Einrichten eines WLANs für Gäste / Sicheres & unsicheres Netz

linksys_wrt54gl_ddwrt1Da ich mich momentan ziemlich intensiv mit DD-WRT beschäftige, habe ich gestern abend auch gelöst, wie man mit einem AccessPoint ein WLAN bereit stellt (mit Internetzugriff) und dann zwei Clients in ein Netzwerk packt und alle weiteren Clients in eigene Netze, ohne das die weiteren Clients Zugriff auf das erste Netzwerk bzw. aufeinander haben.

Hört sich ein wenig kompliziert an und ist auch nicht so einfach zu beschreiben, deswegen hier nochmal die Situation:

Es existiert ein Internetzugang. Zwei Standpunkte (A & B) sollen sowohl Internet haben als auch aufeinander Zugriff haben, alle weiteren Standpunkte (C, D usw…) sollen zwar ins Internet kommen, sollen aber weder aufeinander noch auf das erste Netzwerk Zugriff erhalten, da in dem Netz Geräte stehen, auf die die anderen Standpunkte kein Zugriff haben sollen.

Hier das ganze nochmal als Diagramm:

zeichnung11

Gelöst wurde das ganze wie folgt (mit Hilfe des folgenden Tutorials: http://www.dd-wrt.com/wiki/index.php/Client_Mode_Wireless)

  • AP1 wird als AP eingerichtet, mit einem WLAN-Netz, verschlüsselt. IP des DSL-Routers ist 192.168.1.1, IP von AP1 ist 192.168.1.2. AP1 ist so eingerichtet, das er als Gateway und als DNS-Server den DSL-Router eingetragen hat.
  • AP2 hat die IP 192.168.1.3 und ist als Client-Bridge eingerichtet. Alle Clients an Standort A haben folglich Adressen im 192.168.1.0/24-Bereich.
  • AP3 hat die IP 192.168.1.4 und ist ebenfalls als Client-Bridge eingerichtet. Alle Clients an Standort B haben ebenfalls Adressen im Bereich 192.168.1.0/24.
  • AP4 hat die IP 192.168.2.1 und ist als Client eingerichtet. Die Art der Internetverbindung wird auf “Static IP” gestellt. Die WAN-IP steht auf 192.168.1.5, Gateway ist die 192.168.1.2, DNS ebenfalls die 192.168.1.2. In der Firewall des Gerätes (Administration => Diagnostics) werden die folgenden Zeilen eingefügt:

#Zugriff auf das 1er-Netz unterbinden
iptables –I FORWARD 1 –s 192.168.2.0/24 –d 192.168.1.0/24 –j DROP
#Zugriff auf das 3er-Netz unterbinden
iptables –I FORWARD 1 –s 192.168.2.0/24 –d 192.168.3.0/24 –j DROP

  • AP5 hat ähnliche Einstellungen wie AP4, allerdings ändert sich die LAN-IP auf 192.168.3.1 und die WAN-IP auf 192.168.1.6. Die Firewall-Regeln ändern sich auf:

#Zugriff auf das 1er-Netz unterbinden
iptables –I FORWARD 1 –s 192.168.3.0/24 –d 192.168.1.0/24 –j DROP
#Zugriff auf das 2er-Netz unterbinden
iptables –I FORWARD 1 –s 192.168.3.0/24 –d 192.168.2.0/24 –j DROP

Mit diesem Aufbau ist es möglich, das die Clients an AP2 und AP3 miteinander kommunizeren können, Clients an AP4 und AP5 können nur untereinander kommunizieren (jeweils, nicht beide miteinander, siehe Grafik) und alle Clients haben Internetzugriff.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.