bestimmten WLAN Teilnehmer "aussperren"
Moderator: Lancom-Systems Moderatoren
bestimmten WLAN Teilnehmer "aussperren"
Hallo, ich möchte einen sogenannten "Gastinternetzugang" einrichten, d.h. der WLAN Teilnehmer sollte nur Zugang zum Internet haben (WAN Interface) jedoch keinen anderen Computer oder Server (interne Ports oder interne WLAN Teilnehmer) in der Netzwerkumgebung sehen können. Wie ist das am einfachsten möglich ? Vielen Dank für Eurer Hilfe !
Hi hostpot,
am einfachsten richtest du das über ein getaggtes ARF-Netz ein, das du auf das WLAN bindest (TCP/IP -> Allgemein -> IP-Netzwerke).
Zusätzlich schaltest du das WLAN in den "Isolierten Modus" (Schnittstellen -> LAN -> LAN-Bridge-Einstellungen).
Das Interface-Tag verhindert, daß von diesem Netz aus ein ARF-Netz mit einem anderen Tag gesehen wird...
U.U. mußt du noch im Router verhindern, daß dieses ARF-Netz auf andere Routen als die Default-Route zugreifen kann. Dazu erstellst du von allen in der Routing-Tabelle eingetragen Routen eine Kopie, die du mit dem Tag des ARF-Netzes versieht und bei denen du als Router 0.0.0.0 einträgst. Nur die Default-Route läßt du unverändert...
Gruß
Backslash
am einfachsten richtest du das über ein getaggtes ARF-Netz ein, das du auf das WLAN bindest (TCP/IP -> Allgemein -> IP-Netzwerke).
Zusätzlich schaltest du das WLAN in den "Isolierten Modus" (Schnittstellen -> LAN -> LAN-Bridge-Einstellungen).
Das Interface-Tag verhindert, daß von diesem Netz aus ein ARF-Netz mit einem anderen Tag gesehen wird...
U.U. mußt du noch im Router verhindern, daß dieses ARF-Netz auf andere Routen als die Default-Route zugreifen kann. Dazu erstellst du von allen in der Routing-Tabelle eingetragen Routen eine Kopie, die du mit dem Tag des ARF-Netzes versieht und bei denen du als Router 0.0.0.0 einträgst. Nur die Default-Route läßt du unverändert...
Gruß
Backslash
Hi hostpot
Das bedeutet letztendlich, daß du zwei WLAN-Netze mit unterschiedlichen SSIDs und Verschlüsselungsparametern aufspannen mußt: eines für den Gatszugang - der kann i.A. auch unverschlüsselt sein - und eines für die previligierten Nutzer - der sollte tunlichst mit WPA/WPA2 verschlüsselt sein.
Gruß
Backslash
das ist korrektAber wenn ich das jetzt so schnell überdenke betrifft das doch jeden WLAN Teilnehmer
da beides fälschbar ist, ist es für einen Gastzugang nicht ratsam, auch "previligierte" Nutze über den selben Zugang ins Netz zu lassen.Es soll aber nur einer sein, der anhand der IP Adresse oder Mac Adresse idendifiziert wird
Das bedeutet letztendlich, daß du zwei WLAN-Netze mit unterschiedlichen SSIDs und Verschlüsselungsparametern aufspannen mußt: eines für den Gatszugang - der kann i.A. auch unverschlüsselt sein - und eines für die previligierten Nutzer - der sollte tunlichst mit WPA/WPA2 verschlüsselt sein.
Gruß
Backslash
ich glaub ich machs so, ich nehm einen seperaten Accesspoint, schließ dem an einen der vier Ethernet Ports direkt an und mach Schnittstellen->Lan->Ethernet Ports und aktiviere den Kasten "Datenverbindung zwischen diesem Switch Port und den anderen unterbinden (Private Mode). Das dürfte auch eine Lösung sein ! (Ich hoffe nur nicht dass das auch die WAN Schnittstelle betrifft)
Hi backslash, ich hab ein zweites netz eingerichtet und mit dem tag 1 versehen, sowie ein zweites wlan netz, mit einer seperaten SSID. Soweit so gut funktioniert alles, ausser dass ich mit unserem hauptsächlichen WLAN Netz nicht mehr auf das Netzwerk komme, was wohl mit dem isolierten Modus zusammen hängt. Ich habe unser eigentliches Wlan Netz mit der Bridge Gruppe 1 versehen und das Gastnetz mit der Bridgegruppe 2 versehen. Aber wo bekomme ich jetzt wieder die Bindung der Bridgegruppe 1 zu unserem Netzwerk her ?
Hi hostpot
Wenn du die beiden WLANs in unterschiedliche Bridgegruppen stellt, dann brauchst du den isolierten Modus nicht mehr, da zwischen den Gruppen nicht gebridged wird.
Gruß
Backslash
Ich habe unser eigentliches Wlan Netz mit der Bridge Gruppe 1 versehen und das Gastnetz mit der Bridgegruppe 2 versehen.
Wenn du die beiden WLANs in unterschiedliche Bridgegruppen stellt, dann brauchst du den isolierten Modus nicht mehr, da zwischen den Gruppen nicht gebridged wird.
Das LAN muß dazu in der selben Bridgegruppe wie das WLAN sein (also BRG-1) und der isolierte Modus muß wieder deaktiviert werden (da sonst auch innerhalb der Bridgegruppe nicht gebridged wird)...Aber wo bekomme ich jetzt wieder die Bindung der Bridgegruppe 1 zu unserem Netzwerk her ?
Gruß
Backslash