Speedport-WLAN Nutzern LAN verbieten

[guennid]

Ich betreibe ein Heim-LAN via Debian-Router und hostapd. Die LAN-Maschinen kommen über einen W727-Speedport ins Internet. Weiß jemand, wie ich Gastgeräten, denen ich via WLAN-AP des Speedport Zugang zum Internet gebe, den Zugang zum LAN verwehren kann.

Grüße, Günther

[mat6937]

Ich betreibe ein Heim-LAN via Debian-Router und hostapd. Die LAN-Maschinen kommen über einen W727-Speedport ins Internet. Weiß jemand, wie ich Gastgeräten, denen ich via WLAN-AP des Speedport Zugang zum Internet gebe, den Zugang zum LAN verwehren kann.

Den LAN-Maschinen feste IP-Adressen zuweisen und den Gastgeräten per dhcp, IP-Adressen aus einem DHCP-Pool zuweisen.Mit dem Debian-Router den Zugang der IP-Adressen aus dem DHCP-Pool (IP-range) zu den festen IP-Adressen der LAN-Maschinen, nicht erlauben.

[guennid]

Den LAN-Maschinen feste IP-Adressen zuweisen und den Gastgeräten per dhcp, IP-Adressen aus einem DHCP-Pool zuweisen.

Hmmm... Schwierig: Die per DHCP bezogenen IPs müssten dann vom DHCP-Server des Speedports bezogen werden - rchtig? Feste IP-Adressen hinter dem Debian-Router sind eh eingerichtet. Aber die beste aller Frauen nennt so'n Kleinstrechner mit Telefonfunktion ihr Eigen. Folglich muss die auch eine Adresse per DHCP beziehen. Und die liefert, wenn ich recht sehe, der DHCPD-Server des hostapds, wenn ich die mit ihrem Kleinstrechner nicht ebenfalls ausperren will. Nun liegt das LAN zwar in anderen Subnetzen als dem, das der Speedport aufspannt - aber läuft das dennoch konfliktfrei?

Grüße, Günther

[mat6937]

Nun liegt das LAN zwar in anderen Subnetzen als dem, das der Speedport aufspannt - aber läuft das dennoch konfliktfrei?

Ich bin davon ausgegangen, dass das ein Subnetz ist. Wenn das 2 verschiedene Subnetze sind, dann kannst auf dem Debian-Router den Zugang aus dem Gast-Geräte-Subnetz zu den LAN-Geräten auch sperren (z. B. mit iptables und FORWARD chain).

[guennid]

Wenn ich recht sehe, dann brauche ich gar nichts mehr zu machen.

Ich habe versuchsweise das wlan (und nur das wlan) einer Maschine über das wlan und dhcp des Speedport eingerichtet, um das bisher Besprochene auszuprobieren. Sieht aus, als funktionierte es, denn ich komme damit zwar ins Internet. Aber es gelingt mir nicht mal, die nach außen gerichtete NIC (eth1) des Debian-Routers anzupingen (die sich mit dem Speedport im selben Netz befindet), geschweige denn irgend eine IP hinter demselben. Ich denke, das verdanke ich meiner shorewall-Konfiguration auf dem Debian-Router und zwar der Zeile:

Code: Alles auswählen

net             all             DROP

in /etc/shorewall/policy.

Kann jemand einem wenig Wissenden wir mir bestätigen, dass mein LAN einigermaßen geschützt ist von unberechtigten Zugriffen von außen.

Grüße, Günther

[pferdefreund]

Dumme Frage - kann der Router selbst kein Gastnetz aufbauen - getrennt vom normalen Netz mit eigener SSID ?

[guennid]

Dumme Gegenfrage: Welchen meinst du?

Ob's man den Debian-Router so einrichten kann, habe ich noch nicht überlegt. Zum Speedport meine ich, hier mal die Info bekommen zu haben, dass sowas wie'n Gastzugang damit nicht möglich wäre. Und selbst in den Menüs gefunden habe ich auch nichts.

Aber wenn mir bei der aktuellen Einrichtung niemand widerspricht, meine ich, das im Prinzip eingerichtet zu haben. Das wlan des Speedport nutze ich eh nicht. Einzige, temporäre Ausnahme: Unsere Tolinos. Die Firma Adobe mit ihren digital editions mag den Debian-Router nicht. Und ich hatte bisher keine Lust, Zeit aufzuwenden, um herauszukriegen warum nicht.

Grüße, Günther

[pferdefreund]

Ich meinte den Speedport. Die neuen, die jetzt mit der Umstellung auf IP-Telefonie mit vertrieben werden, sollen das laut Anleitung können.