Guten Tag,
ich bin gerade dabei einen L-321agn Wireless mit Public Spot zu konfigurieren.
Dieser soll an einen Router angeschlossen werden, der weder VLAN noch Firewall, ACLs oder ähnliches unterstützt.
Welche Möglichkeiten bietet mir das Gerät Benutzern der Public Spot Funktion den Zugriff auf das interne Netz zu verbieten und nur den Zugang auf das Internet zu erlauben?
Die interne Firewall scheint umgangen zu werden.
Ps: Mir ist aufgefallen, dass Benutzer beim einloggen ein Zertifikatsproblem bekommen. Kann man dieses umgehen, ohne sich ein eigenes Zertifikat ausstellen lassen zu müssen?
Mit freundlichem Gruß,
Florian
L-321agn Wireless mit Public Spot vom Lan abschotten
Moderator: Lancom-Systems Moderatoren
Moin,
Bridging (Default-Betriebsart für einen AP) nicht im Spiel.
Du könntest mit Hilfe dep Protokollfilter in der LAN-Bridge
einschränken, was auf einer SSID erlaubt ist, alternativ
die SSID aus dem Bridging ausnehmen, dann muß das L-321
aber selber Gateway, DNS und DHCP für die Clients auf
dieser SSID werden und sobald ein zweiter AP dazukommt,
wird das haarig.
abschalten...Setup->Public-Spot->Login-Page-Type...
die Login-Daten sind dann natürlich abhörbar, falls die
SSID selber unverschlüsselt ist.
Gruß Alfred
Die Firewall des ist Teil des Routers, und der ist beimWelche Möglichkeiten bietet mir das Gerät Benutzern der Public Spot Funktion den Zugriff auf das interne Netz zu verbieten und nur den Zugang auf das Internet zu erlauben?
Die interne Firewall scheint umgangen zu werden.
Bridging (Default-Betriebsart für einen AP) nicht im Spiel.
Du könntest mit Hilfe dep Protokollfilter in der LAN-Bridge
einschränken, was auf einer SSID erlaubt ist, alternativ
die SSID aus dem Bridging ausnehmen, dann muß das L-321
aber selber Gateway, DNS und DHCP für die Clients auf
dieser SSID werden und sobald ein zweiter AP dazukommt,
wird das haarig.
Du kannst HTTPS für die Übertragung der Login-DatenPs: Mir ist aufgefallen, dass Benutzer beim einloggen ein Zertifikatsproblem bekommen. Kann man dieses umgehen, ohne sich ein eigenes Zertifikat ausstellen lassen zu müssen?
abschalten...Setup->Public-Spot->Login-Page-Type...
die Login-Daten sind dann natürlich abhörbar, falls die
SSID selber unverschlüsselt ist.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Danke für die wirklich schnelle Antwort!
Sind diese Einstellungen korrekt? (Einstellungen über LANconfig)
1.) Wireless Lan -> Allgemein -> Logische WLAN Einstellungen -> Client-Bridge Unterstützung -> Nein
2.) DHCP einschalten, Standardgateway und erster DNS auf IP des AP
3.) DNS Server einschalten, Weiterleitung auf Router IP
Ist das soweit ok, bzw. welche Einstellungen könnten noch fehlen?
Gruß
Sind diese Einstellungen korrekt? (Einstellungen über LANconfig)
1.) Wireless Lan -> Allgemein -> Logische WLAN Einstellungen -> Client-Bridge Unterstützung -> Nein
2.) DHCP einschalten, Standardgateway und erster DNS auf IP des AP
3.) DNS Server einschalten, Weiterleitung auf Router IP
Ist das soweit ok, bzw. welche Einstellungen könnten noch fehlen?
Gruß
Moin,
WLAN-Clients an dem Gerät hängen...
Gruß Alfred
Ist ziemlich wurscht, solange keine LANCOMs als1.) Wireless Lan -> Allgemein -> Logische WLAN Einstellungen -> Client-Bridge Unterstützung -> Nein
WLAN-Clients an dem Gerät hängen...
In Odnung wofür?Ist das soweit ok, bzw. welche Einstellungen könnten noch fehlen?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Kurz gesagt, welche Einstellungen müssen genau vorgenommen werden, um mein Ziel zu erreichen und die Firewall in Betrieb nehmen zu können?
Ich wäre für eine Beschreibung / Anleitung sehr dankbar!
Das Netz ist: 192.168.10.0
Subnetzmaske: 255.255.255.0
Der Router hat die IP: 192.168.10.1
Der Accesspoint hat die IP: 192.168.10.111
Gruß!
Ich wäre für eine Beschreibung / Anleitung sehr dankbar!
Das Netz ist: 192.168.10.0
Subnetzmaske: 255.255.255.0
Der Router hat die IP: 192.168.10.1
Der Accesspoint hat die IP: 192.168.10.111
Gruß!
Moin,
das klingt für mich so ein bisserl nach "bitte gebt mir ein
Kochrezept". Damit macht man sich hier im Forum zum
einen nicht besonders beliebt, zum anderen ist ein LANCOM
ein viel zu komplexes Gerät, als daß so ein Ansatz auf Dauer
funktioniert - irgendetwas ist bei jedem anders, und ohne
ein grundlegendes Verständnis der Zusammenhänge
bekommt man dann die 'Musterlösung' nicht auf sein eigenes
Szenario angepaßt.
Kurz gesagt, ich würd's in folgender Reihenfolge angehen:
(1) in der LAN-Bridge die Bridge-Gruppe der Gast-SSID
auf 'none' stellen, damit von/zu dieser SSID nicht mehr
gebridget wird
(2) In den TCP/IP-Einstellungen ein weiteres Netz anlegen,
das an diese SSID gebunden ist.
(3) In den DHCP-Einstellungen eine DHCP-Server-Instanz
für dieses neue Netz anlegen. Die ganzen Adreßangeben
kann man auf 0.0.0.0 lassen, das LANCOM meldet dann
sich als Gateway & DNS bei den Clients. Im TCPIP-Setup
muß man dann noch hinterlegen, wohin das LANCOM die
DNS-Anfragen weiterleiten soll.
(4) auf dem Router einen Routing-Eintrag anlegen, der
dem Router sagt, Pakete für das IP-Netz auf der Gast-SSID
an die 192.168.10.111 weiterzuleiten.
Wenn dann der erste Ping von einem Client erfolgreich bis
zum Router bzw. ins Internet geht, kann man sich in der
Firewall anfangen auszutoben...
Gruß Alfred
das klingt für mich so ein bisserl nach "bitte gebt mir ein
Kochrezept". Damit macht man sich hier im Forum zum
einen nicht besonders beliebt, zum anderen ist ein LANCOM
ein viel zu komplexes Gerät, als daß so ein Ansatz auf Dauer
funktioniert - irgendetwas ist bei jedem anders, und ohne
ein grundlegendes Verständnis der Zusammenhänge
bekommt man dann die 'Musterlösung' nicht auf sein eigenes
Szenario angepaßt.
Kurz gesagt, ich würd's in folgender Reihenfolge angehen:
(1) in der LAN-Bridge die Bridge-Gruppe der Gast-SSID
auf 'none' stellen, damit von/zu dieser SSID nicht mehr
gebridget wird
(2) In den TCP/IP-Einstellungen ein weiteres Netz anlegen,
das an diese SSID gebunden ist.
(3) In den DHCP-Einstellungen eine DHCP-Server-Instanz
für dieses neue Netz anlegen. Die ganzen Adreßangeben
kann man auf 0.0.0.0 lassen, das LANCOM meldet dann
sich als Gateway & DNS bei den Clients. Im TCPIP-Setup
muß man dann noch hinterlegen, wohin das LANCOM die
DNS-Anfragen weiterleiten soll.
(4) auf dem Router einen Routing-Eintrag anlegen, der
dem Router sagt, Pakete für das IP-Netz auf der Gast-SSID
an die 192.168.10.111 weiterzuleiten.
Wenn dann der erste Ping von einem Client erfolgreich bis
zum Router bzw. ins Internet geht, kann man sich in der
Firewall anfangen auszutoben...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015