Wlan AP ins VLAN und dann in Internet?

S

schmidtler

Neuling
Thread Starter
Mitglied seit
11.11.2008
Beiträge
628
hi @ all

muss ein projekt auf die beine stellen (theoretisch!)

in diesem projekt geht es darum in einem bereits bestehenden netzwerk z.b. 172.xxx.xxx.xxx inkl. internet anschluss ein zweites netzwerk einzubinden... in diesem neuen netz sollen nur 2 acces points eingerichtet werden die direkten zugriff auf das internet haben aber unter dem ip bereich z.B. 192.xxx.xxx.xxx also diese netze sollen/dürfen sich nicht sehen...

hab hier mal mit viso was erstellt und würd gern eure meinung und verbesserungen hören und was dort ggf. falsch ist!


http://www.imgbox.de/users/public/images/t2850r44.jpg

lg
schmidtler
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Es gibt doch die Optionen diesen REchner ihm Netwerk nicht sichtbar machen zumindestens unter Vista
 
Es gibt doch die Optionen diesen REchner ihm Netwerk nicht sichtbar machen zumindestens unter Vista
Zum Vergrößern anklicken....

ja wird es wohl geben, aber (hab ich nicht erwähnt)

im WLAN netz sollen sich leute von Ausserhalb, also die nicht zum normalen netz gehören sich anmelden können und nur rein das internet nutzen können.. d.h. aus sicherheitsgründen dürfen diese kein einblick in das andere "normale" netz bekommen und deswegen die abgrenzung der IP´s
 
Deine Zeichnung sieht soweit gut aus. Die Firewall inklusive Switch soll vermutlich ein Router sein sonst funktioniert das nicht. Dann einfach mit dem WAN Port des WLan AP an diesen Router ran. Auf dem WLan AP dann geeignete Filter einrichten. Das geht nicht mit jedem Router. Müsstest du gegebenfalls hier nochmal fragen welche Router da in Frage kommen würden. Da kannst du dann einrichten, dass der komplette WLAN bereich nur mit dem Modem komunizieren darf. Ich würde sogar die Kommunikation im WLan untereinander verbieten.

Die Option mit Vista kannst du mal gleich vergessen. Die hilft mal garnicht. Der Windows PC wird mit dieser Option von anderen Windows PC nicht mehr in der Netzwerkumgebung angezeigt. Damit kann man zwar die "Dummen" abhalten aber alle anderen können den PC weiterhin ereichen.
 
little_skunk schrieb:
Deine Zeichnung sieht soweit gut aus. Die Firewall inklusive Switch soll vermutlich ein Router sein sonst funktioniert das nicht. Dann einfach mit dem WAN Port des WLan AP an diesen Router ran. Auf dem WLan AP dann geeignete Filter einrichten. Das geht nicht mit jedem Router. Müsstest du gegebenfalls hier nochmal fragen welche Router da in Frage kommen würden. Da kannst du dann einrichten, dass der komplette WLAN bereich nur mit dem Modem komunizieren darf. Ich würde sogar die Kommunikation im WLan untereinander verbieten.
Zum Vergrößern anklicken....

danke das hilft mir schon viel!
also einen WLAN router bräucht ich nichtmehr dazu? sondern nurnoch die Accesspoints an den router? ohne firewall? die technischen voraussetzungen sind/müssten alle gegeben sein.. wie gesagt ist nur ein projekt in der theorie und ich soll es so einfach wie möglich darstellen!
hab hier nochmal mit visio gearbeitet:



---------- Beitrag hinzugefügt um 11:59 ---------- Vorheriger Beitrag war um 11:45 ----------

nochmal eine andere frage:
wäre dies auch möglich?


also das man die "verteiler" jeweils die einzelnen ports einrichtet?

lg
 
Würde beides Funktionieren. Die Hauptverteiler sind vermutlich Switche richtig? Da kommt es wieder auf die Hardware an. Einige (billige) Switche, werden zum Hub sobald sie mit (gefälschten) Mac Adressen bombadiert werden. Das interessiert zwar den AP nicht weil dessen Filter trotzdem die Daten nicht weiterleitet aber dann wird das Netzwerk unnötig langsam.

Ob nun WLan AP oder WLan Router ist eigentlich egal. Hauptsache es gibt diese Filtermöglichkeit. Du könntest auch dem WLAN den gleichen IP Bereich wie dem Rest geben und trotzdem alles rausfiltern. Anderer IP Bereich schadet aber nie. Damit geht man auch eventuellen IP Konflikten aus dem Weg. Ein anderen IP Bereich kannst du aber nur mit einem WLan Router mit WAN Port ereichen. Da musst du aber auch nochmal aufpassen. Der WAN Port muss sich auf eine feste IP einstellen lassen. Einige Router können das nicht.

Eine Firewall brauchst du in jedem Fall. Die PCs im Lan sollen ja nicht ungeschützt ins Intern. Es bietet sich an den AP ebenfalls über diese Firewall zu jagen ist aber nicht unbedingt notwendig. Ich würd die Gäste aber nicht ungeschützt ins Netz lassen. Nachher beschweren die sich noch weil sie ohne Firewall ins Netz müssen.
Du brauchst aber keine Firewall zwischen WLan und Lan zu schalten. Der Filter auf dem AP macht eine Firewall überflüssig bzw ist der Filter im Prinzip die Firewall. Der Filter filtern dann aber nicht nach Ports so wie eine Firewall es machen würde, sondern filter nach IPs. Keine WLan IP darf mit einem LAN PC komunizieren.
 
Zuletzt bearbeitet:
Andere Sub netz Maske Angeben würde auch funktionieren
Standart ist ja 255.255.255.0
die kann man aber ändern z.b. für einem anderen netz abschnitt
 
danke für die ausführliche Erklärung!

Würde beides Funktionieren. Die Hauptverteiler sind vermutlich Switche richtig?
Zum Vergrößern anklicken....
ja genau sind soweit ich weiß HP procurve switche

Ein anderen IP Bereich kannst du aber nur mit einem WLan Router mit WAN Port ereichen. Da musst du aber auch nochmal aufpassen. Der WAN Port muss sich auf eine feste IP einstellen lassen. Einige Router können das nicht.
Zum Vergrößern anklicken....

heißt ich müsste direkt nach dem modem zwischen LAN und WLAN trennen?

Eine Firewall brauchst du in jedem Fall. Die PCs im Lan sollen ja nicht ungeschützt ins Intern. Es bietet sich an den AP ebenfalls über diese Firewall zu jagen ist aber nicht unbedingt notwendig. Ich würd die Gäste aber nicht ungeschützt ins Netz lassen. Nachher beschweren die sich noch weil sie ohne Firewall ins Netz müssen.
Zum Vergrößern anklicken....

die firewall usw ist ja bereits alles vorhanden watchguard nennt die sich

so wie sich das anhört würd ich eher zur zweiten variante greifen also dieser:

http://www.bilder-space.de/show.php?file=20.04CzhtSqFgosEFQEY.jpg

weil hier könnte man eben über die bereits genannten switche gehen, richtig? und eine firewall ist dann auch noch vorhanden und der wlan router fällt dann auch weg?
sry für die ganzen fragen ;)

lg
schmidtler

---------- Beitrag hinzugefügt um 13:04 ---------- Vorheriger Beitrag war um 13:03 ----------
eky schrieb:
Andere Sub netz Maske Angeben würde auch funktionieren
Standart ist ja 255.255.255.0
die kann man aber ändern z.b. für einem anderen netz abschnitt
Zum Vergrößern anklicken....

aber dann komme ich nicht auf das 192.xxx netz oder?!

weil es soll wenn schon komplett von 172.xxx getrennt werden..
 
du kannst in einer anderen subnetzt maske auch die selbe ip verwenden wie in der anderen
trozdem ist sie nicht ereichbar von einander
 
eky schrieb:
du kannst in einer anderen subnetzt maske auch die selbe ip verwenden wie in der anderen
trozdem ist sie nicht ereichbar von einander
Zum Vergrößern anklicken....

hmmm wenn das so ist ;)stimmt da grault mir was mit subbnetting....


also könnte man die AP´s normal mit an die switche setzen ?
nur in einen anderen IP teilnetz?


lg
schmidtler
 
also ist die grafik soweit ok?!? *freude kommt auf* ;)

das mit den subnetzen usw müsste ich dann mit der edv abklären welche ich dort nutzen könnte
 
schmidtler schrieb:
also ist die grafik soweit ok?!? *freude kommt auf* ;)

das mit den subnetzen usw müsste ich dann mit der edv abklären welche ich dort nutzen könnte
Zum Vergrößern anklicken....

Da du nur 1 Router hast kannst du wohl nur 1 subnetzt bestimmen
dann müsste ein Rechner den DNS Service für das andere subnetz übernehmen
es sei dem dein router lässt zu nuterschiedliche subnetze anzusprechen
 
Andere Subnetzmaske=anderes Subnetz=anderer IP Bereich. Da brauchst du immernoch einen WAN Port am AP=Wlan Router. An der Zeichnung würde das aber nichts ändern. Der Unterschied zwischen einem AP und einem WLan Router ist nur der WAN Port.

Mach dir nicht die Mühe mit Subnetzen. Es ändert rein garnichts. Es macht die Sache nur unötig komplizierter. Du brauchst dann immernoch die gleiche Hardware aber der Konfigurationsaufwand steigt. Es gibt wie gesagt noch die Möglichkeit einen WLan AP ohne WAN Port aber mit dem Filter im gleichen Subnetz wie alle anderen PC zu betreiben. Ich weiß aber nicht ob es diese Filter in einem WLan AP ohne WAN Port überhaupt gibt. Sobald ein WAN Port vorhanden ist, sollte man auch gleich einen eigenen IP Bereich nehmen.
 
Zuletzt bearbeitet:
also anstatt der Access points dort Wlan router verwenden oder wie muss ich das jetzt verstehn? also die Zeichnung könnt so stehen bleiben? nur das ich eben ein WAN port brauch?
die sache mit dem Filtern im gleichen IP bereich ist mir etwas zu riskant... oder gibt es dort eine hundert prozentige abschirmung vom anderen netz, egal was man versucht um dort drauf zu kommen?
 
schmidtler schrieb:
also die Zeichnung könnt so stehen bleiben? nur das ich eben ein WAN port brauch?
Zum Vergrößern anklicken....

100% Richtig. Wie du das Gerät mit dem WAN Port nun nennst ist völlig egal :)

schmidtler schrieb:
die sache mit dem Filtern im gleichen IP bereich ist mir etwas zu riskant... oder gibt es dort eine hundert prozentige abschirmung vom anderen netz, egal was man versucht um dort drauf zu kommen?
Zum Vergrößern anklicken....

Gute Frage. Ich habe bisher nur einen AP gesehen, bei dem der Filter Aktiv war. Da hat es aber wunderbar funktioniert. Jeder PC konnte ins Netz aber die PC konnten nicht miteinander komunizieren. Der Filter ließ sich auch nicht umgehen obwohl alle PC im gleichen Subnetz waren. Ich habe aber nicht getestet, was passiert wenn ich mir eine andere IP Adresse zuweise oder ähnliche Spielchen. Die Sicherheit ist damit nicht in Gefahr aber es gibt eventuell IP Adress Konflikte und ich weiß auch nicht was der Filter mit Broadcasts macht. Die würden eventuell das Lan unötig ausbremsen.

Lass es ruhig so wie es ist. Das sollte funktionieren.
 
Was ist den am anderen Subnetzt kompliziert ?
brauchs doch nur ändern ihm router und ihm Client
und außerdem Safty First ! ;)
 
Zuletzt bearbeitet:
Was ist den am anderen Subnetzt kompliziert ?
brauchs doch nur ändern ihm router und ihm Client
und außerdem Safty First !
Zum Vergrößern anklicken....

naja das netz was ich euch gezeigt habe stammt bereits auf einen mittleren unternehmen wo es auch bereits subnetze usw gibt... nur das erkennt man auf der grafik nicht...wäre sonst viel zu unübersichtlich für meine projektarbeit und hätte nix mit dem thema zu tun... es soll halt nur eine WLAN schnittstelle eingebunden werden die kein zugriff auf das lokale netz hat sonder direkt zum internet rauswandert.

hier nochmal eine grafik: in dieser seht ihr was bereits vorhanden ist und was noch dazukommen soll
und ob es sich überhaupt so realisieren lässt wie hier geezeigt!
 
Zuletzt bearbeitet:
also MAC Adressen setzen und ihm Router angeben welche bereiche sie dürfen wäre auch ne Möglichkeit
 
also MAC Adressen setzen und ihm Router angeben welche bereiche sie dürfen wäre auch ne Möglichkeit
Zum Vergrößern anklicken....

das mit den mac adressen ist wieder schwierig da die Notebook usw ständig im wechsel sind!
 
eky schrieb:
Was ist den am anderen Subnetzt kompliziert ?
brauchs doch nur ändern ihm router und ihm Client
Zum Vergrößern anklicken....

Gut ich hab mich falsch ausgedrückt. Subnetting ist unötig kompliziet. Das ist das was du vorgeschlagen hast. Subnetze selber sind kein Problem solange er die Standard Subnetzmaske beibehält. Ansonsten müsste er die neue Subnetsmaske nicht nur beim WLAN sondern auch bei allen PCs und Router im Lan einstellen. Wofür das ganze? Die nötige Hardware ist identisch. Eine WAN Port würde er auch bei Subnetting benötigen. Dann kann er auch gleich einen eigenen IP Bereich nehmen und die Subnetzmaske so lassen wie sie ist. Weniger Aufwand bei gleichem Resultat.
 
Wenn der Router die nicht Splitten kann also die IP Bereiche bleibt dir wohl nix anderes übrig als Subnetz zu ändern
Zum Vergrößern anklicken....

also z.B. 255.255.255.240 also /28 ? stimmts? weil das netz soll ja klein bleiben..
 
Stimmt allerdings IP Bereich eingrezung würde auch noch gehn
 
eky schrieb:
Wenn der Router die nicht Splitten kann also die IP Bereiche bleibt dir wohl nix anderes übrig als Subnetz zu ändern
Zum Vergrößern anklicken....

Nicht ganz. Der Filter läuft nur auf dem AP. Dort kann man einfach alles verbieten außer der eine MAC Adresse (Modem). Dann ist völlig egla welche MAC Adresse und welche IP Adresse der PC hat. Ich weiß aber wie gesagt nicht was bei IP Adresskonflikten passiert. Von daher ist ein anderer IP Bereich schon zu empfehlen. Möglich wäre es aber mit dem gleichen Subnetz. Da aber sowieso neue APs beschafft werden müssen, können wir diese Möglichkeit denke ich vergessen.

---------- Beitrag hinzugefügt um 14:35 ---------- Vorheriger Beitrag war um 14:33 ----------
schmidtler schrieb:
also mit WAN-Port dann am besten?
Zum Vergrößern anklicken....

Den WAN Port brauchst du so oder so. Es macht für den AP keinen Unterschied ob du nun 255.255.255.0 oder 255.255.255.240 als Subnetzmaske einstellst. Routen müsste er in jedem Fall und somit wärst du dann auf einen WAN Port angewiesen.

---------- Beitrag hinzugefügt um 14:38 ---------- Vorheriger Beitrag war um 14:33 ----------

Bedenke, dass du die neue Subnetzmaske nicht nur im WLAN einstellen müsstest. Du musst dein komplettes Netzwerk umstellen wenn du wirklich Subnetting betreiben willst. Jetzt kommen endlich von dem Tripp runter :d Die Hardware bleibt die gleiche nur der Aufwand ist größer. Warum so kompliziert wenn du doch einfach wie oben einen ganz anderen IP Bereich nehmen kannst.
 
Zuletzt bearbeitet:
Jetzt kommen endlich von dem Tripp runter
Zum Vergrößern anklicken....
lol ;)

ja ok das mit den subnetz stimm ich zu dann müsst man das ja am jeden rechner umstellen... also anderer IP-bereich ok dann würde darauf hinauslaufen.. aber die zeichnung stimmt noch? *sorgen mach* ;)
 
Bau die IP Adressen von oben wieder ein dann bin ich Glücklich :d

Edit: Mir fällt gerade noch eine andere Möglichkeit ein, die warscheinlich noch sicherer ist. Deine Switche sind sicherlich VLan fähig. Häng den AP einfach an ein anderes VLan. Dann reicht auch ein stink normaler AP aus. Frag mich aber nicht wie du dann beide VLans ans Internet bekommst. Ich wollt nur die Möglichkeit mit dem VLan noch nennen :)
 
Zuletzt bearbeitet:
also meinst die ap´s mit 172.xxx besetzen? ;)
ja die möglichkeit mit vlan hat unser it-spezi auch schonmal erwähnt... leider ist dieser momentan nicht im haus und freitag muss ich das abgeben.... :(

aber es soll ja alles nur in der theorie richtig sein! also wie das letztendlich (falls überhaupt) aussieht ist wurscht
 
schmidtler schrieb:
Zum Vergrößern anklicken....

So und nicht anders :d Mach aus den APs mal richtige WLan Router mit 2 IP Adressen.

Die Sache mit dem VLan ist eigentlich auch nicht weiter schwer. Das kannst du ja als Alternative mit abgeben. So nach dem Motte "es gäbe da noch die Möglichkeit mit VLan. Falls gewünscht könnte ich dafür ebenfalls einen Plan anfertigen" Damit verschaffst du dir nochmal ein wenig Zeit. Mit VLan hab ich aber nur theoretische Erfahrungen. Ich weiß noch, dass alle Switche VLan fähig sein müssen und das die Verbindung zwischen den Switchen die beiden VLans gleichzeitig übertragen muss. Eine Komunikation untereinander wäre 100% Ausgeschlossen. Selbst Broadcasts kommen nicht ins andere Netz. Das ganze kann nicht umgangen werden. Sicherer gehts nicht. Ich weiß aber nicht wie man ein Modem einbindet, sodass es in beiden VLans gleichzeitig ist.
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh