WLAN vom LAN "abtrennen"

[PC FREAKY]

Hallo,

ich brauche eure Hilfe.
Ich bekomme Internet (LAN) von einem Gerät, das ich nicht kenne.

Hier möchte ich einen Route oder ähnliches dran hängen, der dann WLAN an verschiedene Geräte verteilt.

Dieses WLAN mus aber komplett vom LAN getrennt sein, es dürfen keine Intranet Zugriffe möglich sein.
Weder über Windows noch über andere Wege.

Wie geht das am besten?
Was für ein Gerät eignet sich?

Und nein, am alten Gerät kann nichts verändert werden, das bleibt wie es ist, es wird nur ein LAN Kabel angesteckt.

Viele Grüße,
PC FREAKY

 

[Xireg]

Geil.... Internet for free

 

[DeusoftheWired]

Gast-WLAN. Unterstützen die FRITZ!Boxen (Klick!) und einige andere Hersteller. Ansonsten VLAN mit einer der *WRT-Firmwares auf irgendeinem Billigrouter.

 

[QXARE]

Mit einem Router solltest du gut bedient sein.
Du kannst hier meistens bestimmte MAC-Adressen freischalten, die auf das WLAN zugreifen können und auch eine DMZ einrichten, die eigentlich genau diesem Konzept entspricht (hoffentlich irre ich mich hier nicht und wenn doch, bitte um Aufklärung!).

 

[TheCadillacMan]

Das ist mit einem ganz normalen WLAN-Router deiner Wahl machbar. Du musst nur ein anderes Subnetz als das ankommende LAN verwenden. Solange du keine Routen zwischen den Netzen definierst ist alles getrennt und der Router macht NAT.

Aber bitte darauf achten, dass auf dem Port an dem das LAN ankommt kein DHCP aktiviert (auf dem WAN-Port ist das meist automatisch der Fall) ist, da du sonst das LAN stören könntest.

 

[Robo32]

Einen Router welcher ein Gast WLAN bietet über die WAN Buchse mit dem "unbekannten Gerät" verbinden.

 

[PC FREAKY]

können alle WLAN Fritzboxen den Gastzugang?

 

[cs_reaper]

Der Wan-Port kann ruhig über DHCP eine Adresse beziehen.....das ist "standardmäßig" wohl auch so eingestellt, (Das stört keinen Menschen). Der Router NAT'ten lassen und das wars denn .....

 

[smuper]

Nach einem Gastzugang ist hier erst mal gar nicht gefragt.

Wenn du nur das bestehende LAN von dem neuen WLAN trennen willst, dann reicht ein normaler WLAN Router der dann über den WAN Port gespeist wird.

 

[TheCadillacMan]

Der Wan-Port kann ruhig über DHCP eine Adresse beziehen

Natürlich, ich meinte auch, dass man den DHCP-Server auf dem Port auf dem das LAN-Kabel ankommt deaktivieren sollte, da man sonst mit hoher Wahrscheinlichkeit einen Rogue DHCP-Server geschaffen hat. Der DHCP-Client sollte natürlich aktiv bleiben.

 

[Robo32]

@smuper
Dann kann man nicht von LAN auf WLAN zugreifen, auf LAN von WLAN geht es ohne Probleme...

@TE
Eine Zeichnung wäre nicht schlecht, denn so klar sind die Anforderungen nicht...

...da man sonst mit hoher Wahrscheinlichkeit einen Rogue DHCP-Server geschaffen hat.

Dazu müssten beide auf der selben Seite des WAN Ports sein.

 

[PC FREAKY]

eine Zeichnung ist nicht von nöten:

Internet kommt per LAN von einem mir unbekannten Router.

Dieses Signal möchte ich an WLAN Geräte weitergeben, ohne dass die Geräte im WLAN, auf die Geräte vom "mir unbekannten Router" zugreifen können.

 

[chrigu]

also studenten/wohnheim/WG in dem stil..

wie ist dein router angeschlossen? LAN oder WAN?
wie ist das "unbekannte gerät" konfiguriert?

wenn das unbekannte gerät nicht sichtbar sein soll, schliesse es nicht an dein router

 

[Robo32]

Dieses Signal möchte ich an WLAN Geräte weitergeben, ohne dass die Geräte im WLAN, auf die Geräte vom "mir unbekannten Router" zugreifen können.

Hattest du eine Zeichnung gemacht, würde dir auffallen, dass das nicht so einfach möglich ist - es sei denn, die WLAN Geräte sollen auch kein Internet haben...

 

[Regor]

normal reicht es einen WLAN Router deiner Wahl zu kaufen ... evtl. nicht den billigsten Fernostschrott

das LAN Kabel steckst du in den WAN Port deines neues Routers ... du nutzt also das NAT, DHCP und das Routing des neuen Gerätes, schau vorher nach welche IP das "unbekannte Gerät" nutzt (Standardgateway)

falls die default IP des neuen Routers identisch ist änderst du diese ... damit bildest du für deine WLAN Geräte ein eigenes Subnetz, der Bereich in dem der "unbekannte" arbeitet ist für den normalen WLAN Benutzer somit maskiert

 

[Raijin]

Dieses Signal möchte ich an WLAN Geräte weitergeben, ohne dass die Geräte im WLAN, auf die Geräte vom "mir unbekannten Router" zugreifen können.

Bist du dir bei der Richtung sicher? Ich denke du meinst es eigentlich andersherum, also den Zugriff vom "unbekannten Netzwerk" auf Geräte in deinem WLAN verhindern.

Sofern dein Router per WAN-Port an den "unbekannten Router" angeschlossen ist, kann man ohne entsprechende Portweiterleitung innerhalb deines Routers vom "unbekannten Netzwerk" nicht auf deine WLAN-Geräte zugreifen. Das ist ja vergleichbar mit einer direkten Internetverbindung (WAN-Port --> DSL) und Bestandteil der normalen Firewall des Routers.

Der Zugriff von deinem WLAN auf Geräte im "unbekannten Netz" ist da schon anders. Sofern du zB eine IP-Adresse außerhalb deines Subnetzes anpingst, schickt der Laptop das automatisch an das Standardgateway, deinen Router. Dieser wiederum routet das entsprechend weiter - ins Internet oder eben ins "unbekannte Netz". Wenn da ein "unbekanntes Gerät" antwortet, ist das vergleichbar mit dem Ping auf google.de bei direkter Internetverbindung des Routers. Dieser Weg ist für dich aber halb so wild, da das ja letztendlich außerhalb deines Netzwerks geschieht. Und wenn das vom "unbekannten Router" nicht entsprechend getrennt bzw. abgesichert wird, kannst du da prinzipiell wenig tun, abgesehen davon, dass du das über IP-Sperren, "falsches Routing" des entsprechenden Subnetzes auf den Endgeräten oder ähnliche Methoden einigermaßen verhinderst. Die Absicherung des "unbekannten Netzes" obliegt eigentlich dem "unbekannten Administrator" dieses Netzes. Eingehende Verbindungen aus dem "unbekannten Netz" in dein WLAN sind für dich deutlich kritischer, aber aus obigen Gründen eben auch standardmässig durch die Firewall des Routers entsprechend abgesichert.

Beispiel:

Unbekannter Router = 10.10.10.1 /24
Unbekanntes Gerät = 10.10.10.2 / 24 (zB ein Drucker)

Dein Router WAN= 10.10.10.254 /24
-------RouterFirewall---------
Dein Router LAN= 192.168.1.1 /24

Dein Laptop LAN= 192.168.1.15 /24 | Gateway 192.168.1.1


'ping 10.10.10.2' vom Laptop aus müsste gehen, da der Ping über deinen Router geleitet wird. Router macht NAT an WAN, also kann das "unbekannte Gerät" den ping beantworten. Aber: Das "unbekannte Gerät" kann NICHT von sich aus direkt die 192.168.1.15 pingen, weil der Ping wiederum an dessen Standardgateway, den "unbekannten Router", geschickt wird. Dreckiger Workaround zum Verhindern des ersten Pings: Routing Tabelle des Routers oder jedes einzelnen (W)LAN-Clients um folgenden Eintrag erweitern: Route to 10.10.10.0 /24 via 192.168.1.254 (eine nicht existente IP). Dann geht der Ping nicht zum Router, sondern ins Nirvana.. Besser wäre ein entsprechender Block in der Router-Firewall...

eine Zeichnung ist nicht von nöten:

Internet kommt per LAN von einem mir unbekannten Router.

Schon ein wenig lustig, dass du dir so sicher bist was wir zur Beantwortung der Frage brauchen oder nicht brauchen. Eine Zeichnung ist immer besser, da damit deutlich klarer wird was du überhaupt erreichen willst. Wie du meinem Text entnehmen kannst ist es durchaus ein Unterschied von wo du Zugriff auf was zulassen bzw. verhindern willst. Kurz ein paar Rechtecke, Kreise und Pfeile auf ein Blatt Papier kritzeln und einscannen sagt mehr als 1000 Worte - die ja auch noch irrtümlich falsch oder ungenau formuliert sein könnten.. Dass du Internet von einem LAN-Kabel aus der Wand bekommst, haben wir schon verstanden..

 

[Applied]

Der Zugriff von deinem WLAN auf Geräte im "unbekannten Netz" ist da schon anders. Sofern du zB eine IP-Adresse außerhalb deines Subnetzes anpingst, schickt der Laptop das automatisch an das Standardgateway, deinen Router. Dieser wiederum routet das entsprechend weiter - ins Internet oder eben ins "unbekannte Netz". Wenn da ein "unbekanntes Gerät" antwortet, ist das vergleichbar mit dem Ping auf google.de bei direkter Internetverbindung des Routers.

Seh’ ich auch so.

Dieser Weg ist für dich aber halb so wild, da das ja letztendlich außerhalb deines Netzwerks geschieht.

Jein.

Vermutlich ja - aber eben nicht unbedingt. Um das mal wieterzuspinnen: Wenn der Router (als “man in the middle”) “unbekannt” ist, könnte er prinzipiell auch DNS-Anfragen (z.B. per static route) an eines der angeschlossenen Geräte weiterleiten. D.h., zumindest prinzipiell könnte der unbekannte Router jegliche Anfrage auf irgendein beliebiges Gerät “umbiegen”. Dann meldet sich vielleicht irgendein lokaler Computer mit “Hi, ich bin google.de/der Mailserver deines Providers/der Online-Banking-Server deiner Hausbank - wie kann ich dir helfen?”

Klar, das wäre im Grunde schon kriminell und ist eher eine theoretische Frage. Aber als “halb so wild” würde ich das - aus Perspektive des Threaderstellers dann auch nicht bezeichnen. Das eigentliche Problem ist dabei auch weniger der mögliche Zugriff auf irgendwelche lokalen Subnetze an sich. Ein böswillig mit irgendwas böswillig "infizierter" Router dürfte zum Phishing sinnvollerweise nicht ins lokale Netz, sondern auf einen präparierten Server im Internet weiterleiten (letzteren Angriff würde ich allerdings auch in der Praxis nicht ganz ausschliessen). Das Problem ist ein ganz grundsätzliches: Was macht der unbekannte Router mit dem Traffic? Kann man dem unbekannten Router überhaupt vertrauen?

Und wie du auch schon sagst:

ohne dass die Geräte im WLAN, auf die Geräte vom "mir unbekannten Router" zugreifen können.

Meiner Meinung nach lässt sich dies lässt sich mit vertretbarem Aufwand oder hier beschriebenen Mitteln schlicht nicht verhindern - ausser, man tunnelte allen aus dem WLAN und "eigenen" Router ausgehenden Traffic per VPN o.ä. durch den unbekannten Router durch (anderenfalls Verbindung blockieren). Oder, klar, der "unbekannte" Router sorgt dafür.

 

[Raijin]

Prinzipiell hast du natürlich Recht, aber in einem Umfeld in dem man mit sowas rechnet, würde ich niemals und in keinem Falle mein privates LAN anbinden! Bei 'unbekannt' gehe ich daher davon aus, dass es sich zumindest um ein grundsätzlich vertrauenswürdiges Netz handelt - zB ein Studentenwohnheim, Nachbars-LAN oder dergleichen.. Sicher können auch da Risiken lauern, aber wie gesagt: Der beste Schutz ist dann keine Verbindung.

 

[PC FREAKY]

Das unbekannte Netz stellt definitiv keine Gefahr dar.

 

[Raijin]

Ok, und in welche Richtung willst du warum zwingend mögliche Verbindungen aktiv verhindern? Vom unbekannten Netz in dein privates Netz oder andersherum?