7
WLAN für Gäste zur Verfügung stellen
Hallo Zusammen und schon mal vorweg einen guten Rutsch.
Ich habe folgende Überlegung:
An einem Außenstandort haben wir einen CompanyConnect Anschluss der T-Com über LWL (da Kupfer nicht möglich ist).
Nun hatten mich die Kollegen gefragt, ob es bei ihnen möglich wäre, auch ein WLAN für Besucher wie bei uns aufzubauen.
Mir fehlen allerdings gerade die Ideen, wie ich das Realisieren kann. Bei uns ist es nämlich so, dass wir die Besuchernetze komplett von den Firmennetzen trennen (kein VLAN oder ähnliches. Hier existieren zwei getrennte Netzwerke).
Da das Besuchernetzwerk dann so aufgebaut werden sollte wie bei uns, weiß ich momentan nicht, wie das am sinnvollsten und kostengünstigsten geht.
Wir haben bei uns für das Besuchernetz Linksys / CISCO Geräte im Einsatz.
Zusammengefasst:
WLAN am Hauptstandort: getrenntes Netz vom Firmennetz, kein CaleSharing etc...
WLAN am Nebenstandort soll:
- getrenntes Netz
- in zwei Gebäuden verfügbar (sind via LWL verbunden)
Problem am Nebenstandort:
kein DSL möglich (Ausbautechnisch).
Vorhanden ist jedoch eine CompanyConnect Leitung mit mehreren festen IP's wo auch noch was frei ist.
Eine Kopplung zwischen Firmennetz und Besuchernetz soll nicht sein (wegen Firmeninterner Daten und VPN zwischen den Standorten).
Ich hoffe mein Fall ist nicht Hoffnungslos :D
Guten Rutsch und vielen Dank.
An einem Außenstandort haben wir einen CompanyConnect Anschluss der T-Com über LWL (da Kupfer nicht möglich ist).
Nun hatten mich die Kollegen gefragt, ob es bei ihnen möglich wäre, auch ein WLAN für Besucher wie bei uns aufzubauen.
Mir fehlen allerdings gerade die Ideen, wie ich das Realisieren kann. Bei uns ist es nämlich so, dass wir die Besuchernetze komplett von den Firmennetzen trennen (kein VLAN oder ähnliches. Hier existieren zwei getrennte Netzwerke).
Da das Besuchernetzwerk dann so aufgebaut werden sollte wie bei uns, weiß ich momentan nicht, wie das am sinnvollsten und kostengünstigsten geht.
Wir haben bei uns für das Besuchernetz Linksys / CISCO Geräte im Einsatz.
Zusammengefasst:
WLAN am Hauptstandort: getrenntes Netz vom Firmennetz, kein CaleSharing etc...
WLAN am Nebenstandort soll:
- getrenntes Netz
- in zwei Gebäuden verfügbar (sind via LWL verbunden)
Problem am Nebenstandort:
kein DSL möglich (Ausbautechnisch).
Vorhanden ist jedoch eine CompanyConnect Leitung mit mehreren festen IP's wo auch noch was frei ist.
Eine Kopplung zwischen Firmennetz und Besuchernetz soll nicht sein (wegen Firmeninterner Daten und VPN zwischen den Standorten).
Ich hoffe mein Fall ist nicht Hoffnungslos :D
Guten Rutsch und vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196299
Url: https://administrator.de/contentid/196299
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Guten Morgen killtec,
um auch am Nebenstandort eine größtmögliches Maß an Sicherheit zu gewährleisten, würde ich eine VPN-Verbindung zu dem Besuchernetz am Hauptstandort aufbauen.
Somit sind die beiden Netze wieder ordentlich von einander getrennt und Du sparst dir das Einrichten einer neuen, dedizierten Infrastruktur für dieses Netz. Lediglich die WLAN-AcessPoint bzw. LAN-Anschlussmöglichkeiten für die Besucher müssen installiert und konfiguriert werden.
Gruß,
Philipp
um auch am Nebenstandort eine größtmögliches Maß an Sicherheit zu gewährleisten, würde ich eine VPN-Verbindung zu dem Besuchernetz am Hauptstandort aufbauen.
Somit sind die beiden Netze wieder ordentlich von einander getrennt und Du sparst dir das Einrichten einer neuen, dedizierten Infrastruktur für dieses Netz. Lediglich die WLAN-AcessPoint bzw. LAN-Anschlussmöglichkeiten für die Besucher müssen installiert und konfiguriert werden.
Gruß,
Philipp
Hallo Phollip,
ok, das klingt schon mal gut. Aber mein Hauptknackpunkt ist der Punkt wie ich am Nebenstandort nach außen gehe, ohne über das Firmennetz zu gehen.
Ich versuche mal den "Internetzugang" besser dazustellen.
Firmennetz am Nebenstandort => CISCO Firewall => CISCO Router (T-Com) => Multiplexer T-Com
Firmennetz am Hauptstandort => CISCO FIREWALL => CISCO ROUTER
der Nebenstandort ist mit dem Hauptstadort über VPN via CISCO ASA's (Firewall) verbunden.
Ich kann am Nebenstandort zwischen Firewall und Router noch etwas zwischen klemmen (Switch und los gehts ;) )
Das VPN wäre dann nur ein nice 2 have zum Verwalten. Aber das wird einmal aufgestellt und dann läuft das. (Haben wir an einem weiteren Standort genau so gemacht).
Gruß
ok, das klingt schon mal gut. Aber mein Hauptknackpunkt ist der Punkt wie ich am Nebenstandort nach außen gehe, ohne über das Firmennetz zu gehen.
Ich versuche mal den "Internetzugang" besser dazustellen.
Firmennetz am Nebenstandort => CISCO Firewall => CISCO Router (T-Com) => Multiplexer T-Com
Firmennetz am Hauptstandort => CISCO FIREWALL => CISCO ROUTER
der Nebenstandort ist mit dem Hauptstadort über VPN via CISCO ASA's (Firewall) verbunden.
Ich kann am Nebenstandort zwischen Firewall und Router noch etwas zwischen klemmen (Switch und los gehts ;) )
Das VPN wäre dann nur ein nice 2 have zum Verwalten. Aber das wird einmal aufgestellt und dann läuft das. (Haben wir an einem weiteren Standort genau so gemacht).
Gruß
Dieses Tutorial sollte alle deine Fragen beantworten:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die Problematik das WLAN standortübergreifend zu übertragen auf ein gemeinsames CP kannst du nur über VPN erreichen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die Problematik das WLAN standortübergreifend zu übertragen auf ein gemeinsames CP kannst du nur über VPN erreichen.
Hallo killtec,
also ich sehe das ähnlich.
Am Nebenstandort ist der Zugang zum Internet über den Router der Telekom und den daran angeschlossenen Multiplexer realisiert. Die CISCO Firewall baut dabei dann die VPN-Verbindung zu eurer Zentrale auf.
Wenn das so alles stimmt, dann sehe ich keine Möglichkeit, eine vom Firmennetz gesonderte Verbindung aufzubauen, außer man klemmt etwas vor die Firewall und an den CISCO Router der Telekom.
Aber hier hast Du wieder das Problem, dass der komplette Traffic über den Anschluss der Firma getätigt wird und die Gäste ggf. auch Zugriff auf den Router erhalten könnten.
Denn die CISCO-Router - ich glaube es sind 800series - können kein VLAN. Und selbst wenn - ich sehe VLAN NICHT als ausreichende Sicherheitsvorkehrung an!
Meine Lösung bestünde darin, dass die Gäste eine stehenden VPN-Tunnel mit Hilfe eines dedizierten Gateways über den CISCO-Router am Nebenstandort zu der am Hauptstandort eigens für diesen Zweck angeschafften "Gästeleitung" aufbauen.
Somit wird der gesamte Traffic vom Rest des Netzes isoliert und der Zugriff der Gäste auf das Internet erfolgt über die eigentlich dafür vorgesehene Leitung in der Zentrale.
Spricht denn da etwas aus deiner Sicht dagegen?
Aqui hat Dir auch ein sehr schönes Tut dazu verlinkt...
Philipp
also ich sehe das ähnlich.
Am Nebenstandort ist der Zugang zum Internet über den Router der Telekom und den daran angeschlossenen Multiplexer realisiert. Die CISCO Firewall baut dabei dann die VPN-Verbindung zu eurer Zentrale auf.
Wenn das so alles stimmt, dann sehe ich keine Möglichkeit, eine vom Firmennetz gesonderte Verbindung aufzubauen, außer man klemmt etwas vor die Firewall und an den CISCO Router der Telekom.
(Switch und los gehts ;) )
Würde ich dann auch so machen! Aber hier hast Du wieder das Problem, dass der komplette Traffic über den Anschluss der Firma getätigt wird und die Gäste ggf. auch Zugriff auf den Router erhalten könnten.
Denn die CISCO-Router - ich glaube es sind 800series - können kein VLAN. Und selbst wenn - ich sehe VLAN NICHT als ausreichende Sicherheitsvorkehrung an!
Meine Lösung bestünde darin, dass die Gäste eine stehenden VPN-Tunnel mit Hilfe eines dedizierten Gateways über den CISCO-Router am Nebenstandort zu der am Hauptstandort eigens für diesen Zweck angeschafften "Gästeleitung" aufbauen.
Somit wird der gesamte Traffic vom Rest des Netzes isoliert und der Zugriff der Gäste auf das Internet erfolgt über die eigentlich dafür vorgesehene Leitung in der Zentrale.
Spricht denn da etwas aus deiner Sicht dagegen?
Aqui hat Dir auch ein sehr schönes Tut dazu verlinkt...
Philipp
Glauben heisst nicht wissen !! Fast alle 800er Cisco Router können auch VLANs, siehe hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Also erst kundig machen bevor man solche Aussagen tätigt !!
Im Grunde ist der Weg aber einfach:
Mehr oder weniger ein einfaches Standardszenario...
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Also erst kundig machen bevor man solche Aussagen tätigt !!
Im Grunde ist der Weg aber einfach:
- 2ten VPN Tunnel aufmachen
- Gäste Traffic über Policy Based Routing über den separaten 2ten Tunnel zum zentralen Internetanschluss schaffen und dort über ein zentrales Captive Portal authentisieren.
Mehr oder weniger ein einfaches Standardszenario...
Danke für die Berichtigung aqui! 
Ja leider bin ich bei diesen Modellen nicht sonderlich fit und konnte diese Funktion bei meinem 800er bisher nicht finden. Ich werde mich aber in Ruhe einmal damit auseinandersetzten.
Danke
Ja leider bin ich bei diesen Modellen nicht sonderlich fit und konnte diese Funktion bei meinem 800er bisher nicht finden. Ich werde mich aber in Ruhe einmal damit auseinandersetzten.
Danke
.@cheater...
Stichwort "Subinterfaces" und "dot1q" Encapsulation wenn er keinen integrierten 4 Port Switch hat, das sollte auch dein 800er können. Wenn er den integrierten Switch hat einfach mit vlan xyz das VLAN anlegen und dann mit interface vlan x das IP Interface konfigurieren.
Du hast beide Optionen je nach HW Modell.
Nur wenn es ein Ur- Uraltmodell der ersten Stunde ist hast du da ggf. ein Problem.
Stichwort "Subinterfaces" und "dot1q" Encapsulation wenn er keinen integrierten 4 Port Switch hat, das sollte auch dein 800er können. Wenn er den integrierten Switch hat einfach mit vlan xyz das VLAN anlegen und dann mit interface vlan x das IP Interface konfigurieren.
Du hast beide Optionen je nach HW Modell.
Nur wenn es ein Ur- Uraltmodell der ersten Stunde ist hast du da ggf. ein Problem.
