Bildquelle: Wikipedia

Openwireless UND privates WLAN

Wireless St. Gallen

Hallo

Ist es möglich, seinen Internetzugang dem Openwireless zur Verfügung zu stellen und gleichzeitig ein privates WLAN zu betreiben (Grund: privates WLAN muss verschlüsselt sein)?

Ziel soll es sein, dass das private Netz möglichst gut gegen das Internet wie auch das Openwireless geschützt ist.
Ich nehme mal an, dafür benötigt es zwei WLAN-Router (mit 4-5 Chs Kanalabstand). Nur wie sieht der genaue Aufbau aus? Openwireless-Router an LAN-Port des "privaten" Routers anschliessen oder umgekehrt? Oder spielt dies vielleicht keine Rolle?

Wäre schön, wenn mir jemand dazu Auskunft geben könnte.

Danke!

Vorschlag: Mit Hardware-Firewall trennen II

Guten Tag Ihr openwirelessler
Schön zu sehen wie sich in letzter Zeit olsr-Netze bilden. Dies hab ich zum Anlass genommen mein eigenes vor mehr als einem Jahr eingestelltes olsr-Experiment wieder aufzunehmen, und mich an diesem Forum angemeldet - HALLO ZUSAMMEN!!
jamulo, mit diesem Problem hab ich mich heute auch befasst und dafür eine (beinahe)klassische Lösung gebaut, die nur eine öffentliche IP braucht. Damit ist es möglich kontrolliert/konfigurierbar vom (W)LAN aus ins olsr-Netz zu kommen, vom olsr-Netz ins (W)LAN, vom (W)LAN ins Internet sowie vom olsr-Netz ins Internet. Die Netze können auch komplett voneinander "getrennt" werden.

Hardware: 1xFirewall/Router mit 3 Netzwerkkarten, 1x Switch, 1xopenwireless-Router.

Topologie: olsr-Netz im Bereich 10.246.x.y/z, DMZ mit Netz 192.168.2.0/24, (W)LAN mit 192.168.1.0/24.
Der Router/Firewall hohlt sich an eth0 mittels DHCP eine IP vom ISP. eth1(192.168.1.1) versorgt das (W)LAN mit IPs, und eth2(192.168.2.1) ist das gateway für den openwireless-Router. Der openwireless-Router ist am WAN-Port(192.168.2.2) direkt an eth2 angeschlossen und macht NAT von 10.246.x.y/z zu 192.168.2.2. Der Router macht NAT von 192.168.2.0/24 und von 192.168.1.0/24 zu seiner externen IP. Die NAT des openwireless-Routers braucht es eigentlich nicht. Man könnte an der Firewall auch eth1 und eth2 bridgen und dann ARP Pakete filtern um die Zugangskontrolle von/zu DMZ/LAN zu bewerkstellgen. Das ganze sieht dann etwa so aus:

                                 Internet
                                    |
                                    |eth0
                          -----------------------
                          | Firewall/Router     |
                          -----------------------
         eth1(192.168.1.1)  |                 | eth2(192.168.2.1)
                            |                 |
                            |                 |
                            |                 | vlan1(192.168.2.2)
                         (W)LAN       ---------------------------
                                      |  openwireless-Router    |
                                      ---------------------------
                                              |eth1(10.246.x.1)
                                              |
                                          olsr-Netz  

Am der Firewall/Router ist eine statische Route konfiguriert, die von 192.168.1.0/24 zu 10.246.0.0/16 routet. Die Lösung erlaubt es zahlreiche "features" hinzufufügen wie traffic-shaping vom Internet ins olsr, HTTP-Proxy-Cache für olsr,...

Bei Bedarf mail ich das nocht nicht ganz fertige iptables-Skript, oder stell es hier ins Forum.
Gruss

Vorschlag: Mit Hardware-Firewall trennen

Hallo

Wie denkst du über diesen Aufbau: (hoffe, die ASCII-Grafik kommt einigermassen rüber)

Internet
|
ADSL Router bzw
Cable Modem
|
Switch (evtl im ADSL-Router schon eingebaut)
|
-- 1. Abgang: --- Openwireless Router -- offenes WLAN -- die "St.Galler"
|
-- 2. Abgang: -- Firewall -- WLAN Router -- verschlüsseltes WLAN -- deine PCs

Als Firewall würde z.B. schon ein ZyXEL Prestige 335 für knapp 100.- reichen (die hat dann gleich auch noch einen USB-Printserver mit drin)

Wie du den Openwireless Router vorbereiten sollst, steht hier:
http://sg.openwireless.ch/internetanschluss

Den direkten Anschluss des OpenWireless Routers an den zweiten WLAN-Router würde ich dir weniger empfehlen, wenn dir die saubere Trennung von deinem (W)LAN und Openwireless wichtig ist.

Gruss
Armin

Aufbau mit nur 2 Routern ?

Danke für die Antwort.

Dein Vorschlag hat den Nachteil, dass es dafür zwei public IPs braucht. Aber kein Problem, als Cablecom-Kunde gibts ja zwei. Auch braucht es dafür ziemlich viele Geräte.

Ich hab noch folgende Idee, weiss aber nicht ob das möglich ist und ob dies die Netze wirklich trennt.

ASCII-Skizze:

Internt
....|
ADSL/Cable-Modem
....|
....| (WAN-Port)
OpenWireless-WLAN-Router -- (WLAN: offen)
....| (LAN-Port)
....|
....| (WAN-Port)
Privater WLAN-Router mit SPI-Firewall -- (WLAN: privat)
....| (LAN-Port)
....|
private PCs

Wie denkt ihr darüber?

Danke & Gruss

Genau so muss der Aufbau

Genau so muss der Aufbau aussehen. Aus dem privaten LAN/WLAN ist dann der Zugriff auf Openwireless möglich (falls dein Internet-Anschluss mal abliegen sollte) und aus dem Openwireless WLAN ist ausschliesslich der Zugriff aufs WAN möglich.