ComputerBase Menü
Aktuelles

Wie kann man einem Gerät im (W)LAN Zugriff auf andere Geräte sperren, nur Internet erlauben

timo82

timo82

Commodore
Registriert
Aug. 2009
Beiträge
4.617
Hi,

ich kenne mich mit Netzwerken nicht so gut aus und bräuchte daher mal bitte eure Hilfe.

Bei mir zuhause habe ich eine FritzBox 7590, die als DSL Modem arbeitet. Mit einer FritzBox 7530 habe ich ein Mesh Netzwerk aufgemacht (die beiden Boxen sind über WLAN gekoppelt).
Die FritzBox 7530 steht im Arbeitszimmer meiner Freundin. Ich will jetzt nicht weiter ausholen, aber die Situation ist die, dass sie einen Arbeitslaptop hat, der ab jetzt hin und wieder außerhalb ihrer Arbeitszeiten angeschaltet bleiben muss, weil der ITler und andere Kollegen auf ihre beruflichen Daten zugreifen müssen.

Ich bin mit der Situation unzufrieden und habe das erstmal unterbunden, da wir zuhause sehr viele Geräte im Netzwerk haben, auf die jeder im Netzwerk zugreifen kann. Das sind z. B. Smarthome Geräte und 2 NAS mit sehr privaten Daten wie z. B. Fotos.
In unserem Netzwerk habe ich das extra alles freigegeben, weil wir mit den SmartTVs, Handys, Tablets, Chromecasts, PCs... gerne innerhalb des WLANs auf Bilder, Musik und Videos zugreifen.

Jetzt habe ich Bedenken, dass die Kollegen und der ITler über den Laptop Zugriff auf alle unsere Daten haben. Ich möchte da niemanden in die Versuchung führen und würde den Zugriff gerne sperren.
Bei "Dieser PC" und "Netzwerk" auf ihrem PC sehe ich alle Netzwerkgeräte mit Freigaben.
Ich kann bei diesen Freigaben (zumindest teils) keine Freigaben für bestimmte Nutzer(gruppen) machen, weil ich mit manchen HiFi Geräten sonst nicht mehr drauf komme.


Kann ich für ihren Laptop z. B. nur einen Port freigeben, damit der Rest geblockt ist? Oder wäre der Gastzugang eine Option. Ich bin nicht sicher, ob das über LAN überhaupt geht.
Oder gibts eine andere Möglichkeit?


Wenn Rückfragen bestehen, bitte stellen. Ich versuche, alles zu beantworten.
 
  • Gefällt mir
Reaktionen: iSight2TheBlind
Stichwort: "Gast-WLAN"

Lässt sich in der Fritzbox aktivieren, baut ein zweites WLAN auf, nur Internetzugang möglich. :)
 
LAN4 bei Fritzbox kann für Gästenetz aktiviert werden, falls das Laptop per Kabel ins Internet geht.
2020-12-04_07h59_00.png2020-12-04_07h59_53.png
 
Zuletzt bearbeitet:
Digitalzombie schrieb:
Stichwort: "Gast-WLAN"

Lässt sich in der Fritzbox aktivieren, baut ein zweites WLAN auf, nur Internetzugang möglich. :)
Zum Vergrößern anklicken....

Da war ich mir unsicher, ob mir das weiter hilft:

timo82 schrieb:
Kann ich für ihren Laptop z. B. nur einen Port freigeben, damit der Rest geblockt ist? Oder wäre der Gastzugang eine Option. Ich bin nicht sicher, ob das über LAN überhaupt geht.
Zum Vergrößern anklicken....


Danke@ Prodotyp. Ich werde ihren Laptop dann mit dem Gast-WLAN einrichten und das LAN Kabel der Dockingstation an LAN4 stecken.

Muss ich noch etwas einstellen, außer der Einstellungen aus deinen Screenshots?
 
Das erwähnte Gastnetz über LAN4 einer Fritz!Box ist eine Möglichkeit.

Alternativ hilft das Stichwort "Router-Kaskade" weiter. Richte Deine 7590 als Router ein, im Netzwerk dahinter der Arbeitslaptop, dann wieder ein Router z.B. die 7530, welche das 1. Netzwerk (sogenannte DMZ) vom 2. wirklich privaten Netzwerk trennt.
 
  • Gefällt mir
Reaktionen: Raijin
Wobei sich bei mir die Frage stellt, WIE wird denn auf das Laptop zugegriffen von Außen?
Wenn ich mir mein Arbeitslaptop ansehe, dann sehe ich auch alle Gerätschaften in meinem Netzwerk, das Gerät hängt da mit drin.
Allerdings ist ein Tunnel zur Firma aufgebaut und ALLES an Traffik läuft darüber, ich habe also KEINEN Zugriff auf die Daten in meinem Netzwerk und kann das auch nicht umgehen.
Selbst wenn ein Remotezugriff über den Tunnel erfolgen sollte, kann auf keine Gerätschaft in meinem Netz zugegriffen werden.

Wenn das Laptop bei Dir auch so eingerichtet ist, dann besteht keine Gefahr.
Um alle Eventualitäten auszuschließen, gehört das ins Gäste-WLAN und gut ist.
 
Nein, da muss nichts mehr eingestellt werden, einfach den Hacken setzen.
In deiner (WLAN Brücke) Konstellation ist die 7590 der "Master" und als 7530 "Slave" konfiguriert. D.h, die Konfigurationen von Master werden weiter an "Slave" gereicht. Bin mir gerade nicht sicher, ob man das LAN4 nur bei der "Slave" 7530 aktivieren kann. Einfach mal ausprobieren, andernfalls bleibt dir nur noch die Lösung mit dem Gäste WLAN.
Unter Netzwerkeinstellungen und IP4-Konfiguration, kannst du dir die IP Range von deinem Produktiv-Netz und deinem Gäste Netz anschauen und ändern. Wenn du die Range weißt, kannst du dann einfach anhand der zugewiesener IP nachvollziehen, ob ein Gerät im Gäste oder produktiv Netzwerk ist
2020-12-04_08h33_15.png
 
  • Gefällt mir
Reaktionen: timo82
prian schrieb:
Wobei sich bei mir die Frage stellt, WIE wird denn auf das Laptop zugegriffen von Außen?
Zum Vergrößern anklicken....

Das weiß ich nicht, was da alles administriert und eingerichtet wird.
Ich kann von zuhause auch per Remote auf meinen Rechner in der Firma zugreifen und sehe da alle anderen Geräte. Daher meine Befürchtungen.

prian schrieb:
Um alle Eventualitäten auszuschließen, gehört das ins Gäste-WLAN und gut ist.
Zum Vergrößern anklicken....

Genau das ist auch meine Devise!
Ergänzung ()

Prodotyp schrieb:
Bin mir gerade nicht sicher, ob man das LAN4 nur bei der "Slave" 7530 aktivieren kann. Einfach mal ausprobieren, andernfalls bleibt dir nur noch die Lösung mit dem Gäste WLAN.
Zum Vergrößern anklicken....

Das würde ja reichen.
Ich werde mich am Wochenende darum kümmern und Rückmeldung geben.
 
@timo82
Du musst hier klar unterscheiden, wie das Laptop eingerichtet ist und wie darauf zugegriffen wird.

In meinem Fall besteht von zuhause in die Arbeit ein Tunnel, der kann logischerweise auch von Firmenseite aus genutzt werden um auf mein Laptop zuzugreifen.
Dieses Laptop hängt bei mir nur im WLAN drin und kann auf NICHTS, aber auch gar NICHTS in meinem Netzwerk zugreifen, sämtliche Anfragen/Zugriffe gehen über den Tunnel zurück zur Firma, das Gerät ist in meinem Netzwerk vollkommen nutzlos.
So sollte/muss so ein Gerät eingerichet werden.
Wenn dem so ist, dann ist generell nichts zu befürchten.

Wenn Du remote auf Deinen PC in der Firma zugreifen kannst (wie auch immer), dann greifst du auf ein Gerät zu, dass in SEINEM eigenen Netzwerk steht, dort SOLL ja auf Alles zugegriffen werden können.

Das Laptop Deiner Freundin ist nur ein verlängerter Arm des Firmennetzes und ist FREMD bei Dir und soll auf NICHTS zugreifen können. Dies zuzulassen wäre aus meiner Sicht dumm von der Firma, da Du dann Daten aus Deinem Netz auf das Firmennotebook bringen kannst (Viren, Trojaner und anderes Ungemach) oder Du Firmendaten in Deinem Netzwerk speichern oder drucken könntest.
 
prian schrieb:
Das Laptop Deiner Freundin ist nur ein verlängerter Arm des Firmennetzes und ist FREMD bei Dir und soll auf NICHTS zugreifen können. Dies zuzulassen wäre aus meiner Sicht dumm von der Firma, da Du dann Daten aus Deinem Netz auf das Firmennotebook bringen kannst (Viren, Trojaner und anderes Ungemach) oder Du Firmendaten in Deinem Netzwerk speichern oder drucken könntest.
Zum Vergrößern anklicken....

Ich weiß, dass das dumm ist. Ihr Arbeitgeber ist da dermaßen chaotisch aufgestellt, dass es mich wundert, dass da noch nichts passiert ist.

Ich konnte es am Wochenende (geplant war gestern abend) leider nicht mehr testen, da wir noch länger unterwegs waren und ziemliches Dreckswetter war. Bei Schneeregen und starkem Nebel konnte ich nicht so schnell fahren wie gewohnt.

Meine Freundin ist ab heute drei Tage weg. Ich komme also frühestens Mittwoch abend dazu.
Bis dahin besteht aber auch keine Gefahr, da ihr Rechner nicht bei uns im Netzwerk hängt.

Ich melde mich wieder.
 
Wenn das so chaotisch ist, dann sollte Laptop Deiner Freundin definitv ins Gäste-WLAN und gut ist. :)
 
timo82 schrieb:
Kann ich für ihren Laptop z. B. nur einen Port freigeben, damit der Rest geblockt ist? Oder wäre der Gastzugang eine Option. Ich bin nicht sicher, ob das über LAN überhaupt geht.
Oder gibts eine andere Möglichkeit?
Zum Vergrößern anklicken....
Beim Zugriff auf das lokale Netzwerk hat man prinzipiell schlechte Karten. Das lokale Netz gilt gemeinhin als vertrauenswürdig und so akzeptiert auch jedes Gerät im Netzwerk Verbindungen von anderen Geräten im selben Netzwerk. Da zwischen den Geräten maximal Switches und Access Points liegen, die abgesehen von fortgeschrittenen Profigeräten keinerlei Zugriffsbeschränkungen definieren können, kann man auch wenig tun, wenn man ein unerwünschtes Gerät im Netzwerk hat. Man könnte höchstens auf allen anderen Geräten die Firewall prüfen und dort explizit die IP dieses einen Gerätes blockieren, aber das wird schon daran scheitern, dass es gar nicht in jedem Gerät eine Firewall gibt. Theoretisch könnte man im Arbeitslaptop die umgekehrte Regel in der Firewall einrichten, aber das bedarf einerseits natürlich Adminrechte und andererseits kann ein aus der Ferne eingeloggter Admin das jederzeit wieder entfernen.

Daher muss eine echte Trennung über einen Router erfolgen und da bietet sich die Gastfunktion natürlich an. Wobei man hier ganz genau hinsehen muss ob das Gastnetzwerk auch alle nötigen Verbindungen (zB VPN ins Büro) zulässt. Im Zweifelsfalle muss man also in den Gasteinstellungen entweder gezielt die benötigten Verbindungen freigeben oder das Gastnetzwerk komplett ungefiltert laufen lassen (bezieht sich nur auf Internetverbindungen, das Hauptnetzwerk bleibt immer getrennt).



timo82 schrieb:
Danke@ Prodotyp. Ich werde ihren Laptop dann mit dem Gast-WLAN einrichten und das LAN Kabel der Dockingstation an LAN4 stecken.
Zum Vergrößern anklicken....
Nur eines von beidem. Der Laptop sollte entweder via WLAN mit dem Gast-WLAN verbunden sein oder via Kabel mit LAN4alsGast. Wenn du Laptop und Dockingstation jeweils verbindest, hat der Laptop effektiv zwei Verbindungen in das Gast-Netzwerk, via WLAN und LAN (über die Dockingstation). Das ist wenig sinnvoll bzw. die LAN-Verbindung ist stets zu bevorzugen.


Sofern der Zugriff auf den Arbeitslaptop über eine ausgehende VPN-Verbindung stattfindet (also zB Doppelklick auf "Start VPN" auf dem Desktop oder so => verbunden mit Firma), ist das Gast-(W)LAN der richtige Weg.

Sollte der Zugriff jedoch direkt von außen stattfinden - du sprachst ja von einer chaotischen IT - dann würde das so nicht funktionieren, weil das Gast-Netzwerk auch von außen abgeschottet ist und bei der Fritzbox soweit ich weiß keine Portweiterleitungen/UPnP ins Gast-(W)LAN möglich sind. In dem Falle müsste man den Laptop physisch separieren, hinter einem weiteren Router, über den man dann die Verbindungen reglementieren kann.
 
Hi,
ich bekomme es über die LAN4 Schnittstelle an der Slavebox nicht hin:

Gastzugang​

Hier ermöglichen Sie Ihren Gästen schnell und sicher einen Zugang zum Internet. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Die mit dem "LAN 4"-Anschluss verbundenen Geräte nutzen lediglich den Internetzugang, haben aber keinen Zugriff auf Ihr Heimnetz.

Der Gastzugang steht im IP-Client-Modus nicht zur Verfügung.


Und jetzt?
 
natürlich geht der lan4 gastzugang nur an der hauptbox, bei dir ist es die 7590.

über wlan ist, soweit ich das noch richtig weiss, im ganzen mesh auch das gastwlan sicht- und anwählbar.
 
Na super. Dann hätten wir uns das hier alles sparen können.

Das es um die Slavemeshbox geht, steht bereits im Eingangspost.
 
He was bringt das an der neben box das zu machen macht für mich keinen Sinn die Haupt box verteilt ja alles und die andere leitet es nur weiter wen du jetzt an der neben box ein Gasnetz aufmachst dann weiß die Haupt box ja nix davon... da beißt sich die Ratte ja in den Schwanz. 🤷‍♂️
 
Beim Mesh weiß die Hauptbox alles bzw gibt viele Einstellungen an die Nebenbox weiter.

Es funktioniert leider nicht. Das Geld für die 7530 hätte ich mir sparen können.
 
Ja einfacher switch oder Repeater hätte auch gereicht evtl. diesen
 
Dann betreibe die 7530 im Modus "Internet über vorhandenes WLAN". Das ist AVM-Sprech für den WISP-Modus, Wireless Internet Service Provider. Dabei wird der WLAN-Uplink zur 7590 zum WAN und die 7530 arbeitet wieder als Router, nur eben mit WLAN als WAN. Die Firewall liegt in diesem Modus logischerweise am WLAN-Uplink und dort kann man dann auch Regeln definieren was wie wo verbinden darf. Auch sollte die Gastfunktion der 7530 in diesem Modus wieder aktiv sein.

Nachteil des WISP-Modus: Die 7530 ist dann nicht mehr Teil des Hauptnetzwerks, etwaige Geräte am Haupt-(W)LAN der 7530 sind demnach nicht mehr im Netz der 7590, haben also andere IPs. Insbesondere der Weg vom 7590er Netz ins 7530er Netz wäre dadurch erschwert, weil dort eben die Firewall am WLAN-Uplink der 7530 blockiert. Hängt an der 7530 also beispielsweise ein Drucker, der ebenfalls aus dem Netz der 7590 aus bedient werden soll, müsste man in der 7530 Portweiterleitungen einrichten.
 
  • Gefällt mir
Reaktionen: Hayda Ministral
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz