Hallo,
ein bekannter hat mich gebeten für folgendes Szenario einen Vorschlag zu machen:
Zwei Standorte einer kleinen Firma sind via VPN verbunden. An beiden Seiten ist ein LANCOM 1722 im Einsatz. Jetzt soll an beiden Standorten ein Wlan (wahrscheinlich mit L-54ag) eingerichtet werden. Primär soll dies einem Gastzugang dienen. Es soll also von Wlan aus eine Verbindung ins Internet möglich sein, aber auf absolut keinen Fall ins interne Netz oder zur VPN-Verbindung. Es wäre noch schön wenn auch ein gesicherter Mitarbeiterzugang mit allen Rechten zu realisieren wäre. Dies ist aber sekundär.
Hat jemand schon einmal etwas ähnliches Realisiert. Ich hab da zwar schon ein paar Ideen, aber die Sache ist mir etwas zu heiß. Ich wäre für jede Anregung dankbar!
Zwei Standorte mit VPN verbinden und zusätzlicher Wlan Gastz
Moderator: Lancom-Systems Moderatoren
Hi xalpha
solange du nur einen AP aufstellen und nur den Gestzugang haben willst ist das relativ einfach:
Als erstes definierts du im 1722 ein zweites logisches LAN-Interface (unter Schnittstellen -> LAN -> Ethernetports), indem du für den Port, an den du das L54 hängen willst (z.B. ETH-4) als Interface-Verwendung "LAN-2" einträgst.
Danach richtest du ein weiteres IP-Netz ein (unter TCP/IP -> Allgemein -> IP-Netzwerke) ein (z.B. mit dem Namen "GASTNETZ") und bindest dieses Netz an das Interface "LAN-2". Zusätzlich versiehst du dieses Netz mit einem Interface-Tag ungleich 0 - dadurch hat dieses Netz keinen Zugang mehr zum Intranet und wird auch vom VPN ignoriert.
Zu guter Letzt aktivierst du für das Gastnetz noch den DHCP-Server (unter TCP/IP -> DHCP -> DHCP-Netzwerke das Netz "GASTNETZ" hinzufügen)
Wenn du nun noch einen Mitarbeiterzugang haben willst, dann kommst du entweder um VLANs nicht mehr herum (zwei SSIDs für Gast- und Mitarbeiter-WLAN mit jeweis eigener VLAN-ID) oder du stellst einen weitern AP auf, der seinerseits explizit an einen eigenen Ethernet-Port des 1722 geheftet wird.
Für diesen expliziten Port oder das verwendete VLAN richtest du nun auch wieder ein neue IP-Netzwerk ein und aktivierst den DHCP-Server. Diesem Netz gibst du aber das Interface-Tag 0 wodurch es vom Intranet aus sichtbar wird. Ebenso wird es bei der VPN Regelerstellung berücksichtigt - Du mußt nur noch auf der Gegenseite dieses Netz auf den VPN-Tunnel routen...
Gruß
Backslash
solange du nur einen AP aufstellen und nur den Gestzugang haben willst ist das relativ einfach:
Als erstes definierts du im 1722 ein zweites logisches LAN-Interface (unter Schnittstellen -> LAN -> Ethernetports), indem du für den Port, an den du das L54 hängen willst (z.B. ETH-4) als Interface-Verwendung "LAN-2" einträgst.
Danach richtest du ein weiteres IP-Netz ein (unter TCP/IP -> Allgemein -> IP-Netzwerke) ein (z.B. mit dem Namen "GASTNETZ") und bindest dieses Netz an das Interface "LAN-2". Zusätzlich versiehst du dieses Netz mit einem Interface-Tag ungleich 0 - dadurch hat dieses Netz keinen Zugang mehr zum Intranet und wird auch vom VPN ignoriert.
Zu guter Letzt aktivierst du für das Gastnetz noch den DHCP-Server (unter TCP/IP -> DHCP -> DHCP-Netzwerke das Netz "GASTNETZ" hinzufügen)
Wenn du nun noch einen Mitarbeiterzugang haben willst, dann kommst du entweder um VLANs nicht mehr herum (zwei SSIDs für Gast- und Mitarbeiter-WLAN mit jeweis eigener VLAN-ID) oder du stellst einen weitern AP auf, der seinerseits explizit an einen eigenen Ethernet-Port des 1722 geheftet wird.
Für diesen expliziten Port oder das verwendete VLAN richtest du nun auch wieder ein neue IP-Netzwerk ein und aktivierst den DHCP-Server. Diesem Netz gibst du aber das Interface-Tag 0 wodurch es vom Intranet aus sichtbar wird. Ebenso wird es bei der VPN Regelerstellung berücksichtigt - Du mußt nur noch auf der Gegenseite dieses Netz auf den VPN-Tunnel routen...
Gruß
Backslash
Hallo Backslash,
vielen Dank für die Erläuterungen! Gehe ich richtig in der Annahme, dass die neue Firmware diese relativ simple Lösung erst möglich macht? Ich hatte mich vor einiger Zeit schonmal damit beschäftigt und da war das meiner Meinung nach noch komplexer.
Die noble Lösung mit Vlan's wäre in meinem Fall auch gut umsetzbar, da der AP eher zufällig direkt an den Router angeschlossen wird. Die sonstige Infrastruktur ist leider noch nicht voll Vlan fähig.
Beste Grüße und vielen Dank!
xalpha
vielen Dank für die Erläuterungen! Gehe ich richtig in der Annahme, dass die neue Firmware diese relativ simple Lösung erst möglich macht? Ich hatte mich vor einiger Zeit schonmal damit beschäftigt und da war das meiner Meinung nach noch komplexer.
Die noble Lösung mit Vlan's wäre in meinem Fall auch gut umsetzbar, da der AP eher zufällig direkt an den Router angeschlossen wird. Die sonstige Infrastruktur ist leider noch nicht voll Vlan fähig.
Beste Grüße und vielen Dank!
xalpha
Hi xalpha
Gruß
Backslash
ja, denn erst durch das ARF ist es möglich, mehr als zwei lokale Netz zu definieren und diese über VLANs und Interface-Tags voneinander zu trennen...vielen Dank für die Erläuterungen! Gehe ich richtig in der Annahme, dass die neue Firmware diese relativ simple Lösung erst möglich macht?
Gruß
Backslash
Hallo,
ja ich hab jetzt auch die Anleitung für die alte Firmware gefunden. Aber dieses ARF ist schon eine feine Sache!
Ich hab im Moment eine Testkonfiguration am laufen. Momentan nur Gastzugang über Wlan. Wäre es auch noch möglich den Zugriff auf den Netzwerkdrucker freizugeben? Dieser steht sozusagen im "sicheren" Netz. Ich bräuchte also ein Routing zwischen sicherem und Gastnetz. Das müsste dann wahrscheinlich noch über die Firewall laufen. Aber bis jetzt habe ich das nicht hinbekommen. Hat das schonmal jemand realisiert?
Danke!
Xalpha
ja ich hab jetzt auch die Anleitung für die alte Firmware gefunden. Aber dieses ARF ist schon eine feine Sache!
Ich hab im Moment eine Testkonfiguration am laufen. Momentan nur Gastzugang über Wlan. Wäre es auch noch möglich den Zugriff auf den Netzwerkdrucker freizugeben? Dieser steht sozusagen im "sicheren" Netz. Ich bräuchte also ein Routing zwischen sicherem und Gastnetz. Das müsste dann wahrscheinlich noch über die Firewall laufen. Aber bis jetzt habe ich das nicht hinbekommen. Hat das schonmal jemand realisiert?
Danke!
Xalpha