Asus Gäste Netzwerk - wie schafft Asus die Trennung trotz gleichen Subnets?

ace-drink

Lt. Commander
Registriert
Juni 2008
Beiträge
1.296
Hi,

aus reiner Neugier wüsste ich gerne wie Asus es macht, dass man aus dem Guest WiFi tatsächlich keinen Zugriff auf das Intranet hat und das obwohl sich beide im gleichen Subnet befinden! 192.168.1.xxx

In der Tat kann ich aus dem Gast heraus keine anderes Gerät im normalen Netzwerk erreichen. Nichtmal den Router. Das ist toll und gut so aber wie klappt das?

Muss ja im Hintergrund ne Firewall-Regel geben die das irgendwie handelt.

Bisher kenne ich das von DdWrt so daß man ein extra Subnetz hat und das Ganze dadurch getrennt ist aber meiner neuer Asus hat kein DdWrt mehr daher nun die Stock Lösung.

Falls jemand Ahnung hat, gerne her damit. Will es einfach verstehen. Danke an evtl. Hilfsbereite
 
Ich glaub eher das zwei Netze (per VLAN) mit 192.168.1.* aufgezogen werden ohne Verbindung (Route) zueinander. Ist ungefahr so wie zwei AP in einem Geraet.

Gib mal einem Geraet im Gastnetz eine feste IP aka 192.168.1.50 und einem Geraet im normalen Netz auch diese Adresse. Wenn es keinen Konflikt gibt, passt das.

BFF
 
Ok wusste gar nicht, dass das eine Option ist Netzwerkseitig bzw. das 2 Netze mit dem gleichen Subnet möglich sind. Werde das Mal prüfen.
Ergänzung ()

@Gufur
VLan ist genau die Lösung wie ich es aus DDWrt kenne aber da hat der Gast dann 192.168.2.*
 
Wenn Du da ueberhaupt was sehen kannst. ;)

Was fuer ein ASUS ist denn das?

Abgesehen davon kann man sehr wohl pro VLAN den gleichen IP-Adessbereich verwenden. Musst nur verhindern das zwischen denen geroutet wird. DD-WRT geht davon aus, dass eventuell geroutet werden wird, also gibt es pro VLA einen eigenen IP-Adressbereich und Chaos zu vermeiden und uebersichtlich zu bleiben.

BFF
 
Wie dies machen, keine Ahnung. Aber das Service set muß ja eh identifizierbar sein und das WLAN ist eine eigene NIC, spontan würd ich also sagen, mehr oder minder simple Firewallregel auf L2: hattu bssid X und kommst von iface Y, muttu draußen bleiben.
 
ace-drink schrieb:
Ok wusste gar nicht, dass das eine Option ist Netzwerkseitig bzw. das 2 Netze mit dem gleichen Subnet möglich sind. Werde das Mal prüfen.
ist es auch nicht, es sind zwei physikalisch getrennte Netze mit je einer ip. Ob das mit der Firewall oder wan oder vlan ist... das „zusammen“ wird dann per Route gemacht.
 
@RalphS
sowas dachte ich mir persönlich auch aber die Idee von @BFF klingt auch logisch. Werde das mit der gleichen IP Mal bei Gelegenheit testen
 
Das funzt definitiv nicht, außer es gibt vollständige Trennung und die ist nicht gegeben.
 
@chrigu
aber müssten die dann nicht einmal 192.168.1* sein und einmal 192.168.2.* ? Was ja eben nicht der Fall ist
Ergänzung ()

By the way. Danke an alle für die schnellen Antworten und Denkanstöße
 
@ace-drink
Wenn die eine IP (Netz) nix von der anderen IP (Netz) weiss ist das absolut machbar.

Lies Dich mal ein wenig in NAT ein.
Mein Gastnetzwerk hat uebrigens auch 192.168.1.* :D

BFF
 
Ok werde da jetzt nicht zum Netzwerkprofi mutieren. Weiss über NAT nur die Basics.

Solange die Trennung "sicher" ist und nicht jeder aus dem Gast den Router erreichen kann, Geschweige denn Netzwerkshares ist das schon okay so. Was ja der Fall ist nach bisherigen Versuchen

Danke nochmal an alle.
Ergänzung ()

Nutze es in erster Linie für IOT Geräte wie meinen Staubsauger Robot, wobei ich es interessant finde das der Gast dennoch meinen Pihole als DNS Server erreichen kann. Hmmm...
 
Wie sieht denn die Netzmaske aus? Denn einfach nur "192.168.1.*" ist in der Zeit von CIDR kein eindeutig benanntes IP Netz. Eventuell arbeitet das Ding einfach mit einer 25iger Maske oder so.
 
Gibt in Routern 2 Arten von Trennungen. Eine ist in der Regel VLAN, damit kann man das LAN als eigenes Netz machen und auch das WLAN oft mehrfach unterteilen, wie z.B. mit dem Gäste-WLAN.
Man kann dann nochmal unterteilen wie z.B. im Gäste-WLAN dürfen Clients untereinander nicht kommunizieren, dann wird das einfach über Regeln geblockt, obwohl die im selben Netzwerk sind. Du kannst die anderen aber nicht mal anpingen.
Im Grunde kann man das alles recht einfach schon aus den Einstellungen im Router nachvollziehen.
Bei beiden Methoden gibt es keine Möglichkeit mit jeweils den anderen zu kommunizieren.
Die IP Range ist übrigens völlig nichtssagend was das angeht, bei vielen Routern mit VLANs kannst du schlichtweg für jedes einen eigenen DHCP Server aufmachen und es ist keine Kommunikation zu den anderen möglich, egal ob gleiche IPs oder nicht.
 
Mit OpenWRT und iptables geht das auch ganz prima ;)
Benötigt wird das Paket "iptables-mod-physdev"
 
Zurück
Oben