2 Router verbinden und Dateien schützen

[michael_knight]

Hallo Leute,

ich habe fogendes vor: Thema Hotel

Ich habe einen T-Online-Router (mit dem Internet verbunden) und einen Netgear Router, welcher an den T-Online angeschlossen ist.

Nun ist es so: An dem T-Online Ding hängen 3 Büro-Rechner, welche auch Netzfreigaben haben. Der Netgear-Router hat W-LAN ohne Verschlüsselung für die Gäste im Restaurant-Bereich und den Suiten.

Über diesen kann ich jetzt jedoch auf die Freigaben zugreifen. Diese habe ich versteckt, aber ein "nicht all zu dummer" User findet diese.

Kann ich den Netgear-Router irgendwie so einrichten, dass dieser nur Internet hat und nicht auf's Netzwerk zugreifen kann?

Die Typen sind:
T-Com Speedport W 720V
Netgear WPN824

Danke für Eure Hilfe.

 

[HisN]

Du schiebst die IP vom 2. Router (und damit alle IPs der daran angeschlossenen Gäste) in einen anderen IP-Bereich, bzw trennst die beiden IP-Bereiche durch eine Netmask?
Du richtest im 1./2. Router ein paar Firewall-Regeln ein bezogen auf diese IP-Bereiche?


Nur Ansätze für Dich zum Nachdenken, kenne die Router nicht.

 

[hayden]

Die Gäste werden deine T-Online Email Adresse lesen können.

http://security.magnus.de/viren-tro...ustaende-bei-der-telekom-mail-sicherheit.html

 

[Simon]

Ganz einfach: Du trennst einfach logisch zwischen den Büro-PCs und den Gäste-PCs. Eine Mögliche Konfig der Schnittstellen könnte etwa so aussehen:

Speedport Router:

WAN-Port: PPPoE (dynamische IP)
LAN-Port: 192.168.100.1/24

Büro-PCs:

Büro-PC1: 192.168.100.11, 255.255.255.0, 192.168.100.1, 192.168.100.1
Büro-PC2: 192.168.100.12, 255.255.255.0, 192.168.100.1, 192.168.100.1
Büro-PC3: 192.168.100.13, 255.255.255.0, 192.168.100.1, 192.168.100.1

Netgear Router:

WAN-Port: Static IP = 192.168.100.2, 255.255.255.0, 192.168.100.1, 192.168.100.1
LAN-Port: 192.168.200.1

Gäste-PCs: 192.168.200.10 - 250 (DHCP auf dem Netgear aktiv), 255.255.255.0, 192.168.200.1, 192.168.200.1

Anschließend brauchst du auf dem Netgear Router nur eine Firewall-Regel konfigurieren, die die Gäste-PCs keinen Zugriff auf das Subnetz im Büro-Bereich zulässt.
Die Regel könnte in etwa so aussehen:

Quelle = 192.168.200.x
Ziel = 192.168.100.x
Port = any
Aktion = block/deny

Danach sollte das ganze eigentlich gut genug geschützt sein.

mfg Simon

 

[HisN]

@Simon
Tier, so gut hätte ich das nie formulieren können :-)

 

[michael_knight]

OK danke für die Info.

Werde das heute Nchmittag gleich mal versuchen.

@ Simon
Echt super Beschreibung!

Und das mit der E-Mail-Adresse lesen vom Prinzip her ist egal, da diese sowieso nicht genutzt wird und auch gar nicht eingerichtet ist. Weiß auch gar nicht genau, ob die bei einem Business-Tarif von T-Com (T-Online) mit bei ist.

 

[michael_knight]

So habe es nun mal versucht.

Leider kein Erfolg!

Habe von den zu ändernen Daten mal einige Sceenshots gemacht.

Speedport Router:
WAN-Port: PPPoE (dynamische IP)
LAN-Port: 192.168.2.1, 255.255.255.0, DHCP = EIN

Büro-PCs:
Büro-PC1: 192.168.2.100, 255.255.255.0, 192.168.2.1
Büro-PC2: 192.168.2.101, 255.255.255.0, 192.168.2.1
Büro-PC3: 192.168.2.102, 255.255.255.0, 192.168.2.1
Büro-PC3: 192.168.2.103, 255.255.255.0, 192.168.2.1

Netgear Router:
WAN-Port: Static IP = 192.168.2.104, 255.255.255.0, 192.168.2.1
LAN-Port: ???

Gäste-PCs: automatisch ???

Netgear Router Firewall-Regel:
Von: 192.168.2.1
Ziel = 192.168.2.150
Port = 1 bis 65534

Habe einige Bilder als Screenshot gemacht. Weiß jetzt nicht genau, wo ich was eintragen muss.

Danke.

 

[Simon]

Hi, alle Infos stehen eigentlich in dem Post oben.

Die Büro-PCs bekommen feste IPs und die Gäste-PCs werden vom DCHP-Server des Netgears versorgt.

Wichtig: Vom Netgear-Router darf nur der WAN-Port mit einem LAN-Port vom Speedport-Router verbunden sind.

mfg Simon

 

[michael_knight]

OK das ist klar.

Die Büro-PCs haben von Speedport eine fest zugewiesene IP.

Wenn ich beim Netgear aber nun IPs eintage, bekomme ich von diesem keine mehr. Dieser ist auch an einen LAN-Port am Speedport angeschlossen.

Was genau muss ich bei Primary DNS und Seconary DNS eintragen?

 

[HisN]

Die DNS-Server Deines Providers?
Kurz Google anschmeissen oder die von Arcor nehmen (die hab ich im Kopf) 145.253.2.11 145.253.2.75

 

[werkam]

Die Büro-PCs haben von Speedport eine fest zugewiesene IP.

Die Büro PCs haben doch feste IPs und benötigen dann doch keine zugewiesene vom DHCP des Speedport, also kannst Du auch das DHCP auf dem abschalten und nur auf dem Netgear für die Gäste über DHCP die IPs vergeben lassen.

Wichtig: Vom Netgear-Router darf nur der WAN-Port mit einem LAN-Port vom Speedport-Router verbunden sind.

 

[michael_knight]

So also das mit dem Internet habe ich jetzt hinbekommen.

Ich kann aber irgendwie nix blocken.

Zur Auswahl habe ich "sites sperren" und "Dienste sperren". Das 3. Bild, die ich mal angehängt habe zeigt "Dienste sperren". Bei "sites sperren" kann ich nur Schlüsselworter eingeben.

Ich kann hie raber nirgendwo eine Adresszuweisung machen also z.B. von so "Quelle" / "Ziel".

 

[werkam]

Filter Services for IP Adress Range, sollte da richtig sein, da trägst Du dann die PCs ein, bzw. den IP Bereich den Du fürs WLAN freigegeben hast. Denke mal das es so laufen sollte.

 

[michael_knight]

OK danke. Werde das heute Nachmittag gleich nochml versuchen.

P.S.: Bocholt ist 'ne schöne Gegend! Hatte in Borken (Hoxfeld) mal für ~1,5 Jahre geschäftlich zu tun!

 

[michael_knight]

... Filter Services for IP Adress Range ...

Das kann ich leider nirgendwo in den Einstellungen finden! Kann es evtl. sein, dass der Router das nicht kann?

Bin voll überfragt. Internet usw funzt perfekt, aber die bestimmten Adressen kann ich nicht blocken!

 

[werkam]

Schau Dir doch mal Dein Bild 3 an, da steht doch Filter Services for: IP Adress Ranges, da musst Du halt festlegen welche Du sperren möchtest. Ob es das richtige ist weiss ich aber nicht, da warte auf einen Netzprofi oder frage @Simon, der hat es Dir oben ja auch sehr schön erklärt.

 

[michael_knight]

Ja bei den Einstellungen habe ich ja schon alle möglichen Kombinationen versucht. Hat leider nicht geklappt!

 

[meph!sto]

Wenn ich das Handbuch richtig verstanden habe, dann kannst du scheinbar nur die Anfragen ins Internet duch diese Regeln blocken.
Scheinbar ist es nicht möglich den Zugriff auf einzelne Netz zu sperren, was mich jedoch sehr wundert.

 

[michael_knight]

Solch ein Scheiß-Router. Habe das Handbuch jetzt auch schon mehrfach druch und komme zu keinem (zufriedenstellenden) Ergebnis.

Edit --------------- Edit

Kann mir jemand einen Router empfehlen, der diese Funktion unterstützt? Und auch diese, so dass ich bestimmte Begriffe sperren kann!? So z.B. "porno", "sex", etc.

 

[werkam]

Mach es doch über die Benutzerverwaltung vom Betriebssystem, dann kann man sich nur innerhalb der Freigaben bewegen, wenn man angemeldeter Benutzer auf den jeweiligen Rechnern ist, fremde Benutzer ohne Passwort bekommen keinen Zugriff aufs Netzwerk, können aber trotzdem ins Internet.