Dienstag, 14. September 2010

Abgeschotteten Access Point für Gäste einrichten

Ziel dieser Übung ist es einen eigenen WLAN Access Point für Gäste einzurichten, die keinen Zugriff auf private Resourcen haben sollen.

Zuerst erstellt man einen virtuellen Access Point.
http://10.0.0.138/index.cgi?active_page_str=page_conn_settings_wl0 -> Wireless -> New Virtual AP (Netzwerkverbindungen->LAN Wireless 802.11n Access Point)

Jetzt konfiguriert man den neuen Access Point
http://10.0.0.138/index.cgi?active_page_str=page_conn_settings_wl0.1 -> Einstellungen (Netzwerkverbindungen->LAN Wireless 802.11n Access Point - Virtual AP)

Internetprotokoll (IP): Benutzen Sie folgende IP-Adresse
IP-Adresse: 10.0.1.138
Subnetzmaske: 255.255.255.0

DNS Server: No DNS Server

Verteilung der IP-Adressen: DHCP-Server
Start-IP-Adresse: 10.0.1.1
End-IP-Adresse: 10.0.1.99
Subnetzmaske: 255.255.255.0

Sollte jetzt folgendermaßen aussehen:

-> OK

Im Reiter Wireless kann man jetzt wie üblich die WLAN Einstellungen anpassen. Die Funktion Inter Client Privacy verhindert die Kommunikation zwischen den Clients am Access Point und ist daher für diese Konstellation recht nützlich.


Der neue Access Point läuft schon - jetzt geht es ans Absichern:

Man erstellt zwei Netzwerkobjekte die später für die Firewall-Konfiguration benötigt werden.
http://10.0.0.138/index.cgi?active_page_str=page_net_objs (Erweitert->Netzwerkobjekte)

-> Neuer Eintrag
Beschreibung: 10.0.0.138/24
-> Neuer Eintrag
Netzwerkobjekttyp: IP-Subnetz
IP-Adresse des Subnetzes: 10.0.0.0
Subnetzmaske: 255.255.255.0
-> OK

-> OK


-> Neuer Eintrag
Beschreibung: 10.0.1.138
-> Neuer Eintrag
Netzwerkobjekttyp: IP-Adresse
IP-Adresse: 10.0.1.138
-> OK

-> OK

Nun zu den Firewall Rules:
http://10.0.0.138/index.cgi?active_page_str=page_fw_advanced_filter (Sicherheit->Erweiterte Filter)

Man geht jetzt in der Zeile "LAN Wireless 802.11n Access Point - Virtual AP Regeln" auf Neuer Eintrag.


Regel 1:
Quelladresse: beliebig
Zieladresse: 10.0.1.138
Protokoll: DNS (eventuell muss man zuerst auf "Zeige alle Services" gehen)
Operation: Verbindung akzeptieren
-> OK

Regel 2:
Quelladresse: beliebig
Zieladresse: 10.0.1.138
Protokoll: beliebig
Operation: Verwerfen
-> OK

Regel 3:
Quelladresse: beliebig
Zieladresse: 10.0.0.138/24
Protokoll: beliebig
Operation: Verwerfen
-> OK




Damit Gäste keinen Zugriff auf das Telekom Kundencenter haben muss man dort noch den automatischen Login deaktivieren.
https://ppp.telekom.at/aonPortal/passwordUpdate/index.do


Der Gast hat jetzt ..
- keinen Zugriff auf Rechner im 10.0.0er Netz (Firewall Regel 3)
- keinen Zugriff auf Rechner im 10.0.1er Netz (Inter Client Privacy)
- keinen Zugriff auf Routerdienste wie CLI, Web Interface, FTP, Fileserver, Printserver, UPnP ... (Firewall Regel 2) Ausnahme ist DNS (Regel 1)
- keinen Zugriff auf das Telekom Kundencenter

Dank geht an zid für seine Vorarbeit

5 Kommentare:

Lukas hat gesagt…

Hallo,
Gibt es eine Möglichkeit ein Log zu führen für den Gast-Account?

bepo hat gesagt…

Hallo,

Problem: Bei Aktivierung des VirtualAP ist mein WLAN statt der üblichen 7Mbit nur noch 1,5 MBit langsam.
Deaktiviere isch die VirtualAP ist das Wlan wieder 7Mbit schnell.

Woran liegst das??

HarryD hat gesagt…

Vielen Dank echt toll, jetzt muss ich nicht mehr immer mein reguläres Login an Gäste rausgeben!!

LG Harry

pabloXfendriX hat gesagt…

hallo!
ist echt ne tolle anleitung.

trotzdem steh ich schon beim ersten punkt.
ich kann keinen virtual ap erstellen. brauch ich dazu root-rechte?
lg

Mirko Javurek hat gesagt…

ich habe leider auch das gleiche problem wie pablo. ich sehe zwar eine liste mit
"Virtual APs", wo zwei einträge sind (das erste "LAN Wireless 802.11n Access Point" mit dem status "verbunden", das zweite "LAN Wireless 802.11n Access Point - Virtual AP" mit dem status "deaktiviert". ich finde keine möglichkeit, ein neues hinzuzufügen oder auch eines der beiden bestehenden zu ändern.

Kommentar veröffentlichen