Sicheres Gästenetzwerk mit DD-WRT
Es gibt viele Gründe ein Gäste-WLAN einzurichten. Im einfachsten Fall möchte man tatsächlich Gästen oder Besuchern eine Internetverbindung zur Verfügung stellen. Vielleicht möchte man aber auch einfach ein getrenntes WLAN-Netz um z.B. Haustechnik oder Solaranlagen anzuschliessen. Wie man das Ganze so einrichtet, dass Besucher nicht plötzlich im internen Netz landen – in diesem Artikel.
Gästenetzwerk vs. Sicheres Gästenetzwerk
Ein unsicheres Gästenetzwerk aufzubauen ist einfach – viele WLAN-Router haben diese Funktion heute bereits eingebaut.
Der Haken daran: Es ist nicht sicher und ermöglicht „Gästen“ praktisch auf das gesamte interne Netzwerk zuzugreifen. Die Ursache liegt aber weniger an der Software sondern vielmehr an der „Standardverkabelung“.
Die Problematik; Hersteller vs. Provider
Aktuelle WLAN-Router haben meist auch einen WAN – Anschluss, d.h. sie sind darauf ausgelegt direkt ans „Internet“ angeschlossen zu werden. Vom Provider erhält man heute zu 99,9 % aber ebenfalls einen Router (eine Modem / Router Kombination…)
Man hat damit also folgende zwei Anschlussmöglichkeiten:
Variante 1: Der Router des Providers (z.B. von Swisscom) wird komplett aus der Installation entfernt und durch den WLAN-Router ersetzt. Der WLAN-Router stellt sowohl das Interne WLAN wie auch das Gästenetzwerk.
Abb. 1: Vom Hersteller vorgesehene Konfiguration („Theorie“…)
Variante 2: Ein zusätzlicher WLAN-Router wird an das bestehend bleibende Modem/Router des Providers angeschlossen. Der WLAN-Router stellt ebenfalls sowohl Internes WLAN wie auch das Gästenetzwerk.
Abb. 2: Häufiger anzutreffende Konfiguration („Praxis“…)
Bei beiden Varianten wird „der Internetzugang“ funktionieren – denn der/die Router machen was sie sollen und vermitteln „jeden mit jedem“. Dementsprechend hat aber bspw. auch ein Gast vollständigen Zugriff auf sämtliche Komponenten des Netzwerks. Das ist nicht im Sinne des Erfinders, oder?
Eine saubere Lösung mit DD-WRT
Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, als standardmässig vorgegeben. Gerade für kleinere Netzwerke empfiehlt sich deswegen die alternative Routerfirmware DD-WRT.
DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier)
Das endgültige Ergebnis sieht dann in etwa so aus:
Abb.3: Sicheres Gästenetzwerk mit DD-WRT
Anders als bei den vorhergehenden Beispielen (Abb. 1 und 2) erfolgt hier eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt.
Schritt 1: Virtuelles Gästenetz erstellen
Virtuelles Interface erstellen (in DD-WRT)
Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast).
Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken
Schritt 2: WLAN verschlüsseln / mit Passwort schützen
WLAN Intern/Gästenetz absichern
Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht.
Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren.
Schritt 3: Bridge erstellen
Neue Bridge br1 für das virtuelle Interface erstellen
Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben!
Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen.
Schritt 4: Neue DHCP Instanz erstellen
Der Bridge br1 eine neue DHCP Instanz zuweisen
Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden.
Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen.
Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren
Zusätzliche DNSMasq Optionen setzen
Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden.
# Aktiviert DHCP auf br1 interface=br1 # Setzt das Standard Gateway für Clients von br1 dhcp-option=br1,3,192.168.5.1 # Setzt den DHCP Bereich und Default Lease Time für br1 dhcp-range=br1,192.168.5.100,192.168.5.150,255.255.255.0,24h
Schritt 6: IPTables konfigurieren
IPTables Konfiguration einfügen und „Save Firewall“ klicken
Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…)
Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands. Dort sollen folgende Konfigurationseinstellungen eingefügt und mittels „Save Firewall“ gespeichert werden:
#br1 (Gaestewlan) Internetzugriff erlauben iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu #Zugriff zwischen Intern und Gaeste blockieren iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP #NAT erlaubt Internetverbindung iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr` #Torrent und P2P Netzwerke blockieren iptables -I FORWARD -p tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 50 -j DROP iptables -I FORWARD -p ! tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 25 -j DROP #Direktzugriff auf Router aus Gaestenetzwerk verweigern iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Schritt 7: DD-WRT in Netzwerk einbinden
DD-WRT ins bestehende Netzwerk einbinden
Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), sowie die Subnetmask und den DNS-Server ergänzen.
Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert.
Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken.
Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten.
Emir Kobilic
Danke für nützliche Tipps!
Es funktioniert alles bis zum Schritt 7:
Wenn ich WAN auf „Disable“ setze, kriege ich keine Internetverbindung
Mein ADSL Modem hat die IP Adresse 192.168.3.4 und ist DHCP Server
1. Via welchen RJ45 Anschluss muss ich meinen DD-WRT mit dem ADSL Router verbinden? WAN oder LAN Port
2. Welche Router-, bzw. Gataway-Adresse muss der DD-WRT haben?
Danke!
Simon Pedrett
Der ADSL – Router kann an einem beliebigen RJ45-Anschluss angehängt werden – spielt keine Rolle. Die Gateway Adresse entspricht derjenigen des ADSL-Routers (In diesem Fall 192.168.3.4)
Emir Kobilic
Nach langem hin und her hat es endlich geklappt.
WAN Port Assignment ist sehr wichtig und darf nicht an keinem br (0 oder 1) zugewiesen sein. (zumindest in meinem Fall war es so)
Danke!
Mars
Hallo,
vielen Dank für die wirklich gute Anleitung.
Leider komme ich mit dem Gast_WLAN nicht ins Internet. Der eigentliche Router hat die IP 192.168.1.1. Diese ist als DNS auch in meinem WLAN Router(Linksys WRT54GL) eingetragen. Hab schon alles versucht. Ohne Erfolg. Hat jemand eine Idee, woran es liegen könnte….
Vielen Danke!
Simon Pedrett
Hast du den Linksys an einem LAN-Anschluss angehängt (nicht WAN)?
Piri_m
Gibt es die Möglichkeit per DD-WRT ein Gastwlan einzurichten aber den Login nur per z.b. Facebook like zu zulassen?
Es gibt ja einige Anbieter die das anbieten. Aber gibt es so eine software nicht auch kostenfrei für den DD-WRT?
Vielleicht kannst du mir da weiterhelfen? Ich finde leider nichts.
Simon Pedrett
Grundsätzlich kannst du das mit DD-WRT komplett im „Eigenbau“ lösen (z.B. mit Wifidog + Authpuppy). Wenn du eher eine schnelle Lösung suchst schau mal hier: Free Social Hotspot. Social scheint in der kleinen Variante kostenlos zu sein… 😉
freaque
Danke für die gute und detaillierte Anleitung. Hat super funktioniert 🙂
Simon Pedrett
Freut mit 😉
Firebull
Ich habe meinen DD-WRT per LAN1 hinter einer Fritzbox die am Kabelmodem hängt angeschlossen, aber komme leider im Gäste WLAN noch immer aufs interne Netz (trotz deiner echt klasse Anleitung).
Was mache ich falsch?
PS: Ich habe die folgende DD-WRT Beta drauf: v3.0-r27600 std (08/11/15), daher sahen ein paar Punkt bei mir anders aus, bzw waren an anderer Stelle zu finden.
Simon Pedrett
Das Gäste-WLAN befindet sich in einem anderen Subnetz als das der Fritzbox (z.B. 192.168.1.0 und 192.168.5.0)?
Florian
Ich habe auf meinem Netgear WNDR4300 die aktuellste Beta von DD-WRT Installiert, aber ich erhalte trotz deiner super Anleitung leider noch immer die selbe IP des Hauptnetzes, statt des neuen 192.168.5.x DHCP Netzes.
Kann das an der neuen Version liegen, oder habe ich was falsch gemacht.
Mein DD-WRT hängt hinter einer Fritzbox (diese hängt am Kabeldeutschland Modem).
Danke vielmals für eure Hilfe!!!
Simon Pedrett
Hast du Schritt 3 und 4 beachtet und eine zusätzliche Bridge erstellt? Oder hast du evtl. die IP-Adresse am Notebook statisch vergeben?
Jörg
Hi,
vielen Dank für das sehr gute Tut. Allerdings komme ich mit dem Gästenetz nicht ins Internet. Ich habe alle Anweisungen Deines Tuts 1:1 übernommen, bis auf den letzten Schritt 7. Hier habe ich den WAN-Verbindungstyp auf „Automatische Konfiguration – DHCP“ belassen. Auch den DHCP-Server habe ich eingeschaltet gelassen. Wenn ich eine der beiden Optionen so einstelle wie beschrieben komme ich garnicht mehr ins Internet (mein Buffalo-Router hängt direkt am Modem von Kabel1).
Im Moment komme ich mit meinem „primären“ Netz und auch über Kabelnetzwerk ins Internet. Nur über das WLAN-Gast-Netz tut sich nichts. Dort komme ich zwar in das Subnetz 192.168.5.x, allerdings nicht darüber hinaus ins Internet.
Kannst Du mir hier bitte noch einen Tipp geben?
Vielen Dank und viele Grüße
Jörg
Simon Pedrett
Ein paar Denkanstösse 😉
Jörg
Vielen Dank für die Antwort und Deine Denkanstöße!
Modem oder Rourter?
Das Motorola SBV5121E ist ein Modem mit einem Ethernet- und einem USB-Ausgang. Über einen zusätzlichen Ethernet-Hub können bis zu31 Clients angeschlossen werden. Macht es das zu einem Router? (spätestens hier habe ich mich als totaler Laie geoutet :-))
IP-Adresse aus Gast-Netz
Ja. Ich sehe die SSID, verbinde mich und bekomme eine IP-Adresse im vorgegebenen Range (z.B. 192.168.5.112). Der Client wird auch in der Router-Verwaltung angezeigt. Ich bin mir nicht ganz sicher, wie ich den DNS-Server herausbekomme. Wenn ich aber von meinem Android-Hany unter der oben angegebenen IP im Gästenetz einen Netzwerkscan durchführe, liefert er mir als Gateway 192.168.5.1. Dieser hat als einzigen offenen Port 53/tcp. Wenn ich einen Windows-Rechner im Gästernetz einlogge, erhalte ich mit ipconfig auch die 192.168.5.1 als Standardgateway.
Nur Gästenetz-Geräte sichtbar?
Hier bin ich mir mit der Antwort nicht sicher. Wenn ich vom Browser des in meinem im Gästenetz eingelogten Android-Handy eine IP im Primärnetz aufrufe, bekomme ich keine Antwort (mein primäres Netz ist 192.168.11.X, wenn ich im Browser des Handys mit der IP 192.168.5.112 z.B. 192.168.11.1 (den Router) eingebe ist die Webseite nicht verfügbar). Wenn ich allerdings von einem im Gästenetz eingelogten Windowsrechner einen Ping auf 192.168.11.1 oder …11.5 (ein Server) absetze erhalte ich Antwortpakete. Anders herum ist es nicht so: wenn ich mit einem im Primärnetz eingelogten Windows-Computer ein im Gästenetz eingelogtes Gerät (z.B. IP 192 168.5.112) pinge, bekomme ich keine Antwort. Wenn ich allerdings 192.168.5.1 pinge, bekomme ich eine Antwort …(?).
IP-Tables richtig kopiert?
Tja, was sage ich dazu, wenn das alles Chinesisch für mich ist. Ich habe den in Deinem Tut angegebenen Text 1:1 kopiert und in DD-WRT eingefügt (Ctrl-C, Ctrl-V, Firewall speichern). Ich habe spassenshalber einmal die `durch ‚ ersetzt, was keine Änderung ergab. Auch die „-“ sehen so aus, wie sie sein sollen und sind keine langen Trennstriche, die Windows gerne mal aus einem „-“ erzeugt.
Eins ist mir aufgefallen: bei der Zuweisung der Bridge (br1) stehen in Deinem Beispielbild 2 Schnittstellen (wl0.1 vlan2). Bei mir steht bei br1 nur „ath0.1“ (derselbe Text wie der, der über der wirtuellen Schnittstelle steht), bei br0 steht „eth0 ath0“. Ich habe eine zusätzliche Zuweisung von br1 zu „eth1“ (es stehen eth1, eth0, etherip0, ath0, ath0.1 und bond0 zur Auswahl) durchgeführt, was dazu führt, dass ich mit einer Kabelverbindung zum Router garnicht mehr ins Netzwerk kam.
Danke vorab für Deine Hilfe. Kann ich Dir noch andere Infos schicken, um Dir das Leben zu erleichtern?
Viele Grüße
Jörg
Simon Pedrett
Die Unterschiede wl0.1 / aht0.1 ergeben sich aus dem unterschiedlichen Chipsatz (Broadcom / Atheros). Sollte aber keine Rolle spielen.
Ansonsten fällt mir so auf die Schnelle eigentlich nur noch ein Problem mit der DNS-Auflösung ein.
Hast du einmal versucht beim im Gastnetzwerk angemeldeten Client, manuell einen DNS – Server zuzuweisen (z.B. 192.168.5.1)?
Das wird auch einem Windowsclient (–> Netzwerkeinstellungen) einfacher funktionieren, als auf Android 😉
Wenn es tatsächlich daran liegt, würde ich auf dem Router selbst einmal mit den DNS-Einträgen spielen; evtl. auch einmal die Google Public DNS (8.8.8.8) eintragen und schauen ob das etwas bringt.
MeinerEiner
Hi,
vielen Dank für deine Anleitung, jedoch scheitere ich.
Vorweg mein Setup:
Ich bin bei Unitymedia und habe von Unitymedia Cisco Kabel-Modem EP3208 (http://www.deutschetelekabel-riesa.de/files/pdf/handbuch_epc_3208.pdf). Seit mehreren Jahren werkelt hinter dem Modem ein TL-WR1043ND als Router und befüttert mehrere Geräte.
Letzte Woche hatte ich mal etwas mehr Zeit und ich kam auf die Idee DD-WRT (Firmware: DD-WRT v24-sp2 (12/22/14)) auf das Gerät auf zu spielen.
Das ganze Funktioniert auch weiterhin gut und alle Clients können kunterbund und heiter ins Internet und auch untereinander kommunzieren egal ob per LAN oder WLAN.
Das Kabelmodem ist im TP-Link in den dafür vorgesehenen WAN Port eingesteckt und DD-WRT ist „Automatic Configuration – DHCP“ als WAN-Connection Type eingestellt.
Jetzt aber zu meinem Problem:
Prinzipiell hört es sich so an als ob Jörg und ich ziemlich die gleichen Probleme haben.
Nachdem ich das ganze jetzt eingerichtet habe funktioniert die Verbindung über mein Lan sowie über die „erste“ Wlan-Verbindung (192.168.1.X/24) so wie sie soll.
Wähle ich mich jedoch in das „Gäste Wlan“ ein erhalte ich eine IP aus dem vorgegebenen Adresspool 192.168.5.X/24, es werden auch der Standardgatway sowie der DNS Server via DHCP übergeben, auch die Subnetzmaske ist korrekt.
Die angeschlossenen Clients können jedoch keine Verbinung ins internet aufbauen, weder per DNS noch per IP.
Ich habe getestet ob ich heise.de via Name oder via IP 193.99.144.80 anpingen kann bzw. ob es sich im Browser aufrufen lässt, jedes mal fehlgeschlagen.
Der Client aus dem Gästenetz kann ohne Probleme sein Gateway 192.168.5.1 Pingen. Allerdings kann der Client aus diesem Gäste-Netz auch das Gateway des „Haupt-Netz“ (192.168.1.1) Pingen. Sollte dies möglich sein? Andere Geräte im „Haupt-Netz können nicht angepingt werden (sie lassen sich aber Prinzipiell anpingen) und auch aus dem Haupt-Netz ins Gäste Netz ist kein Ping auf ein Gerät mögich (außer Auf das Gateway 192.168.5.1).
Ich habe versucht mich so gut es geht an deine Anleitung zu halten, jedoch war es nicht immer möglich, da es bei mir teilweise anders aussieht und ich auch zwischendruch „Save“ und „Apply Settings“ wählen muss, da ansonsten keine weiteren Einstellungsmöglichkeiten verfügbar sind.
Dies war vorallem nötig bei Create Bridge und Assign to Bridge.
Hier ist mir ein Unterschied zu seiner Config aufgefallen und zwar sieht der Bereich „Current Bridging Table“ bei mir so aus:
Bridge Name STP enabled Interface
br0 no vlan1 ath0
br1 yes ath0.1
Du hast hier noch zusätzlich vlan2 bei der br1 Bridge, welches bei mir nicht eingetragen ist.
Prinzipiell sehe ich sonst keine Unterschiede. Die IPTables config habe ich per Copy&Paste eingefügt.
Ich habe DD-WRT auch schon auf Werkseinstellungen zurückgesetzt und das ganze mittlerweile 3x versucht ein zu richten.
Wenn du Screenshots brauchst oder Auszüge die ich dir via ssh besorgen könnte, schieß einfach los 🙂
Es wäre super wenn du bei meinem Setup einen Fehler finden würdest.
LG
Marc
Simon Pedrett
Hallo Marc
192.168.1.1 kannst / musst du pingen können, da ich davon ausgehe dass der TP-Link über das „192.168.1.1 – Modem“ die Verbindung zum Netz herstellt. Evtl. kann man hier mit den IPTables noch etwas Feintuning betreiben…
Zum aktuellen Problem: Schritt 7 „…brauchen wir das WAN nicht“ –> Versuch einmal dein Modem anstelle in den WAN-Port in einen normalen LAN-Port einzustecken, dann noch einmal prüfen.
Hugo Himbeersaft
Servus,
ich habe dasselbe Problem gehabt und dieses durch eine Änderung der IPTables zum laufen gebracht.
undzwar habe ich anstatt:
#NAT erlaubt Internetverbindung
iptables -t nat -I POSTROUTING -o br0 -j SNAT –to `nvram get lan_ipaddr`
folgendes verwendet:
#NAT erlaubt Internetverbindung
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT –to `nvram get wan_ipaddr`
Hoffe, damit wurde euch geholfen 🙂
Lg
Simon Pedrett
Alternativ kann das Modem auch einfach an einem LAN – Anschluss anstelle des WAN – Anschluss verbunden werden 😉
Ulli
Hallo, deine Anleitung hat prima funktioniert. Danke dafür. Mit neueren Versionen sind die Auswahloptionen etwas anders. Das ist aber für einen etwas geübteren User kein großes Problem. Ich habe den Punkt 7 nicht benötigt, da mein dd-wrt ohnehin nur als Accesspoint konfiguriert ist.
In Verbindung mit dem Artikel „Per Kamera ins Netz“ aus der aktuellen c’t (23/2015, S. 174) steht einer vernünftigen und komfortablen Gästewlan Konfiguration nun nichts mehr im Weg. Außer vielleicht ein paar Wände…
Ulli
Es ging doch nicht so gut wie gedacht. Die Namensausflösung klappte nämlich nicht (zuverlässig). In Schritt 5 einfach folgenden Code zusätzlich einfügen:
# Setzt den Google DNS-Server
dhcp-option=6,8.8.8.8,8.8.4.4
Dann werden die Google DNS-Server genutzt und an die Clients gepushed. Das Gastnetz funktioniert danach einwandfrei! Vorher hatte ich scheinbar aufgrund des Firewallscriptes zwar Internetzugriff, aber kein DNS bei einigen Clients.
Auch die in der c’t beschriebene Möglichkeit der Nutzung von Konfigurationsprofilen für iOS und WLAN QR-Codes funktioniert echt klasse.
Boris
Servus
Zuerst danke für die super Anleitung. Bei mir funktioniert alles super nur habe ich ein Problem mit zweitem Router. Erster Router im Haus ist am Modem angeschlossen und funktioniert alles prima. Der zweite Router ist im Gartenhaus und mit lankabel verbunden als AP. Das Problem ist wenn ich mich als Gast über WLAN anmelde beim zweitem Router habe ich trotzdem Zugriff auf das komplette Netzwerk aber beim ersten Router nicht so wie auch sein sollte. Ich habe schon alles mögliche probiert und komme einfach nicht weiter beim Gast WLAN beim zweitem Router zu unterbinden.
Simon Pedrett
Hall Boris
Du musst mir deine Konstellation etwas genauer erklären.
Hast du zwei Router auf dem selben Subnet (z.B. 192.168.1.10, 192.168.1.11)?
Sind das zwei separate WLAN’s oder benutzt du einen als Repeater?
Boris
Zweite wird als Repeater benutzt
Christian Flügel
Hallo,
ich wollte jetzt auch mal das Gäste-Wlan entsprechend einrichten wie im Tut beschrieben. Funktioniert alles sehr gut, allerdings habe ich noch das Problem, dass ich aus dem Gästenetzwerk keine Verbindung zum Internet gekommen. Für mich auch noch etwas unverständlich im Tut, denn woher soll der DD-WRT Router wissen hinter welcher IP Adresse meine Fritzbox sitzt, welche das Internet aufbaut.
Fritzbox hat IP 192.168.178.1
DD-WRT 192.168.178.3 (Subnetz wie angegeben 192.168.5.x)
Ich muss doch sicherlich irgend wo in der Routingtable noch was einstellen, aber ich finde es einfach nicht.
Simon Pedrett
Hallo Christian
Wenn du nach dem Tutorial vorgegangen bist, sollte dein DD-WRT Router eine fixe IP-Adresse im selben Subnet wie der Fritzbox Router bekommen (z.B. 192.168.178.3).
Wichtig ist, dass du wie in Schritt 7 beschrieben deine Fritzbox als Gateway / Local DNS (= 192.168.178.1) angibts.
Anschliessend macht der Router genau das was er soll – er „routet“ zwischen den verschiedenen Netzwerken 😉
Steffen
Vielen Dank erstmal für die ausführliche Anleitung, doch so einfach wie es aussah, ging es bei mir leider nicht. Ich finde, unter Network settings fehlt etwas… Ich bin nach der Anleitung vorgegangen, bekomme auch per DHCP unterschiedliche Ip’s, einmal vom dd-wrt und einmal von der Fritzbox.
Mir fehlt da noch die Angabe unter Network settings, mit was ich noch bridgen muss, da in den Beispielbildern 2 Einträge vorhanden sind, bei mir nur einer: br1 mit ath.01. Auf der gleichen Seite gibt es noch den WAN Eintrag, auf was muss der stehen? Sowas wie Vlan2 habe ich nicht zur Auswahl.
Es geht um einen TP-Link TL-WA701ND (1 LAN Port) mit einer aktuellen 3.0 beta vom 801ND…
Problem1: Das Internet geht bei mir mit dem neu erstellten Wlan einwandfrei, das Gast-Wlan erhält nur eine IP per DHCP, jedoch keinen Internetzugriff.
Problem2: Über Wlan komme ich nicht auf den dd-wrt, nur per Kabel…
Dabei habe ich mir das so einfach vorgestellt und es ist genau das, was ich gesucht hatte, um in der FEWO ein abgeschottetes Wlan anbieten zu können.
Kann mir jemand helfen? danke schonmal. LG Steffen
Simon Pedrett
Hallo Steffen
Musste erst einmal googlen was „FEWO“ heisst 😉
Kann es sein, dass du kein virtuelles Interface erstellt hast (Schritt 1)?
Mike Muehlgrabner
Hi
Nach fast 2 Tagen herumprobieren (ich bin geduldig) kam ich auf diese Seite und hatte Hoffnung dass er funktioniert, leider hatte ich das gleiche Problem, das Gästenetzwerk bekam zwar eine IP zugewiesen von dem extra angelegten DHCP Server aber ich bekam keinen Internetzugang
Ich hab viel ausprobiert mit all den Firewall-Settings etc und bin dann auf eine Seite gestossen die mir geholfen hat:
Ich habe meinen Router auf Werkseinstellungen gesetzt und dann alles wir heir beschrieben gemacht – es funktioniert endlich , hat mich „nur“ 3 Tage gekostet :o)
Mein Set-up:
MODEM – BASIS-Router (ASUS) – Router (TP-LINK WR841N-v9 mit DD-WRT)
—————
!!! DD-WRT Gästenetzwerk konfigurieren !!!
Configure AP + Guest
reset router to factory defaults
Setup / Basic Setup
Connection Type Disabled
Assign WAN Port to Switch >>>check
Local IP Address 192.168.1.3 (assuming your main network is on the 192.168.1.0 subnet and this IP isn’t being used)
Subnet Mask >>> 255.255.255.0
Gateway >>> IP of router connected to internet
Local DNS >>> IP of router connected to internet
DHCP Server >>> disabled
Uncheck Use DNSMasq for DHCP
Uncheck Use DNSMasq for DNS
Save
wait 15 seconds click Apply
You can now connect by network cable to a LAN port within your network and access at its 192.168.1.3 IP.
Setup / Advanced Routing
Operating Mode >>> Router
Wireless / Basic Settings
add VAP
Save
wait 15 seconds click Apply (in this order or it won’t show)
Setup / Networking
create bridge (br1)
Save
wait 15 seconds click Apply
put in IP address for br1 >>> 192.168.2.1
subnet mask for br1 >>> 255.255.255.0
Save
wait 15 seconds click Apply
wait 30 seconds
add Assign to Bridge ( br1 to wl0.1)
Save
wait 15 seconds click Apply
Services >>> under DNSMasq
disable all but DNSMasq
in Additional DNSMasq Options (copy/paste)
Code:
interface=br1
dhcp-option=br1,3,192.168.2.1
dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Save
wait 15 seconds click Apply
Administration / Commands (copy/paste)
Code:
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state –state NEW -j DROP
iptables -t nat -I POSTROUTING -o br0 -j SNAT –to `nvram get lan_ipaddr`
click Save Firewall
Anyone connected to the VAP (wl0.1) can access the internet but are restricted from anything on 192.168.1.0
You can add additional firewall rules if you want access to a specific device on main network from guest network.
——————–
Mike
Daniel
Hallo,
ich es möglich, lediglich eins der beiden Netzwerke nachts abzuschalten? Leider ist die Funktion radio time restrictions dafür nicht gemacht…
VG
Daniel
Simon Pedrett
Hast du das ganze einmal mit einem Script versucht?
WLAN EIN — > wl -i eth1 radio on
WLAN AUS — > wl -i eth1 radio off
Das Script sollest du dann z.B. mit einem Cronjob ansteuern können…
Marc
Hi!
Ich habe versucht das so bei mir einzurichten, allerdings hängt der Router vom Provider bei mir am WAN Port da ich auch noch OpenVPN nutze. Jetzt habe ich allerdings das Problem das ich via WLAN nicht mehr ins Internet komme. Kann mir jemand sagen was ich da abändern muss damit ich den WAN Port als Internet Gateway nutzen kann?
Thx
Simon Pedrett
Hi Marc
Der WAN – Port ist in diesem Zusammenhang der falsche Anschluss; da der Provider bereits einen Router stellt musst du diesen am LAN-Port anhängen.
Oder alternativ den WAN – Port als LAN – Port konfigurieren (https://www.dd-wrt.com/wiki/index.php/WAN_Port)
Dann sollte es eigentlich funktionieren.
Marc
Danke für die schnelle Antwort! Wenn ich die Firewall und OpenVPN nutzen will muss ich doch das Internet an den WAN Port anschließen, oder? Das Modem/Router vom Provider leitet den ganzen Datenverkehr „ungefiltert“ an meinen Router weiter. Ich will eigentlich den Router mit DD-WRT wie gehabt weiter nutzen und zusätzlich ein Gäste WLAN einrichten das vom Rest abgekapselt ist.
Marc
hat sich erledigt – mit diesen FW Commands funktionierts jetzt:
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT –to `nvram get wan_ipaddr`
iptables -I FORWARD -i br1 -m state –state NEW -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -m state –state NEW -j DROP
Simon Pedrett
Das ist korrekt. Dann ist aber das Ding von deinem Provider ein Modem und kein Router 😉
Mario
Hi,
da ich nicht so ganz kapiere wie der obige Code bei Nutzung am Modem eingegeben wird, könntest du es in den Zeilen ergänzen?
Sozusagen, Nutzung am Router bzw. am Modem.
Danke, das wäre sehr hilfreich.
VG
mario
Simon Pedrett
Was heisst „Nutzung am Modem“ ? Bedingung für obigen „Code“ ist, dass du einen Router mit DD-WRT verwendest; ansonsten klappt das nicht.
Günther
Hallo,
eine wirklich schöne Anleitung. Funktioniert auch alles wie es soll. Nun würde ich aber gerne aus meinem Privaten-Netz auf bestimmte Geräte (z. B. NAS, IPCam) die im Gästenetz angemeldet sind, zugreifen. Was müsste ich hier in den IpTables anpassen oder entfernen.
Schönen Dank
PS: Wenn ich mich im Gästenetz anmelde, kann ich auf die angemeldeten Geräte zugreifen. D. h. es werden geeignete IP im Gästenetz vergeben.
Oliver Hestera
Hallo,
vielen Dank für die tolle Anleitung, ich bin auch gerade dabei diese Konstellation einzurichten nachdem die eingebaute Funktion meines Asus-Gerätes zwar bei Verwendung als WLAN-Router möglich ist, nicht aber als AP (was ich eigentlich brauche).
Ich verwende auch einen MAC-Filter, kann es sein das dieser Filter auf alle Verbindungen angewendet wird?
Weil dann ist das Gäste-WLAN auch wieder unnütz weil Wartungsintensiv, ich wollte das eigentlich nur mit WPA2 sichern.
Vielen dank für die Info
LG
Oliver
Simon Pedrett
Hi Oliver
Unter Wireless -> MAC Filter kannst du den MAC Filter pro Interface konfigurieren. In deinem Fall also für das Interface des privaten WLANs auf „enabled“, für das Gästenetzwerk auf „disabled“. Wenn das noch nicht genügt – du kannst die MAC-Adressen auch per iptables filtern…
Henner
Hallo,
danke für die tolle Anleitung.
Ich habe dank Deiner Beschreibung ein Gästenetzwerk für meine IP-Kameras eingerichtet.
Hast Du eine Idee, wie ich den Geräten des Gästenetzwerks (also meinen Überwachungskameras) einen Zugriff auf eine angebundene USB-Festplatte erlauben kann?
Cool wäre auch, wenn ich aus allen Netzwerken auf die USB-Platte Zugriff hätte. Natürlich nur, wenn das nicht wieder ein Sicherheitsrisiko darstellt.
VG
Henner
Henner
… kurtze Ergänzung:
ich habe einen TP-LINK TL-WDR3600 Router, an dessen USB-Port ich die Festplatte direkt anschliessen und im Gäste-Netz (bzw. gerne auch im „normalen“ Netz) nutzen möchte.
Simon Pedrett
Für Überwachungskameras ist FTP wahrscheinlich die einfachste Übetragungsart.
Dazu musst du aber iptables anpassen. Im Artikel werden sämtliche Verbindungen auf den Router blockiert (ist auch so kommentiert).
Für FTP / Port 21 also in etwa so etwas:
iptables -I INPUT -i br1 -p tcp –dport 21 -j ACCEPT
Und natürlich auf dem Router den entsprechenden FTP – Service konfigurieren.
Henner
eine weitere Frage:
Ich habe zu Hause ein Gästenetz für meine Kinder eingerichtet.
Über „Zugangsbeschränkungen“ habe ich mittels Ihrer MAC-Adressen eingestellt, dass sie nur zwischen 16.00h und 20.00h ins Internet dürfen. Alle anderen Gäste dürfen rund um die Uhr surfen.
Internet kommt von der FritzBox eine Etage tiefer und wird, wie du es beschrieben hast, per LAN an den DD-WRT-Router übergeben.
Aber die Regeln der Zugangsbeschränkungen greifen nicht. Ich habe in einem Forum gelesen, dass sich diese Regeln immer auf den WAN Port beziehen, der ja in diesem Szenario nicht mitspielt. Ist diese Funktion damit beerdigt oder gibt es einen Kniff wie ich meine Regeln aktivieren kann?
VG -Henner
Simon Pedrett
Das wird so nicht funktionieren (wegen WAN-Port); Als Alternative kannst du dir zwei Skripts „basteln“ (MAC-Adressen blockieren / erlauben) und diese dann jeweils per Cronjob ausführen (Ein Anfang hier: http://www.dd-wrt.com/phpBB2/viewtopic.php?p=778159).
Koarl
Hallo! Danke für die super Anleitung. Ist es auch möglich LAN Ports auf br1 zum virtuellen Interface hinzuzufügen. Ich möchte 2 LAN Ports (eth 3 u eth 4) als GästeLAN definieren.
LG Koarl
Crunchy
Hi!
Ich hab hier einen WDR4900. Die Anleitung funktioniert gut. Danke noch mal für deine Arbeit.
Gegenwärtig habe ich das Prob, dass zwar die WLANs laufen, wie angedacht, nur auf den LAN-Anschlüssen bekomme ich zwar per Kabel eine IP und die DHCP-Lease-Parameter, nur ins Internet komme ich nicht.
Könnte es ein Routing-Probleme sein? Und, wenn ja, hast Du eine Idee?
Hab Spass!
Greets.
andy
Hi,
nach mehreren Anläufen tut es nun so wie in deiner Anleitung. Ein fehler der sich bei mir auch reproduzieren lässt ist dein Firewall Script. Kopiert man das im Browser und fügt es in DD_WRT ein werden die deutschen Sonderzeichen (ä) falsch dargestellt und funktionieren somit nicht. Somit tut der gesamte IPTABEL Eintrag nicht und das Gästenetzwerk bekommt kein Internet.
Einfach die ä durch ae ersetzen bevor man das Script aktiviert, dann tut es. 😉
Simon Pedrett
Danke – die Kommentare hatte ich ursprünglich auf Englisch gesetzt, mir dann aber nachträglich gedacht das Deutsch passender wäre 😉
Die „ä“’s sind jetzt korrigiert.
Lars
Hallo,
danke für Deine Anleitung, leider bewirkt sie nicht das was ich mir wünsche. Ich habe das Gäste Wlan laut der Anleitung stehen … nur bekomme ich, wenn ich im Gäste Wlan bin, immer ein IP aus dem Router/internen Netz und keine DHCP Adresse vom Multiple DHCP Server..? Ich verwende die Version DD-WRT v3.0-r36330 std (07/16/18).. Danke für Deine Hilfe, Gruß
Simon Pedrett
Hast du die Firewallregeln bzw. DNSMasq Optionen 1:1 kopiert oder angepasst? Evtl. stimmen die Interfaces br1,br0… nicht ?
Markus B
Danke dir – das hat mir geholfen! Funktioniert einwandfrei.
HuiBuh
Hallo Zusammen,
folgende Netzwerk-Topologie
Fritz!Box als Modem (kein WLAN)
3 gleiche TP-Link Router als AP konfiguriert. (alle unter 1GBit per Kabel verbunden)
Bei allen drei Ap´s „normales WLan“ und „Gäste WLan“ konfiguriert.
Zielsetzung: Roaming beider WLAN´s unter allen drei AP´s.
Da der „Gäste WLan“ DHCP nur auf Br1 gebunden wird, mussten bei allen dreien AP´s die Konfiguration sowohl unter Netzwerk, als auch unter Services vorgenommen werden. (separate Nummern xxx.xxx.xxx.X10-X19 / xxx.xxx.xxx.X20-X29 xxx.xxx.xxx.X30-X39 zwecks Vermeidung der doppelten Vergabe)
Ansonsten wurde bei Anmeldung bei den zwei anderen AP´s keine IP Nummer durch den Dhcp vergeben.
Nun habe ich drei DHCP Server im WLan Netz für den Gäste WLan Nummernkreis.
Ergebnis:
– „normale Wlan“ mit einem Dhcp auf dem ersten AP läuft stabil. Roaming funktioniert ohne Probleme
– „Gäste Wlan“ (gleicher Kanal) funktioniert soweit, aber nicht stabil
– Lösung mit 3 Dhcp macht mich nervös und nicht glücklich.
Brauche einen Denkanstoss für eine bessere Lösung….
Huibuh