# Router - WLAN-AP mit unterschiedlichen IP-Netzen und trotzdem Internet



## dwex (30. November 2008)

Hallo Leute,

ich hätte da mal gerne ein Problem (oder so ähnlich).

Also ich habe folgendes Szenario:
Fritz-Box als Router mit der IP-Maske 192.168.178.x an dieser Fritz-Box ist zusätzlich ein WLAN-Accespoint angehängt dem ich eigentlich gerne die IP-Maske 192.168.200.x geben würde und aber trotzdem den Internetzugang der Fritz-Box nutzen wollen würde.

Hintergrund dabei:
Ich habe hier meine Firma im Netz und würde gerne den Kindern über Ihre Notebooks die Möglichkeit geben ins Internet zu gelangen ohne auf mein Netzwerk (Dateiserver etc.) zugreifen zu können.

Das habe ich (vergeblich) probiert.
Ich habe auf dem AP einen DHCP-Sever aktiviert und dem AP die IP 192.168.200.111 gegeben. Auf dem AP habe ich den Standardgateway sowie den DNS auf 192.168.178.1 (die Fritz-Box) gesetzt.

Leider hat vorgenanntes nicht funktioniert.
Habt Ihr eine Idee wie man das machen könnte?
Vielen Dank für eure Nachrichten im voraus!


----------



## TheNBP (1. Dezember 2008)

Mit dem AP kannst du nicht den Zugang blocken.

Unterschiedliche IP Netze kannst Du nur verwenden wenn Du zwischen die Netze einen weiteren Router schaltest.

Empfehlung: 

Fritzbox 
 |
 +------------> AP----> Netz der Kinder
 |
 +------------> Router----> Firmennetz


----------



## dwex (2. Dezember 2008)

Verstehe ich das jetzt richtig?

Ich "klemme" an meinen DSL-Anschluss meine Fritz-Box ran und gebe dieser inkl. dem Accesspoint dann z.B. die IP 192.168.200.x für das quasi Privat-Netz der Kinder.
An diese Fritz-Box hänge ich dann z.B. nochmal eine Fritz-Box ran mit der IP 192.168.178.x und stelle dann ein Routing zur Firtz-Box 192.168.200.x her.


----------



## Navy (2. Dezember 2008)

Warum machst Du Dir das so kompliziert. Konfiguriere deine Server so, dass nur die Leute drauf kommen, die das auch dürfen. Eine Trennung der Netze ist zwar prinzipiell eine gute Idee, sollte hier aber etwas überdimensioniert sein.


----------



## dwex (2. Dezember 2008)

Der Server wäre so konfiguriert - der Junior ist aber sehr fit am PC


----------



## Navy (2. Dezember 2008)

Selbst wenn Dein Junior ein Ass am Rechner wäre, kommt man nicht so einfach an einer Serverauthentifizierung vorbei -- wenn Du entsprechend starke Passwörter verwendest und die Übertragung verschlüsselst.


----------



## dwex (2. Dezember 2008)

Und wie soll ich in einem Peer-to-Peer -Netzwerk die Übertragung verschlüsseln?


----------



## Navy (2. Dezember 2008)

Was hat das denn mit P2P zu tun? SSL existiert und ist für (fast) alle Plattformen erhältlich.


----------



## TheNBP (2. Dezember 2008)

dwex hat gesagt.:


> Verstehe ich das jetzt richtig?
> 
> Ich "klemme" an meinen DSL-Anschluss meine Fritz-Box ran und gebe dieser inkl. dem Accesspoint dann z.B. die IP 192.168.200.x für das quasi Privat-Netz der Kinder.
> An diese Fritz-Box hänge ich dann z.B. nochmal eine Fritz-Box ran mit der IP 192.168.178.x und stelle dann ein Routing zur Firtz-Box 192.168.200.x her.



Genau.
Die zweite Router Box muss halt die Möglichkeit bieten dass man sie statt an einen DSL Anschluss direkt an ein IP Netz hängt.
Bei einer FritzBox geht es mit neuerer Firmware.

Inwiefern der Aufwand gerechtfertigt ist muss man sicher abwägen.
Wenn das "Kinder Netz" als potentiell gefährlich einzustufen ist. Sei es durch Versuche die Authentifizierung zu umgehen (eher unwahrscheinlich) oder dadurch dass das Kinder Netz durch Trojaner kompromittiert wird. (eher wahrscheinlich). Dann ist die Trennung der Netze sicher keine so schlechte Idee.


----------



## Navy (2. Dezember 2008)

Ein entsprechend abgesicherter Rechner braucht sich keine Gedanken um Trojaner o.ä. machen. Sofern nur die Services angeboten werden, die auch benötigt werden und diese entsprechend geschützt sind, sollten Trojaner erst gar keinen Angriffspunkt haben.

Natürlich ist eine Trennung der Netze sinnvoll, die Frage ist nur, ob die Router nicht eben dieses unterbinden, denn ihre Aufgabe ist es ja gerade, Netze zu verbinden. Ein Switch mit VLAN wäre hier die sinnvollere Alternative.


----------



## Johannes7146 (2. Dezember 2008)

Sollte nicht ein alter Pentium III mit 2 netzwerkkarten den gleichen zweck erfüllen?
In hinblick auf die Kosten sollte das wohl die beste Variante sein.


----------



## TheNBP (2. Dezember 2008)

Navy hat gesagt.:


> Ein entsprechend abgesicherter Rechner braucht sich keine Gedanken um Trojaner o.ä. machen. Sofern nur die Services angeboten werden, die auch benötigt werden und diese entsprechend geschützt sind, sollten Trojaner erst gar keinen Angriffspunkt haben.


Vielleicht werden im Firmennetz intern aber Services gebraucht die eine Angriffsfläche bieten (Dateifreigabe z.b.) und die man nicht abschalten kann.



Navy hat gesagt.:


> Natürlich ist eine Trennung der Netze sinnvoll, die Frage ist nur, ob die Router nicht eben dieses unterbinden, denn ihre Aufgabe ist es ja gerade, Netze zu verbinden. Ein Switch mit VLAN wäre hier die sinnvollere Alternative.



Okay, da hab ich mich ein wenig ungenau ausgedrückt. Mit dem "Router" hab ich einen NAT-Router gemeint wie z.b. die FritzBox einer ist.
Das "Kinder Netz" hat dann keinen Zugang zum Firmennetz. Es sei dann man schaltet explizit Ports am NAT-Router frei.

Bei getrennten VLANs ist das Problem dass die FritzBox die die Internetverbindung herstellt in beiden VLANs ein Interface haben müsste. Und das geht mit einer FritzBox nicht.





Johannes7146 hat gesagt.:


> Sollte nicht ein alter Pentium III mit 2 netzwerkkarten den gleichen zweck erfüllen?
> In hinblick auf die Kosten sollte das wohl die beste Variante sein.



Eine gebrauchte FrizBox wirds bei Ebay für ~50 Euro geben. Darf ja ruhig ein älteres Modell ohne WLAN und ähnlichen Schnickschnack sein.
Ausserdem ist der Stromverbrauch einer FritzBox deutlich niedriger als der eines PCs


----------



## Johannes7146 (3. Dezember 2008)

Ich dachte son PIII haben doch noch ziemlich viele im keller herumstehen.... aber an die Stromkosten habe ich nicht gedacht, hast mich überzeugt


----------

