[Sammelthread] Sophos UTM / TP Link 1043 DD-WRT Eleganter Weg für Gastzugang

T

Tr4c3rt

Enthusiast
Thread Starter
Mitglied seit
21.09.2013
Beiträge
1.677
Ort
Dortmund
Hallo,

ich überlege derzeit wie ich folgendes Szenario am besten bewerkstelligen kann.
Ich habe einen Server mit einer Sophos UTM laufen. (192.168.10.1)
PPPoE wird von Sophos erledigt.

Nun habe ich einen TP Link 1043 Router mit DD-WRT laufen und möchte gerne ein Gastnetzwerk für Besucher einrichten.
Genehmigen möchte ich den Clients Mailing, Websurfen und DNS Zugriff, der Rest soll gesperrt werden.
Der Zugriff auf das interne Netzwerk (192.168.10.1) soll komplett gesperrt werden, stattdessen sollen die Client ein eigenes Subnetz bekommen.
Es gibt nur 1 Wlan Router!

Meine Lösung ist möglicherweise etwas kurios, von daher wollte ich eure Meinung hören (oder einen alternativen Lösungsvorschlag)

Sophos UTM > Switch > Lan Port Router 192.168.100 > Normale interne Lan und Wlan Clients
> Wan Port Router 192.168.10.101 > Virtuelles Wlan mit DHCP 192.168.11.0 und Gastclients

Ich müsste den Router also mit 2 Kabeln an den Switch anschließen.

Bridging würde ich dann zwischen Vlan2 (WAN Port) und ath0.1 (Virtuelles Wlan) sowie zwischen Vlan1(Netzwerkports des Routers) und ath0 (normales Wlan Netz) setzen.
Die Wan Verbindung würde ich auf statisch setzen mit der eigenen IP 192.168.10.101 und Sophos als Gateway.
Für die Clients von ath0.1 würde einen DHCP Server am Router laufen.

In Sophos könnte ich dann den gesamten Verkehr von 192.168.10.101 entsprechend meiner vorgesehenen Einschränkungen regulieren.

Macht diese Lösung Sinn?
Mir fällt einfach keine Weg ein, wie ich ohne zwei Lankabel die Netze 100% sauber trennen kann.

Vielen Dank für eure Hilfe ;-)

ädit:
Hier mal eine Zeichnung wie ich mir das gedacht habe:

Router.jpg
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Eigentlich braucht die Sophos zwei Anschlüsse, einen zum Switch und einen zum Router/Modem. Gastnetze kannst du dann in der Wireless Security einrichten die auch sauber getrennt sind.

Nach deiner Zeichnung geht vom Router doch gar kein Kabel zum Splitter?
 
Sorry da hab ich mich wohl falsch ausgedrückt, der TP Link ist zwar ein Router soll aber hier nur als Access Point zum Einsatz kommen.
Routing und PPPoE macht natürlich der Sophos Server, der auch mit 2 NIC's ausgestattet ist.
(Das Modem vor Sophos habe ich aber hier nicht eingezeichnet, da hier nur das lokale Netzwerk relevant ist)

ädit: Hier nochmal die Korrektur

Router.jpg
 
Zuletzt bearbeitet:
Wie es mit Gastnetzen bei Sophos-fremden Access-Points aussieht kann ich dir nicht sagen, da musst du wohl mal probieren oder du fragst direkt im Sammelthread, vielleicht hat da schon mal jemand was probiert.
 
Das Gastnetz soll ja nicht mit Sophos erstellt werden, sondern mit dem Tp Links Router...
Sophos brauche ich später nur für die Firewall Regeln.

Mir gehts nur darum ob es eine elegantere Lösung gibt die Netze komplett zu trennen als mit 2 Kabeln zu arbeiten.
 
Du kannst mit DD-WRT auf dem 1043 doch jeweils eine SSID in ein VLAN packen.
Auf der UTM legst du dann auch 2 VLANs an und gut ist? Oder verstehe ich das Problem gerade nicht.?
 
Er will die Sophos UTM als Netzfilter benutzen. Da kann man viele Regeln vorgeben die man nicht mit einem 0815 Router erstellen kann.

Die gleiche Idee hatte ich auch vornem halben Jahr schon. Hab sogar schon die Hardware dafür abgestellt.
Wegen mangelnder Priorität hab ichs aber erstmal auf Eis gelegt.

DSL -> pfSense -> VLAN1 -> PrivatNetz
_____________-> VLAN2 -> SopHOS mit AccesPoint und eingeschränkter INET Zugang

würde das denn so funktionieren? Sollte doch oder?
 
Zuletzt bearbeitet:
ttom schrieb:
Er will die Sophos UTM als Netzfilter benutzen. Da kann man viele Regeln vorgeben die man nicht mit einem 0815 Router erstellen kann.
Zum Vergrößern anklicken....
Joa und wo genau ist das Problem?

ttom schrieb:
DSL -> pfSense -> VLAN1 -> PrivatNetz
_____________-> VLAN2 -> SopHOS mit AccesPoint und eingeschränkter INET Zugang

würde das denn so funktionieren? Sollte doch oder?
Zum Vergrößern anklicken....

Geht schon, aber wozu eine pfSence UND utm? Die pfSense kannste inne Tonne hauen und alles über die UTM abbilden
 
ja ist mir schon klar aber dafür kenn ich mich zuwenig aus weil es den Konfigurationsaufwand dramatisch erhöht wenn alles komplett über eine Box läuft.

- - - Updated - - -

Ausserdem soll der Gastzugang ja nur sporadisch laufen
 
Also war mein Grundgedanke garnicht so falsch :d
Ich habe das ganze jetzt versucht, scheitere allerdings leider bei der Einrichtung.

Ich hab ein Gast Vlan mit eigener SSID angelegt.
Ich habe die Brücke zwischen atho.1 (vlan) und dem vlan1 Netz (das sind die lokalen Ports) getrennt.
Ich habe für die br1 DHCP eingeschaltet.
Ich hab den Wan Port br1 zugewiesen.

Allerdings klappt es nicht, wenn ich mich via Laptop zum Gastzugang verbinde bekomme ich keine IP zugewiesen.
Mit manueller IP bekomme ich auch keinen Zugriff zum Internet.

Gibts noch irgendwas was ich beachten muss oder gibts zufällig irgendwo eine Anleitung zu meinem Fall?
Ist warscheinlich nicht ganz so einfach sowas zu finden, die meisten nutzen ja die an sich schon recht guten Einstellmöglichkeiten von DD-WRT

ädit: Achso und ja ich habe ausschließlich Sophos laufen, kein pfSense..
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh