Hallo, ich habe hier bei mir zu Hause immer wieder die Situation, dass Rechner/Geräte an unser Internet angeschlossen werden müssen, die Sicherheitstechnisch nicht immer von mir kontrolliert werden können. Mal ist es der Rechner eines Bekannten oder Verwandten, dem ich bei Problemen helfe oder ab und zu sogar bei Viren-Befall helfe...mal ist es ein Freund, der mir eine App vorführt, die Internet-Zugriff benötigt. Das sind jetzt nur 2 Beispiele...der Zugriff erfolgt aber sowohl per WLAN als auch per LAN. Ich suche nach einer günstigen Lösung, diese Geräte von unserem eigenen Netzwerk zu trennen. Ich denke mal, dass man da mit VLANs arbeiten könnte, allerdings verstehe ich das Ganze noch nicht so richtig. Von der Theorie her werden bei einem VLAN-Switch glaube ich die Datenpakete immer nur an die passenden "getaggten" Ports geroutet. In Foren habe ich dann gelesen, dass man z.B. alle Kabel(inklusive den DSL-Router) in einen VLAN-Switch steckt und dann die jeweiligen Ports vom VLAN-Switch immer mit dem Router-Port zusammen "taggt", damit alle gemeinsam ins Internet gehen können. Was ich nicht verstehe ist, wie bei einem VLAN-Switch dieses gemeinsame "taggen" des Ports für den DSL-Router funktioniert. Also wie alle Geräte auf den an diesem einen Port angeschlossenen Router zugreifen, sich aber gegenseitig nicht sehen können. Und müssen die IP-Adressen dann auch alle im selben Subnetz liegen? Also wenn ich z.B. dem Router die 192.168.2.1 mit 24-Bit-Subnetz-Maske verpasse, müssen dann alle VLANs im Switch Adressen zwischen 192.168.2.2 und 192.168.2.254 haben? Wie lässt sich das mit dem WLAN-Zugriff regeln? Muss man dann das WLAN im Router ausschalten und 2 Ports vom VLAN-Switch mit Access-Points versehen, die separate WLAN-Netze bereitstellen(eines für unsere eigenen Rechner und eines für die "Gäste")? Wie sicher ist so eine Lösung überhaupt? Also wenn ich z.B. versehentlich eine total virenverseuchte Kiste von einem Kumpel anschließen würde. Kann es ein Schädling trotz VLAN womöglich doch schaffen, unsere Heim-Rechner zu infizieren? Eventuell hat hier ja auch jemand eine Empfehlung für ein günstiges Gerät. Es muss nur die Netze abschotten, ein Routing zwischen den VLANs ist nicht nötig. Viele Grüße, Leo
Leo schrieb: > Theorie her werden bei einem VLAN-Switch glaube ich die Datenpakete > immer nur an die passenden "getaggten" Ports geroutet. Korrekt. > einen VLAN-Switch steckt und dann die jeweiligen Ports vom VLAN-Switch > immer mit dem Router-Port zusammen "taggt", damit alle gemeinsam ins > Internet gehen können. Es gibt zwei Arten angeschlossener Geräte: tagged und untagged. Manche Geräte beherrschen tagged Ethernet, d.h. die VLAN-ID ist Teil des Ethernet-Frames. Solche Geräte können über einen Port in mehreren verschieden VLANs sitzen. Bei untagged devices definiert der Switch, in welchem VLAN das Gerät zu liegen kommt. Wenn der Access-Router kein VLAN-tagging kann, dann sieht es für dich mau aus. > "taggen" des Ports für den DSL-Router funktioniert. Also wie alle Geräte > auf den an diesem einen Port angeschlossenen Router zugreifen, sich aber > gegenseitig nicht sehen können. Der einfachste und unsicherste Fall: Der Switch macht das als Teil der Broadcasts in Software. D.h. ARPs und andere Broadcasts landen in der Switch-Software und werden dort forwarded und ggf. in die Switch-Tabellen umgesetzt, d.h. die Hardware-Tabellen, die aus der Ziel-Mac den Port ableiten. Hat die Tabelle mal eine Mac-Port-Umsetzung drin, dann interessiert in dieser Variante das VLAN nicht mehr. Solche zu kurz gedachten Teile erkennt man daran, dass man mit etwas Glück die VLAN-Grenzen überschreiten kann, indem man manuell die ARP Tabelle mit einem Ziel im anderen VLAN füllt. > Und müssen die IP-Adressen dann auch alle im selben Subnetz liegen? Die VLANs sind im Prinzip völlig unabhängig. Allerdings muss der Router, der in mehreren davon sitzt und den Internet-Zugang für alle bereitstellt, die Netze unterscheiden können. D.h. die diversen VLANs müssen dann auch verschieden sein. > wenn ich z.B. dem Router die 192.168.2.1 mit 24-Bit-Subnetz-Maske > verpasse, müssen dann alle VLANs im Switch Adressen zwischen 192.168.2.2 > und 192.168.2.254 haben? Nein, umgekehrt. Sie müssen verschieden sein. > Wie lässt sich das mit dem WLAN-Zugriff regeln? Es gibt WLAN-APs, die mehrere verschiedene WLANs auf jeweils unterschiedliche VLANs abbilden. Solche APs haben naturgemäss VLAN-tagged Ethernet. > Wie sicher ist so eine Lösung überhaupt? Also wenn ich z.B. > versehentlich eine total virenverseuchte Kiste von einem Kumpel > anschließen würde. Kann es ein Schädling trotz VLAN womöglich doch > schaffen, unsere Heim-Rechner zu infizieren? Bei richtiger Konfiguration ist das ziemlich unwahrscheinlich.
Man kann das ganz simpel lösen. Einfach die Firewall auf den heimischen Rechnern aktivieren und "keine Ausnahmen zulassen". Fertig. Wenn es unbedingt VLAN UND günstig (sprich billig) sein soll, gehts auch mit DD-WRT.
Bei der Fritzbox kann man ein Gast-WLAN einrichten, über das man nur Zugriff auf das Internet hat.
Hallo, ok, das Ganze scheint doch etwas schwieriger zu sein, als ich mir das vorgestellt habe. Die Firewall kann ich schlecht zu machen, weil die Rechner hier schon noch untereinander kommunizieren können sollen. Danke für Deine ausführlichen Erklärungen, A. K., ich weiß jetzt ungefähr wie das funktioniert bzw. warum ich VLANs mit günstigen Consumer-Routern vermutlich knicken kann... Wie wäre es mit folgender Lösung für Arme? Ein einfacher alter kabelgebundener Router(son DLINK-Teil habe ich noch hier), an dessen LAN-Ports 2 WLAN-Router hängen? Dann könnte ich unsere Heim-Rechner mit unserem WLAN-Router verbinden und die fremden Rechner mit dem anderen. Ist so ein Kaskadieren von Routern in irgendeiner Form problematisch, oder könnte man das so machen? Viele Grüße, Leo
Andreas Schwarz schrieb: > Bei der Fritzbox kann man ein Gast-WLAN einrichten, über das man nur > Zugriff auf das Internet hat. Seit neuestem auch LAN4
Leo schrieb: > Hallo, > > ok, das Ganze scheint doch etwas schwieriger zu sein, als ich mir das > vorgestellt habe. Die Firewall kann ich schlecht zu machen, weil die > Rechner hier schon noch untereinander kommunizieren können sollen. > > Danke für Deine ausführlichen Erklärungen, A. K., ich weiß jetzt > ungefähr wie das funktioniert bzw. warum ich VLANs mit günstigen > Consumer-Routern vermutlich knicken kann... > > Wie wäre es mit folgender Lösung für Arme? Ein einfacher alter > kabelgebundener Router(son DLINK-Teil habe ich noch hier), an dessen > LAN-Ports 2 WLAN-Router hängen? Dann könnte ich unsere Heim-Rechner mit > unserem WLAN-Router verbinden und die fremden Rechner mit dem anderen. > Ist so ein Kaskadieren von Routern in irgendeiner Form problematisch, > oder könnte man das so machen? > > Viele Grüße, > Leo Hab das noch nicht so gemacht, aber so würde ich es machen, hätte ich noch einen alten Router da. Da ich ne Fritz 7390 hab, ist das bei mir nicht notwendig. Wenn die Kids hier sind, kriegen die den Gastzugang. Funktioniert toll. Dazu lassen sich dann auch sicher noch ein paar Links ergooglen.
Mal ganz ehrlich: Du hast keine Ahnung von Netzwerken was einige Deiner Fragen im Eingangsposting deutlich belegen aber möchtest Dein Heimnetz sicher machen!? Zunächst ein guter Gedanke aber ob das so gut funktioniert ... Nur mit einer reinen Trennung der Netze ist es ja nicht getan, das ist doch Augenwischerei ...
Dds einfachste wäre wohl ein acesspoint/bzw wlanrouter mit Gastzugang. Wenn pcs kein wlan haben besorg dir einen stick dazu dass wäre wohl am günstigsten. solche gäste wlans lassen sich recht leicht einrichten je nach router
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.