Hallo zusammen,
ich möchte mit einem L54ag eine Surfstation für unsere Kunden einrichten. Das heißt diese sollen sich in einem Besprechnungszimmer per WLAN ins Internet einwählen können.
Da das Internet über unser LAN bereitgestellt wird möchte ich die Gäste strickt von unserm LAN trennen. Diese sollen nur Surfen können und sonst nicht auf das Firmen-LAN zugreifen können.
Zur Zeit ist der Stand so, dass wenn ich mich erfolgreich am L54ag per WLAN anmelde eine IP von unserem W2003 Server (DHCP Server) bekomme, die Firewall ist Default Gateway. Damit habe ich vollen Zugriff auf das LAN (entsprechende Rechte vorausgesetzt). Zum Surfen muss ich nur noch den Proyserver eintragen.
Wie kann ich es am schlausten machen, hat wer eine Idee?
Vielen Dank für jede Anregung!
Surfstation für Kunden
Moderator: Lancom-Systems Moderatoren
-
Hobbyfahrer
- Beiträge: 676
- Registriert: 26 Mär 2006, 17:58
- Wohnort: Hamburg
Moin,
sich nicht einfach eine feste Adresse aus dem IP-Bereich
Eurer Firma gibt. Des weiteren gehen sämtliche Broadcasts
aus dem Firman-LAN ins WLAN, die Gäste 'sehen' also
u.U. auch Freigaben von internen Rechnern. Wenn Du
eine echte Trennung von Gästen und internen Benutzern
haben willst, die ein Gast nicht so einfach umgehen kann,
kommst Du um VLANs nicht herum - oder die LAN-Seite
des Access Points steckt erst gar nicht im normalen
Firmen-LAN, sondern landet auf einem getrennten Port
der Firewall.
Gruß Alfred
Dann garantiert Dir aber niemand, daß ein böswilliger GastBin kein VLAN fan. Kann ich dem L54ag als DHCP Server auftreten lassen und ihn ip adressen aus einem anderemm Subnetz jedoch mit meinem Defaultgataway vergeben lassen. Damit hätte ich doch auch die Netze getrennt oder?
sich nicht einfach eine feste Adresse aus dem IP-Bereich
Eurer Firma gibt. Des weiteren gehen sämtliche Broadcasts
aus dem Firman-LAN ins WLAN, die Gäste 'sehen' also
u.U. auch Freigaben von internen Rechnern. Wenn Du
eine echte Trennung von Gästen und internen Benutzern
haben willst, die ein Gast nicht so einfach umgehen kann,
kommst Du um VLANs nicht herum - oder die LAN-Seite
des Access Points steckt erst gar nicht im normalen
Firmen-LAN, sondern landet auf einem getrennten Port
der Firewall.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Der AP arbeitet erstmal als L2 Bridge, das heist was deine WLAN-Clients auf L3 "machen" interssiert ihn nicht er leitet alles weiter in dein LAN
Wenn du den AP in den Routing-Modus schaltes kannst du den WLAN-Clients schonmal in ein anderes IP-Netz hängen und mit entpsrechenden FW regeln schonmal einiges "Dummes Zeuch" fernhalten, aber die WLAN-Clients ereichen dann trotzdem noch dein internes Netz auf L3
Mit einem entsrechenden Routingeintrag und passender Sperrroute sollte theoretisch der ganze InternetVerkehr auf deinem GW landen und Verkehr für dein lokales Netz Richtung /dev Null
ob das in der Praxis so funktioniert, müsste mal einer von den Experten sagen....
Die Lösung mit VLAN halte ich für am saubersten....
Wenn du den AP in den Routing-Modus schaltes kannst du den WLAN-Clients schonmal in ein anderes IP-Netz hängen und mit entpsrechenden FW regeln schonmal einiges "Dummes Zeuch" fernhalten, aber die WLAN-Clients ereichen dann trotzdem noch dein internes Netz auf L3
Mit einem entsrechenden Routingeintrag und passender Sperrroute sollte theoretisch der ganze InternetVerkehr auf deinem GW landen und Verkehr für dein lokales Netz Richtung /dev Null
ob das in der Praxis so funktioniert, müsste mal einer von den Experten sagen....Die Lösung mit VLAN halte ich für am saubersten....
Hallo IKN,
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Gruß
Mario
das sollte Dir weiterhelfen:Wie kann ich es am schlausten machen, hat wer eine Idee?
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument
Gruß
Mario
Danke ihr seid die Besten!
@eddia
Der Link ist super. Für mich kommt das zweite Szenario in Frage.
Danke
@eddia
Der Link ist super. Für mich kommt das zweite Szenario in Frage.
Wie kann ich den ARP Broadcast erlauben???Das zweite Szenario unterscheidet sich nicht wesentlich vom ersten. Prinzipiell ist das einzige was beachtet werden muss,
dass nun ein anderes Gateway angesprochen wird.
Folgende Einträge sind hierfür nur notwendig:
1. Um die MAC-Adresse mittels ARP aufzulösen, sollte der ARP-Broadcast erlaubt sein.
Danke
Hallöchen,
ich habe das Szenario, wie im Artikel beschrieben, durchgespielt.
ein L54g als Access Point mit zwei virtuellen W-Lans, dieser hängt an einem 1722, in dem auch der DHCP-Server aktiviert ist.
Der LC54 hat eine feste IP (aus dem Bereich des 1722), soll aber als Relay Anfragen an den 1722 weiterleiten.
Ich habe für das Wlan1-2 die Protokollfiltertabelle angelegt, wie es beschrieben wurde. Als MAC-Adressen habe ich die des Wlan 1-2, des Ethernet-Interfaces des LC54 und des Ethernet-Interfaces des 1722 angegeben.
(Außerdem die Einträge für ARP-Broadcasts, DHCP und IP (Arp Protokoll 806) hinzugefügt, meine Tabelle sieht so aus, wie im Dokument beschrieben - natürlich mit meinen MAC-Adressen)
Dennoch funktioniert das Ganze nicht, ich bekomme keine IP vom DHCP-Server. Wenn ich selbst eine vergebe, kann ich vom Wlan-Client das LC54 anpingen, aber nicht den 1722.
Wo kann der Fehler liegen? Jemand eine Idee?
Gruß
Dirk
ich habe das Szenario, wie im Artikel beschrieben, durchgespielt.
ein L54g als Access Point mit zwei virtuellen W-Lans, dieser hängt an einem 1722, in dem auch der DHCP-Server aktiviert ist.
Der LC54 hat eine feste IP (aus dem Bereich des 1722), soll aber als Relay Anfragen an den 1722 weiterleiten.
Ich habe für das Wlan1-2 die Protokollfiltertabelle angelegt, wie es beschrieben wurde. Als MAC-Adressen habe ich die des Wlan 1-2, des Ethernet-Interfaces des LC54 und des Ethernet-Interfaces des 1722 angegeben.
(Außerdem die Einträge für ARP-Broadcasts, DHCP und IP (Arp Protokoll 806) hinzugefügt, meine Tabelle sieht so aus, wie im Dokument beschrieben - natürlich mit meinen MAC-Adressen)
Dennoch funktioniert das Ganze nicht, ich bekomme keine IP vom DHCP-Server. Wenn ich selbst eine vergebe, kann ich vom Wlan-Client das LC54 anpingen, aber nicht den 1722.
Wo kann der Fehler liegen? Jemand eine Idee?
Gruß
Dirk