Accesspoint mit NAT/Routing Funktion

Columbo0815

Kaffeemann
Teammitglied
Moin,

folgendes Szenario: Es gibt ein Netzwerk, sagen wir: 192.168.1.x. Es soll ein Accesspoint, der pyhsisch im gleichen Netzwerk hängt, aber dessen Clients im 192.168.2.x-Bereich sind, angeschlossen werden. Der Accesspoint soll jetzt (zB per NAT) nur Zugriff auf einen Rechner im 192.168.1.x-Bereich zulassen. Damit soll erreicht werden, dass die Clients im "2er-Netz" Zugriff auf das Internet haben, aber eben nicht auf andere Clients im "1er-Netz". Das ganze wäre sehr einfach über pf regelbar.

Gesucht ist jedoch ein Accesspoint/Router, der das bereits als "Hardware Accesspoint" kann. Vorschläge?

Danke! :)
 
Wenns nicht PF zwangsweise sein muss und ein preiswerteres Gerät (Unter oder um 100 EUR sag ich jetzt mal) sein soll würde ich ein DDWRT fähigen Geräte von Buffallo empfehlen. Da kann man sich dann dank vollen-Linux-Kommandozeilenzugriff mit IP-Tables komplett austoben.

Wenns teurer sein soll kann man denke ich Geräte von Motorola empfehlen, da bin ich mir aber nicht ganz sicher was die Firewall da so hergibt.

Alternativ> Irgendwas auf Mini-PC-Basis mit OpenBSD oder FreeBSD.
 
Öhm, einen einfachen DSL-WLAN-Router, den du auf "Feste IP" oder "DHCP" wan-seitig stellst und dort als Gateway den einzelnen Rechner (ich denke dies ist ein Internetrouter) einstellst?

Gruß
Markus
 
m4rkus> Nein, bei denen kannst du idr. nicht die Firewall derartig detailiert einstellen.Zumindest ist mir keiner bekannt der Deny zu allen ips im 192.168.1.0/24 macht aber su allen anderen erlaubt ...

Was mir gerade noch eingefallen ist: Nat brauchst du an der stelle nicht Zwangsweise sofern, du dem eigentlichen Router 1 im "ersten" Netz eine Route zum 192.168.2.1 geben kannst (Das können nicht alle Soho Router)
 
Ich weiß nicht, ob in der von mir vorgeschlagenen Konfig Pakete von WLAN-Clients an 192.168.1.x vom WLAN-Router einfach in das Netz geleitet werden, oder geroutet an das Gateway.
Sonst hätte CommanderZed natürlich Recht.
Alternativ führst du einfach ein "drittes Netz" ein (bspw. Alias-IP auf dem Gateway) zur Verbindung zwischen DSL-Router und GW.

Also
196.168.1.1 GW ----- Reguläre Clients
192.168.3.1 GW ----- WLAN-Router mit 192.168.3.2 und Default Route auf 192.168.3.1 --- WLAN-Clients mit 192.168.2.x

Geht mit Alias und auf dem GW musst du nur sicherstellen, dass 192.168.3.2 ausschließlich ins Internet kommt.

Gruß
Markus
 
Markus> Dann musst du aber

1. Ein Gateway haben das mehrere LAN-Anschlüsse hat die einzelnd Konfigurierbar sind
2. Auf dem Gateway eine Firewallregel definieren können die 1. den Travffic von Lan 2 nicht auf Lan 1 erlaubt AUSSER für den einen Host den Lan 2 im Lan 1 erreichen soll.
3 Zusätzlich könntest du auf das "zwischennetz" verzichten und anstelle des AP-NAT-Routers nen simplen AP verwenden der die Rechner direkt in das Netz packt, denn dann routet / firewalt ja eh der egietnliche Router

Selbstverständlich werden pakete von Router 2 direkt an alle Rechner des lokalen netzes 1 geschickt. Beim Routing ists immer so das direkt erreichbare LANs nicht weiter geroutet werden.
(Selbst wenn es anders wäre könnte man dann natürlich nicht mehr den einzelnen Rechner der erreichbar sein soll erreichen)
 
Vielleicht sagt @Columbo0815 noch etwas zum Netzaufbau.
Könntest auch mit mehreren DSL-Routern arbeiten und sowas aufbauen: http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Gruß
Markus

Ja, das ist fast genau das was wir hier vorhaben, ausser der Sonderregel "Zugriff auf Netz 1 muss auf einen einzelnen host muss von Netz 2 möglich sein ...

Allerdings ist das Heise Konstrukt IMHO nicht gerade "Sauber" Sondern eher eine Anleitung für leute die nicht sooo genau wissen wie Routing und TCP-IP funktioniert. Tatsächlich halte ich es für wesentlich sauberer in deren Fall ein gerät zu verwenden, das einfach ausreichende Netzwerkinterfaces hat.
 
Wenn für den AP ein eigenes LAN-Interface zur Verfügung steht stimme ich dir zu.
Wenn nicht, müsstest du eine weitere Routing-Instanz einbauen, da sonst die Netztrennung nicht garantiert werden kann.

Gruß
Markus
 
Wenns nicht PF zwangsweise sein muss und ein preiswerteres Gerät (Unter oder um 100 EUR sag ich jetzt mal) sein soll würde ich ein DDWRT fähigen Geräte von Buffallo empfehlen. Da kann man sich dann dank vollen-Linux-Kommandozeilenzugriff mit IP-Tables komplett austoben.

Wenns teurer sein soll kann man denke ich Geräte von Motorola empfehlen, da bin ich mir aber nicht ganz sicher was die Firewall da so hergibt.

Alternativ> Irgendwas auf Mini-PC-Basis mit OpenBSD oder FreeBSD.
Vielleicht war meine Anforderung etwas missverständlich... pf ist KEINE Voraussetzung! dd-wrt ist eine gute Idee und macht mein Vorhaben scheinbar einfach möglich! :)

Danke!
 
Ich bin von einem Unix-Router ausgegangen, der einfach an einem Switch hängt.

Vielleicht sagt @Columbo0815 noch etwas zum Netzaufbau.
Könntest auch mit mehreren DSL-Routern arbeiten und sowas aufbauen: http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Gruß
Markus
Eigentlich ist das Netzwerk ganz einfach aufgebaut: 192.168.1.0/255.255.255.0.
192.168.1.1 ist dabei ein Hardwarerouter, der die Verbindung ins Internet aufbaut. Jetzt soll eben ein Accesspoint dazu, der NUR Zugriff auf das Internet zulässt. Sicherlich gibt es viele Wege das zu erreichen. Ich finde meine Idee ganz schick. :)
 
Zurück
Oben