auf einem 1821 sind 2 getrennte Netze konfiguriert. Eines ist dem Interface LAN-1 (Intranet) und eines dem Interface DMZ-1 (DMZ) zugeordnet, zwecks Trennung auf Layer 2 und 3. Ferner sind die LAN-Ports des Switches (jeweils 2 Ports) dem Intranet und der DMZ fest zugeordnet. Der DHCP-Server ist für das Intranet freigeschaltet. Im Ethernet funktioniert auch alles wie erwartet, d.h. die 2 Netze arbeiten parallel, beide haben Internet-Zugang, das Intranet hat zusätzlich Zugang zu einem Firmen-Netzwerk über VPN. Es gibt keine Mischung der Datenpakete auf Layer 2 (getrennte broadcast domains). Die Zugriffe zw. Intranet und DMZ kann ich mittels Firewall-Regeln auf Layer 3 steuern.
Nun soll WLAN in's Spiel kommen, und zwar mit 2 ESSIDs, wobei eine ESSID mit dem Intranet und die andere der DMZ verbunden sein soll. Die WLAN-Netze habe ich eingerichtet, jedoch sind die WLAN-Segmente beides Inseln, d.h. kein Zugang zu den Interfaces des Routers und zu den Ethernet-Segmenten. DHCP funktioniert demzufolge auch nicht. Eigentlich klar, da ich unter TCP/IP->Allgemein die Interfaces entweder in allen Segmenten (any) oder nur genau einem Segment zuordnen kann, nicht aber genau zu zweien. Wenn ich alles auf any stelle mischen sich die Pakete auf Layer 2 und ich habe nur noch eine broadcast domain, was der Sicherheit nicht zuträglich ist.
Insbesondere sollen die Pakete aus dem Firmennetz/VPN nicht von der DMZ aus gesehen werden können und umgekehrt.Wie stelle ich es an, dass die eine ESSID in's Intranet gebridged wird und die andere in die DMZ? Bevor ich anfange, alles auf eine VLAN-basierten Konfig. umzustellen, wollte ich die Frage hier mal loswerden, ob es noch anders geht.
TIA sagt
inetd
