myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Ungelesen 27.02.15, 13:01   #1
bamboombang4321
Anfänger
 
Registriert seit: Jun 2011
Beiträge: 14
Bedankt: 331
bamboombang4321 ist noch neu hier! | 0 Respekt Punkte
Standard Gast WLan einrichten mit VLAN oder Subnetz

Hallo,

auf drängen der Kids fühle ich mich nun quasi "genötigt" ein Gast WLAN einzurichten.
Es soll wirklich nur für Gäste sein und den Traffic in mein privates Netzwerk NICHT erlauben!

Gegebenheiten:

Fritzbox Kabelmodem
IP 192.168.0.1
DHCP server ein 192.168.0.20 - 192.168.0.250

Cisco SG300
IP 192.168.0.5
Level 3 aktiviert
VLAN fähig

Draytek Vigor AP 800
IP 192.168.0.8
Vlan fähig
Multiple SSID fähig -
Multiple Lan (LanA und LanB) fähig

der AP hängt mit einem Kabel (LANa) auf dem Cisco Switch und diese an der Fritzbox

Ist Zustand: SSID: PrivateWLAN Lan a vlan - 0 (untagged)
SSID: GastWLAN Lan a Vlan - 100

Port 3 am Cisco ist mit dem Draytek AP verbunden
Port 10 am Cisco hängt am Router
Port 1-2+4-9 sind mit "privaten" Netzwerkgeräten verbunden

Ich habe bereits folgendes Versucht:

Gastwlan in ein zweites Subnetz gelegt - Routing in der Fritzbox festgelegt

- Internet funktioniert
- Netzwerktrennung nicht

Gastwlan in gleiches Subnetz wie privatwlan gelegt

- internet funktioniert
- Netzwerktrennung nicht

GastWlan mit VLAN Tag 100 vermerkt - und gleiches Subnetz wie PrivatLan (untagged)

- Internet funktioniert nicht
- Netzwerktrennung nicht erkennbar

Ich würde es gerne so einrichten, dass ich

a) ein zweites Subnetz für die Gastzugänge habe (AP hat einen kleinen DHCP Server intus)
b) per VLAN alle Gastaktivitäten von den privaten Netzwerken trenne

Ich möchte NICHT

a) das Gast-WLAN der Fritzbox aktivieren
b) ein zweites Kabel vom AP zur Cisco oder dem AP legen - wenn möglich sollte der Traffic über eine Lan Leitung gehen!
c) eine PFsense oder wie auch immer dieses Firewallding heißt dazwischen schalten
d) ein weiteres Kabel von dem Cisco Switch an die Fritzbox anschließen --> kein freier Port mehr!

Hat jemand Tipps zur Konfiguration?

Wie muss ich zB. den Cisco Switch einstellen, dass die Privaten (ungetaggten) Pakete sich frei im Netz und ins Internet bewegen können, und die Getaggten Gast Pakete lediglich ins Internet gehen?
Ist mein Vorhaben überhaupt möglich?

PS: VLan ist bei mir so ein ding, das ich nie "ganz" verstanden habe, obwohl ich die Standard Literatur schon gelesen hatte... vielleicht ein bisschen "Einfacher erklären" ?

Merci schon mal vorab
Wenn ihr noch mehr input braucht, einfach melden... wäre für jede Hilfe dankbar
bamboombang4321 ist offline   Mit Zitat antworten
Ungelesen 27.02.15, 15:39   #2
spartan-b292
Echter Freak
 
Benutzerbild von spartan-b292
 
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.866
Bedankt: 1.700
spartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punkte
Standard

Der Switch müsste doch ACLs können. Damit müsstest du den Zugriff auf das zweite vlan verbieten können.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
spartan-b292 ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei spartan-b292:
Ungelesen 27.02.15, 15:43   #3
bamboombang4321
Anfänger
 
Registriert seit: Jun 2011
Beiträge: 14
Bedankt: 331
bamboombang4321 ist noch neu hier! | 0 Respekt Punkte
Standard

ACLs ja, aber auf welcher Ebene?
VLAN gebunden scheint nicht zu gehen...

Dann eher ein Subnetz für die Gäste aufbauen und per ACL auf IP Ebene unterbinden?

192.168.0.x = Hauptnetzwerk
192.168.1.x = Gastnetzwerk

in dieser art?
bamboombang4321 ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei bamboombang4321:
maxi_55555 (25.03.21)
Ungelesen 27.02.15, 20:02   #4
spartan-b292
Echter Freak
 
Benutzerbild von spartan-b292
 
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.866
Bedankt: 1.700
spartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punkte
Standard

Du brauchst
Gastnetz->Internet erlauben
Gastnetz->Hauptnetz verbieten

EDIT: Wenn du keine "Default Policy" wie "Verbiete alles was nicht erlaubt ist" eingestellt hast kannst du dir "Gastnetz->Internet erlauben" auch sparen.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
spartan-b292 ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei spartan-b292:
Ungelesen 27.02.15, 22:05   #5
bamboombang4321
Anfänger
 
Registriert seit: Jun 2011
Beiträge: 14
Bedankt: 331
bamboombang4321 ist noch neu hier! | 0 Respekt Punkte
Standard

Jetzt habe ich auch noch n Brett vorm Kopf

wie muss nun noch mal das routing aufsetzen?
AP mit dhcp hat die IP 192.168.1.8
Der Cisco die 192.168.0.5
fritzbox 192.168.0.1

Gateway für das gastnetz ist auf 192.168.0.1 gesetzt
Dhcp dort 192.168.1.x

Knoten im kopp... Hilfe bitte ��
bamboombang4321 ist offline   Mit Zitat antworten
Ungelesen 28.02.15, 12:29   #6
spartan-b292
Echter Freak
 
Benutzerbild von spartan-b292
 
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.866
Bedankt: 1.700
spartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punktespartan-b292 leckt gerne myGully Deckel in der Kanalisation! | 230828 Respekt Punkte
Standard

Zitat:
Gateway für das gastnetz ist auf 192.168.0.1 gesetzt
Passt doch.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
spartan-b292 ist offline   Mit Zitat antworten
Ungelesen 28.02.15, 13:19   #7
bamboombang4321
Anfänger
 
Registriert seit: Jun 2011
Beiträge: 14
Bedankt: 331
bamboombang4321 ist noch neu hier! | 0 Respekt Punkte
Standard

Eben....
Das brachte mich auch ins Grübeln.. aber danke!
Habe den Fehler gefunden... ich KANN Lan-B für das Gast SSID auf dem AccessPoint nicht nutzen, wenn kein Kabel im Lan-B Port ist.. *facepalm*

Hab nun eine andere Lösung gefunden....

Gast SSID bekommt ein VLAN TAG...
Das wird an den Cisco übergeben und der Cisco einen besonderen Port, der ans Gastnetzwerk der Fritzbox angeschlossen ist... (Hab halt ein Port am Cisco freigeräumt um das realisieren zu können...

Test erfolgreich... als Gast einloggen.. internet funktioniert... Lan-Geräte nein...
Als Normalo eingeloggt.. internet klappt.. Lan-Geräte ja

Danke nochmal!
bamboombang4321 ist offline   Mit Zitat antworten
Antwort

Themen-Optionen
Ansicht

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren

BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:54 Uhr.


Sitemap

().