Benutzer-Werkzeuge

Webseiten-Werkzeuge


gekapseltes_gaeste-wlan

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

gekapseltes_gaeste-wlan [2020/07/09 22:07] (aktuell)
Zeile 1: Zeile 1:
 +====== Gekapseltes Gäste-WLAN ======
 +===== Eine saubere Lösung mit DD-WRT =====
 +Quelle:[[http://pedrett.org/dd-wrt-gaestenetzwerk/]]
 +------------------------------
 +
 +Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, als standardmässig vorgegeben. Gerade für kleinere Netzwerke empfiehlt sich deswegen die alternative Routerfirmware DD-WRT.
 +DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier)
 +Das endgültige Ergebnis sieht dann in etwa so aus:
 +{{ :pasted_image.png?650 |}}
 +
 +Sicheres Gästenetzwerk mit DD-WRT
 +
 +Es erfolgt eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt.
 +
 +==== Schritt 1: Virtuelles Gästenetz erstellen ====
 +
 +
 +Virtuelles Interface erstellen (in DD-WRT)
 +Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast).
 +Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken
 +
 +{{ ::pasted_image002.png?650|}}
 +
 +==== Schritt 2: WLAN verschlüsseln / mit Passwort schützen ====
 +
 +WLAN Intern/Gästenetz absichern
 +Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht.
 +Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren.
 +
 +{{ ::pasted_image003.png?650|}}
 +
 +==== Schritt 3: Bridge erstellen ====
 +
 +Neue Bridge br1 für das virtuelle Interface erstellen
 +Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben!
 +Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen.
 +
 +
 +{{ ::pasted_image004.png?650|}}
 +
 +==== Schritt 4: Neue DHCP Instanz erstellen ====
 +
 +Der Bridge br1 eine neue DHCP Instanz zuweisen
 +Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden.
 +Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen.
 +
 +{{ ::pasted_image005.png?650|}}
 + 
 +
 +==== Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren ====
 +
 +Zusätzliche DNSMasq Optionen
 +Zusätzliche DNSMasq Optionen setzen
 +
 +{{ ::pasted_image007.png?650|}}
 +
 +Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden.
 +
 +# Aktiviert DHCP auf br1
 +interface=br1
 +# Setzt das Standard Gateway für Clients von br1
 +dhcp-option=br1,3,192.168.5.1
 +# Setzt den DHCP Bereich und Default Lease Time für br1
 +dhcp-range=br1,192.168.5.100,192.168.5.150,255.255.255.0,24h
 + 
 +
 +==== Schritt 6:  IPTables konfigurieren ====
 +
 +IPTables Konfiguration DD-WRT
 +IPTables Konfiguration einfügen und „Save Firewall“ klicken
 +{{ ::pasted_image009.png?650|}}
 +Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…)
 +
 +Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands.  Dort sollen folgende Konfigurationseinstellungen eingefügt und mittels „Save Firewall“ gespeichert werden:
 +
 +#br1 (Gästewlan) Internetzugriff erlauben
 +
 +iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
 +
 +iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 +
 +#Zugriff zwischen Intern und Gäste blockieren
 +
 +iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
 +
 +iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
 +
 +#NAT erlaubt Internetverbindung
 +
 +iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
 +
 +#Torrent und P2P Netzwerke blockieren
 +
 +iptables -I FORWARD -p tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 50 -j DROP
 +
 +iptables -I FORWARD -p ! tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 25 -j DROP
 +
 +#Direktzugriff auf Router aus Gästenetzwerk verweigern
 +
 +iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
 +
 +iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
 +
 +iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
 +
 +iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
 +
 +
 +==== Schritt 7: DD-WRT in Netzwerk einbinden ====
 +
 +
 +Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), sowie die Subnetmask und den DNS-Server ergänzen.
 +Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert.
 +Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken.
 +
 +
 +{{ ::pasted_image010.png?650|}}
 +
 +Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten.
  
gekapseltes_gaeste-wlan.txt · Zuletzt geändert: 2020/07/09 22:07 (Externe Bearbeitung)