Hallo,
will mein bestehendes kabel LAN um ein WLAN erweitern.
LAN: DSL-Modem-->Linux Router 192.168.13.10-->Switch-->>andere PCs
jetzt wollte ich einen Accesspoint DWL-2100AP an den Switch anschließen
und darüber auch zwei Laptops ins Internet lassen.
AP hat die 192.168.0.50. Leider habe ich keine Ahnung wie ich
das Ding jetzt verschlüsseln soll. Oder funktioniert ein AP an einem
Switch grundsätzlich nicht und ich muss eine dritte Netzwerkkarte in den
Router einbauen?
Viele Grüße
Yvonne
Access Point DWL-2100AP
Also hab das ganze jetzt hinbekommen. Leider komme ich noch
nicht ins Internet von den WLAN-Computern aus.
Also
Modem--->Router Linux 192.168.13.10--->Switch mit AP dran-->
192.168.14.10--->
Lan Netzwerk ist 192.168.13.0 AP hat 192.168.14.10 und die WLAN-Computer
haben 192.168.14.11 und 192.168.14.12
Alle Pakete werden aber herausgefiltert.
Welche iptables Regel müßte ich angeben damit das Netzwerk
14.0 nur nach außen ins Internet darf?
Routing Tabelle:
route -n
Ziel Router Genmask Flags Metric Ref Use Iface
84.56.64.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.13.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 84.56.64.1 0.0.0.0 UG 0 0 0 ppp0
Viele Grüße!
Yvonne
nicht ins Internet von den WLAN-Computern aus.
Also
Modem--->Router Linux 192.168.13.10--->Switch mit AP dran-->
192.168.14.10--->
Lan Netzwerk ist 192.168.13.0 AP hat 192.168.14.10 und die WLAN-Computer
haben 192.168.14.11 und 192.168.14.12
Alle Pakete werden aber herausgefiltert.
Welche iptables Regel müßte ich angeben damit das Netzwerk
14.0 nur nach außen ins Internet darf?
Routing Tabelle:
route -n
Ziel Router Genmask Flags Metric Ref Use Iface
84.56.64.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.13.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 84.56.64.1 0.0.0.0 UG 0 0 0 ppp0
Viele Grüße!
Yvonne
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Im Moment findet einfach keine Kommunikation zwischen 192.168.13.0/24 und 192.168.14.0/24 statt - das hat erstmal nichts mit iptables zu tun, sondern mit deiner Routing-Tabelle. Dein Router kennt nur sein Netz (192.168.13.x) und das Internet - 192.168.14.x existiert für ihn schlicht und ergreifend nicht. Grundsätzlich hast du also 2 Möglichkeiten.
1. Du konfigurierst den AP für das Netz 192.168.13.0/24 und nimmst in Kauf, dass die Laptops nicht nur den Router erreichen können, sondern alle Clients in 192.168.13.0/24 ebenfalls.
2. Du spendierst dem Router eine weitere Netzwerkkarte und konfigurierst diese für das Netz 192.168.14.0/24. Theoretisch sollte das auch mit einer virtuellen Netzwerkkarte möglich sein (Stichwort eth1:0) - mit solch einer Konfiguration kenne ich mich aber nicht aus.
1. Du konfigurierst den AP für das Netz 192.168.13.0/24 und nimmst in Kauf, dass die Laptops nicht nur den Router erreichen können, sondern alle Clients in 192.168.13.0/24 ebenfalls.
2. Du spendierst dem Router eine weitere Netzwerkkarte und konfigurierst diese für das Netz 192.168.14.0/24. Theoretisch sollte das auch mit einer virtuellen Netzwerkkarte möglich sein (Stichwort eth1:0) - mit solch einer Konfiguration kenne ich mich aber nicht aus.
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Ich verstehe die Frage nicht. WPA mit einem entsprechend "starken" Passwort reicht. Wenn du befürchtest, jemand aus dem LAN könnte sich irgendwie am Ap zu schaffen machen, musst du für dessen Konfigurationsmenü auch ein entsprechend "starkes" Passwort wählen.Kann man den AP trotzdem noch
irgendwie zusätzlich absichern. Das WLAN ist mit WPA-PSK und TKIP gesichert.
Ursprünglich dachte ich, die WLAN-Clients sind dir zu unsicher und du wolltest so etwas wie eine DMZ für die WLAN-Clients samt AP einrichten, um die "normalen" Clients vor den potentiell "unsicheren" WLAN-Clients zu trennen. Das geht nur über eine weitere Netzwerkkarte - ausserdem sollte dann der AP nicht am Switch hängen, sondern am besten über ein Crossover-Kabel mit dem Router verbunden werden, damit auch physikalisch eine saubere Trennung der Netze gewährleistet ist.
Ja, wollte eigentlich das Kabelnetz vor den unsicheren WLAN-Clients schützen.
Aber wie du schon sagst, müßte dann eine dritte Netzwerkkarte in den Server einbauen.
Gibt es eigentlich eine Möglichkeit die Internetaktivitäten die über den AP gehen gesondert
herauszufiltern aus den Logfiles?
Viele Grüße!
Yvonne
Aber wie du schon sagst, müßte dann eine dritte Netzwerkkarte in den Server einbauen.
Gibt es eigentlich eine Möglichkeit die Internetaktivitäten die über den AP gehen gesondert
herauszufiltern aus den Logfiles?
Viele Grüße!
Yvonne
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Naja, du könntest natürlich auf dem Router deine Logfiles nach den MAC-Adressen und/oder den IP-Adressen der WLAN-Clients durchsuchen bzw. sogar mittels syslog-ng und entsprechenden iptables-Logging-Regeln in ein seperates LOG-File schreiben lassen - vorrausgesetz du kennst die MAC-Adressen bzw. IP-Adressen.
Je nach Funktionsumfang des AP könntest du den AP evtl. auch so konfigurieren, dass er in Richtung Kabel-Netz eine feste IP hat und "seine" Clients (also die WLAN-CLients) "nattet" - das kann z.B. jeder Standard-WLAN-Router, indem man für die Internetverbindung keine DSL-Verbindung, sondern eine statische IP einrichtet. Die Netze wären dann auch voneinander getrennt - allerdings würde dieses Setup den WLAN-Clients weiterhin erlauben, auf die Kabelnetz-Clients zuzugreifen.
Je nach Funktionsumfang des AP könntest du den AP evtl. auch so konfigurieren, dass er in Richtung Kabel-Netz eine feste IP hat und "seine" Clients (also die WLAN-CLients) "nattet" - das kann z.B. jeder Standard-WLAN-Router, indem man für die Internetverbindung keine DSL-Verbindung, sondern eine statische IP einrichtet. Die Netze wären dann auch voneinander getrennt - allerdings würde dieses Setup den WLAN-Clients weiterhin erlauben, auf die Kabelnetz-Clients zuzugreifen.