Gastnetzwerk mit zweitem Router hinter erstem realisieren?
Hallo zusammen,
ich bräuchte mal ein wenig Unterstützung von den Netzwerk-Cracks. Ich selbst habe nicht ganz viel Ahnung davon, daher bitte ich um Erklärungen, die auch der ambitionierte Laie versteht.
Ich hab hier ein bestehendes Netzwerk, dass von einem Netgear Nighthawk R7000 (hinter Vodafone-Router im Bridgemode) gemanaged wird.
Dahinter bzw. parallel möchte ich nun mit einem TP-Link AC 1200 ein Gäste-WLAN aufbauen, das ausschließlich Internetzugriff aber keinesfalls Zugriff auf das eigentliche Netzwerk des Netgear-Routers bietet.
Wie lässt sich das realisieren? Das sollte doch eigentlich machbar sein, oder?
Vielen Dank
Karsten
6 Antworten
Das geht, sofern der Router auch Firewall-Regeln via Iptables nimmt. Ist bei den meisten Consumer-Geräten halt nicht der Fall.
Richtig - aber der TP-Link ist einer der wenigen Router die auch einen sog. facebook-Login ins Gastnetzwerk erlauben. Damit will ich mal spielen.
Dann fallen auch Custom Firmwares weg, da diese meist keine solche Funktion beinhalten.
Daher wirst du um eine Router-Chain nicht rumkommen, wenn du das unbedingt lösen willst, empfehlen würde ich das keinenfalls.
Ich persönlich habe auch lange mit sog. CaptivePortals gespielt (das ist diese Technik mit der Vorschaltseite). Man kann da sehr viel arbeit reinstecken, doch bedenke: Je komplizierter es für dich ist das zu implementieren, desto abenteuerlicher ist die Anmeldung von pot. Gastgeräten!
Daher verwende ich mittlerweile etwa kein CaptivePortal mehr, sondern EAP-WLAN für "engerstehende Gäste" wie Freunde und Bekannte oder eben ein weiteres WLAN-Netz mit Passwort, welches man dann auch unabhängig ausschalten oder abändern kann.
Die EasyBoxen können zumindest ein solches Gastnetzwerk.
Sofern du es wie ich hinter deinem Heimnetz betreiben willst brauchst du folgende Firewall-Regeln (hier mal zu Deutsch):
Wenn Traffic aus Gast-LAN nach Heim-LAN und IP-Bereich <Heim-LAN> dann ABLEHNEN
Bereits bestehende Verbindungen wieder von Heim-LAN zu Gast-LAN erlauben
Alles andere ablehnen
Das läuft bei mir schon länger und auch nicht nur für ein Gast-Netz. Strenggenommen kannst du damit auch noch Ports einschränken. Allerdings brauchst du dann auch ein entsprechendes Gerät wo du diese Regeln eintragen kannst. Für einige Router gibt es OpenWrt als offene Firmware.
Hier die Regeln mal für OpenWrt:
iptables -A FORWARD -i br-gast -d 192.168.0.0/16 -o br-home -j REJECT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j REJECT
Die Regeln kommen nicht auf den bestehenden Router, sondern auf den, der das Gast-Netz aufbaut. Hier mal eine kleine Skizze:
Internet <-> DSL <-> EasyBox <-> Gastnetz-Router
Natürlich kannst du auch auf dem Router dahinter das Routing verbieten, da die EasyBox das aber nicht kann und der Netgear im Bridged-Modus sowieso nicht ist das hier hinfällig.
Sofern du dich auf kommerzielle WLAN-Lösungen beziehst, diese bauen meist eine VPN-Verbindung auf und routen dann über diese. Somit ist sichergestellt, dass nicht nur das lokale Heimnetz nicht angefasst wird, sondern der Traffic komplett umgeleitet wird um im Falle von rechtlichen Problemen den Bereitsteller seiner Internetverbindung zu schützen.
Grundsätzlich ist das Thema nur so komplex wie du es dir machst. Daher ja die oben aufgelisteten Regeln. Natürlich kannst du auch folgenden Aufbau machen, dass der TP-Link nur dieses Gastnetz bereitstellt und zwischen dem TP-Link und deinem Heimnetz ein weiterer Router steht der genau dies blockiert, sofern der TP-Link das so nicht selbst kann.
Das wird aber wie du selbst siehst ein wenig umständlich für dich, gerade wenn's dann mal streikt. Ich persönlich bin ein Freund davon so viele Router wie möglich zusammenzufassen um genau solche Fragmentierten Aufbauten zu ersetzen.
Auf den FRITZ!Boxen hast du zumindest die Möglichkeit LAN4 als Gast-Port zu konfigurieren, da hättest du den AP einfach anschließen können.
Hast du denn mal probiert, ob du aus dem Gäste-Netz in dein Heimnetz z.B. auf die EasyBox-Verwaltung kommst?
Sofern das bei dir sowieso nur zum spielen ist und das WLAN selbst nicht offen ist sollte das auch kein Problem darstellen...
Sofern du wirklich planst dich damit ein wenig mehr auseinanderzusetzen wäre ein Gerät wo du OpenWrt installieren kannst wohl die Wahl. Ein Raspberry Pi oder auch ein günstiger TP-Link TL-WR841N wäre da eine Möglichkeit.
Wenn dein normaler Router eine extra Netzwerk Buchse hat, die man als Gastnetz schalten kann bist du schon auf dem halben Weg. Meine Fritzbox hat 4 solcher Buchsen, eine davon kann ich als eine für Gäste schalten.
Wenn du nun einen beliebigen Router per Kabel an diese Buchse steckst, natürlich nicht an einen Eingang zum Internet, sondern einen der 'Ausgänge', arbeitet der zweite Router als Switch, der den Gastzugang des ersten Routers vervielfältigt. Das gilt dann natürlich auch für die drahtlose Verbindung zu diesem Router.
Das sollte es gewesen sein.
Gute Idee! Nur leider kann das der Netgear-Router nicht.
Hat der Router das überhaupt nicht oder ist es deaktiviert wegen dem Bridgemodus?
Da es mittlerweile keinen Routerzwang mehr gibt, lege dir einen passenden Router zu, z.B. eine Fritzbox. Die hat das, also das Gastnetz, und wenn sie prinzipiell an deinem Anschluss funktioniert, brauchst du nur die Zugangsdaten ... die muß der Provider heraus geben!
Ob du dann noch den zweiten Router brauchst, ist deine Entscheidung ... notwendig ist er nicht!
Der Netgear hat doch ein extra Gastzugang. fürs Wlannetz.
https://www.netgear.de/home/products/networking/wifi-routers/r7000.aspx
Richtig - aber der TP-Link ist einer der wenigen Router die auch einen sog. facebook-Login ins Gastnetzwerk erlauben. Damit will ich mal spielen. Das wäre aber ziemlicher Irrsinn, wenn das nicht sauber vom eigentlichen Netzwerk (Netgear) getrennt ist.
hat der tp link router ein eingebautes modem, dann musst du ihn so konfigurieren, dass der WAN Anschluss über z.B. LAN1 läuft.
für den zugang stellst du eine einfache breitbandverbindung ohne zugangsdaten (nicht ppoe) ein.
lg, anna
wieso leider? das ist doch das was du brauchst. schließt du den router mit dem anschluss "WAN" oder "internet" an euer netzwerk an, und schon kannst du das wlan des routers als gastnetzwerk nutzen
lg, Anna
Hallo zusammen,
danke für Eure Antworten. Scheinbar komme ich nicht so ohne Weiteres zum Ziel.
Mir ist allerdings noch eine "von-hinten-durch-die-Brust-ins-Auge-Variante" eingefallen:
Es müsste doch eigentlich klappen, einen WLAN-Repeater (mit LAN-Anschluss) mit dem Gast-WLAN des Netgear R7000 zu verbinden, und daran dann den TP-Link-Router anzuschließen, mit dem ich ausschließlich in Internet will, oder?
Das probiere ich mal aus und melde mich dann wieder - wird allerdings erst Montag was.
Gruß
Karsten
Vielen Dank auch an Dich. Mir scheint ich hab das Thema gewaltig unterschätzt.
Ich hatte die naive Idee im Kopf einen Router (z.B. TP-Link) so konfigurieren zu können, dass man den an jeden 0815-Router anschließen kann, via facebook-Login ins Internet aber keinesfalls ins lokale Netzwerk kommt. Das Ganze ohne den vorbestehenden Router vor Ort anzufassen.
Tatsächlich gibt es eine Reihe von kommerziellen Anbieter (socialwave, socialwifi, ...) die das so anbieten. Ich frag mich, wie das geht. Baut der Router automatisch eine VPN-Verbindung zu deren Netzwerk auf.
In jedem Fall scheints mir nicht realistisch das mit überschaubarem Aufwand hinzukriegen.