ja scheinbar am pfSense festhalten willst und für die Captive Portal-Sache eh drei Netzwerkschnittstellen brauchst
nein, das nicht. Aber bis jetzt neben einen 300 euro teuren Acesspoint von Cisco die billigste Variante mit einem Captive Portal.
Bin da offen für jede andere Lösung, die mir das gleiche (FW und CP mit DMZ) bietet.
Bitte warten ..
Mitglied: tikayevent
04.01.2014 um 12:02 Uhr
Warum willst du unbedingt an der DMZ festhalten? Betreibst du einen Server zuhause? Wenn ja, DMZ gut, ansonsten DMZ unnötig.

Eine DMZ ist dazu da, um Systeme, die von öffentlichen Netzwerken, also dem Internet erreichbar sein sollen, wie Webserver, Mailserver, ..., ohne das interne Netzwerk zu gefährden. Du willst zwei interne Netzwerke voneinander abtrennen, dafür braucht man keine DMZ.

Wichtig ist halt nur, dass man mittels Paketfilter (der gemeine Mensch sagt Firewall) beide Netze von einander trennt. In der Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.

Bei pfSense lässt sich diese Sache ganz einfach mit dem Paketfilter umsetzen. Das Captive Portal muss auf eine extra Schnittstelle, egal ob Hardware oder per VLAN, es darf nur nicht die LAN-Schnittstelle sein, dann im Paketfilter hinterlegen, dass der Zugriff vom Captive-Portal-Netz auf das LAN-Netz verboten, der Zugriff vom Captive-Portal-Netz aufs WAN erlaubt ist und schon ist Ruhe, kein Zugriff mehr aufs LAN möglich.

So, jetzt mal Klartext: Wenn du zuviele Bedenken gegenüber einem GästeWLAN mit Captive Portal hast, lass es sein. Eine Alternative wäre die Nutzung von 802.1X, bloß dann musst du jedem Benutzer erstmal ne Schulung verpassen.
Bitte warten ..
Mitglied: sleeplessnight
04.01.2014 um 17:53 Uhr
Zitat von tikayevent:

Warum willst du unbedingt an der DMZ festhalten? Betreibst du einen Server zuhause? Wenn ja, DMZ gut, ansonsten DMZ unnötig.
Ja, dort ist ein Server. Dieser muss allerdings nur zu Updatezwecken nach draußen telefonieren. Der zweite dagegen darf überhaupt kein Zugriff aufs Internet haben.
Und genau darauf soll halt der Gast nie nen Zugriff bekommen.

Eine DMZ ist dazu da, um Systeme, die von öffentlichen Netzwerken, also dem Internet erreichbar sein sollen, wie Webserver,
Mailserver, ..., ohne das interne Netzwerk zu gefährden. Du willst zwei interne Netzwerke voneinander abtrennen, dafür
braucht man keine DMZ.
Man kanns halt aber auch für andere Zwecke verwenden. Steht nirgendswo, das man es nicht dürfte ;)
Wichtig ist halt nur, dass man mittels Paketfilter (der gemeine Mensch sagt Firewall) beide Netze von einander trennt. In der
Firma geh ich sogar soweit, dass die beiden Netze für GästeWLAN und das interne Netz sich gar nicht kennen. Die laufen
zwar durch die gleiche Instanz der Firewall, aber es gibt kein Routing zwischeneinander.
Ja, nachdem ich über den Sinn des Knackens der CP aufgeklärt wurde, ist das nun auch mein Ziel, halt nur mit 2 unterschiedliche firewall.

Bleibt halt als letztes nur noch die Frage von einer Antwort vorher offen und ich bin glücklich
Welche zweite Firewall (die net open-Surce ist)?
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 04.01.2014, aktualisiert 06.01.2014
Welche zweite Firewall (die net open-Surce ist)?
Da bleibt nicht mehr viel übrig
Ich denke mal eher, du meinst ein kommerzielles "Blackbox"-Produkt. Viele nutzen halt OpenSource-Komponenten.

Da jetzt noch die Server dazugekommen sind, sind wieder ein paar Fragen aufgetaucht, die man vorher klären sollte. Denn im Originalbeitrag war von den Servern nämlich gar keine Rede und deine letzte Aussage ist auch stark interpretierbar.

Der erste Server, der "raustelefonieren" darf, wird der von außen erreichbar sein oder darf der einfach nur wie ein normaler Client auf das Internet zugreifen?
Der zweite Server, der "nicht raustelefonieren" darf, ist der einfach nur von außerhalb nicht erreichbar oder darf der keinen Internetzugang bekommen?

Für beide Zwecke braucht man ein System mit einem ordentlichen Paketfilter.

Ich kann leider die Cisco/Linksys-Kiste nicht brauchbar einschätzen, da dieser Webinterface-Simulator keine brauchbaren Inhaltsdaten hat und sobald ich etwas ändern will, bekomm ich einen HTTP404, also kann ich da nichts erkennen.

Ich kann jetzt nur von den kommerziellen Produkten aus urteilen, mit denen ich am meisten zu tun habe, das sind Bintec (bis zum 31.12.13 noch Teldat und davor Funkwerk und davor auch Bintec) und LANCOM. Bei beiden Herstellern findest du Geräte, die sowas problemlos abdecken, wobei ich hier eher zu LANCOM tendieren würde, weil die Firewall mit der Objektorientierung um einiges angenehmer zu handhaben ist. Hier kannst du bis zu 16 Netze aufbauen, wobei bei dir drei, eventuell auch vier, reichen würden.

LANCOM hat auch den Vorteil, dass hier bis auf ich glaube eine Bibliothek gar kein OpenSource drin ist. Nagel mich aber nicht darauf fest, können auch zwei Bibliotheken sein.
Bitte warten ..
Mitglied: sleeplessnight
05.01.2014 um 21:37 Uhr
Zitat von tikayevent:

Der erste Server, der "raustelefonieren" darf, wird der von außen erreichbar sein oder darf der einfach nur wie
ein normaler Client auf das Internet zugreifen?
Nen Client. Halt Updates für die Software, mail (nur senden) und son mist. Halt wie ein normaler Rechner. Aber Zugriff von außen darf bei beiden defentiv nicht der fall sein.
Der zweite Server, der "nicht raustelefonieren" darf, ist der einfach nur von außerhalb nicht erreichbar oder darf
der keinen Internetzugang bekommen?
Der sollte (darf nur) nen reiner Lokaler Server sein, dem ich nur zwecks Updates per Hand die Firewall öffnen/schließen muss. Dieser hat auch nichts im Gast-Gedöns verloren...

Für beide Zwecke braucht man ein System mit einem ordentlichen Paketfilter.

Ich kann leider die Cisco/Linksys-Kiste nicht brauchbar einschätzen, da dieser Webinterface-Simulator keine brauchbaren
Inhaltsdaten hat und sobald ich etwas ändern will, bekomm ich einen HTTP404, also kann ich da nichts erkennen.
Hab mich nur da umgeschaut, weil halt in unserer Firma damit gearbeitet wird. Aber naja, die haben halt kohle ohne ende und wohl deswegen auch die wirklich größten Dinger von Cisco, dies gibt.
LANCOM hat auch den Vorteil, dass hier bis auf ich glaube eine Bibliothek gar kein OpenSource drin ist. Nagel mich aber nicht
darauf fest, können auch zwei Bibliotheken sein.
Vielleicht kannst da schon etwas konkreter werden... Modell usw.??
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 05.01.2014, aktualisiert 06.01.2014
Bei dir kommt nur die 1781-Reihe in Frage, leider weiß ich nicht, welchen Internetanschluss du hast, ob WLAN im Router enthalten sein soll, ...

Das einfachste Modell wäre der 1781EF+, kein eingebautes WLAN, kein eingebautes Modem, dafür ein Ethernet-LAN-Port und ein SFP-Port, mit einem ADSL2+-Modem ohne WLAN wäre es der 1781A, für ein VDSL-Modem ohne WLAN der 1781VA, wenn du ADSL2+ und WLAN haben willst, wäre es der 1781AW, ohne Modem mit WLAN der 1781EW, VDSL-Modem mit WLAN 1781VAW.

Du brauchst das Gerät aber bei einem Wechsel des Internetanschlusses nicht wegwerfen, du definierst einfach einen der LAN-Ports als WAN-Port und weiter gehts.

Meine Empfehlung wäre aber der 1781EF+, da dieser die aktuellste Hardwareplattform hat (Hardware-NAT integriert) und er verfügt über insgesamt 6 frei konfigurierbaren Ethernetports, sprich für den Fall, dass irgendwann mal Portmangel herrscht und du nicht auf VLANs setzen willst, kannst du noch den SFP-Port dazu nehmen. Alle anderen Geräte verfügen nur über 4 LAN-Ports (freikonfigurierbar) und einen WAN-Port/ein Modem. Durch das fehlende Modem ist es auch noch das günstigste Gerät dieser Gerätereihe.
Bitte warten ..
Mitglied: aqui
06.01.2014, aktualisiert um 09:23 Uhr
Wenn dir 4 physikalische Ports reichen wäre auch ein "richtiger" Cisco (kein Linksys) eine Alternative, der deckt das auch ab:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Zusätzlich kannst du natürlich noch 4096 VLAN Ports definieren.
Bitte warten ..
Mitglied: sleeplessnight
06.01.2014 um 12:13 Uhr
Zitat von tikayevent:

Bei dir kommt nur die 1781-Reihe in Frage, leider weiß ich nicht, welchen Internetanschluss du hast, ob WLAN im Router
enthalten sein soll, ...
ADSL. Wlan im Router wäre toll, sonst müsste halt nen extra AP her.. fraglich halt, was günstiger ist...

Das einfachste Modell wäre der 1781EF+, kein eingebautes WLAN, kein eingebautes Modem, dafür ein Ethernet-LAN-Port und
ein SFP-Port, mit einem ADSL2+-Modem ohne WLAN wäre es der 1781A, für ein VDSL-Modem ohne WLAN der 1781VA, wenn du
ADSL2+ und WLAN haben willst, wäre es der 1781AW, ohne Modem mit WLAN der 1781EW, VDSL-Modem mit WLAN 1781VAW.
Was is denn zur hölle an dem xxxVAW so teurer als zu dem xxxxVA ? Unterschied is ja nur, der eine hat wlan, der andere net. Das is ja glatt über 100 flocken mehr!!
Dummerweise hat der EW nicht die große Transferrate.. daher ich den Lokalen Server an einem extra Port hängen wollte und auf diesem auch ein NAS läuft. Und so 8GB drücken sich halt net "leicht" durch's netz...

Daher die Dinger sehr teuer sind, müsste ich die PFsense geschichte vergessen und mich auf einen Router degradieren..
Müsste von dir wissen, ob die Option "Puplic-Spot" einmalig gekauft werden müsste oder so wie das Content Filter-Zeugs im abonnement?

Letzteres wäre für mich halt nicht machbar und würde halt die LanCom's aus'm rennen kicken und ich müsste erst mal einen Privaten Cisco-Konfig Kurs machen... (wer sich den scheiß bei Cisco ausgedacht hat??.. Iptables kann ich ja, aber dabei kapituliere ich...)
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.01.2014, aktualisiert um 19:22 Uhr
Der va ist ohne WLAN der vaw hat WLAN onboard (w = WLAN)
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !

pfSense supportet auf dem ALIX Board auch VLANs !
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Außer den 3 physischen Ports kannst du dir mit einem billigen VLAN Switch noch weiter so viele Netzwerk Ports einrichten wie du benötigst.
Die pfSense ist einen "richtige" stateful Firewall, stellt dir als einen "wirkliche" DMZ zur Verfügung wenn du sie denn unbedingt brauchst ?!
Wo bitte ist denn nun dein wirkliches Problem ??
Beide Router oben supporten keinen wirklichen Hotspot Betrieb mit Einmalpasswörtern für die User.
Zu den unprofessionellen Aussagen über die Cisco Konfig wollen wir uns hier mal in einem Administrator Forum nicht weiter äußern...ohne Worte !
Am besten kaufst du dir eine fertige Zyxel Lösung mit kleinem Druckerchen zum Zettel abreissen für die Voucherchens mit fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 06.01.2014, aktualisiert um 19:22 Uhr
Nur der Contentfilter ist mit Lizenzablauf, alles andere wird einmal lizensiert und funktioniert dann ein Leben lang.

Warum willst du den lokalen Server an einen extra Port hängen? Deiner Aussage nach sind das alles Clients im internen Netzwerk, die nicht von außerhalb erreicht werden sollen. In der LANCOM-Firewall hast du sogar verschiedene Möglichkeiten, den Server, der gar nicht ins Internet darf, vom Internet zu trennen.

Das WLAN im LANCOM kannst du nicht mit irgendeinem 0815-WLAN-Router vergleichen. Es gibt die Möglichkeit, den Router an einen WLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...

Die Router waren nur ein Vorschlag, du musst dich ja nicht dran halten und jeder hat seine Präferenzen.
Bitte warten ..
Mitglied: sleeplessnight
06.01.2014 um 19:22 Uhr
Zitat von aqui:

Der va ist ohne WLAN der vaw hat WLAN onboard (w = WLAN)
Es ist weiterhin zweifelhaft WARUM du die pfSense Geschichte vergessen willst ?? Das ist doch Blödsinn, sorry !
Er klär mir mal, wieso das Blödsinn ist?

Hab leider keine 20k für Firewall's über. Die knappen 680 eier für die Lancom geschichte ist mir "eigentlich" schon zuviel. Und da ist noch net mal ne gescheite wlan antenne dabei...
Kann man mit OpenOffice und Microsoft Office vergleichen.

Die pfSense ist einen "richtige" stateful Firewall, stellt dir als einen "wirkliche" DMZ zur Verfügung
wenn du sie denn unbedingt brauchst ?!
Wo bitte ist denn nun dein wirkliches Problem ??
I need a dollar dollar, a dollar is what I need (hey hey)
Well I need a dollar dollar, a dollar is what I need (hey hey)
And I said I need dollar dollar, a dollar is what I need
And if I share with you my story
Would you share your dollar with me
Beide Router oben supporten keinen wirklichen Hotspot Betrieb mit Einmalpasswörtern für die User.
Hab ich auf der Homepage etwas anderes gelesen.
Falls das net stimmt, klär mich auf.
Zu den unprofessionellen Aussagen über die Cisco Konfig wollen wir uns hier mal in einem Administrator Forum nicht weiter
äußern...ohne Worte !
Sicher, wenn(!!) man's beherrscht, sicher sehr mächtig. Nur was erwartest denn von einem "nichts-Ahnung-haber"@ Cisco?
Nur hab ich kein Bock dazu, irgendeine neue art konfigsprache zu erlernen. Es geht halt auch einfacher. Ich kann bei Linux iptabels selbst reinhacken oder per webinterface die codes generieren lassen usw.. Gibt mittlerweile sogar grafische Oberflächen dazu.
Dazu hab ich bei Cisco keine Lust. Wenn ich das mache, möchte ich jede Zeile verstehen, was ich da tu. Und das möchte ich später nicht alles einzeln reinhacken, sondern mir eher generieren.
Wenn du deine Gäste erst 2 std später ins WLAN lassen kannst, weil du den PC hochfahren musst, etliche Zeilen schreiben, übertragen usw. musst, sind meine schon längst mitten drin am spaß haben ;)
Am besten kaufst du dir eine fertige Zyxel Lösung mit kleinem Druckerchen zum Zettel abreissen für die Voucherchens mit
fertigem Klicki Bunti Interface. Das ist wohl eher für deine Ansprüche geeignet als hier weiter zu lamentieren.
Weißt ja wohl ziemlich viel über mich. Weiß nicht, warum sich bei dir am ende des Post's nen kurzschluss im deinem Hirn ergeben hat und du anfängst, scheiße zu labern.
Spar dir das in Zukunft.


Zitat von tikayevent:

Nur der Contentfilter ist mit Lizenzablauf, alles andere wird einmal lizensiert und funktioniert dann ein Leben lang.
Danke

Warum willst du den lokalen Server an einen extra Port hängen? Deiner Aussage nach sind das alles Clients im internen
Netzwerk, die nicht von außerhalb erreicht werden sollen. In der LANCOM-Firewall hast du sogar verschiedene
Möglichkeiten, den Server, der gar nicht ins Internet darf, vom Internet zu trennen.
Oder halt so. War nur nen Spontaner Gedanke von mir.
Das WLAN im LANCOM kannst du nicht mit irgendeinem 0815-WLAN-Router vergleichen. Es gibt die Möglichkeit, den Router an einen
WLAN-Controller zu hängen, es ist ein Dual-Band-WLAN, sprich es kann in 2,4GHz oder 5GHz funken, der 5GHz-Teil kann bis 4W
rausbraten, es gibt die Möglichkeit, 8 SSIDs aufzubauen, dazu noch etliche Punkt-zu-Punkt-Verbindungen, ...
Das hab ich mir schon gedacht. War nur etwas geschockt, das plötzlich wlan soviel teurer war. Man ist halt etwas anderes gewohnt :D

Die Router waren nur ein Vorschlag, du musst dich ja nicht dran halten und jeder hat seine Präferenzen.
Der Vorschlag ist echt gut. Die Dinger scheinen die gretsche zwischen Profi und endusern hinbekommen zu haben.
Cisco dagegen scheint das einfach nicht zu wollen (oder hat's net nötig) und ich muss kein Profi werden, um bei mir alles besser abzuschotten.

Danke dir Bin soweit dann durch
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkmanagement
gelöst Proxy für den Betrieb in einer DMZ oder im LAN (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst W-LAN Hotspot ohne SIM um WLan Signal zu verteilen (8)

Frage von linkit zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
gelöst LAN-Hotspot in öffentlicher Bibliothek (3)

Frage von MartinAD zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Sonicwall Allow Interface Trust Lan zu DMZ funktioniert nicht (1)

Frage von Speedysurf zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...