Ich möchte einen Router haben, dessen Wlan keinen Zugriff aufs Internet hat.

KAL

Lt. Commander
Registriert
Apr. 2012
Beiträge
1.141
Gibt es Geräte, die sich so konfigurieren lassen ?

Der Lan Teil des Routers soll mit einem Netzwerk mit Internet verbunden sein, das Wlan was ich in einem
Zimmer brauche, soll aber nur mit einem einzigen Gerät verbunden sein und aus Sicherheitsgründen so dicht wie
möglich (also Portsperre, Mac-Filter, unsichtbare SSID und was man sonst noch machen kann) sein und eben keinen
Zugriff aufs Internet haben.

Ich brauche nur 2,4Ghz, da das eingentliche Gerät aber in einen 19" Schrank muss, wäre eine externe Antenne gut.

Als Standard vom Hersteller oder mit DD-WRT o.ä. wäre mir egal.
 
Dann mach dafür ein eigenes VLAN.

Aber so ganz kann ich dem Sinn nicht folgen. Was ist das für ein Gerät das per WLAN angebunden werden soll? Braucht dieses Zugriff auf die anderen Geräte im Netzwerk?
 
Es ist eine Bedieneinheit einer Steuerung, die leider nur Wlan hat.
Ich habe in dem Bereich ein öffentliches Lan mit Internet, kann dieses aber nicht einfach
als Wifi weiterführen.

Das Bedienteil braucht Zugriff auf den Controller der Steuerung.
Der Controller und andere Geräte hängen aktuell an einem Switch im
öffentlichen Netz.
 
Du brauchst hierfür eine Firewall und einen Switch der mit VLANs umgehen kann.
Dann kannst du für das Gerät ein eigenes Subnetz erstellen und über die Firewall eine Regel erstellen, dass dieses Gerät eben nicht ins Internet darf und auf andere Geräte im Heimnetz zugreifen kann.
Achso ja und du brauchst einen AP welcher mehrere SSIDs ausstrahlen kann und mit VLANs umgehen kann.

Habe was ähnliches Zuhause im Einsatz, ich habe mir ein Gastnetz erstellt, welches nur ins Internet darf und nur Zugriff auf DNS im eigentlichen Heimnetz hat.
Ich habe hierfür ein Ubiquiti USG und einen Ubiquiti AP AC Pro im Einsatz.
Als Switch reicht jeder 0815 Switch welcher VLANs kann, hab hier irgendwas billiges von Netgear im Einsatz.

Edit:
Falls du einen Homeserver Zuhause hast, kannst du dort auch eine virutelle Sophos Firewall installieren, als Privatanwender bekommt man hier eine kostenlose Lizenz.
 
Zuletzt bearbeitet:
Gib eine fixe IP auf dem Gerät ein, aber ohne Gateway.
 
die einfachste Lösung wäre, statische ip des stick und standardgateway auf 1.1.1.1 oder 127.0.0.1 zu setzen... jedoch hat das mit Sicherheit nichts zu tun.

das sicherste wäre ein vlan-switch, wie rg88 und metalforlive schon erwähnt, damit ist das Netzwerk physikalisch getrennt ohne wenn und aber.
der aberglaube, mit einer unsichtbaren ssid und mac-filtern würde das wlan sicher.. ist und bleibt aberglaube.... eine mac-adress-filter ist innert Sekunden ohne grosses wissen überlistet, das unsichtbare ist mit entsprechenden tools innerhalb einer zehntelsekunde sichtbar.
das einzige was sicher ist, ist eine wpa2 Verschlüsselung mit mind. 16 Zeichen und Buchstaben, ohne irgendwelche Bedeutung und ein gerät, dass den heutigen Sicherheitsstandards entspricht... davon ausgeschlossen ist z.b. windows-xp oder nicht update-bare Geräte, die einen wlan stick ohne Passwort zwingend verlangen.
 
Zuletzt bearbeitet:
OK, also brauch ich einen Vlan fähigen Switch und einen AP.
Ist das dann Layer 3 oder nach was such ich da ?

Aber warum muss der AP mit mehreren SSIDs umgehen können ?
ich brauche das Wlan nur als "Verlängerungskabel" zum Bedienpad. Sonst nicht.
 
Zuletzt bearbeitet:
moment.... also das bedienpanel hat bereits wlan? du suchst nun einen AP (Empfänger) und switch und daran ist ein pc angeschlossen, der vom restlichen Netzwerk getrennt sein muss.
 
Ich muss Wlan schaffen, das Wlan darf aber keine Verbindung zum Internet haben.
prinzipiell müsste das Wlan nur eine einzige IP Adresse erreichen können, die des Controllers.
 
und dieser Controller muss von anderen Rechnern aus auch ansprechbar sein, oder kommuniziert dieser nur mit dem WLAN-Dings?
 
nochmals zur Klarstellung...
das bedienpad hat wlan, dieses wlan muss über den "neuen" ap empfangen werden und diese Daten gehen an einen pc .... und das ganze muss komplett von anderen geräten und dem internet abgeschottet werden.

oder muss dieses bedienpad mit einem gerät verbunden werden, z.b. einer fräse oder sonstwelche Maschinen, und du suchst ein AP damit bedienpad mit der Maschine kommuniziert.
 
Nein, der Controller im Lan Bereich muss Internet haben und auch von außen erreichbar sein (Fernwartung).
Das ist ja auch schon so.
Ich muss nur das Wlan Tablet mit dem Controller verbinden, das Wlan muss sonst aber dicht sein.

Kann mir einer ein Gerät empfehlen ? Welchen Switch ? 19" wäre super.
Der AP muss nichts besonderes können, oder ?

Ich würde jetzt sowas kaufen :
AP
D-Link DAP-2230 (PoE ist praktisch und ich kann in an die Wand schrauben).

Switch
Netgear GS510TLP (hat PoE und ist 19") - nur ob der auch die Funktionen hat, die ich brauche, weiss ich nicht.
 
Zuletzt bearbeitet:
geht doch mit jeder Fritzbox ... Internetsperre rein und gut ist. Zugangsprofil mit gesperrtem Internet als Standard für WLAN.

Internet --> Filter
Internet --> Zugangsprofile
 
ich verstehe es noch nicht ganz...

zwischen tablet und dem Controller musst wlan sein und dieses wlan darf nicht von anderen zugänglich sein. und es besteht nur die Verbindung tablet zu Controller. naja, wenn du niemanden das wlan-passwort gibst, kommt auch niemand anderes rein.
das würde aber bedeuten, der Controller hat ein Betriebsystem oder ist an einen pc angeschlossen... sonst kannst du irgendwelche AP vergessen oder es funktionieren nur spezielle APs.. genauso wie nicht jeder wlan-stick an xbeliebiger Fernseher anschliessen kannst damit du ins internet gelangst.

deshalb bitte so genau beschreiben wie möglich...
so wie ich es verstehe wäre es eine ad-hoc wlan Verbindung. also der Controller ist der Sender (er sendet das wlan wie ein wlan-stick) und das tablet Empfängt (wie ein router). oder wie?
 
chrigu, sorry, aber ich brauche Lösungen. Die anderen scheinen es zu verstehen.


@owned_you
Ist ne Fritzbox und diese Methode so sicher, dass dann nicht ein Admin kommt und
es in der Luft zerreisst ?
 
naja 100% sicher ist nix ... wenn du aber die Fritzbox mit nem guten PW sicherst kann da auch keiner mal so was ändern. Meine kleinen fluchen jedenfalls immer wieder das Papi sich eben doch besser auskennt als die digital naiven ... Du musst halt sicherstellen das nur die Leute das PW haben die es auch benötigen und haben dürfen, aber das hast du bei jedem anderen AP etc. auch ...

/edit/ jo wenn ihr nen Admin habt warum lässt du den dann das nicht machen, der sollte genug Ahnung haben.
 
Zuletzt bearbeitet:
oha... "dass da nicht ein Admin kommt".... in diesem falle brauchst du dich nicht zu entschuldigen.
du solltest nur wissen, das solche Heimlichkeiten sehr schnell zur Abmahnung führt...
​ich bin raus.
 
Wenn es nen Admin gibt, dann wird der bei keiner deiner Lösungen (die du schneinbar komplett ahnungslos einrichten wirst) in Begeisterung verfallen, wenn du da rumpfuscht.
Es handelt sich doch hier eindeutig um ein Firmennetzwerk. Warum lässt du das dann nicht denjenigen machen, der das Netzwerk betreut und Ahnung hat?
 
@rg88
@chrigu

Richtig - Anforderung an die IT, die soll sich drum kümmern.

Dazu hat chigru Recht - um was passendes zu finden wär es hilfreich zu wissen, um was für n "Gerät" es sich handelt.
 
Dem schließe ich mich an. Man muss nun mal einen Überblick haben um was es sich genau handelt und wie das Szenario konkret aussieht, um eine adäquate Lösung vorschlagen zu können. "Ein WLAN, das dicht ist", ist keine aussagekräftige Beschreibung.

1) Ist das ein privates Szenario oder geht es um eine Firma?
2) Wer hat physischen bzw. administrativen Zugang zur Hardware bzw zur Oberfläche der fraglichen Geräte?
3) Müssen andere Geräte aus dem Netzwerk eine Verbindung zum fraglichen WLAN-Gerät aufbauen?
4) Muss das fragliche WLAN-Gerät eine Verbindung zu anderen Geräten im Netzwerk aufbauen?
5) Müssen die jeweils anderen Geräte aus 3 bzw. 4 auch normalen Zugriff auf das Internet haben?

Das sind entscheidende Fragen, die sich einerseits um die Verantwortung drehen (Stichwort: IT-Admin!) oder aber um den Grad der notwendigen Sicherheitsmaßnahmen dreht. Darüberhinaus ist es für eine potentielle Trennung von Controller-(W)LAN und entsprechenden Clients wichtig zu wissen, ob man diese überhaupt voneinander trennen kann. Wenn man sie beispielsweise alle in ein separates Netzwerk packt und dieses zum Internet hin abschottet, kann es sein, dass Geräte aus dem Hauptnetzwerk nicht mehr auf den Controller zugreifen können, o.ä.


Es gibt ein gefühlt ein Dutzend verschiedene Szenarien wie man das umsetzen kann. Der Teufel steckt aber im Detail und um zu vermeiden, dass wir dir hier eine unpassende Lösung vorschlagen, muss man den Kontext kennen. Wenn es zB ein rein privates Szenario ist und du der einzige bist, der Zugriff hat, kann es eine schlanke Lösung sein, einfach am fraglichen WLAN-Gerät das Gateway leer zu lassen bzw. auf eine ungültige IP zu setzen. Das ist keine Sicherheit im Sinne von Schutz vor Hackern oder böswilliger Manipulation des Sohnemanns, o.ä., reicht aber prinzipiell dafür aus, dass das Gerät selbst schlicht und ergreifend merkt "oh, Internet geht nicht, das ist ja doof...". Haben hingegen auch andere Zugriff auf das Gerät oder steht es gar in einem öffentlichen Raum, reicht Quick'n'Dirty natürlich nicht mehr aus und eine sichere Lösung muss her.. Im Umfeld einer Firma wiederum gehört das in die Hände des Administrators und wenn der davon keine Ahnung hat oder es keinen gibt, muss eben ein externer Profi ins Haus geholt werden.
 
Zurück
Oben