Router - WLAN-AP mit unterschiedlichen IP-Netzen und trotzdem Internet

[dwex]

Hallo Leute,

ich hätte da mal gerne ein Problem (oder so ähnlich).

Also ich habe folgendes Szenario:
Fritz-Box als Router mit der IP-Maske 192.168.178.x an dieser Fritz-Box ist zusätzlich ein WLAN-Accespoint angehängt dem ich eigentlich gerne die IP-Maske 192.168.200.x geben würde und aber trotzdem den Internetzugang der Fritz-Box nutzen wollen würde.

Hintergrund dabei:
Ich habe hier meine Firma im Netz und würde gerne den Kindern über Ihre Notebooks die Möglichkeit geben ins Internet zu gelangen ohne auf mein Netzwerk (Dateiserver etc.) zugreifen zu können.

Das habe ich (vergeblich) probiert.
Ich habe auf dem AP einen DHCP-Sever aktiviert und dem AP die IP 192.168.200.111 gegeben. Auf dem AP habe ich den Standardgateway sowie den DNS auf 192.168.178.1 (die Fritz-Box) gesetzt.

Leider hat vorgenanntes nicht funktioniert.
Habt Ihr eine Idee wie man das machen könnte?
Vielen Dank für eure Nachrichten im voraus!

 

[TheNBP]

Mit dem AP kannst du nicht den Zugang blocken.

Unterschiedliche IP Netze kannst Du nur verwenden wenn Du zwischen die Netze einen weiteren Router schaltest.

Empfehlung:

Fritzbox
|
+------------> AP----> Netz der Kinder
|
+------------> Router----> Firmennetz

 

[dwex]

Verstehe ich das jetzt richtig?

Ich "klemme" an meinen DSL-Anschluss meine Fritz-Box ran und gebe dieser inkl. dem Accesspoint dann z.B. die IP 192.168.200.x für das quasi Privat-Netz der Kinder.
An diese Fritz-Box hänge ich dann z.B. nochmal eine Fritz-Box ran mit der IP 192.168.178.x und stelle dann ein Routing zur Firtz-Box 192.168.200.x her.

 

[Navy]

Warum machst Du Dir das so kompliziert. Konfiguriere deine Server so, dass nur die Leute drauf kommen, die das auch dürfen. Eine Trennung der Netze ist zwar prinzipiell eine gute Idee, sollte hier aber etwas überdimensioniert sein.

 

[dwex]

Der Server wäre so konfiguriert - der Junior ist aber sehr fit am PC

 

[Navy]

Selbst wenn Dein Junior ein Ass am Rechner wäre, kommt man nicht so einfach an einer Serverauthentifizierung vorbei -- wenn Du entsprechend starke Passwörter verwendest und die Übertragung verschlüsselst.

 

[dwex]

Und wie soll ich in einem Peer-to-Peer -Netzwerk die Übertragung verschlüsseln?

 

[Navy]

Was hat das denn mit P2P zu tun? SSL existiert und ist für (fast) alle Plattformen erhältlich.

 

[TheNBP]

Verstehe ich das jetzt richtig?

Ich "klemme" an meinen DSL-Anschluss meine Fritz-Box ran und gebe dieser inkl. dem Accesspoint dann z.B. die IP 192.168.200.x für das quasi Privat-Netz der Kinder.
An diese Fritz-Box hänge ich dann z.B. nochmal eine Fritz-Box ran mit der IP 192.168.178.x und stelle dann ein Routing zur Firtz-Box 192.168.200.x her.

Genau.
Die zweite Router Box muss halt die Möglichkeit bieten dass man sie statt an einen DSL Anschluss direkt an ein IP Netz hängt.
Bei einer FritzBox geht es mit neuerer Firmware.

Inwiefern der Aufwand gerechtfertigt ist muss man sicher abwägen.
Wenn das "Kinder Netz" als potentiell gefährlich einzustufen ist. Sei es durch Versuche die Authentifizierung zu umgehen (eher unwahrscheinlich) oder dadurch dass das Kinder Netz durch Trojaner kompromittiert wird. (eher wahrscheinlich). Dann ist die Trennung der Netze sicher keine so schlechte Idee.

 

[Navy]

Ein entsprechend abgesicherter Rechner braucht sich keine Gedanken um Trojaner o.ä. machen. Sofern nur die Services angeboten werden, die auch benötigt werden und diese entsprechend geschützt sind, sollten Trojaner erst gar keinen Angriffspunkt haben.

Natürlich ist eine Trennung der Netze sinnvoll, die Frage ist nur, ob die Router nicht eben dieses unterbinden, denn ihre Aufgabe ist es ja gerade, Netze zu verbinden. Ein Switch mit VLAN wäre hier die sinnvollere Alternative.