Getrenntes WLAN/Netzwerk via FRITZ! Repeater (LAN-Brücke)

[butterbrotstulle]

Hallo zusammen,

habe hier eine FritzBox und nutze sie seit längerer Zeit mit zwei WLANs wie folgt:
1. Normales-WLAN: für den privaten Gebrauch (PC, Tablet, Handy, Fernseher, etc.)
2. Gast-WLAN: für die Arbeit (Netzwerk soll getrennt von 1. sein, was der Gast-Zugang ja erfüllt)

Möchte nun ein 3. WLAN für echte Gäste erzeugen, welches folgendes erfüllt:
A) Eigenes Passwort / eigene SSID
B) Netzwerk ist getrennt von 1. und 2., d.h. Geräte in 1. und 2. sind für 3. nicht sichtbar und ein Zugriff ist unmöglich (im Prinzip wie ein zweites Gast-WLAN mit evtl. mehr Port-Freigaben aber ohne Zugriff auf das Heimnetz oder 2.)

Jetzt die Frage: Wäre B) automatisch erfüllt, wenn man z.B. einen FRITZ! Repeater 1200 AX per LAN-Brücke als Access Point anschließt und ihn nicht in das Mesh aufnimmt?

Vielen Dank!

P.S. Was noch akzeptable wäre, wenn 1. auf Geräte in 3. zugreifen kann aber wie gesagt nicht umgekehrt.

 

[Master1]

Ich würde meinen das dies ohne die Mesch Funktion möglich sein müsste, sprich das die 3. Box nicht per Mesh eingebunden wird und somit nur den I-net Zugang von einer der Boxen erhält. Mit eigenener IP und somit auch getrenntem W-Lan oder ggf. auch Lan.

 

[butterbrotstulle]

sprich das die 3. Box nicht per Mesh eingebunden wird und somit nur den I-net Zugang von einer der Boxen erhält

Es gibt nur zwei Geräte, die FritzBox (die spannt aktuell die zwei WLANs 1. und 2. auf) und den geplanten Repeater/AP.

Aber wenn ich dich richtig verstehe, sind die Netze auf jeden Fall getrennt, wenn der Repeater/AP nicht im Mesh ist?

Ich bin mir halt nicht sicher, ob die Netze nicht doch den gleichen IP-Adressbereich verwenden.



Vielleicht ginge auch sowas?

Fritzbox:
1. Normales-WLAN: für den privaten Gebrauch (PC, Tablet, Handy, Fernseher, etc.)
2. Gast-LAN-4 aktivieren: für LAN-Brücke zum Repeater/AP
Repeater/AP:
1. Normales-WLAN (nicht im Mesh) für die Arbeit
2. Gast-WLAN (nicht im Mesh) für Gäste

Oder sind zwei getrennte WLAN-Netze im AP gar nicht möglich, wenn der sich im Gast-IP-Adressbereich der Fritzbox befindet?

 

[chrsto]

Das was du vor hast, hat nichts damit zu tun, ob etwas „im Mesh ist“ oder nicht.

Die FRITZ!Box kann nur 2 getrennte Netze betreiben. Das „normale“ und zusätzlich ein Gastnetz.

 

[Grisu_]

Ich würd meinen so lange sie im AP Betrieb sind kann das nichts werden.
Dazu brauchst einen Fritzbox die Routing macht (NAT) und über WAN an deiner Master hängt.
Ein Repeater hilft da nicht weiter.
Leider limitiert uns AVM da auf nur ein Gast-Netz.

Ist es wirklich so essentiell Gäste und Arbeit von einander zu trennen (zudem du dich in die Arbeit vermutlich ohnedies über VPN verbindest).
Es reicht doch die Kommunikation zw. den Gästen zu unterbinden (kann man auswählen) und für beide das Gast-WLAN zu nutzen.
Ich hab es bei uns auch so gelöst.

 

[NDiIPP]

Jetzt die Frage: Wäre B) automatisch erfüllt, wenn man z.B. einen FRITZ! Repeater 1200 AX per LAN-Brücke als Access Point anschließt und ihn nicht in das Mesh aufnimmt?

Nein.

Ich würde meinen das dies ohne die Mesch Funktion möglich sein müsste, sprich das die 3. Box nicht per Mesh eingebunden wird und somit nur den I-net Zugang von einer der Boxen erhält. Mit eigenener IP und somit auch getrenntem W-Lan oder ggf. auch Lan.

Dann haben aber die Geräte in diesem 3. Netz entweder (vollständigen) Zugriff auf das 1. oder das 2. Netz (jenachdem wie der WLAN-AP an der Fritzox angeschlossen wird, 2. Netz wenn bspw. LAN4 als Gastnetz konfiguriert wurde und dort der AP angeschlossen wird). Es ist somit kein von den jeweils anderen beiden getrenntes Netz. Völlig egal ob mit oder ohne Mesh. Bzw. sogar völlig egal ob es sich um einen WiFi-Repeater von AVM oder eines anderen Hersteller handelt.

Und selbst wenn man keinen WiFi-AP sondern einen WiFi-Router verwendet (bspw. eine weitere Fritzbox) erhalten die Geräte aus dem 3. Netz jeweils Zugriff auf das 1. oder 2. Netz.

 

[Jstessi]

Ich würde einen Repeater/2. FritzBox per LAN an den Gastausgang der ersten Box anschließen; letzterer kann dann das Gastnetz der ersten Box und ihr eigenes Gastnetz abstrahlen, ohne dass sich die 3 verschiedenen Netze in die Quere kommen können.

Gruß, Jürgen, und schönen ersten Advent!

 

[Peter_Lehmann]

Hallo @butterbrotstulle!

Die mit Abstand "sauberste" und auch die (für dich) sicherste Lösung für dieses "Problem" ist der Einsatz eines Freifunk-Routers.
Der große Vorteil dabei ist, dass dessen WLAN völlig von deinem Hausnetz abgeschottet ist, und auch die vorgezeigte IP nicht diejenige ist, welch dir von deinem Provider zugewiesen wurde. Bedeutet, wenn einer deiner Gäste Sch<zensiert> baut, und dieses nicht gerade eine Straftat ist, du selbst außen vor bist.
Für 5 bis 10 €nen bekommst du in der Bucht einen geeigneten gebrauchten Router. Der Umbau ist ein Kinderspiel. Und hier gibt es auch einige User, welche dir garantiert gerne helfen werden (zumindest ich werde es tun).

Schau einfach mal nach www.freifunk.net.

[Werbung]
Zufälligerweise bringt gerade die aktuelle c't einen guten Beitrag dazu.
[/Werbung]

vy 73 de Peter

 

[butterbrotstulle]

Vielen Dank für Eure Antworten!

Werde mich dann noch mal genauer mit allen Vorschlägen beschäftigen.

Hier steht ja übrigens auch, dass der Repeater/AP nicht "wirklich" aus dem Mesh genommen wird, nur die automatische Übernahme von Daten wird deaktiviert und das Roaming.

 

[Grisu_]

Wenn du den Repeater oder Box im Repeatermodus nicht einmesht (Knöpferln drücken) wird sie auch nie Bestandteil des Mesh werden und über die Masterbox auch nicht gesteuert werden können.
Fungiert also als gewöhnlicher Repeater wie schon vor (gefühlt) 100 Jahren ganz ohne Mesh.
Das von dir gefundene ist wieder ein ganz anderer Punkt, wenn Mesh schon aufgebaut ist.

Die Frage bleibt aber noch immer: Warum glaubst benötigen Arbeit und Gast getrennte WLANs bei dir?
Die kommen mit einem gemeinsamen ohne daß ein Gast(inkl. Arbeit)-Client auf den anderen Zugriff hätte, sofern du das so einstellst.

 

[Multireed]

Hallo.
Kannst ja auch über Lan ein Devolo mit Wlan als AP anstecken. Der macht ein eigenes Gastnetz.
Das ist unabhängig von dem Gastnetz der Fritz Box.
Kannst von da nur ins Internet.

 

[Zwanzigeinundzwanzig]

@Multireed Und das LAN-Kabel ist wo im Router angesteckt? LAN 4 im Gastnetz... Die Geräte dürfen untereinander kommunizieren lässt sich nur im WLAN (Im Gastnetz nicht erwähnt) ausschalten...?

Die kommen mit einem gemeinsamen ohne daß ein Gast(inkl. Arbeit)-Client auf den anderen Zugriff hätte, sofern du das so einstellst.

Ist das im Gastnetz auch so?

 

[PeterPawn]

lässt sich nur im WLAN (Im Gastnetz nicht erwähnt) ausschalten...?

Steht unter "Weitere Einstellungen" beim Gastnetz.

Ist das im Gastnetz auch so?

Diese Art Isolation für Clients funktioniert nur bei WLAN-Verbindungen - da jeweils die Verbindung zwischen STA (dem Client) und AP (Router/Repeater/etc.) verschlüsselt ist, muß/kann der AP entscheiden, ob er Daten, die von einer STA (oder einem, wie man will) empfangen wurden, an andere STA überträgt (dazu müssen die dann ja für den jeweiligen Client gesondert verschlüsselt werden) oder nicht.

In dem "Gastnetz", was viele FRITZ!Boxen an ihrem letzten LAN-Anschluß anbieten können, funktioniert diese Art der Isolation NICHT - d.h., wenn dort ein Switch o.ä. angeschlossen ist, können sich auch ALLE Geräte, die darüber kommunizieren (sprich: dort angeschlossen sind) gegenseitig "sehen" und damit u.U. auch "angreifen" (was spätestens dann berücksichtigt werden sollte, wenn man dort Geräte versucht zu isolieren, die einem zu viel "nach Hause telefonieren" wollen, was nur niedlichen Außerirdischen verziehen wird).

Für das Tunneln von IP-Paketen aus dem (vom Edge-Router übernommenen) Gastnetz eines Repeaters durch das "normale LAN" (wenn also ein (funktionell gesehender) Repeater per Ethernet-Kabel mit einer FRITZ!Box als Edge-Router gekoppelt ist) wird L2TPv3 verwendet - damit passieren solche Pakete das Ethernet-Kabel, ohne daß sie andere lokale Ziele als den Edge-Router erreichen können (zu dem sie letztlich ja auch sollen).

 

[Zwanzigeinundzwanzig]

Steht unter "Weitere Einstellungen" beim Gastnetz.

Bei meiner 7590 steht das eben nur unter Sicherheit > Weitere Sicherheitseinstellungen beim "normalen" WLAN, nicht explizit beim Gastnetz, daher meine Frage, ob diese Einstellung dann auch für das Gastnetz gilt.
Und sind LAN- und WLAN-Gastnetz auch für Verbindungen untereinander getrennt?

 

[NDiIPP]

Diese Einstellung gibt es zweimal. Einmal für das normale WLAN (da wo du beschrieben hast) und einmal für das WLAN-Gastnetz (wie es PeterPawn beschrieben hat und bei meiner 7590 ist es dort auch zu finden). Das wird also jeweils separat eingestellt und gilt dann nur für das jeweilige Netz bzw. SSID.

 

[Grisu_]

Und ich schrieb in diesem Zusammenhang auch nichts von einem Repeater.
Somit sollte es auch greifen, da kein Gast-LAN4 genutzt wird.

Wobei, das sollte ja dann auch klappen: Wenn man das Gast-WLAN für die Arbeit nutzt und Gäste über LAN4 und einen weiteren Repeater einrichtet, daß die Arbeit damit vor den Gästen geschützt ist.

 

[Zwanzigeinundzwanzig]

Ja, kaum macht man es richtig kann man es auch sehen... Der Gastzugang muss natürlich eingeschaltet sein...

 

[butterbrotstulle]

Die Frage bleibt aber noch immer: Warum glaubst benötigen Arbeit und Gast getrennte WLANs bei dir?
Die kommen mit einem gemeinsamen ohne daß ein Gast(inkl. Arbeit)-Client auf den anderen Zugriff hätte, sofern du das so einstellst.

Zum einen möchte ich beim ”Gäste"-Netzwerk ein eigenes Passwort haben, welches nach jedem Besuch geändert werden kann OHNE das dann die Arbeitsgeräte ebenfalls das neue Passwort brauchen.
Zum anderen möchte ich den Geräten innerhalb eines Netzes die Kommunikation untereinander gestatten.

Wobei, das sollte ja dann auch klappen: Wenn man das Gast-WLAN für die Arbeit nutzt und Gäste über LAN4 und einen weiteren Repeater einrichtet, daß die Arbeit damit vor den Gästen geschützt ist.

Gast-WLAN und Gast-LAN-4 nutzen doch das gleiche IP-Subnetz 192.168.179.0/24 ? Oder inwiefern sind Arbeit dann vor Gästen geschützt?

 

[Grisu_]

Folgernd aus den Ausführungen von @PeterPawn hätte ich das so rausgelesen.
Im Gäste-WLAN (wo die Arbeitstiger hängen) am Modem die Kommunikation zw. den Geräten verbieten und die echten Gäste über LAN4 und einen AP versorgen, wo du stündlich alles ändern und die auch untereinander kommunizieren lassen kannst.

 

[butterbrotstulle]

und die echten Gäste über LAN4 und einen AP versorgen, wo du stündlich alles ändern und die auch untereinander kommunizieren lassen kannst.

Versteh ich das richtig, in diesem Setup...

FritzBox (mit aktivierter Kommunikationsblockade fürs Gast-WLAN)
|
|
|____Gast-LAN-4____FritzRepeaterViaLANBrückeAlsAP____Gerät-A / Gerät-B
|
|____Gast-WLAN____Gerät-C


1. Ist C von (A, B) getrennt (Wodurch? Verhindert etwa die Kommunikationsblockade in den Gast-WLAN settings auch Kommunikation zwischen Gast-LAN-4 und Gast-WLAN?)
2. Können A und B miteinander kommunizieren (Warum? Der AP erzeugt doch auch nur ein Gast-WLAN mit dem gleichen Gast-Subnetz und auch dort gilt die Kommunikationsblockade?)