Ein 6-Familien-Haus sicher vernetzen - offene WLAN Fragen

alexthebrain

alexthebrain

Workaholic
Thread Starter
Mitglied seit
21.11.2004
Beiträge
2.089
Ort
linke Spur
Ein 6-Familien-Haus sicher vernetzen
edit1: weiter unten geht es speziell um MAC Adressierungen und VLANs
edit2: Auf Seite 2 ist ein Organigramm, dass bildlich meine evtl. Lösung zeigt
edit3: Abschließend habe ich noch vereinzelte Fragen bezüglich WLAN

Servus!

Also.......geht um folgendes. Ich möchte x Personen (nehmen wir mal 8) über eine DSL Leitung ins Internet lassen. Kein Problem, Router, WLAN / Patchkabel, DHCP oder statisch, fertig is der Lack.

Nun die Tücke: Die 8 sind geteilt in A, B und C. "A" hat zwei Netzwerdrucker, und vier PCs. Diese sollen alle in einem Verbund arbeiten können, Netzwerkfreigaben, Internet, Printserver. Die "B" und "C"ler sollen bei den "A"lern nichts zu suchen haben, kein Netzwerkzugriff, kein drucken, nur Internet. "B" und "C" sollen sich ebenfalls nicht verständigen können.

Wie realisiere ich das? Im Einsatz: Windows 98, XP, ME, OSX.

So, nummerier das ganze mal......

#1
Gruppe A in eine anderen IP Bereich als B+C setzen.
"A" 192.128.31.x
"B" 192.128.60.x
"C" 192.128.80.x
Funzt das Internet, wenn ich die IPs so vergebe, den Gateway + DNS 192.128.1.1 (Router) aber bei allen gleich eintrage?

#2
Gruppe "A" in eine anders definierte Arbeitsgruppe "xyz" setze

#3
Gruppe "A" nutzt komplett XP. Kann man für Netzwerkfreigaben ein Passwort einrichten? Die man auf allen erlauben Clients fest einträgt?

#4
Wie bringe ich "Sicherheit" an die Printserver? Reicht es, die Warteschlangennamen nicht bekannt zu geben?

#5
Gibt's da hardwareteschnisch irgendwas verwendbares? Ein neuer Router wird sowieso angeschafft, gibts da welche mit VLANs oder Ähnlichem?


Eine Art "Server" möchte ich nicht laufen lassen
Hoffe ich konnte mich einigermaßen verständlich ausdrücken ^^
Bin für jede Anmerkung und Hilfe dankbar!

Grüße aus Würzburg,
Alex
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo,

wird etwas kompliziert, so eine Struktur einzurichten.

1. A+B+C müssten im gleichen Subnetz liegen, wie der DSL-Router, sonst kein Internet möglich (192.128.x.x ist wohl ein Tippfehler, sollte 192.168.x.x sein).

2. Da weder B noch C auf A Zugriff haben sollen und auch nicht untereinander, muss jeder Computer in A+B+C zwei getrennte Netzwerkkarten haben, so dass man jeweils eine für den Internetzugang so konfiguriert, dass dort werder der MS-Client noch der Datei-/Druckerfreigabe-Dienst aktiviert ist, nur das TCP/IP-Protokoll. Die jeweils andere Netzwerkkarte von A, B, C, mit einer jeweils anderen Subnetz IP-Adresse konfigurieren.

Ergibt also bei A

NIC-1: IP 192.168.1.x, Maske, 255.255.255.0, Gateway/DNS 192.168.1.1
(nur TCP/IP-Protokoll, kein Client und Freigabe-Dienst)

NIC-2: IP 192.168.10.x, Maske, 255.255.255.0, kein Gateway/DNS
(TCP/IP-Protokoll, Client und Freigabe-Dienst)

und bei B

NIC-1: IP 192.168.1.x, Maske, 255.255.255.0, Gateway/DNS 192.168.1.1
(nur TCP/IP-Protokoll, kein Client und Freigabe-Dienst)

NIC-2: IP 192.168.20.x, Maske, 255.255.255.0, kein Gateway/DNS
(TCP/IP-Protokoll, Client, möglicherweise Freigabe-Dienst)

sowie bei C

NIC-1: IP 192.168.1.x, Maske, 255.255.255.0, Gateway/DNS 192.168.1.1
(nur TCP/IP-Protokoll, kein Client und Freigabe-Dienst)

NIC-2: IP 192.168.30.x, Maske, 255.255.255.0, kein Gateway/DNS
(TCP/IP-Protokoll, Client, möglicherweise Freigabe-Dienst)

Das eigentliche Problem ist es, dass man an eine Netzwerkkarte zwar mehrere verschiedene IP-Adressen binden kann, aber keine Möglichkeit hat eine bestimmte IP dem MS-Client und Freigabe-Dienst zuweisen zu können. Deshalb braucht man eben jeweils zwei getrennte Netzwerkkarten. Alle IP Angaben sind nur beispielhaft und die NICs-1 könnten auch ihre IPs vom DHCP im DSL-Router automatisch beziehen, ist sogar sinnvoll. Alle NICs-2 müssen mit statischen IPs konfiguriert werden.

Zu den Freigabe-Rechten: Man kann die "Gast-Rechte" für eine "anonyme" Nutzung der Freigaben benutzen. Kann man wohl irgendwo in den Policies so einstellen, wenn ich mich richtig erinnere. Mehr weiß ich aber dazu nicht.

Das mit der "Sicherheit" für die Print-Server verstehe ich nicht, welche "Sicherheit"?

Die verschiedenen NICs bilden eigene VLAN-Subnetze, ob das mit VLAN-Routern auch so geht, dass man bestimmte Dienste (Netzwerkzugriff/Druckerdienste) bestimmten IP-Adressbereichen zuweisen kann, keine Ahnung. Wenn ja, könnte man auch mit jeweils nur einer Netzwerkkarte arbeiten und der dann zwei IPs zuweisen (geht nur statisch) und den Rest müsste dann der VLAN-Router regeln können.

Noch "eleganter" geht das auch wie hier:

http://www.forumdeluxx.de/forum/showthread.php?t=192997

Da kann man den gesamten Internetzugriff nur für Linux zulassen und dem Windows vollständig entziehen und alles auch nur mit einer physikalischen Netzwerkkarte, geht aber nur mit Windows XP/2000.

Gruß

Rimini
 
Zuletzt bearbeitet:
Danke dir für deinen Comment! Genau das wollte ich leider nicht, 2 NICs benutzen.....zB weil 2 Laps mit drin hängen und eine zusätzliche Verkabelung notwendig wäre.

Mit "Sicherheit" der Printserver meine ich einfach, dass nicht jeder diese installieren dürfen soll, der die IP kennt. Deshalb auch eben die Frage mit dem Warteschlangennamen.

Die IPs sind übrigens alle verkehrt, dank Copy & Paste und falschem Original. Hast also recht mit deiner Vermutung ^^

Wäre es also soweit nicht realisierbar?

A 192.168.83.x
B 192.168.12.x
C 192.168.47.x

Router 192.168.1.1 als DNS + Gateway eingetragen? Wäre dann eine INet Nutzung von keinem genannten Subnetz möglich?

Ich glaube langsam, die billigste und einfachste Lösung wäre die Vergabe von Kennwörtern bei den Netzfreigaben. Wo richte ich diese denn ein? Vorallem bei 98 und XP Home?

Gefällt mir aber irgendwie nicht, diese Lösung. Erscheint mir ein bischen als "unsicher"

Dein Link ist prima, hilft mir aber nicht wirklich weiter bei meinem Problem. Trotzdem interessant :)
 
alexthebrain schrieb:
...
Wäre es also soweit nicht realisierbar?

A 192.168.83.x
B 192.168.12.x
C 192.168.47.x

Router 192.168.1.1 als DNS + Gateway eingetragen? Wäre dann eine INet Nutzung von keinem genannten Subnetz möglich?
Zum Vergrößern anklicken....

So kann keiner den Router erreichen, nur Netzwerk-Geräte im gleichen Subnetz-Adressraum können untereinander kommunizieren.

alexthebrain schrieb:
Ich glaube langsam, die billigste und einfachste Lösung wäre die Vergabe von Kennwörtern bei den Netzfreigaben. Wo richte ich diese denn ein? Vorallem bei 98 und XP Home?
Zum Vergrößern anklicken....

Genau, eigentlich regeln das die Zugriffs-Rechte. Bei Windows 98/ME weiß ich das schon nicht mehr richtig, legt man wohl ein Kennwort bei der Einrichtung der Freigabe ein. Bei XP Home keine Ahnung (kenne nur XP Pro, zumindes was den Netzwerkteil angeht). Bei XP Pro findet man die Zugriffs-Rechte bei den Eigenschaften einer Freigabe (Kontext-Menü) oder in der Computer-Verwaltung (Kontext-Menü des Arbeitsplatzes) und man kann Benutzern oder Gruppen, die vorher in der Benutzerverwaltung eingerichtet wurden, Rechte geben.

alexthebrain schrieb:
Gefällt mir aber irgendwie nicht, diese Lösung. Erscheint mir ein bischen als "unsicher"
Zum Vergrößern anklicken....

Was ist da unsicher? Auch die (Windows-)Server-Betriebssysteme regeln das so und nicht anders.

alexthebrain schrieb:
Dein Link ist prima, hilft mir aber nicht wirklich weiter bei meinem Problem. Trotzdem interessant :)
Zum Vergrößern anklicken....

Weiß ich, geht nicht mit Win98/ME und natürlich nicht mit OSX, aber in einer reinen Windows XP/2000 Welt kann man das Netzwerk so einrichten, dass Windows einen eigenen IP-Adressraum und Linux unter Windows einen ganz anderen IP-Adressraum belegt.

Gruß

Rimini
 
@Rimini
Ja du hast da schon Recht, war auch schon die Vermutung die ganze Zeit. Ich möchte einfach nicht unbedingt alles per Software sichern, vorallem habe ich auch ein Problem mit dem 98 und OSX Rechner.

@BoSS
Das klingt interessant! D.h. ich kann mit der Subnetmask .252 doch verschiedene IP Bereiche auf einen Gateway laufen lassen? Wenn ich ganz ehrlich bin, verstehe das Suppernetting nicht ganz, bzw dessen "Sinn"
 
Zuletzt bearbeitet:
such mal nach einem vlan fähigen router. linksys konnte das glaube ich
 
So, habe nun doch Geräte gefunden, allerdings nicht von Linksys

http://www.draytek.de/prod/Vigor2900G/Info-Vigor2900G.html
http://www.draytek.de/prod/Vigor2200VG/Info-Vigor2200VG.html

Dazu erneute Fragen ;). Ich zitiere:

"Virtuelles LAN und Bandbreitenbegrenzung

Der Vigor bietet die Möglichkeit, virtuelle LANs einzurichten (VLAN Layer 1). Jeder einzelne Ethernetanschluss kann einem virtuellen LAN zugeordnet werden - ein Datenaustausch zwischen verschiedenen VLANs ist nicht möglich.

Über VLAN kann man einzelne Teilbereiche des Netzwerks separieren, das Heimbüro wird z.B. von dem Netzwerk der Kinder getrennt. Internetzugang, Drucker, oder Server sind aber dennoch gemeinsam nutzbar.

Zusätzlich kann für jeden Ethernetport eine Bandbreitenbegrenzung definiert werden. In Abhängigkeit von der Richtung kann die Datenübertragungsrate limitiert werden. So verhindert man, dass einzelne Nutzer durch Auslastung der maximalen Bandbreite den Internetzugang überlasten."

Da steht nun "Jeder einzelne Ethernetanschluss kann einem virtuellen LAN zugeordnet werden". Wie funktioniert das? Das ich den Port mit einem IP Bereich definiere, oder ihm sage wenn an Port x MAC Adresse y angeschlossen wird, dann IP xxx?

Wie ist das bei WLAN? Kann ich das WLAN auch in 2-3 VLANs unterteilen, und per MAC Adresse die Laptops eintragen?

Nichts als Fragen ;)
 
Zuletzt bearbeitet:
Kauf die nen ordentliches switch mit VLAN, da hängste dann alle rechner rann, weist jedem seinen bereich(VLAN) zu, hängt das switch an nen router und schon gehts los.
Was auch geht, 1VLAN fähigen router und dann an jedem port ein(oder mehrere in "reihe") switch, für jede gruppe eins.

Alles andere als VLAN hat sicherheitlücken. Die IPs kann man anpassen und kann somit in den anderen bereich. Das selbe geschieht mit Subnet und MAC.
Nur was eine komponeten port mäßig macht(router oder switch) bringt dir ein gewissen maß an sicherheit.

@VLAN: Du sagst einfach, genau dieser anschluß gehört in dieses VLAN, dieser port dahin und so weiter. Das ist dann nicht abhängig von IP und so späßen. Es ist echt in "hardware". Die einzelnen leute können in ihren VLANs machen was sie wollen. Sie haben nur eine verbindung vom VLAN ins inet, jedoch niemals eine in andere VLANs.
 
Naja, ich hatte ein MAXIMALES Budget von 200,-€ im Kopf. Die beiden genannten Router oben kosten 130/170€. Die reine Hardware fürs Routen wird benötigt, Verkabelung, NICs, WLAN Karten, Printserver etc ist alles schon vorhanden.

Ich sehe ein weiteres Problem auf mich zukommen. Ich hatte geplant, ein Kabel ins oberste Stockwerk zu legen und per Switch 2 verschiedene User dran zu hängen. Die jedoch in 2 unterschiedliche VLANs sollten.......

Daher die Idee mit den MAC Adressen! Kann man nicht einfach sagen, MAC Adresse "xxx" bekommt IP "yyy" im VLAN "z"? Klar kann man MAC Adressen ändern, aber es ist denke ich sehr aufwendig herauszufinden, welche MAC Adressen im Router eingetragen sind. Oder gehe ich da falsch der Annahme? ^^

Könnte man ein WLAN auch in 2 VLANs unterteilen? Wenn ja, ebenfalls nur per MAC Adresse oder? Mir kommt keine andere Möglichkeit in den Sinn.....
 
Zuletzt bearbeitet:
alexthebrain schrieb:
Ich sehe ein weiteres Problem auf mich zukommen. Ich hatte geplant, ein Kabel ins oberste Stockwerk zu legen und per Switch 2 verschiedene User dran zu hängen. Die jedoch in 2 unterschiedliche VLANs sollten.......

Daher die Idee mit den MAC Adressen! Kann man nicht einfach sagen, MAC Adresse "xxx" bekommt IP "yyy" im VLAN "z"? Klar kann man MAC Adressen ändern, aber es ist denke ich sehr aufwendig herauszufinden, welche MAC Adressen im Router eingetragen sind. Oder gehe ich da falsch der Annahme? ^^
Zum Vergrößern anklicken....

Und warum nicht zwei getrennte Kabel?

Toll, ich lerne mal was über VLAN, so nebenbei. Hat mich bisher noch nie interessiert.

Gruß

Rimini
 
Ein sehr wissenswertes und interessantes Thema, wie ich finde :)

Zwei getrennte Kabel deshalb nicht, da bereits ein Kabel liegt. Noch ein 30 Meter Kabel zu legen wäre sehr aufwendig, weil es durch den Kamin verlegt werden muss.
 
Zuletzt bearbeitet:
Ja ist auch möglich, nur erzeugt das dann nen weiteren kabelaufwand. Und ich habe hier zB 10 rechner, mich würde es ankotzen, 2x kabel pro rechner.

Außerdem ist das wie erwähnt doof bei laptops, wenn man keine PCMCIA reinmachen möchte, muß man dann immer umstecken und umstellen.

Mit meiner genannten möglichkeit ist man aber eleganter unterwegs und man lernt nebenbei noch so allerhand. Außerdem kann man kurz und schmerzlos kurzerhand weitere rechner nachrüsten, thema LANparty.
 
Also verkabelt werden die sowieso fast alle, bis auf 2 Laptops und einen PC. Ein Laptop davon soll auch ein eigenes VLAN erhalten, nur soviel dazu.

Was meinst du mit umstecken + umstellen? Wieso eine PCMCIA Karte für Laps? Die sollen per WLAN rein, durch die MAC Adresse authentifiziert ins jeweilige VLAN (so zumindest meine Idee). Wie's mit der Umsetzung aussieht - dafür gibt's den Thread hier :)
 
Zuletzt bearbeitet:
Ich dachte rimini meinte jeder rechner mit 2LAN anschlüssen, einer fürs LAN und einer fürs netz. Hab da irgendwas verdreht.




Jop, die router kosten was, jedoch KÖNNEN die auch was.
Mal zum thema mit einem masterswitch.
http://geizhals.at/deutschland/a134535.html

Kostet knapp 100€, daran dann alle rechner und das modem bzw router.
@Kabel hoch ins stockwerk.

Wenn dir 100mbit(was fürs inet ok is) reichen, kannst du das kabel "aufteile". Die hängst oben und unten eine dose rann, mit 2 ports. Dem einen port gibst du doppelader 1+2, dem anderen 3+4. Wenn du nun beide dosen gleich beschaltest, hast du das kabel aufgetrennt und kannst 2x getrennte LANs über ein kabel machen. Hab ich auch gemacht, da ich 2 ports brauchte und der kabel lang und auch sehr wenig platz(nur für ein kabel) war.

@WLAN: Einfach jeder gruppe ein AP(http://geizhals.at/deutschland/a181864.html) hinstellen und an das switch und schon haste getrennte WLANs.

Dies ist ein weg, um die sicherheit zu maximieren um so fremdnutzung und ähnliches auszuschließen.

(me is nen sicherheitfanatiker)
 
Zuletzt bearbeitet:
na jetzt kommen wir der Sache ja langsam richtig nahe :bigok:

Was sehr gut is: Die Idee mit dem Aufsplitten. Habe das schon öfters gelesen, aber nicht ansatzweise daran gedacht das hier mit einzubringen! Wäre natürlich super!

Aber........

http://www.level-one.de/products3.php?sklop=3&id=531024

Laut dieser Produktbeschreibung, ist das weder ein Router, noch hat das Teil irgendwelche Managementfähigkeiten , wie vorallem VLAN.

Die beiden AP sind günstig, und würden vermutlich völlig ausreichen. Trotzdem finde ich, für 3 PCs (bzw 2 verschiedene VLANs) zwei APs ziemlich krass! Hast du noch nen anderen Vorschlag? Nach Möglichkeit in einem Gerät?
 
Zuletzt bearbeitet:
Du hast das falsche switch genommen. Ich meine laut link das 2441TX du hast das 2420 verlinkt. ;)

Das is nur nen switch, was dir die VLANs bringt. Dazu nimmst du dann einen router deiner wahl, der in allen VLANs ist(hier müßte man sich dann genauer informieren, ob das geht) und somit ist er in allen VLANs verfügbar.
 
uff..... ^^

Das würde dann so aussehen:

  1. DSL Leitung
  2. Router
  3. Switch
    • 2 Access Points
      • 2 VLANs für 2 WLANs
    • Alle Kabel-NICs in 3 verschiedenen VLANs
    • 2 Printserver
      • Drucker 1 darf von VLAN 1+2 genutz werden
      • Drucker 2 darf von VLAN 1 genutzt werden

Soweit korrekt? Probleme sehe ich in folgendem:

  • Was trägt man als Gateway/DNS bei den Clients ein?
  • Kann man die Printserver (sprich die Ports) in mehrere VLANS setzen? Dann müsste ja theoretisch der PS 2 IPs bekommen, oder wieder mit irgend nem Gateway/Forward gemanaged werden
  • Ziemlich viele Geräte:
    1. Router
    2. Switch
    3. 2 Access Points
    4. 2 Printserver
  • Dadurch wirds verdammt eng mit meinem Budget. Ein 24 Port Switch brauchts nicht, ein 12/16er würds auch tun. Gibt's da günstige Alternativen?

edit: Das hier ist der richtige Link zum Switch, scheint ja wirklich Klasse zu sein. Und auch nicht allzu teuer
http://www.level-one.de/products3.php?sklop=3&id=520124
 
Zuletzt bearbeitet:
@
pro port mehr als 2VLANs:
Am besten ist, du fragst den jeweiligen hersteller.

@gateway: Du kannst einfach 192.168.0.xxx vergeben. Jedes VLAN ist für sich und kennt keine rechner aus dem anderen VLAN. Du kannst also bei 3VLAN 3x die selbe IP vergeben, aber pro VLAN nur 1x. Ist quasi so, als wenn du 3 eigenständige netzwerke hast. Also gateway und DNS gibst du dann dein gateway bzw router ein.

Zwecks kosten, bekommst du zuschüsse? Wenn nicht, einfach jeder wohnung nen LAN kabel hinlegen und die sollen dann selber zusehen, wie sie das hinbekommen.

@switch: Das ist schon das günstigste was mit VLAN geht.
 
Zuletzt bearbeitet:
Ist nicht für mich, ist für ein Haus von einem Kollegen. Und der gibt dafür keinen Cent, das tragen alles die "Anderen". Daraus ergibt sich das Maximum von 200,-€. Soviel dazu ^^

Das mit dem VLAN
ist absolut fantastisch! :) Hatte da die ganze Zeit nen Denkfehler drin. Dachte

VLAN1 192.168.40.0-255
VLAN2 192.168.80.0-255

Aber es ist ja wirklich so wie du sagst. Dann müsste man quasi den Router nur noch dazu bringen, dass er "Zugriff" auf alle VLANs bekommt. Das ist defintiv Voraussetzung.

Könnte man es evtl sogar so machen, das man den jetzigen Router als 1x AP + Router weiternutzt? Hat so ein AP einen eigenen DHCP, oder schleift der den DHCP vom Router/Switch etc mit durch?

Sehe ein erneutes Problem:
Wenn 2 APs in 2 virtuellen LANS daliegen, kommen die sich nicht ins gehege? Da sie im gleichen IP Bereich arbeiten?
 
Zuletzt bearbeitet:
Klar kannst du den alten "scheiß" weiter verwenden, hab ich zwar nicht extra erwähnt, dachte aber is klar. Du hast halt nur das switch und NUR DAS regelt diese ganze sicherheits und abriegel geschichte.

@router, jo, ist das selbe wie mit den printservern, die geräte, die einen gemeinsamen zugriff benötigen müssen natürlich in die entsprechenden VLANs. Dazu mal den hersteller befragen, ob die software dies kann.

@AP, diesen müsstest du dann die jeweils ne unterschiedliche IP geben, da sie sonnst via funk gegenseitig killen. Die AP dann so einrichten, dass nur die bestimmen WLAN komponenten reinkommen und nix weiter zwecks sicherheit.

@DHCP, dies würde ich gleich von anfang an killen. Um bei einem solchen LAN die übersicht zu behalten, würde ich feste IPs vergeben. Dann kannst du nen kleine übersicht(graphisch) machen, welche komponenten wo sitzen, die ermöglicht eine einfach wartung. Ich weiß wovon ich rede. Ich habe diesen DHCP scheiß vor jahren bei mir abgeschafft. Bei zig rechner weiß man dann nicht mehr wer wo ist. So hat man die maximale kontrolle und kann schneller gezielt eingreifen.
Es darf in einem LAN nur einen DCHP geben. Wenn man mehrere DHCPs hat, müssen diese sich absprechen, bzw getrennte bereicher verwalten. Aber das ist ein anderes thema, APs und normale router können sowas nicht.

DHCP: Macht nur sinn, wenn man keine ahnung hat, oder sich das netzwerk so schnell ändert, dass der verwaltungsaufwand zu hoch ist. Da aber dieses LAN ehr statisch ist, kann man auf den DHCP verzichten. Wenn neue geräte eingebunden werden müssen, mußt du das machen oder einem zeigen wie es geht. (kenn die leute nicht) Ist aber eigentlich ne sache von 1min, wenn die HW richtig funktioniert.
 
Zuletzt bearbeitet:
@DHCP
Ja, stimmt soweit. Ich vergebe natürlich statische IPs, der DHCP sollte nur für "Ankömmlinge" (Freunde, Bekannte, Notebooks die nicht "eingeplant" sind) laufen.

Besitzt der AP oben aus dem Link einen MAC Adress Filter?

Gut, zu den 2 APs: Ich gebe jedem AP eine IP, verstecke das Teil per ESSID, hau die WPA Verschlüsselung rein, trage die MAC Adressen in den Filter und das müsste es gewesen sein.

Laptop A gebe ich die Zugangsdaten für AP1, Laptop B und C für AP2.

Die Printserver lasse ich nach Möglichkeit in 2 VLANs laufen

Wie bekommen ich den Router am besten an das Switch? Der muss dann ja ebenfalls in ALLEN VLANs verknüpft sein, soweit richtig?

Okay und nun mal der "worste case":
Ich gebe A die Daten für AP1, und trage die MAC Adresse ein. Er kann nun surfen und zB drucken. Er will nun ein wenig spielen, und versucht auf den anderen AP zu kommen. Findet das Netz trotz versteckter SSID, umgeht WPA, klaut sich durch den Mac Filter. Dann hat er theoretisch Zugang zu 2 VLANs, richtig?

Jetzt erst schonmal vielen Dank für die wirklich super Hilfe!! :wink:


edit: Das mit dem Organigramm ist ne gute Idee, wird wirklich langsam verwirrend. Werde ich die Tage mal versuchen anzulegen
 
Zuletzt bearbeitet:
@DHCP Das meinte ich ja. Mischen von DCHP und statisch geht nicht, es sei denn du kannst dem DHCP eine range geben und vergibst statisch IPs die nich in dieser range liegen. Kannst du dies nicht tun, mußt du dich für ein entscheiden. Wenn du aber 2APs hast die beide nen aktiv DHCP haben, mußt du dafür sorgen, dass sich die Laptops nur an einem gerät anmelden. Dh. jeglicher nicht erlaubter zugriff auf einen AP ist verboten. Andernfalls, kann es passieren, dass eine IP von beiden APs 2x vergeben wird. Das mit den DHCP und den APs is ne heikle sache.

@IP Jede IP die zugang zum router hat darf nur einmal im gesamten LAN vergeben werden, da sonnst der router nicht weiß, wo er das paket hinsenden soll.

Mit dem router verhält es sich wie mit den printservern, jedes gerät, was aus mehreren VLANs erreichbar sein muß, muß in eben auch diesen eingetrage/verfügbar sein.

@worst case: Jo hat er, nur dagegen kannst du nix machen. Die ist ein grund, warum ich nur wired LAN verwende.
 
Das mit dem DHCP ist wirklich noch das problematischste. Ich denke das sinnvollste ist wirklich, den DHCP komplett wegzulassen. Mit dem IP-Range ausgrenzen für die statischen war schon klar, hätte ich schon dran gedacht ;-)

Die Pakete die der Router versendet muss ich mir vermutlich so vorstellen?

Router
--> Paket an 192.168.50.6
---> Switch
----> 192.168.50.6 befindet sich @VLAN1
-----> Paket wird an VLAN1 @ 192.168.50.6 weitergeleitet

Stimmt meine Vorstellung? Und hat der von dir genannte AP nen MAC Filter?


edit: Die letzte Frage habe ich mir gerade selbst beantwortet: Ja! siehe http://www.longshine.de/longshine/products/wireless/WA5-40/WA5-40_ger.pdf
 
Zuletzt bearbeitet:
@router: Jo, wenn sich diese IP in VLAN2 befindet, gibbet ärger. Deswegen nur 1x die IP. Grundsätzlich kannst du aber die gleiche IP in verschiedenen VLANs packen, nur gibbet bei deiner config probs dann, deswegen nur einmal.

Wenn du dir den AP genauer anschaust(manual) findest du deine information. Ich denke du bist alt genug zum suchen. ;)
 
Eben, weil er dann quasi die Pakete an zwei Rechner schicken müsste und sich vermutlich nicht entscheiden könnte / einen der beiden Rechner mit Traffic "zumüllt". Ich hab's verstanden :)

Wegen dem AP: Siehe mein edit 2 min vor deinem Poste ;)

Finds wirklich klasse, sone Hilfe erhalten zu haben!! Nochmal vielen vielen Dank! Falls mir noch ein paar Fragen einfallen, würde ich mich freuen wenn du in den nächsten paar Tagen noch mal reinschauen würdest, mein Organigramm zB mal gegenchecken ^^

@all
Das Thema ist noch nicht entschieden....hat jemand Verbesserungsvorschläge oder sogar einen komplett anderen Lösungsweg? Würde mich über jegliche Kommentare wirklich freuen, seht ja selbst wie komplex es für einen "Normaluser" ist! :)
 
Zuletzt bearbeitet:
@ AP: hab ich dann auch gelesen nachdem ichs gepostet hatte.

Dazu sind wir hier da, um zu lehren und zu lernen. Mir hats auch spaß gemacht, ist ja eine nicht alltägliche aufgabestellung.

Klar werde ab und zu reinschauen, aber zu not gibbet PM.

Selbstverständlich bin auch für weitere lösungswege offen, ich bin ja auch nicht allwissend, evtl hab ich/wir ja auch noch nen denkfehler in der config. Also nur zu ihr klugen geister, meldet euch.
 
Hi,

na das ist doch mal was lehrreiches, danke!

Ja, das mit dem DHCP ist in "unübersichtlichen" Installationen schon ziemlich problematisch und statische IPs sind übersichtlicher. Aber es gibt auch DHCPs die besimmten MAC-Adressen und/oder Clients immer die gleichen IPs zuweisen können (reserved IPs) Ansonsten hilft da auch eine extrem lange leased Time, da bekommen dann die Clients auch immer die gleiche IP. Macht sich manchmal ganz gut, besonders, wenn es ein örtlich weit verteiltes Netzwerk ist. Da kann man dann ganz bequem über den DHCP aus der "Ferne" IP-Konfigurationen ändern.

Gruß

Rimini
 
Hm.......

So wie ich das sehe, ist das eine Art ICQ auf p2p Datenaustauschbasis? Das würde heißen, ich könnte bei jedem Client die Datei- und Druckerfreigabe deaktivieren, und alles darüber laufen lassen.

Daraus reslutierend bräuchte jeder der Daten hin und her schieben möchte, diesen Client. Problem an der Sache ist aber, dass ein Server benötigt wird.

Gibt's damit auch sowas wie Netzlaufwerke? Könnte über Himachi eine Druckerfreigabe erfolgen, ohne die DuD-Freigabe?

Mir erscheint es ein wenig unkomfortabel, da die Benutzer die Netzwerkzugriff erhalten, erst in Himachi ihre Freigaben eintragen müssen, oder auf der Gegenstelle jemand antworten muss (zum Verbindungsaufbau). Wie sieht es mit der Sicherheit aus? Ich nehme an, weit unter der "Hardware-VLAN-Lösung"? Wobei ich hier 200,-€ mit 0 Cent aufwiege ;)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

O
NAS Eigenbau
Antworten
0
Aufrufe
1K
oie123b
O
xmogelx
[User-Review] Lesertest mit ADATA/XPG und ASUS - XPG Invader X BTF - ASUS TUF Gaming Z790-BTF WiFi
Antworten
0
Aufrufe
1K
xmogelx
xmogelx
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh