(WAN per WLAN)-zu-WLAN-Router? Existiert so etwas?

[Beate Bier]

Hey.

Vorab: Mir ist bewusst, dass es Unterschiede zwischen bspw. Routern, Switches, Gateways, Bridges, etc. gibt, kenne diese Unterschiede aber nicht genau genug. Deswegen versuche ich die Begriffe zu vermeiden. Wenn ich sie doch verwende und das mglw. falsch bitte ich euch mir das nachzusehen. (Aber bitte erklärt mir den Fehler. Ich versuche das schon länger mal klar zu kriegen )

Ich soll ein Netzwerk im Arbeitsraum eines Freundes einrichten.

Grundproblem:
Der Arbeitsraum ist in einem Hausprojekt, in dem es einen Internetzugang gibt, der mittels eines "Routers" (Modem, Gateway oder ...) per Kabel und WLAN an mehrere Parteien verteilt wird. Dieser Internetzugang soll genutzt werden. In dem Arbeitsraum soll aber auch ein unabhängiges Netz entstehen, in dem Dateifreigaben und vor allem auch ein Drucker genutzt werden sollen. Diese Freigaben und der Drucker sollen aber nur vom Arbeitsraum und dort von mehreren Laptops aus genutzt werden und nicht für die anderen Nutzer des Routers zugänglich sein.

VARIANTE 1
Eine offensichtliche Lösung wäre ein Kabel von diesem Router in den Arbeitsraum und daran ein weiterer Router, der dann das private Netz verteilt.

Problem dabei: Der (Internet-)Router ist ziemlich weit weg und der Weg dahin führt durch Räume, die quasi öffentlich sind. Ein Kabel zum Router ist also möglich aber nicht ideal (sieht mglw. blöd aus, was den Betreibern des Hauses missfallen könnte, könnte geknickt oder daran gerissen werden etc.).

Deshalb: Gibt es eine Möglichkeit diese Verbindung vom privaten Netz im Arbeitsraum in das öffentliche Netz des Hausprojekts (inklusive der Nutzung des Internetzugangs) nur mittels WLAN herzustellen?

VARIANTE 2
Über ein VPN habe ich nachgedacht, das wäre sicher möglich.
Jedoch stellt sich dann die Frage, wie ich den Drucker in das VPN bekomme. Dieser soll nicht an einem der Laptops hängen und von dort aus freigegeben werden. Der Drucker hat einen Ethernetanschluss, könnte also auch an einen Router (oder Switch, oder ...) angeschlossen werden.
Wie kriege ich dann aber die VPN-Zugangsdaten in diesen Router?
Oder muss ich das im internen Printserver des Druckers (Der Drucker müsste ja einen Printserver haben, damit er ein Netzwerkdrucker ist, oder?) einstellen?
Oder gibt es externe Printserver, idealer- aber nicht zwingenderweise mit WLAN-Funktionalität, in denen ich die VPN-Zugangsdaten einstellen kann?
Oder gibt es Printserver, die so etwas wie Benutzerkonten kennen? Dann könnte ich den Drucker direkt in das äußere Netz stellen und niemand ohne Benutzerkonto könnte drucken, oder?

VARIANTE 3
Was ich mir eigentlich erhoffe, ist so etwas ähnliches wie hier beschrieben:
http://www.dd-wrt.com/wiki/index.php/Client_Mode.
Das Gerät im Arbeitsraum soll sich also per WLAN in das Gesamthausnetz hängen und den damit verbundenen Internetzugang an das private Arbeitsraumnetz weitergeben (WAN per WLAN), im Unterschied zu dem im Link beschriebenen Beispiel aber nicht nur an die LAN-Ports dieses Geräts, sondern auch mittels eines (weiteren?) AP an mögliche WLAN-Geräte im Arbeitsraum.
Fragen dazu:
Gibt es ein solches Gerät, was alle genannten Funktionen vereint? Foreneinträge meinen oft nein, andererseits sind diese auch oft recht alt. Vielleicht hat sich das mittlerweile geändert?
Wie würde ein solches Gerät heißen? (WLAN-Router (ohne jegliches LAN-Kabel), Bridge, ...)
Gibt es Kombinationen von Geräten, die das machen? Vielleicht ein ("herkömmlicher") WLAN-Router im Client-Mode (wie im obigen Link beschrieben) und daran, mittels LAN, ein unabhängiger (externer) AP?

Puuh, doch recht kompliziert geworden. Denke ich dabei zu kompliziert? Danke im Vorraus.

Beate

 

[MaBo.]

Hi,

also wenn ich dich richtig verstanden habe, benötigst du zwei getrennte Netze die über einen einzigen Internetanschluss versorgt werden?!

Zu Problem 1:
Wenn es möglich ist, solltest du auf Wlan weitestgehend verzichten und möglichst mit einer Leitung zum Anschluss arbeiten. Sollte eine Leitung nicht möglich sein, dann prüfe ob du eine stabile Powerline Verbindung hinbekommst. Das sind Adapter die man in die Steckdose steckt und die Daten dann über das Stromnetz leiten. (Kannst vielleicht bei einem Bekannten deines Vertrauens zum Testen ausleihen)

Zu Problem 2:
Zwei getrennte Netze die einen gemeinsamen Internetanschluss nutzen ist möglich. Mir fällt da allerdings keine günstige Verbraucherfreundliche Hardware ein. Das einzige, das mir jetzt Spontan einfällt, ist ein Security Gateway von Sophos. Für diese gibt es für Privatnutzer eine Kostenlose Lizenz. Du benötigst dann einen alten Rechner mit 3 Netzwerkkarten, eventuell sogar 4. Dieses Gateway agiert dann als Router, wählt sich bei deinem ISP ein und generiert 2 getrennte Netze die sich mit sehr wirkungsvollen Funktionen auch schützen lassen. Dort können dann auch Accesspoints Angeschlossen werden, wenn Wlan notwendig ist.

Gruss Matze

 

[Raijin]

Kannst du bitte eine Skizze hochladen? Bei soviel Text verliert man irgendwie den Überblick.

Zeichne grob den Grundriss, die PCs, Drucker, etc und den Internet-Router auf. Dann malst du da Kreise um die PCs/Drucker, etc. die jeweils gemeinsam genutzt werden sollen.

Wenn man verschiedene Netzwerke trennen möchte, aber jeweils den Zugriff auf ein zentrales Gerät (zB Internet-Router, NAS, Drucker, o.ä.) ermöglichen will, verwendet man in der Regel einen VLAN-Switch oder einen Router. Fritzbox und Co helfen da aber nicht weiter, weil das streng genommen nur "Firewall-AccessPoint-Router mit Modem sind, also Kombigeräte für einen ganz bestimmten Zweck. Mehrere Netzwerke kann man damit in der Regel nicht routen.

Als reine Router bieten sich zB MikroTik-Router, EdgeRouter (Ubiquiti) oder auch pfSense an. Allerdings setzen die ein gewisses Netzwerk-KnoffHoff voraus, weil sie mehr oder weniger nackt ausgeliefert werden. Das heißt man muss prinzipiell alles konfigurieren, IP-Adressen, Routen, Firewall-Regeln, etc.. Wizards bzw. Configs, die man runterladen kann, sind da zwar hilfreich, aber man sollte sich schon etwas mit der Materie auskennen, um keinen Mist zu fabrizieren.


Wenn Arbeitsraum und Internet-Router mehrere Räume entfernt sind, ist WLAN vermutlich nicht unbedingt die beste Lösung. Kabel wäre optimal, aber PowerLAN - wie von MaBo empfohlen - kann eine adäquate Alternative sein.

 

[Beate Bier]

Anhang anzeigen Arbeitsraum.pdf

So, das ist eine Skizze der Situation.

Das habe ich in meinem vorherigen Post nicht so deutlich gemacht: Ich habe auf den "Internet-Router" (keine Ahnung was genau das für ein Gerät ist) und auf den Internetzugang keinen Einfluss und kann daran nichts ändern, da das eben den Hausbetreibern gehört. Ich kann in das WLAN (WLAN 1 in der Skizze) oder, mit Schwierigkeiten, ein Kabel legen zum "Internet-Router".

PowerLAN hatte ich auch überlegt, da ich aber die Verkabelung in dem Haus dort überhaupt nicht kenne und im Bekanntenkreis meines Wissens nach auch niemand die Geräte zum Ausprobieren hat, scheidet das zunächst erstmal aus.

@MaBo: Ich weiß nicht genau ob ich 2 (gleichberechtigte) Netze brauche. Einerseits kann ich Netzwerk 1 sowieso nicht einstellen und verändern und andererseits würde Netzwerk 2, das ich administrieren würde, ja quasi Teil von Netzwerk 1 sein. Hoffentlich hilft die Skizze dabei, die Situation zu verstehen.
Zur (mglw.) kostengünstigen Hardware: Ich verlängere zuhause die Reichweite meines WLANs mit einer alten FritzBox (Zugang über KD-Kabelmodem mit (unzureichender) WLAN-Funktion; FritzBox ist kein Repeater sondern hängt per LAN-Kabel am Modem und verteilt diesen Zugang als separates WLAN in die entfernten Wohnungsbereiche). Zugegeben, das ist dann ein Netz, d.h. egal in welchem WLAN ich bin und egal an welchen LAN-Ports (Modem oder FritzBox) ich hänge, ich erreiche alle Geräte. Ich habe es nicht probiert, aber ist es dann tatsächlich so schwierig bzw. unmöglich, an der FritzBox ein weiteres, unabhängiges LAN+WLAN zu erzeugen?

@Raijin: Der letzte Teil meiner obigen Antwort an MaBo betrifft auch deine Aussage

Fritzbox und Co helfen da aber nicht weiter, weil das streng genommen nur "Firewall-AccessPoint-Router mit Modem sind, also Kombigeräte für einen ganz bestimmten Zweck. Mehrere Netzwerke kann man damit in der Regel nicht routen.

Geht das (meist) gar nicht mit solchen Kombigeräten oder gibt es da auch angepasste Firmwares, die das dann können?


I.Allg.: Ich frage nochmal die Jungs, die da in den Arbeitsraum wollen, welche Geräte (speziell welchen Router) sie genau haben und werde das dann nochmal posten. Vielleicht hilft bis dahin schon meine Skizze.
Höchstwahrscheinlich werde ich die "Verbindung" (siehe Skizze) jetzt mit einem LAN-Kabel machen und nicht per WLAN. Trotzdem würde es mich interessieren ob es Geräte gibt, die diese Verbindung mittels WLAN herstellen und dann ein eigenes, separates, privates LAN+WLAN erzeugen.

 

[Regor]

such nach einem Wlan Repeater mit LAN Ausgang, den hängste in das vorhandene Wlan Netz und gehst per Netzwerkkabel in einen weiteren Wlan Router der dein neues Netz abbildet

 

[Raijin]

Hm.. Wenn du auf den Internet-Router und quasi auf das Hauptnetzwerk keinen Einfluss hast, ist das nicht so einfach. Zwar könntest du mit einem WLAN-Repeater/-AP im Client-Mode und einem nachgelagerten Router (zB Fritzbox) ein LAN2 aufbauen, das über die WLAN-Verbindung mit dem Internet-Router gekoppelt ist, aber ich bin mir gerade nicht so sicher ob die Fritzbox in LAN2 zuverlässig die Netze trennen würde.

Prinzipiell ist für die Fritzbox alles hinter dem WAN-Port quasi "Internet". Das heißt Zugriff von LAN1(inkl. Internet) auf LAN2 würden von der Firewall blockiert werden, wenn keine passende Portweiterleitung eingerichtet ist. Andersherum bin ich mir aber nicht so sicher. Ausgehender Traffic wird von einem Internetrouter normalerweise nicht geblockt, weil ja gerade diese Verbindung die Hauptaufgabe eines Internetrouters ist, die Verbindung nach außen. Dass die Fritzbox nu streng genommen nicht im Internet hängt, sondern nur in einem LAN, ist dabei egal. Das heißt, dass man von LAN2 auf LAN1 zugreifen kann, sofern der Router private IPs an den WAN-Port leitet. Ob die Fritzbox das tut, weiß ich nicht.


In so einer Konstellation ist es für eine saubere Lösung hilfreich, Zugriff auf den Hauptrouter zu haben. Ein handelsüblicher Internet-Router ist speziell für einen Zweck entworfen: Ein privates (W)LAN mit einem WAN zu verbinden. Bei Consumer-Routern findet man bestenfalls ein Gäste-WLAN, das intern vom LAN isoliert wird und ausschließlich Zugang zum Internet erhält. Für mehrere LANs sind diese Geräte schlicht und ergreifend nicht entwickelt worden. Dafür bedarf es mehrerer LAN-Interfaces, die unabhängig voneinander konfiguriert werden können (IP, DHCP, etc), und entsprechender Regeln in der Firewall, die den Zugriff untereinander steuert. Sowas bieten die 08/15-Router von AVM und Co nicht, weil dort nur 2 LAN-Interfaces verbaut sind, einmal für den WAN-Port und einmal für den 4-Port-Switch für das interne LAN.

Wenn der Internet-Router in LAN1 aber eine Funtion für ein Gäste-WLAN bietet, wäre das der einfachste Weg.