WLAN AccessPoint im Netzwerk mit eigener IP Range (Sicherheit)

[dafiidi]

Hallo zusammen,

ich habe eine theoretische Frage:

ist es möglich einen WLAN AP (z.b. 192.168.0.xxx) an einen Router (z.b. 192.168.1.xxx) per Kabel anzuschließen, ohne das der AP dann die IP Range des Routers an die WLAN-Clients verteilt? Also ist es möglich, dass der AP eine eigene IP Range per DHCP verteilt und die WLAN-Clients dann trotzdem auf das vom Router zur Verfügung gestellte Internet zugreifen können?
Hintergrund ist, dass wenn sich jemand unrechtmäßig Zugang zum WLAN verschaffen würde, dass diese Person dann nicht gleich auf den Router und somit Zugriff auf das Netzwerk bekommt...
Ist das realisierbar?
Hatte es schon ausprobiert, aber wenn ich beim WLAN AP die DHCP aktiviere und die IP-Range nicht in der selben vom Router ist, komme ich zwar auf den AP aber nicht mehr ins Internet...
Gruß

 

[QuixX]

Grundsätzlich werden immer beide DHCP auf den Broadcast reagieren. Vielleicht hast Du Glück und der Access-Point ist einfach schneller.

Aber eine Funtionalität, wie sie Dir vorschwebt, ist nur realisierbar, wenn sich das Admintool auf einen bestimmten IP-Nummernkreis, nämlich die vom Router vergebenen, einschränken lässt.

Das ist zwar theoretisch ein Klacks, aber kein Hersteller kam bis jetzt auf Deine Idee.

Wenn sich jetzt aber ein Hacker einfach eine passende IP selbst zuteilt, dann war's das mit Deinem Konzept. Und das ist sehr einfach, ich teile IPs selber aus.

 

[dafiidi]

Dh hast unnötige idee?! Wenn ein Hacker den wpa2 Schlüssel knacken kann dann ist alles weitere ein klacks?
Bringt es mehr Sicherheit, wenn ich die ip Range auf die Menge der angeschlossen Geräte reduziere und jeder ip die Mac Adresse zuweise? Also wenn ein Hacker den Schlüssel knackt er aber gar keine ip zugewiesen bekommt, weil alle vergeben sind?!
Danke!

 

[QuixX]

Er nimmt sich einfach eine. Mit einem Ping-Sweep errät er Dein Dafault-Gateway und welche IP gerade in Benutzung ist. Ich würde als Hacker aber z.B die 233 im 255.255.255.0er Subnetz nehmen und würde mit extrem hohen Wahrscheinlichkeit nicht entdeckt werden. Oder ist bei Dir die x.x.x.233 belegt?

Die Router haben eine MAC-Filterung, stimmt. Der Hacker wartet also so lange, bis Dein Schleppi schlafen geht und nimmt dann seine MAC.

Mach's einfach wie ich, verlass Dich auf die Verschlüsselung.

Danke fürs Danke sagen.

 

[dafiidi]

Aber wenn der Router nur ne Range von xxx.xxx.x.100 - xxx.xxx.x.105 zulässt und jeder dieser ip einer Mac Adresse zugesichert ist, dann kann er mit .233 doch nicht rein oder?!

 

[QuixX]

Dein automatischer IP-Adressenverteiler (DHCP) verteilt nur diese, möglich sind die anderen schon.

Solange auch niemand einen broadcast mit der Bitte um eine IP sendet, hält sich der DHCP auch raus. Das heißt, die IP Deines ausgeschaltetem Schleppis lässt sich ohne weiteres verwenden.

Was der Access-Point sagt, wenn tatsächlich zwei die gleiche MAC verwenden habe ich noch nicht getestet. Das gibt aber mit Sicherheit Ärger. Also muss ein Hacker warten, bis eine der erschnüffelten MACs längere Zeit nicht mehr gesendet hat.

 

[dafiidi]

Ok. Hab verstanden
Ich kann den AP auch in Router-Mode umstellen, würde mir das weitere Optionen bringen? Mir ist zumindest wichtig, dass ich sehen kann wieviel bzw welche clients auf den AP eingeloggt sind, dass kann ich aber ja nicht, da dieser ja sozusagen nur auf den Router durchschleust und der Router wieder rum ja die Clients nich anzeigt weil der ja nur mit dem AP komuniziert...
Und wie ist das mit VPN? Kann ich am AP einstellen dass alle WLAN Clients per WLAN rein dürfen? Der AP ist ein TP-link wr702n.

 

[QuixX]

Auch der Accesspoint solllte ein Webinterface und ein Log-File haben. Wenn nicht, schmeiss einfach beides weg, und ersteigere Dir einen WLAN-Router auf EBay. Das spart auch noch Geld im Laufe der Jahre.