Wireless Router/Switch - Security

[Andre]

Vielleicht hat mal jemand ein aehnliches Problem gehabt und kann mir etwas auf die Spruenge helfen.

Folgende Ausgangssituation:
Ich betreibe seit kurzer Zeit einen Wireless Router/Switch, der ein lokales Netzwerk von momentan 6 Stationen verbindet/verwaltet sowie den Zugang zum Internet ueber ein Satellitenmodem sicher stellt.
Mein Ziel ist es, den Zugang zum Internet fuer NEUE/TEMPORAERE User (also bspw. Gaeste) freizugeben, aber das LAN fuer diese User verstaendlicherweise zu sperren.
Auf technisch-deutsch: das Routing zur IP des Modems gestatten, zu allen anderen IP's aber zu sperren.
Auf den ersten Blick habe ich solch eine Einstellungsmoeglichkeit am Router nicht gefunden.
Hat jemand eine Idee?

[freddykr]

Hallo,

welchen Router hast denn?
Willst Du User von der Benutzung des LANs aussperren oder temporäre Geräte?
Ersteres dürfte über eine lokale Firewall auf den Geräten lösbar sein (nicht die von Windows XP!).

Letzteres müßte mittels verschiedener VLANs machbar sein. Allerdings unterstützen nicht alle Router/Switches diese Funktionen.
Im notfall auch dies mittels Firewalls auf den Rechnern im LAN lösen (aufbauende Verbindungen nur von stationären Rechnern im LAN zulassen)

[Andre]

Der Router ist ein Linksys WRT54G, aber ich denke mir, dass das wohl ein marken-/produktunabhaengiges Problem ist.

Ja, ich will temporaere User von der Nutzung des LAN aussperren, aber den Zugriff auf das Internet ermeoglichen.
Die Sache mit den Firewalls ist mir natuerlich auch klar, aber das halte ich fuer eine sehr unelegante Loesung. Ich suche hier mehr einen Weg, dieses direkt durch den Router zu loesen.
Vielleicht sehe ich auch den Wald vor lauter Baeumen nicht und die Sache ist ganz einfach ...

[frido]

Also für den WRT54G (der intern eigentlich unter Linux läuft) gibt es eine alternative Firmware unter http://www.sveasoft.com, die sollte sowas eigentlich können. Auf der obigen Website gibt es auch ein Forum, wo so einige Sachen beschrieben sind.
Ganz trivial ist die Sache allerdings nicht.

Ciao, Frido.

[Andre]

Danke fuer den Tipp. Die Seite und auch die dort empfohlenen Quellen sind hochinteressant. Leider beschreibt kaum ein Firmwarebastler, welche ganz konkreten Features er denn nun hinzugefuegt hat. Aber ich werde die Sveasoft Varinante einfach mal ausprobieren.
Prinzipiell erschien mir aber das Problem so banal, dass ich mir kaum vorstellen konnte, warum man sowas nicht in den Standard-Leistungsumfang integriert.

[HectorSamuel]

Prinzipiell erschien mir aber das Problem so banal, dass ich mir kaum vorstellen konnte, warum man sowas nicht in den Standard-Leistungsumfang integriert.

Prinzipiell ist das Problem ganz banal, und sicherlich auch simpel in den Leistungsumfang eines Routers zu integrieren. Aber ich denke mal, die meisten Käufer eines Routers wollen es eher umgedreht machen. Einigen Usern den Zugriff aufs LAN erlauben, aber den Zugriff aufs WAN untersagen.

Ich weiß allerdings, dass es Router gibt, die so detailreich eingestellt werden können, wie Du es Dir wünscht. Leider kommen die meist aus dem professionellen Netzwerkbereich und kosten 500 Euronen und mehr.

Gruß Markus

[Andre]

Ja, ich habe aber gerade festgestellt, dass der WRT54G ein Linux Router, also im Open Source ist. Daher gibt es eine Fuelle von Leuten, die die Firmware ihren Beduerfnissen angepasst haben.
Technisch kann er das Gewuenschte sicher leicht realisieren, aber die Standard Firmware schein recht spartanisch zu sein. Mal sehen, was das Upgrade bringt.

[Andre]

Keine Aenderung nach dem Upgrade. Es gibt zwar ein paar mehr Einstellungsvarianten, aber das Gewuenschte kann ich damit scheinbar auch nicht realisieren.

[freddykr]

Der Router ist ein Linksys WRT54G, aber ich denke mir, dass das wohl ein marken-/produktunabhaengiges Problem ist.

Genau den nenn ich auch mein eigen. Mit der default-Firmware ist definitv nix zu machen. Evtl. kann es nur eine modifizierte Firmware, wie schon gepostet. Aber wenn dies nicht explizit dabei steht, würde ich die Finger von lassen.

Die Sache mit den Firewalls ist mir natuerlich auch klar, aber das halte ich fuer eine sehr unelegante Loesung. Ich suche hier mehr einen Weg, dieses direkt durch den Router zu loesen.

Variante 1: Firewalls auf den betroffenen Rechnern
Variante 2: Router kaufen, der das gewünschte unterstützt
Variante 3: kleinen Router (kleinen Linux-PC) zwischen Modem und LAN stellen und selbst getrennte Netze aufbauen (erfordert dann schon ein bisschen an Netzwerkkenntnissen, um es sauber zu lösen)
Variante 4: modifizierte Firmware für den bestehenden Router (allerdings unklar, ob existent)

Grossartige andere Varianten sehe ich nicht.
Wie schon erwähnt wurde, normalerweise macht man es gerade anders herum und da ist es deutlich einfacher.