Hallo zusammen,
ich habe mal eine Frage zu meinem WLAN Acces point. Ist es möglich das daran angebundene Internet (router ist eingebaut, DSL 2 MBit) nach außen freizugeben, also in dem sinne das jeder surfen kann der sich vor mein Haus stellt, aber das man ohne Key kein Zugriff auf das daran angeschlossene Netzwerk hat?
Oder Alternativ das ein Key alles erlaubt, ein anderer nur Internet?
Danke im Vorraus, Andreas
Tomcat 
Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
wenn du keinen extrem teuren access point von 3com und konsorten einsetzt eindeutig NEIN. Andersherum (d.h. nur zugriff auf lan) ist bei vielen geräten durch rules basierend auf mac/ip-adressen möglich.
du könntest jedoch einen zweiten router dazu einsetzen zwei netzwerke zu bilden. eines dessen mitglieder dein jetziger access point/router, sowie alles wlan clients sind, und eines in welchem deine kabelgebundenen pcs mitglied sind. und diese beiden verbindest du mit dem zweiten router in welchem du den zugriff des wlannetztes auf dein normales lan regeln kannst. i-net zugriff wär damit weiterhin aus beiden netzten möglich. als zweiter router reicht ein billiger stadard hardware router für 30¤, oder ein alter rechner mit fli4l (www.fli4l.de) drauf aus
gruß,
Tomcat
Andylol Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
Moin,
@bandeplus
Grundsätzlich JA!!! Ist möglich!
Aber was für einen "Key" meinst Du denn eigentlich?
Der WEP-Key für WLAN allein tut´s natürlich nicht ;-)
Denn den kann man sich recht einfach "er-sniffen", MAC-Beschränkungen kann man ebenfalls umgehen und wenn der AccessPoint zudem noch als DHCP-Server fungiert wird es noch etwas einfacher für einen Aussenstehenden!
Kurz:
Wer sich (mit WEP-Key) auf dem WLAN-AccessPoint einloggen kann, hat theoretisch Zugriff auf alle(!) daran angeschlossnen Rechner bzw. deren Freigaben (es sei denn eine restriktive(!) Rechteverwaltung/Berechtigungsverwaltung schränkt dieses ein).
Besser ist da Tomcats Vorschlag:
Bilde ZWEI seperate Netze, die nicht unmittelbar über den AP erreichbar sind.
Das heißt: ZWEI eigenständige IP-Adressbereiche (private IP-Adressen)!
Das heißt, Du richtest Dir eine "Art" DMZ (Demilitarized Zone) ein.
Über den AccessPoint darf dann nur der Internet-rechner erreichbar sein (1 IP-Adressbereich).... der andere IP-Adressbereich (zweites Netz) ist NICHT direkt über den Internetrechner erreichbar, sondern nutzt einen zweiten Router über eine eigenständige Routingtabelle direkt(!) zum 1. Router.
Gruß
Andylol
Teletom Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
Hi,
sehr gute Idee das mit der DMZ-(Art).
Wichtig ist dabei, dass das angriffgefährdete DMZ- Netzwerk - in dem Fall das Funknetz - möglichst keinen Zugriff auf Dein sicherheitsrelevantes Netzwerk haben kann.
Sinnvoll ist der Einsatz eines zweiten Routers zusätzlich zum Access Point Router. Der zweite Router sollte möglichst ein Hardware- Router oder z.B. ein fli4l-Router sein, kann aber auch ein Desktop- Computer mit der graphischen Benutzeroberfläche von Windows oder von Linux sein.
Einfachstenfalls besteht der zweite Router aus einem Windows- Rechner, der über eine Netzwerkkarte und einem switchablen Hub mit dem sicherheitsrelevantes Netzwerk verbunden ist. Die Routerfähigkeit kann man entweder durch IP-Forwarding (EnableRouting=1) oder besser durch Internetverbindungsfreigabe mit NAT(!!!) realisieren. Dazu muss im Router- PC ein zweiter Netzwerkadapter für die DMZ eingebaut werden:
entweder eine zweite Netzwerkkarte, wenn der Access Point einen RJ45- Netzwerkanschluss hat,
oder einen WLAN- (z.B. USB-) 54Mbit/s Funknetz- Adapter verwenden.
Die Internetverbindungsfreigabe an diesem zweiter Netzwerkadapter für die DMZ einrichten.
Selbstverständlich darf der Access Point nicht anderweitig mit dem sicherheitsrelevanten Netzwerk verbunden sein.
DSL über den Access Point Router realisieren.
Als Standard- Gateway muss dann bei allen WLAN- Computern und beim zweiten Router (z.B. der einfachstenfalls beschriebene PC) die IP- Nummer des Access Points eingetragen werden.
Unbedingt zu beachten ist, dass im Fall des Einsatzes eines PCs als zweiten Router der Zugriff vom angriffgefährdeten DMZ- Netzwerk auf diesen PC möglich ist.
Das heisst, keine sicherheitsrelevanten Daten auf dem Router- PC verwenden und den zweiten mit dem Access Point verbundenen Netzwerkadapter durch eine Firewall schützen (z.B. XP- Firewall für diesen Adapter aktivieren).
Als Standard- Gateway muss bei den sicherheitsrelevantes Netzwerk- Computern - außer bei dem eventuellen Router- PC - die Internetverbindungsfreigabe- IP (z.B. 192.168.0.1) eingetragen werden.
Als Ergebnis ist von jedem Computer aus der Internetzugriff letztenendes über den Access Point DSL Router möglich. Die Computer im sicherheitsrelevanten Netz greifen zweifach geroutet - einmal zweiter Router und einmal Access Point Router - auf das Internet zu.
Das Zugreifen von bestimmten WLAN- Computern auf sicherheitsrelevante Netzwerk- Computer kann man durch eine statische Route realisieren.
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
GarfTermy Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
alternative?
1. lan: dort eine domäne aufbauen und die dann möglichen administrativen mittel nutzen
2. firewall: mit enprechenden regeln arbeiten und damit das netz teilen
3. siehe weiter oben...
so habe ich das gelöst:
1. lan mit domäne und ipsec
2. firewall an der schnittstelle der netze
;-)
Teletom GarfTermy „alternative? 1. lan: dort eine domäne aufbauen und die dann möglichen...“
Ja ja,
MS Domäne und IpSec Authentifizierung ist mir als erster Lösungsgedanke auch gekommen, da müßte abber mindestens ein MS Server vorhanden sein, was kostet schon die Welt?
Der Gedanke der DMZ ist trotzdem äußerst interessant und funktioniert sogar systemunabhängig, egal ob Dos, Windows, Linux, Novell oder HP Solaris ... Unix läuft.
Die von mir vorgestellte DMZ- Konkretisierung arbeitet sogar astrein in einem reinen W98 Netz und ist darüber hinaus überaus kostensparend.
Teletom selber ;-)
GarfTermy Teletom „Ja ja, MS Domäne und IpSec Authentifizierung ist mir als erster Lösungsgedanke...“
"...MS Domäne und IpSec Authentifizierung ist mir als erster Lösungsgedanke auch gekommen, da müßte abber mindestens ein MS Server vorhanden sein, was kostet schon die Welt? ..."
ja. w2kserver bekommst du bei ebay für mittlerweile vernünftige preise. da ipsec an sich eine sehr sichere sache ist, finde ich die lösung sehr schick...
;-)
Andylol Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
Moin,
zu beachten ist dabei aber eines:
Einige Router bieten eine sogenannte "DMZ"-Einstellung an.... das ist aber zumindest bei Low-Cost-Routern nicht mehr als die Einrichtung eines "Exposed Host"!
Mit DMZ hat das folglich nichts zu tun!
Erst die physikalische und logische Trennung (zweiter Router) des LANs mit privatem IP-Adressberich, schützt die Arbeitsrechner im LAN sicher von der "DMZ" (anderer privater IP-Bereich)... unabhängig vom Betriebssystem.
Ansonsten hat das Teletom recht anschaulich beschrieben.... das vermeidet zudem die Verwaltung eines DomänenControllers .... und die Anschaffung eines ServerBetriebssystems!
Obwohl garftermys Lösung auch funktionieren würde... aber für einen Anfänger würde dies doch einen "echtes" Verständnis bedeuten :-)
Setze ich bei der Anfangsfrage von bandeplus aber nicht unmittelbar voraus ;-)
Gruß
Andylol
Teletom Bandeplus „WLAN Freigabe - Internet Ja LAN nein“
Noch 'ne Bemerkung:
die oben dargestellte DMZ habe ich mehrfach zumindest in ähnlicher Form eingerichtet und funktioniert prima.
Toll ist auch, dass man das angriffgefährdete DMZ- Netz und das sicherheitsrelevante Netz räumlich trennen kann. Wenn man ein WLAN- (z.B. USB-) 54Mbit/s Funknetz- Adapter als zweiten Netzwerkadapter beim zweiten PC- Router verwendet, können schon mal bis zu 300 Meter Luftlinie mit z.B. 5 gemauerten Wänden dazwischen liegen, geil nicht wahr?
Wenn ein PC in der DMZ auf sicherheitsrelavante Rechner zugreifen soll, muss die Firewall für die dazugehörige IP Netbios explizit gestatten, ist jedoch aus meiner Sicht nicht zu empfehlen, denn Daten können zwischen den zwei Netzen über Internet zum Bleistift E-Mail ausgetauscht werden.
Gruß
Teletom
PS: Sorry for typos, hab's oben etwas eilig gehabt.
[Diese Nachricht wurde nachträglich bearbeitet.]
