WLAN aber nur internet

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Broadcom SoC basierende Hardware
Goto page 1, 2  Next
Author Message
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Sun Mar 16, 2008 9:11    Post subject: WLAN aber nur internet Reply with quote
Ich habe hier einen WRT45GL 1.1 auf dem DDWRT v24 läuft. Nun möchte ich das hier in der WG das die Leute über WLAN ins Internet kommen aber auch nur das es soll kein Zugriff untereinander möglich sein. Wie stelle ich dies am besten an?

Der Router hängt an einem Switch welcher an einer Fritzbox angeschlossen ist die am Internet hängt.

Danke für eure Hilfe
Sponsor
Ralph
DD-WRT User


Joined: 28 Dec 2006
Posts: 93

PostPosted: Mon Mar 17, 2008 13:24    Post subject: Reply with quote
da gibt es so ne tolle Funktion namens AP Isolation. Wenn du diese aktivierst wird jeder wlan client in ein eigenes Vlan gegeben und kann somit nicht mehr mit anderen WLAN Clients kommunizieren.
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Mon Mar 17, 2008 17:13    Post subject: Reply with quote
Jo das funktioniert auch einwandfrei jetzt nur nicht mehr die Clients die über lan verbunden untereinander kommunizieren. Hier mal ne Skizze. Leute die sich auf dem wrt54g über wlan einloggen sollen nur internet bekommen nicht auf andere clients kommen

[/img]



1.jpg
 Description:
 Filesize:  11.32 KB
 Viewed:  10263 Time(s)

1.jpg


WaS
DD-WRT Guru


Joined: 06 Jun 2006
Posts: 731
Location: Erlangen, Germany

PostPosted: Tue Mar 18, 2008 8:25    Post subject: Reply with quote
re1hro wrote:
Jo das funktioniert auch einwandfrei jetzt nur nicht mehr
die Clients die über lan verbunden untereinander kommunizieren.

Könntest du dein Anliegen bitte als grammatikalisch korrekten Satz formulieren?
Das würde der Verständlichkeit gut tun. Danke,

FYI:
"Client Isolation" verhindert nur, dass drahtlose Stationen untereinander
kommunizieren. Mit drahtgebundenen Clients können sie nach wie vor Daten
austauschen. Und auf die Kommunikation der drahtgebundenen Clients
untereinander hat es auch keinen Einfluss.
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Tue Mar 18, 2008 8:30    Post subject: Reply with quote
Ja sorry. Das ganze geht natürlich auch gramatikalisch richtig. Also ich möchte, dass die Leute welche sich über Wlan mit dem WRT54GL/DDWRTv24 verbinden, nur Internetzugriff haben. Es sollte keine Kommunikationen mit anderen Clients stattfinden weder über Wlan (was ja mit AP Isolation super funktioniert) noch über Kabel gebundene Verbindungen.
WaS
DD-WRT Guru


Joined: 06 Jun 2006
Posts: 731
Location: Erlangen, Germany

PostPosted: Tue Mar 18, 2008 9:43    Post subject: Reply with quote
Hmm... m.E. geht das nur mit einem weiteren Router, der für die
WLAN-Clients ein eigenes Subnetz aufmacht:
Auf den Routern werden passende statische Routen eingerichtet,
und die Firewall auf dem "sekundären" Router wird so eingestellt,
dass aus dem o.g. Subnetz nur Zugriff auf den "primären" Router
möglich ist (und damit ins Internet), aber nicht auf dessen Clients.
Und auf dem Router, der die WLAN-Clients bedient, muss natürlich
AP-Isolation eingerichtet werden.

Ach so, wenn ich deine Skizze ansehe, dann hast du ja bereits 2
Router, nämlich die Fritzbox und den WRT54. Verstehe ich recht,
dass die die WLAN-Clients alle am Linksys hängen, und dass dort
keine drahtgebundenen Clients dran sind? Wenn ja, dann poste doch
mal, welche Adresse und welches Subnetz die Fritzbox hat; dann
kriegst du von mir die passenden Einstellungen für den Linksys Smile


Last edited by WaS on Fri Mar 21, 2008 23:15; edited 1 time in total
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Tue Mar 18, 2008 10:19    Post subject: Reply with quote
Ja, an dem Linksys sind keine Kabelgebundenen Clients angeschlossen der soll nur Wlan machen. Angeschlossen habe ich den Linksys über einen LAN Port am Linksys an den SW. Die Fritzbox hat die Standart IP 192.168.178.1 mit 255.255.255.0 als Subnet
WaS
DD-WRT Guru


Joined: 06 Jun 2006
Posts: 731
Location: Erlangen, Germany

PostPosted: Tue Mar 18, 2008 15:41    Post subject: Reply with quote
Ok, so geht's:

Der Linksys wird als statischer Router konfiguriert, also nicht (wie
voreingestellt) als Gateway, damit nicht zweimal NAT gemacht wird.
(Sorry, ich hab' jetzt nicht im Kopf, auf welcher Seite des GUI das
gemacht wird.)
Und er wird mit seinem WAN-Port an einen LAN-Port der Fritzbox
angeschlossen.

WAN-seitige Einstellungen: IP-Adr. z.B. 192.168.178.99 (oder was
immer ins Subnetz der Fritzbox passt), Netzwerkmaske 255.255.255.0,
Standardgateway=192.168.178.1 (also die Fritzbox), DNS dito.

LAN-seitige Einstellungen: Z.B. wie voreingestellt, also
IP-Adr. 192.168.1.1 und Netzwerkmaske 255.255.255.0.
DNS-Proxy würde ich deaktivieren und stattdessen als DNS-Server die
Fritzbox einstellen, also 192.168.178.1, denn zwei DNS-Proxies
hintereinander müssen nicht sein.

Auf der Fritzbox musst du eine statische Route einstellen,
nämlich für das Subnetz 192.168.1.0/24 über die Adresse 192.168.178.99.

Und nun der springende Punkt: Im Linksys die folgenden Befehle als
Firewall-Skript eintragen:

iptables -I FORWARD -d 192.168.178.0/24 -j DROP
iptables -I FORWARD -d 192.168.178.1 -j ACCEPT

Der erste Befehl verhindert alle Datenverbindungen ins Subnetz der
Fritzbox. Der zweite Befehl erlaubt als einzige Ausnahme die Verbindung
zur Adresse 192.168.178.1, also zur Fritzbox selbst und damit ins Internet.

Außerdem wird auf dem Linksys auch Client Isolation eingeschaltet, damit
die WLAN-Clients sich auch untereinander nicht sehen.

Fritzbox und vor allem Linksys müssen durch ausreichend "starke" Passwörter
abgesichert werden!

Ich habe genau dieses Szenario vor einiger Zeit mal versuchsweise bei
mir daheim ausprobiert und es hat funktioniert (allerdings mit 2 Linkysys).
Momentan habe ich aber kein DD-WRT auf meinen WLAN-Routern drauf,
so dass ich obige Schritte jetzt nicht nochmal exakt nachvollziehen kann.
Im Prinzip sollte es aber verständlich sein und funktionieren.
Außerdem bin ich nicht gerade ein Firewall-Experte; falls mein Konzept
ein Sicherheitsloch hat, mögen mich die Gurus bitte korrigieren.
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Fri Mar 21, 2008 10:34    Post subject: Reply with quote
So ich habe das nun einmal versucht. Ich bekomme allerdings (befor ich irgendwelche Einstellungen vornehme) wenn ich das Kabel welches von Switch kommt beim Linksys in WAN stecke kein Internet. Stecke ich es aber an einen LAN Anschluss des Linksys dann klappt es sofort
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Fri Mar 21, 2008 12:05    Post subject: Reply with quote
Das iptables -I FORWARD -d 192.168.178.1 -j ACCEPT kannst du weg lassen
Es gibt kein grund den clients direkten zugriff aufs Gateway zu erlauben,
da sie ja nur ins internet sollen und da ja z.B. www.google.de nicht im 192.168.178.0/24 Netz ligt reicht iptables –I FORWARD -s 192.168.1.0/24 -d 192.168.178.0/24 -j DROP völlig aus.

Das geht deswegen weil die W-Lan Clients ja alle ihre anfragen für das Internet an das ihnen bekannte (oder zugewiesene) GW schicken und das hat im Beispiel von WAS die Adresse 192.168.1.1/24 und da kommen sie ja problemlos hin alles weitere schickt ja dann der Linksys weiter an das im bekannte GW (192.168.178.1/24) und der darf ja mit dem 192.168.178.0/24 Netz kommunizieren!
Die Clients aus dem 192.168.1.0/24 würden im normal fall also eh nicht direkt mit der FritzBox Reden also brauchen wir ihnen auch nicht Explizit den zugriff auf die 192.168.178.1/24 erlauben.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
WaS
DD-WRT Guru


Joined: 06 Jun 2006
Posts: 731
Location: Erlangen, Germany

PostPosted: Fri Mar 21, 2008 13:08    Post subject: Reply with quote
Hast du das ausprobiert?

Ich meine mich zu erinnern, dass es bei meinem damaligen Test
ohne die ACCEPT-Regel nicht ging. Ich bin aber jetzt zu faul, das
nochmal aufzubauen... 8)

Aber selbst wenn du im Prinzip recht hast: Ohne Zugriff auf die
Fritzbox kann deren DNS-Proxy nicht genutzt werden. (Vielleicht
war das der Grund, dass es bei mir so nicht funktioniert hat.)
Entweder die Clients oder der Linksys müssen dann direkt
auf den Nameserver des Providers zugreifen, und den müsste man
dann manuell einstellen. Ginge wohl, fände ich aber nicht schön.
WaS
DD-WRT Guru


Joined: 06 Jun 2006
Posts: 731
Location: Erlangen, Germany

PostPosted: Fri Mar 21, 2008 13:25    Post subject: Reply with quote
re1hro wrote:
So ich habe das nun einmal versucht. Ich bekomme allerdings
(befor ich irgendwelche Einstellungen vornehme)
wenn ich das Kabel welches von Switch kommt beim Linksys
in WAN stecke kein Internet.

Router (und FB) müssen schon erst mal so konfiguriert sein, wie ich es
beschrieben habe, bevor überhaupt eine Verbindung zustande kommt.

re1hro wrote:
Stecke ich es aber an einen LAN Anschluss des Linksys
dann klappt es sofort

Dann routet dein Linksys nicht, sondern spielt nur den Accesspoint.
In dieser Betriebsart kann er aber auch nicht Firewall spielen.
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Fri Mar 21, 2008 14:19    Post subject: Reply with quote
@WAS
Quote:
Ohne Zugriff auf die Fritzbox kann deren DNS-Proxy nicht genutzt werden.

DNS-Proxy würde ich deaktivieren und stattdessen als DNS-Server die
Fritzbox einstellen

Richtig das ist der entscheidene satz den ich überlesen habe!
Wenn nur die FritzBox DNS-Proxy spielt ist die Regel natürlich von nöten!
Wenn der Linksys ebenfalls DNS-Proxy ist (für seine clients) kann man die Regel weg lassen und man brauch auch die NS des Providers nicht durchschleifen.
So hatte ich das mal versuchsweise ne weile am laufen!

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
re1hro
DD-WRT Novice


Joined: 20 Jul 2006
Posts: 23

PostPosted: Tue Mar 25, 2008 14:28    Post subject: Reply with quote
So, gestern hatte ich mal Zeit um das Ganze nochmal in Ruhe zu testen. Es löppt. Ich kann zwar die Clients die per Kabel an den SW angeschlossen sind anpingen aber darauf zugreifen geht nicht mehr. Vielleicht nochmal für mich zur Info warum klappt das pingen noch? Ansonsten ersteinmal vielen Dank für die Lösung.
Ringli2k
DD-WRT Novice


Joined: 20 Nov 2007
Posts: 18

PostPosted: Thu Apr 24, 2008 13:41    Post subject: Reply with quote
Hallo,

ich versuche gerade eine ähnliche Konfiguration hinzubekommen.

Ich nutze Multi SSID und möchte nur den Zugriff von wl0.1 so einschränken, dass nur ein Zugriff auf das Internet möglich ist.

Ich nutze auch eine Fritzbox als Router (192.168.1.1). An ihr hängt der "dd-wrt" (192.168.1.10).

Wie müßten hierbei die iptables Eingaben aussehen, damit das funktioniert?

Was bringt es eigendlich, wenn ich meinem Virtuellen W-Lan eine IPadresse gebe?

Gruß
Ringli2k
Goto page 1, 2  Next Display posts from previous:    Page 1 of 2
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Broadcom SoC basierende Hardware All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum