6
IP-Adressbereich sperren in Accesspoint
Hallo zusammen,
folgende Konfiguration ist vorhanden: W2003 Server als Gateway, DHCP und DNS und Proxy im Bereich 192.168.0.XXX.
Nun soll ein Accesspoint mit dem Adressbereich 192.168.1.XXX eingerichtet werden, sodass die Nutzer dieses AP keinen Zugriff mehr auf den anderen Bereich (insb. Internetzugang über Gateway) haben.
In diesem AP ist der DHCP eingeschaltet. Damit die Nutzer dennoch einen Internetzugang nutzen können, wird im Browser der W2003 Server als Proxy eingetragen (192.168.1.1).
Bis hier hin funktioniert alles wunderbar, ich komme nur noch mit eingetragenem Proxy ins WWW.
Das Problem:
Wenn ich der WLAN-Karte manuell eine Adresse aus dem Bereich 192.168.0.XXX zuweise, komme ich wieder über den Gateway, ohne Proxy, ins Internet.
Zusammengefasst hier meine Frage: Welche Lösung gibt es, um zu verhindern, dass sich manuell eine IP-Adresse zuweisen lässt oder diese IP vom Accesspoint akzeptiert wird?
Danke im Voraus!
folgende Konfiguration ist vorhanden: W2003 Server als Gateway, DHCP und DNS und Proxy im Bereich 192.168.0.XXX.
Nun soll ein Accesspoint mit dem Adressbereich 192.168.1.XXX eingerichtet werden, sodass die Nutzer dieses AP keinen Zugriff mehr auf den anderen Bereich (insb. Internetzugang über Gateway) haben.
In diesem AP ist der DHCP eingeschaltet. Damit die Nutzer dennoch einen Internetzugang nutzen können, wird im Browser der W2003 Server als Proxy eingetragen (192.168.1.1).
Bis hier hin funktioniert alles wunderbar, ich komme nur noch mit eingetragenem Proxy ins WWW.
Das Problem:
Wenn ich der WLAN-Karte manuell eine Adresse aus dem Bereich 192.168.0.XXX zuweise, komme ich wieder über den Gateway, ohne Proxy, ins Internet.
Zusammengefasst hier meine Frage: Welche Lösung gibt es, um zu verhindern, dass sich manuell eine IP-Adresse zuweisen lässt oder diese IP vom Accesspoint akzeptiert wird?
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 112727
Url: https://administrator.de/contentid/112727
Printed on: April 19, 2024 at 23:04 o'clock
6 Comments
Latest comment
Stichwort: VLANs
Allerdings müssen das Switch und Access Point und Server-NIC unterstützen.
Grüße
Max
Allerdings müssen das Switch und Access Point und Server-NIC unterstützen.
Grüße
Max
Vermutlich machst du hier einen Denkfehler aus Unwissenheit ?!
Ein WLAN Accesspoint arbeitet gemeinhin als Layer 2 Bridge auf Basis von Ethernet Mac Adressen !
Hier den DHCP trotz Aktivierung des DHCP auf dem Server laufen lassen ist natürlich fatal, denn so hast du 2 konkurierende DHCP Server im Netz mit ggf. chaotischen Folgen in Bezug auf deine IP Adressierung. Kein besonders gutes Design !
Abgesehen davon sieht ein AP aufgrund der Tatsache des OSI Layer 2 Bridgings ja gar keine IP Adressen der Clients sondern lediglich Mac Adressen ! Diese sind dann einzig relevant und nur über diese kann dann gefiltert werden, nicht über IPs, das ist logisch, denn der AP sieht diese ja gar nicht.
Die eigene IP des APs dient lediglich dem Management, nichts anderem !!
Du musst also auf dem Server filtern mit dessen Firewall, sofern dieser dann mit 2 Netzwerkkarten ausgerüstet ist wenn du 2 IP Segmente nutzen willst, wie es z.B. in diesem Tutorial hier beschrieben ist:
Es gibt da mit Bordmitteln nur einen Workaround für dich:
Du nimmst einen WLAN Router OHNE integriertes DSL Modem !
Den schliesst du mit dem WAN/DSL Ethernet Port an dein vorhandenes Netzwerk 192.168.0.0 /24. Das LAN Interface lässt du gänzlich unbeschaltet.
Genau ist diese Prozedur hier beschrieben:
Kopplung von 2 Routern am DSL Port
Achtung: Das Tutorial gilt für dich genau Interfacetechnisch UMGEKEHRT für dich in diesem speziellen Falle !!! (LAN=frei WAN/DSL=angeschlossen)
Das WLAN arbeitet dann als Bridging AP im LAN IP Bereich des Routers wie normal aber der Traffic geht dann über die NAT Firewall (IP Adress Translation) des Routers mit dessen statischer IP Adresse im 192.168.0.0er Netzwerk hinaus.
Das WLAN wird also gewissermassen versteckt in diesem Netzwerk.
Willst du das nicht bleibt dir nur die Möglichkeit der 2 Netzwerkkarten im Server wie oben beschrieben !
Oder... natürlich ist VLAN eine Option verlängt aber spezielle Netzwerkkarten Hardware im Server wie dir das folgende Tutorial beschreibt !!
Am technisch subersten ist natürlich eine Firewall Lösung wie sie hier beschrieben ist:
Das Captive Portal für Gäste musst du natürlich nicht aktivieren !
Ein WLAN Accesspoint arbeitet gemeinhin als Layer 2 Bridge auf Basis von Ethernet Mac Adressen !
Hier den DHCP trotz Aktivierung des DHCP auf dem Server laufen lassen ist natürlich fatal, denn so hast du 2 konkurierende DHCP Server im Netz mit ggf. chaotischen Folgen in Bezug auf deine IP Adressierung. Kein besonders gutes Design !
Abgesehen davon sieht ein AP aufgrund der Tatsache des OSI Layer 2 Bridgings ja gar keine IP Adressen der Clients sondern lediglich Mac Adressen ! Diese sind dann einzig relevant und nur über diese kann dann gefiltert werden, nicht über IPs, das ist logisch, denn der AP sieht diese ja gar nicht.
Die eigene IP des APs dient lediglich dem Management, nichts anderem !!
Du musst also auf dem Server filtern mit dessen Firewall, sofern dieser dann mit 2 Netzwerkkarten ausgerüstet ist wenn du 2 IP Segmente nutzen willst, wie es z.B. in diesem Tutorial hier beschrieben ist:
Es gibt da mit Bordmitteln nur einen Workaround für dich:
Du nimmst einen WLAN Router OHNE integriertes DSL Modem !
Den schliesst du mit dem WAN/DSL Ethernet Port an dein vorhandenes Netzwerk 192.168.0.0 /24. Das LAN Interface lässt du gänzlich unbeschaltet.
Genau ist diese Prozedur hier beschrieben:
Kopplung von 2 Routern am DSL Port
Achtung: Das Tutorial gilt für dich genau Interfacetechnisch UMGEKEHRT für dich in diesem speziellen Falle !!! (LAN=frei WAN/DSL=angeschlossen)
Das WLAN arbeitet dann als Bridging AP im LAN IP Bereich des Routers wie normal aber der Traffic geht dann über die NAT Firewall (IP Adress Translation) des Routers mit dessen statischer IP Adresse im 192.168.0.0er Netzwerk hinaus.
Das WLAN wird also gewissermassen versteckt in diesem Netzwerk.
Willst du das nicht bleibt dir nur die Möglichkeit der 2 Netzwerkkarten im Server wie oben beschrieben !
Oder... natürlich ist VLAN eine Option verlängt aber spezielle Netzwerkkarten Hardware im Server wie dir das folgende Tutorial beschreibt !!
Am technisch subersten ist natürlich eine Firewall Lösung wie sie hier beschrieben ist:
Das Captive Portal für Gäste musst du natürlich nicht aktivieren !
Hy,
also die Sache mit 2x DHCP in einem Netz wurde schon erläutert, daher hier keine weiteren Ausführungen.
Wie kannst du verhindern, das sich die User "ihre" IP verändern.
Sofern technisch machbar, und das sollte kein grosses Ding sein - geb den Usern lediglich "Benutzerrechte". Ein Benutzer kann zwar die IP-Config sehen, aber nichts daran verändern.
Via GPO kannst du auch noch den Proxy fest eintragen.
Sofern das mit den Benutzern nicht geht, diese also Hauptbenutzer oder sogar lokale Admins sein müssen: via GPO einschränken !
Gruß,
Andy
also die Sache mit 2x DHCP in einem Netz wurde schon erläutert, daher hier keine weiteren Ausführungen.
Wie kannst du verhindern, das sich die User "ihre" IP verändern.
Sofern technisch machbar, und das sollte kein grosses Ding sein - geb den Usern lediglich "Benutzerrechte". Ein Benutzer kann zwar die IP-Config sehen, aber nichts daran verändern.
Via GPO kannst du auch noch den Proxy fest eintragen.
Sofern das mit den Benutzern nicht geht, diese also Hauptbenutzer oder sogar lokale Admins sein müssen: via GPO einschränken !
Gruß,
Andy
Ob das dann wohl auch für einen Apple Mac oder ein Blackberry, iPhone oder Linux Rechner im WLAN gilt.... ???
Ziemlich blauäugig (oder besser einäugig) dieses Design, dann das erzwingt eine Anmeldung an eine Winblows Domäne was ja recht unüblich für WLANs ist !!
Zumal die Anforderungen von ts5588 eher auf ein Gast WLAN schliessen lassen... Aber mit tiefgreifenden Informationen dazu ist er ja sehr knickrig, so das Weiterraten vermutlich auch nichts bringt als alles mögliche sinnvolle und nicht sinnvolle ohne Hintergrund im Forum durchzukauen...
Ziemlich blauäugig (oder besser einäugig) dieses Design, dann das erzwingt eine Anmeldung an eine Winblows Domäne was ja recht unüblich für WLANs ist !!
Zumal die Anforderungen von ts5588 eher auf ein Gast WLAN schliessen lassen... Aber mit tiefgreifenden Informationen dazu ist er ja sehr knickrig, so das Weiterraten vermutlich auch nichts bringt als alles mögliche sinnvolle und nicht sinnvolle ohne Hintergrund im Forum durchzukauen...
Hy
@aqui
Stimmt ja, soweit hast du recht. Ich bin nunmal von einem schönen homogenen Windows-Netz ausgegangen
Klar, wenn es BS unabhängig sein soll - vorhandene Problemstellung könnte ja ein offenes WLAN sein ( I-Net Cafe, Hotspot-Betrieb) , dann muss auf Netzwerkebene angesetzt werden.
-ACK-
Gruß,
Andy
@aqui
Stimmt ja, soweit hast du recht. Ich bin nunmal von einem schönen homogenen Windows-Netz ausgegangen
Klar, wenn es BS unabhängig sein soll - vorhandene Problemstellung könnte ja ein offenes WLAN sein ( I-Net Cafe, Hotspot-Betrieb) , dann muss auf Netzwerkebene angesetzt werden.
-ACK-
Gruß,
Andy
Ersteinmal vielen Dank für eure Antworten!
Ich hab das Problem über eine zweite Netzwerkkarte gelöst (mit DHCP für den neuen Kreis).
Nun nützt es auch nichts mehr, die IP-Adresse manuell einzutragen. Es geht nur noch über den Proxy ins WWW.
Ich hab das Problem über eine zweite Netzwerkkarte gelöst (mit DHCP für den neuen Kreis).
Nun nützt es auch nichts mehr, die IP-Adresse manuell einzutragen. Es geht nur noch über den Proxy ins WWW.
