Hallo zusammen,
ich wollte gerne ein WLAN Gastnetzwerk einrichten. Router natürlich ein Lancom und als AP setze ich auf Unifi APs.
Im Lancom habe ich :
1. Netz Lan 192.168.100.0/24
2. Netz Guest 10.11.12.0/24 VLAN 50 Tag 10
alles auf LAN-1
3. Ein paar VPN Verbindungen zu 192.168.0.0/24 und 192.168.1.0/24 usw
jedes Netz hat seinen DHCP Server und funktioniert.
Im Routing für Guest 255.255.255.0 mit Tag 10 auf Internetprovider (Telekom DSL)
KEINE zusätzlichen Firewall Regeln.
Im Unifi ein WLAN Gast mit VLAN 50 angelegt Clients bekommen eine IP aus 10.11.12.0/24.
Die beiden Netze erreichen sich 192.168.100.0 und 10.11.12.0 NICHT.
Durch einen Zufall hatte ich das Gäste Netz getestet und konnte nicht ins Netz 192.168.100.0 - das soll natürlich auch so sein.
ABER
Ich konnte problemlos als Gast in die VPN Netze 192.168.0.0/24 usw.
Meine 2 Fragen:
- Wie kann ich NUR das Internet für die Gäste freigeben aber alles Andere sperren? Ich möchte hier keine Netz oder ... übersehen? Gibt es etwas was alles sperrt und nur Internet funktioniert?
- Evtl. möchte ich ein 3. Netz ( Server) einrichten, hier sollen aber alle aus dem Lan ins Servernetz kommen. Wie stelle ich das an?
Gruß & Danke
WLAN Gast Netzwerk und Routing
Moderator: Lancom-Systems Moderatoren
Re: WLAN Gast Netzwerk und Routing
Moin,
1. Dass Deine Gäste die VPN-Routen benutzen dürfen, liegt daran, dass in der Routing-Tabelle die Routen zu den VPN-Zielnetzen das Tag 0 haben.
Dein Gast-Netz mit dem Tag 10 darf alle Routen mit Tag 10 und alle Routen mit Tag 0 nutzen. Durch das Tag 10 sieht das Gastnetz aber nur wie gewünscht andere Netze, die auch Tag 10 haben (die es ja nicht gibt, daher kein Zugriff auf andere lokale Netze). Netze mit dem Tag 0 sehen alle anderen Netze. D.h. Dein normales Netz kann sehr wohl auf einen Rechner im Gast-Netz zugreifen.
Um nun den Zugriff aus dem Gast-Netz auf die VPN-Ziele zu unterbinden, kannst Du ganz einfach eine Firewall-Regel anlegen:
- Name: Deny_Guests_VPN
- Aktion: Deny
- Quelle: Adressbereich 10.11.12.0/24, Quelldienste beliebig
- Ziel: Adressbereich 192.168.0.0/16, Zieldienst beliebig
2. Einfach ein weiteres Netz anlegen, wie Du es auch schon für das Gastnetz gemacht hast. Dem Servernetz gibst Du dann das gewünschte VLAN aber als Tag lässt Du die 0 stehen. Somit wird automatisch zwischen Intranet und Servernetz geroutet.
Grüße,
Torsten
1. Dass Deine Gäste die VPN-Routen benutzen dürfen, liegt daran, dass in der Routing-Tabelle die Routen zu den VPN-Zielnetzen das Tag 0 haben.
Dein Gast-Netz mit dem Tag 10 darf alle Routen mit Tag 10 und alle Routen mit Tag 0 nutzen. Durch das Tag 10 sieht das Gastnetz aber nur wie gewünscht andere Netze, die auch Tag 10 haben (die es ja nicht gibt, daher kein Zugriff auf andere lokale Netze). Netze mit dem Tag 0 sehen alle anderen Netze. D.h. Dein normales Netz kann sehr wohl auf einen Rechner im Gast-Netz zugreifen.
Um nun den Zugriff aus dem Gast-Netz auf die VPN-Ziele zu unterbinden, kannst Du ganz einfach eine Firewall-Regel anlegen:
- Name: Deny_Guests_VPN
- Aktion: Deny
- Quelle: Adressbereich 10.11.12.0/24, Quelldienste beliebig
- Ziel: Adressbereich 192.168.0.0/16, Zieldienst beliebig
2. Einfach ein weiteres Netz anlegen, wie Du es auch schon für das Gastnetz gemacht hast. Dem Servernetz gibst Du dann das gewünschte VLAN aber als Tag lässt Du die 0 stehen. Somit wird automatisch zwischen Intranet und Servernetz geroutet.
Grüße,
Torsten
Re: WLAN Gast Netzwerk und Routing
@pappabaer
Hallo Torsten,
ahh. vielen Dank für die Hilfe.... Dann werde ich die FW Regel so einrichten. /16 logisch ......
Lieben Dank......
Hallo Torsten,
ahh. vielen Dank für die Hilfe.... Dann werde ich die FW Regel so einrichten. /16 logisch ......
Lieben Dank......
Re: WLAN Gast Netzwerk und Routing
Hallo,
alternativ kann man genauso gut, wenn nicht noch besser, auch mit Schnittstellen- und Routing-Tags arbeiten.
Einfach dem Intranet und dem Server-Netz ein Schnittstellen-Tag ungleich 10, also z. B. 1 geben und dann die VPN-Routen alle mit dem Routing-Tag 1 versehen, fertig. Zu klären ist aber noch, ob das Server-Netz Zugriff auf die VPNs haben soll.
Viele Grüße
Jirka
alternativ kann man genauso gut, wenn nicht noch besser, auch mit Schnittstellen- und Routing-Tags arbeiten.
Einfach dem Intranet und dem Server-Netz ein Schnittstellen-Tag ungleich 10, also z. B. 1 geben und dann die VPN-Routen alle mit dem Routing-Tag 1 versehen, fertig. Zu klären ist aber noch, ob das Server-Netz Zugriff auf die VPNs haben soll.
Viele Grüße
Jirka