gekapseltes_gaeste-wlan
Differences
This shows you the differences between two versions of the page.
— | gekapseltes_gaeste-wlan [2023/01/17 08:50] (current) – created - external edit 127.0.0.1 | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Gekapseltes Gäste-WLAN ====== | ||
+ | ===== Eine saubere Lösung mit DD-WRT ===== | ||
+ | Quelle: | ||
+ | ------------------------------ | ||
+ | |||
+ | Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, | ||
+ | DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier) | ||
+ | Das endgültige Ergebnis sieht dann in etwa so aus: | ||
+ | {{ : | ||
+ | |||
+ | Sicheres Gästenetzwerk mit DD-WRT | ||
+ | |||
+ | Es erfolgt eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt. | ||
+ | |||
+ | ==== Schritt 1: Virtuelles Gästenetz erstellen ==== | ||
+ | |||
+ | |||
+ | Virtuelles Interface erstellen (in DD-WRT) | ||
+ | Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast). | ||
+ | Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken | ||
+ | |||
+ | {{ :: | ||
+ | |||
+ | ==== Schritt 2: WLAN verschlüsseln / mit Passwort schützen ==== | ||
+ | |||
+ | WLAN Intern/ | ||
+ | Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht. | ||
+ | Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren. | ||
+ | |||
+ | {{ :: | ||
+ | |||
+ | ==== Schritt 3: Bridge erstellen ==== | ||
+ | |||
+ | Neue Bridge br1 für das virtuelle Interface erstellen | ||
+ | Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben! | ||
+ | Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen. | ||
+ | |||
+ | |||
+ | {{ :: | ||
+ | |||
+ | ==== Schritt 4: Neue DHCP Instanz erstellen ==== | ||
+ | |||
+ | Der Bridge br1 eine neue DHCP Instanz zuweisen | ||
+ | Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden. | ||
+ | Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen. | ||
+ | |||
+ | {{ :: | ||
+ | |||
+ | |||
+ | ==== Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren ==== | ||
+ | |||
+ | Zusätzliche DNSMasq Optionen | ||
+ | Zusätzliche DNSMasq Optionen setzen | ||
+ | |||
+ | {{ :: | ||
+ | |||
+ | Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden. | ||
+ | |||
+ | # Aktiviert DHCP auf br1 | ||
+ | interface=br1 | ||
+ | # Setzt das Standard Gateway für Clients von br1 | ||
+ | dhcp-option=br1, | ||
+ | # Setzt den DHCP Bereich und Default Lease Time für br1 | ||
+ | dhcp-range=br1, | ||
+ | |||
+ | |||
+ | ==== Schritt 6: IPTables konfigurieren ==== | ||
+ | |||
+ | IPTables Konfiguration DD-WRT | ||
+ | IPTables Konfiguration einfügen und „Save Firewall“ klicken | ||
+ | {{ :: | ||
+ | Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…) | ||
+ | |||
+ | Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands. | ||
+ | |||
+ | #br1 (Gästewlan) Internetzugriff erlauben | ||
+ | |||
+ | iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT | ||
+ | |||
+ | iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu | ||
+ | |||
+ | #Zugriff zwischen Intern und Gäste blockieren | ||
+ | |||
+ | iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP | ||
+ | |||
+ | iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/ | ||
+ | |||
+ | #NAT erlaubt Internetverbindung | ||
+ | |||
+ | iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr` | ||
+ | |||
+ | #Torrent und P2P Netzwerke blockieren | ||
+ | |||
+ | iptables -I FORWARD -p tcp -s 192.168.5.0/ | ||
+ | |||
+ | iptables -I FORWARD -p ! tcp -s 192.168.5.0/ | ||
+ | |||
+ | # | ||
+ | |||
+ | iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset | ||
+ | |||
+ | iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset | ||
+ | |||
+ | iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset | ||
+ | |||
+ | iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset | ||
+ | |||
+ | |||
+ | ==== Schritt 7: DD-WRT in Netzwerk einbinden ==== | ||
+ | |||
+ | |||
+ | Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), | ||
+ | Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert. | ||
+ | Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken. | ||
+ | |||
+ | |||
+ | {{ :: | ||
+ | |||
+ | Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten. | ||