2 Netzte via WLAN trennen

H

hannes23

Member
Hallo zusammen,

ich möchte gerne einen Access-Point mit OpenBSD und ALIX-Board bauen, der mehreren Rechnern zugang zum Internet verschafft, allerdings diese Rechner quasi in 2 gruppen unterteilt (privat,büro), die nicht miteinander kommunizieren dürfen (um das büro-netz vom privaten-netz sauber zu trennen).

Ich denke eine gut handhabbare lösung wäre es, wenn ich für beide netzte unterschiedliche WLAN-Netzte/ESSIDs verwende, die dann via PF voneinander getrennt werden.
Ist es möglich auf eine einzige WLAN-Karte ein pseudo-device zu mappen, um dann 2 verschiedene APs (auf dem gleichen channel natürlich) zum laufen zu bringen?
Also:

ral0 -> "Home Netz" -> 192.168.0.0/24
ral0.1 -> "Büro Netz" -> 10.0.0.0/24

Ich hoffe das war einigermaßen verständlich ;) bin jedoch auch gerne für andere herangehensweisen offen!

Vielen dank im vorraus....
 
Du kannst die NIC mit nem alias in zwei Netwerke stecken und dann in PF nach Netwerk filtern. Muss halt DHCP oder irgendwas die clients in das richtige Netz stecken.
 
Danke für deine antwort.

Das ist soweit klar, es geht hierbei nur weniger um mehrere IPs, sondern um zwei verschiedene ESSIDs und WPA-Keys auf einer Karte. Ist das überhaupt machbar oder kann eine Karte nur einen WPA-Key/ESSID zur gleichen zeit anbieten?
 
Es gibt meines Wissens Profi-Geräte, die das können (kann Dir jetzt so aus der Lameng aber kein Beispiel nennen, entsinne mich nur dunkel mal in der c't einen Produkttest gelesen zu haben, bei dem das bei einigen Geräten erwähnt wurde). Die haben aber ihren Preis. Für den Hausgebrauch dürfte es günstiger sein, zwei Router zu koppeln.
 
hmm...sowas hab ich mir schon fanst gedacht ;)

hat jemand vielleicht eine andere tolle idee, wie ich innerhalb eines WLAN-Netztes die clients in isolierte gruppen aufteile? mir fällt sonst nur eine filterung via MAC-Adresse ein (kann PF sowas überhaupt?!) oder eine durch den DHCP vorgenomme teilung in 2 netzbereiche (was auch wieder auf der MAC beruhen würde). das sind jedoch sachen, die man leicht umgehen könnte, indem man einfach seine MAC ändert.

Bin für sämtliche idee offen :D
 
Meine Idee wäre noch, eines der Netze als VPN mit IPSec einzurichten. Aber zwei physikalische Karten mit jeweils verschiedenen Netzen und Schlüsseln wäre die beste Lösung.
 
Ich hab zwar mit wlan unter OpenBSD wenig am Hut, aber theoretisch geht das mit virtuellen Interfaces, wlan0 und wlan0:1 , Netze in DNS eintragen+ eigen Namenserever,entsprechennd auch dieses ESSID-Zeugs.
192.168.0.0/24
192.168.1.0/24
 
waki87 schrieb:
Aber zwei physikalische Karten mit jeweils verschiedenen Netzen und Schlüsseln wäre die beste Lösung.
Zum Vergrößern anklicken....

Ich denke auch, dass es darauf hinauslaufen wird - ist auch "eigentlich" am saubersten zu trennen und zu managen wie ich finde, allerdings wollte ich mir gerne die zweite karte rein finanziell sparen ;)
 
Zwei Subnets z.B. geht nicht immer mit einer WLAN-Karte. Es kommt auch auf den Chipsatz an. Broadcom kann es z.B. nicht, Atheros schon (unter Linux jedenfalls).
 
andere idee, mal so ins unreine gesprochen:

du machst zwei subnetze: 192.168.1.x und 192.168.2.x. per dhcp gibst du /24 netzmasken aus. aber dein router kann /16.

zudem bekommen beide netze unterschiedliche openvpn-zertifikate. ist natuerlich noch doof wenn jemand von hand auf /16 umstellt.


waere das eine loesung?
imho ist das naemlich genauso sicher wie zwei subnetze 192.x.x.x und 10.x.x.x zu bauen.
 
finanziell sparen? die 15-20 Euro? okay...

mit subnetmasken rumspielen würd ich nicht, aber openvpn wäre doch auch eine lösung - alle in ein wlan, in dem sie nichts dürfen, außer vpn verbinden. dann zwei vpns, eins für home und eins für office...

Flex6 schrieb:
Ich hab zwar mit wlan unter OpenBSD wenig am Hut
Zum Vergrößern anklicken....
warum hälst du dann nicht deine klappe? wie schon erwähnt, gibt es diese virtuellen interfaces nicht in openbsd.
 
Wäre es nicht die sauberste Lösung mit einem zweiten wlan Stick für ein paar Euro einfach einen zweiten Zugangspunkt zu erstellen? Denke mit normaler 08 15 Hardware wird man bei solchen Wünschen sonst schnell an die Grenzen stoßen, vor allem bei Systemen die keinen Treibersupport vom Hersteller haben.

Grüße
 
troll schrieb:
Weil er gut gemeint helfen wollte. Geschmeidig bleiben!
Zum Vergrößern anklicken....

"Ich kenn mich mit OpenBSD zwar nicht aus, aber unter Windows bekommst du es so hin: Rechts-Click auf Netzwerkumgebung, dann auf das Interface, Bla, Bla, Bla..."

Das wäre auch so eine "gut gemeint" aber total daneben Hilfe. Darauf kann jeder verzichten und seine Zeit sinnvoller verwenden.
 
Clients: Adressen aus 192.168.0/24 und 192.168.1/24
Server: Adresse aus 192.168/16

Das klappt vielleicht ne weile, aber auf Dauer wird das ganz sicher zu Problemen führen.
 
Ersteinmal vielen dank für eure reichlichen antworten!!! :)

oenone schrieb:
Clients: Adressen aus 192.168.0/24 und 192.168.1/24
Server: Adresse aus 192.168/16

Das klappt vielleicht ne weile, aber auf Dauer wird das ganz sicher zu Problemen führen.
Zum Vergrößern anklicken....

Das denke ich auch. Dann geb ich doch lieber die paar euro mehr für eine zweite WLAN-NIC aus.

also nochmal: vielen dank!!! :)
 
Ohne jetzt besonders viel Ahnung von WLAN Gedönse zu haben (und wenn ich mir das von meinen Vorrednern geschriebene Anschaue wird es mit einem einzigen Interface kaum Machbar sein) wäre das ein guter Einsatzzweck für VLANs. Wird aber wahrscheinlich auch nur gehen, wenn du zwei ESSIDs hast und dann jeder ein VLAN zuordnest. Dann hast du aber die Trennung der Netze etwas sauberer als nur per Subnetztrennung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben