Speedport-WLAN Nutzern LAN verbieten

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
guennid
Beiträge: 12979
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Speedport-WLAN Nutzern LAN verbieten

Beitrag von guennid » 01.05.2019 11:13:54

Ich betreibe ein Heim-LAN via Debian-Router und hostapd. Die LAN-Maschinen kommen über einen W727-Speedport ins Internet. Weiß jemand, wie ich Gastgeräten, denen ich via WLAN-AP des Speedport Zugang zum Internet gebe, den Zugang zum LAN verwehren kann.

Grüße, Günther

mat6937
Beiträge: 1403
Registriert: 09.12.2014 10:44:00

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von mat6937 » 01.05.2019 13:03:48

guennid hat geschrieben: ↑ zum Beitrag ↑
01.05.2019 11:13:54
Ich betreibe ein Heim-LAN via Debian-Router und hostapd. Die LAN-Maschinen kommen über einen W727-Speedport ins Internet. Weiß jemand, wie ich Gastgeräten, denen ich via WLAN-AP des Speedport Zugang zum Internet gebe, den Zugang zum LAN verwehren kann.
Den LAN-Maschinen feste IP-Adressen zuweisen und den Gastgeräten per dhcp, IP-Adressen aus einem DHCP-Pool zuweisen.Mit dem Debian-Router den Zugang der IP-Adressen aus dem DHCP-Pool (IP-range) zu den festen IP-Adressen der LAN-Maschinen, nicht erlauben.

guennid
Beiträge: 12979
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von guennid » 01.05.2019 13:37:26

Den LAN-Maschinen feste IP-Adressen zuweisen und den Gastgeräten per dhcp, IP-Adressen aus einem DHCP-Pool zuweisen.
Hmmm... Schwierig: Die per DHCP bezogenen IPs müssten dann vom DHCP-Server des Speedports bezogen werden - rchtig? Feste IP-Adressen hinter dem Debian-Router sind eh eingerichtet. Aber die beste aller Frauen nennt so'n Kleinstrechner mit Telefonfunktion ihr Eigen. Folglich muss die auch eine Adresse per DHCP beziehen. Und die liefert, wenn ich recht sehe, der DHCPD-Server des hostapds, wenn ich die mit ihrem Kleinstrechner nicht ebenfalls ausperren will. Nun liegt das LAN zwar in anderen Subnetzen als dem, das der Speedport aufspannt - aber läuft das dennoch konfliktfrei?

Grüße, Günther

mat6937
Beiträge: 1403
Registriert: 09.12.2014 10:44:00

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von mat6937 » 01.05.2019 13:41:59

guennid hat geschrieben: ↑ zum Beitrag ↑
01.05.2019 13:37:26
Nun liegt das LAN zwar in anderen Subnetzen als dem, das der Speedport aufspannt - aber läuft das dennoch konfliktfrei?
Ich bin davon ausgegangen, dass das ein Subnetz ist. Wenn das 2 verschiedene Subnetze sind, dann kannst auf dem Debian-Router den Zugang aus dem Gast-Geräte-Subnetz zu den LAN-Geräten auch sperren (z. B. mit iptables und FORWARD chain).

guennid
Beiträge: 12979
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von guennid » 01.05.2019 17:08:40

Wenn ich recht sehe, dann brauche ich gar nichts mehr zu machen.

Ich habe versuchsweise das wlan (und nur das wlan) einer Maschine über das wlan und dhcp des Speedport eingerichtet, um das bisher Besprochene auszuprobieren. Sieht aus, als funktionierte es, denn ich komme damit zwar ins Internet. Aber es gelingt mir nicht mal, die nach außen gerichtete NIC (eth1) des Debian-Routers anzupingen (die sich mit dem Speedport im selben Netz befindet), geschweige denn irgend eine IP hinter demselben. Ich denke, das verdanke ich meiner shorewall-Konfiguration auf dem Debian-Router und zwar der Zeile:

Code: Alles auswählen

net             all             DROP
in /etc/shorewall/policy.

Kann jemand einem wenig Wissenden wir mir bestätigen, dass mein LAN einigermaßen geschützt ist von unberechtigten Zugriffen von außen.

Grüße, Günther

pferdefreund
Beiträge: 3405
Registriert: 26.02.2009 14:35:56

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von pferdefreund » 02.05.2019 06:46:51

Dumme Frage - kann der Router selbst kein Gastnetz aufbauen - getrennt vom normalen Netz mit eigener SSID ?

guennid
Beiträge: 12979
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von guennid » 02.05.2019 08:32:15

Dumme Gegenfrage: Welchen meinst du? :wink:

Ob's man den Debian-Router so einrichten kann, habe ich noch nicht überlegt. Zum Speedport meine ich, hier mal die Info bekommen zu haben, dass sowas wie'n Gastzugang damit nicht möglich wäre. Und selbst in den Menüs gefunden habe ich auch nichts.

Aber wenn mir bei der aktuellen Einrichtung niemand widerspricht, meine ich, das im Prinzip eingerichtet zu haben. Das wlan des Speedport nutze ich eh nicht. Einzige, temporäre Ausnahme: Unsere Tolinos. Die Firma Adobe mit ihren digital editions mag den Debian-Router nicht. Und ich hatte bisher keine Lust, Zeit aufzuwenden, um herauszukriegen warum nicht.

Grüße, Günther

pferdefreund
Beiträge: 3405
Registriert: 26.02.2009 14:35:56

Re: Speedport-WLAN Nutzern LAN verbieten

Beitrag von pferdefreund » 02.05.2019 10:43:20

Ich meinte den Speedport. Die neuen, die jetzt mit der Umstellung auf IP-Telefonie mit vertrieben werden, sollen das laut Anleitung können.

Antworten