Posted: Wed Jan 06, 2010 10:49 Post subject: Multi SSID und VLAN auf WRT54GL!?
Hallo Zusammen!
Ich bin neu hier und ich hoffe ihr könnt mir helfen
Ich habe einen WRT54GL mit der aktuellen DD-WRT Firmware (VPN-Version) geflasht.
Läuft auch alles soweit super, jedoch hab ich jetzt ein Konfigurations-Problem.
Ich möchte zusätzlich zu meinem bestehendem LAN (WLAN, DHCP usw.) ein „zweites“ auf machen.
Folgender Hintergrund:
Ich möchte meinen Freunden ermöglichen sich bei mir in Internet anzumelden, ohne dass diese mein Kennwort von „richtigen“ WLAN kennen sollen.
Zusätzlich ist eine solche Konfiguration extrem Praktisch, wenn ich mal wieder einen Viren-verseuchten PC vom Bekannten habe. Dieser PC würde dann einfach in ein „zweites“ LAN kommen (zwecks Virenscanner update usw.) und könnte nicht mein lokales LAN infizieren.
Mit VLAN und Multi-SSID usw. sollte das ja möglich sein!?
Meine Traum-Konfiguration sähe so aus:
WLAN_1 und Netzwerk Ports 1-3 (am Router) haben ein einen eigenen DHCP (z.B. 192.168.1.X).
WLAN 2 und Netzwerk Port 4 haben einen getrennten DHCP (z.B. 192.168.100.X) und hat technisch keine Möglichkeit mit der „ersten LAN“ zu kommunizieren.
Ins Internet sollten natürlich beide LANs können…
Mit entsprechender professioneller Hardware sollte das ja gehen (Layer 3 Switche usw.) aber geht so etwas auch mit der DD-WRT Firmware? Entsprechende Optionen sind ja vorhanden.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Wed Jan 06, 2010 17:11 Post subject:
Ja das geht.
Anleitung als pdf
Die Firewall regeln kannst du so auch verwenden dann kann dein „viren VLAN“ nur beschränkt auf das Internet zugreifen, überhaupt nicht auf dein Haupt vlan etc. Du hast aber vollen Zugriff auf das „viren vlan“.
ps aktuelle firmaware verwenden.
Einzig in den Scripten am Ende muss man aufpassen, wenn man die Zeilen einfach kopiert, zerhauen die Zeilenumbrücke einem das Script und es geht nicht.
Sehe ich das Richtig, dass wenn ich
iptables -I FORWARD 4 -i br0 -o vlan2 -j ACCEPT
durch
iptables -I FORWARD 4 -i br0 -o vlan2 -j DROP
ersetze, die beiden LANs wirklich nix voneinander wissen?!
Ach ja, noch was...das ich aus dem VLAN (br2 bei mir 192.168.200.1) die IP des Routers (192.168.99.1) pingen kann und auch auf das Web-Interface komme. lässt sich nicht abschalten? Auf alle anderen Adressen aus dem 99er Netz kommt man über das VLAN nicht drauf....nur auf den Router.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Wed Jul 28, 2010 19:22 Post subject:
Im Prinzip Genauso wie es beschrieben ist nur das du kein interface aus dem std. vlan lösen musst.
Aber weil du so nett fragst für dich eine eigen Anleitung. :wink:
ps.
Mit dem „neuen“ WLAN ist dann so nur der Internet Zugriff möglich auf allen Ports!
Sollen nur bestimmte Ports z.B. 80,443,110,25 und 21 erlaubt werden sag Bescheid falls du mit den Firewall regeln nicht zurechtkommst.
zunächst einmal herzlichen Dank für deine schnelle Hilfe und Mühe!
In deiner Anleitung beschreibst du die Konfiguration zweier WLANs (eines davon privat) und eines privaten LANs, ich hatte aber einen anderen Wunsch...
Ich benötige
- ein privates LAN 192.168.0.x
- ein LAN im VLAN nur für Internet (Port 80,...) 192.168.100.x
- ein WLAN im VLAN nur für Internet (Port 80,..) 192.168.100.x
Ich möchte kein WLAN haben, dass auf das private LAN 192.168.0.x zugreifen kann, also nur ein Internet-WLAN.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Fri Jul 30, 2010 16:14 Post subject:
Dann nimm das erste pdf (Nachbarn abschirmen.pdf)
Und lass das zweite WLAN einfach weg (wl0.1).
Stattdessen nimmst du std. WLAN aus der Bridge (Wireless -> Basic Settings -> Network Configuration = Unbridged)
Weist im dann das Subnetz zu (wie in Schritt 4 beschrieben) und fügst es der Bridge br2 zu.
Also Im Prinzip genauso wie im pdf beschrieben nur das du in Schritt 4 kein neues WLAN erstellest sondern das std WLAN verwendest.
Dann hast du wenn du alles richtig gemacht hast
ein Subnetz 192.168.0.x (ein privates LAN 192.168.0.x)
und ein Subnetz 192.168.100.x mit WLAN und LAN
was völlig getrennt ist vom 192.168.0.x.
aber ich bekomme das nicht so hin.... du schreibst, ich soll das WLAN der Bridge br2 zuordnen.... geht aber leider nicht, ich kann dort wl0 gar nicht auswählen (siehe hardcopy).
Ich hatte allerdings noch folgendes probiert:
- std. WLAN interface wl0 auf bridged(!) (und kein weiteres WLAN)
- eth1 der br2 hinzugefügt (der br2 sind nun eth1 und vlan2 zugeodnet)
und nun funktioniert es....
- ein Subnetz 192.168.0.x (ein privates LAN 192.168.0.x)
- und ein Subnetz 192.168.100.x mit WLAN und LAN
Frage: ist das plausibel, dass dies mit der oben angegbenen Einstellung funktioniert?
Prima!!!
Jetzt werde ich mich der Firewall widmen (wie du es in der Anleitung zum Nachbarn beschrieben hast). Ich komme dann ggf. nochmals auf dich zurück, falls ich nicht klar komme.
Muss mich hier auch mal reinhängen, da ich mich gerade mit dem selbigen Thema beschäftige.
Danke erstmal für die ausgezeichneten Anleitungen, hat bei mir auf Anhieb geklappt.
Eine Frage bleibt mir aber offen, gibt es eine Möglichkeit, das WLan einfach vom Lan zu trennen?
Mit den oben genannten Varianten habe ich ja anschließend immer 2 WLan Netze. Toll wäre es, wenn ich nur eines hätte und das eben von den Lan anschlüssen getrennt ist, aber das Internet von WAN mitbenutzen kann.
Habs nun soweit hinbekommen, doch ein Problem bleibt leider, sobald ich das WLan herausnehme und der br02 hinzufüge, bekomme ich keine WLan Verbindung mehr zusammen wenn eine Verschlüsselung aktiviert ist.
Sobald ich die Verschlüsselung raus nehme, klappt alles wieder. Was kann ich dagegen machen? Oder was hab ich falsch gemacht?