BABA 11 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Hallo, ich habe schon so einiges über das Thema gefunden, jedoch richtig glücklich macht mich das nicht. Ich möchte folgendes erreichen: 1. ein Gast WLAN soll das interne Netz nicht sehen und gleich ins Internet über die Fiewall geroutet werden 2. ein fremder PC soll eine IP Adresse aus dem Bereich 172.40.1.x erhalten 3. die internen PC und Geräte bekommen aus dem Gast WLAN Netz keine IP Meine Infrastruktur: 1. ein physikalisches LAN 2. AD Domäne mit DHCP,DNS u.s.w. 3. Switche 2960-S Cisco Ich würde folgendes tun. Alle internen PC bekommen über eine Reservierung im DHCP eine IP aus dem Bereich 172.16.x.x. Den Bereich 172.16.x.x. schließe ich für die Verteilung aus. Ben Bereich 172.40.1.x öffne ich für die Verteilung und gebe gleich DNS (8.8.8.8) und Gateway 172.40.1.1 (an der Firewall) mit. Beide Bereich nehme ich auf in eine Bereichsgruppierung. Eine zweite Netzwerkkarte konfiguriere ich im Bereich 172.40.1.x.. Den Bereich 172.40.1.x weise ich per Bindung die Netzwerkarte 172.40.1.x zu. Was sagt ihr dazu? Das müsste doch funktionieren. Danke für Euer Feedback! Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Hallo, was hast du denn an Firewall im Einsatz ? Ich würde das Gastnetzwerk komplett pysikalisch trennen und über ein eigenes Interface an der Firewall ins www lassen. Manche Firewallsysteme können für den DMZ Bereich dann auch als DHCP / DNS Server konfiguriert werden. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Wenn die Clients vom Windows DHCP eine IP bekommen benötigst du imho eine CAL dafür. Für Gäste/BYOD kann das ein schwieriges Thema werden! Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. Juli 2015 Melden Teilen Geschrieben 2. Juli 2015 Vergiss die zweite Netzwerkkarte und die Trennung via DHCP-Reservierungen. Entweder an der Firewall die Gäste in ein physikalisch eigenes Netzwerksegment legen oder mit Hilfe der Switches und NAP/NAC mit VLANs die Netze trennen. So würde ich vorgehen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 2. Juli 2015 Melden Teilen Geschrieben 2. Juli 2015 802.1x wäre eine Möglichkeit. Wer sich authentifiziert hat kommt in VLAN100, wer nicht in VLAN200. Welche Lizenz ist auf den 2960s: ipbase? Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 2. Juli 2015 Autor Melden Teilen Geschrieben 2. Juli 2015 Ich nutze den VWLC von Cisco als VM, über den ich das WLAN Gast Netz erstelle.Firewall nutze ich WatchGuard. Die hat mehrere Ports auf denen man Netze erstellen kann. So könnte man sicherstellen, das das Netz getrennt ist. Mit 802.1x habe ich noch nichts gemacht. Die Besonderheit ist noch das ich auch MAC Nutzer habe, die intern arbeiten. Die brauchen ja auch eine interne IP aus der Domäne. Wie sieht es da aus? Zitieren Link zu diesem Kommentar
Gu4rdi4n 60 Geschrieben 8. Juli 2015 Melden Teilen Geschrieben 8. Juli 2015 Also meine Firewall hat für sowas einen SSO agent. Wer sich mit dem SSO authentifiziert bekommt zugriff von Netz 2 auf Netz 1. Gäste bekommen nur zugriff auf 2. Sollte die Watchguard doch auch haben! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.