NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
Solved
MR60: Als Access Point
Hallo liebe Community
Ich bin noch blutiger Anfänger und habe nun folgende Frage an die Community.
Ausganglage:
Ich habe einen bestehenden Router vom Provider im Keller, welcher bis anh...
Grüezi Roger,
Rogeriooo wrote:Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter.
Es scheint zwei MAC Filter zu geben - einen für WiFi (alas nur für das Wireless an der Box) "Wireless MAC Filtering The wireless MAC filter is a layer of security that allows only specific MAC addresses to connect to your router via Wi-Fi. This section allows you to specify a list of MAC addresses that are authorized.", und einer mit dem man bestimmen MAC Adressen den Zugang zum Internet unterbinden kann "MAC Filtering ... This page allows configuration of MAC address filters in order to block Internet traffic to specific network devices on your local network."
Rogeriooo wrote:DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.
Da muss ich Dich entäuschen ... im AP Mode gibt's m.E. kein Guest-Netzwerk.
Ebenso gibt es auf der Connect Box auch keine Möglichkeit ein komplettes Guest-Netzwerk (WiFi und per Ethernet) einzurichten.
Mal stark vereinfacht: Auch Geräte auf einem Gast-Netzwerk brauchen IP Addressen - da gibt's keine Magie. Den DHCP Pool einfach eliminieren geht also nicht.
Das einfachste was mir in den Sinn kommt ist die Möglichkeit die Connect Box zu bridgen bzw. in den reinen Modem-Betrieb umzukonfigurieren und den MR60 als Router zu betreiben, inkl. DHCP und MAC Filter.
Rogeriooo wrote:Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)
Was ist an einem Wireless Passwort so schlecht? Wenn ich als netter Nachbar lange genug Zeit habe, finde ich auch eine MAC Adresse welche von Deinem MAC-Filter eben erlaubt - aber im Moment nicht aktiv ist.
Wenn Du wirklich alles so einrichten willst hilft nur ein Router aus dem SMB-Umfeld, mit dem Du dann mehrere VLANs und IP Subnetzwerke so ziemlich unabhängig voneinander betreiben kannst, Dein "normales" Netzwerk entspechend mit einem WiFi MAC-Filter zusätzlich sichern kannst, ein dediziertes Gast-Netzwerk mit einem Captive Portal usw. ausstatten. Das braucht dann eben einen Router welcher mehrere LAN/Netzwerke mit VLANs zu betreiben, einen oder ggf. mehrere Switches mit VLAN Support, Wireless Access Points mit VLAN- und Multi-SSID-Support.
Möglichkeiten von Netgear gibt es mit einem Orbi Pro WiFi 6 System (das ältere 11ac kann keine VLAN), oder mit selektierten Komponenten aus dem Netgear Sortiment welches über Insight Cloud Management verwaltet werden kann. Aber auch einzeln lokal verwaltetete Teile sind selbtverständlich möglich. Im Idealfall gibt es in die oberen Geschosse gar noch freie Netzwerkkabel über die per PoE+ die APs ab PoE+ fähigem Switch gleich mit Strom versorgt werden können.
Kompromisse wie nur mit VLAN-fähigen Switch und AP z.B. den UPC Router für das normale Netzwerk weiterhin zu verwenden, und eine einfachen NAT Router für das Gast-Netzwerk zu verwenden (wobei das ganze Verkehr dann eben noch einen Hop über das normale IP Subnetz läuft) sind auch denkbar.
In welcher Gegend wohnst Du?
Grüsse
-Kurt
Hoi Kurt
Vorab… beim Keller Router handelt sich um die Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter. DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.
Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)
Wenn ich es richtig gesehen habe, ist mit diesem UPC Router keine Möglichkeit vorhanden, den händischen Aufwand zu umgehen? Ich gehe davon aus, dass es keine Alternative gibt?
Grüsse
Roger
Grüezi Roger,
Rogeriooo wrote:Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter.
Es scheint zwei MAC Filter zu geben - einen für WiFi (alas nur für das Wireless an der Box) "Wireless MAC Filtering The wireless MAC filter is a layer of security that allows only specific MAC addresses to connect to your router via Wi-Fi. This section allows you to specify a list of MAC addresses that are authorized.", und einer mit dem man bestimmen MAC Adressen den Zugang zum Internet unterbinden kann "MAC Filtering ... This page allows configuration of MAC address filters in order to block Internet traffic to specific network devices on your local network."
Rogeriooo wrote:DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.
Da muss ich Dich entäuschen ... im AP Mode gibt's m.E. kein Guest-Netzwerk.
Ebenso gibt es auf der Connect Box auch keine Möglichkeit ein komplettes Guest-Netzwerk (WiFi und per Ethernet) einzurichten.
Mal stark vereinfacht: Auch Geräte auf einem Gast-Netzwerk brauchen IP Addressen - da gibt's keine Magie. Den DHCP Pool einfach eliminieren geht also nicht.
Das einfachste was mir in den Sinn kommt ist die Möglichkeit die Connect Box zu bridgen bzw. in den reinen Modem-Betrieb umzukonfigurieren und den MR60 als Router zu betreiben, inkl. DHCP und MAC Filter.
Rogeriooo wrote:Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)
Was ist an einem Wireless Passwort so schlecht? Wenn ich als netter Nachbar lange genug Zeit habe, finde ich auch eine MAC Adresse welche von Deinem MAC-Filter eben erlaubt - aber im Moment nicht aktiv ist.
Wenn Du wirklich alles so einrichten willst hilft nur ein Router aus dem SMB-Umfeld, mit dem Du dann mehrere VLANs und IP Subnetzwerke so ziemlich unabhängig voneinander betreiben kannst, Dein "normales" Netzwerk entspechend mit einem WiFi MAC-Filter zusätzlich sichern kannst, ein dediziertes Gast-Netzwerk mit einem Captive Portal usw. ausstatten. Das braucht dann eben einen Router welcher mehrere LAN/Netzwerke mit VLANs zu betreiben, einen oder ggf. mehrere Switches mit VLAN Support, Wireless Access Points mit VLAN- und Multi-SSID-Support.
Möglichkeiten von Netgear gibt es mit einem Orbi Pro WiFi 6 System (das ältere 11ac kann keine VLAN), oder mit selektierten Komponenten aus dem Netgear Sortiment welches über Insight Cloud Management verwaltet werden kann. Aber auch einzeln lokal verwaltetete Teile sind selbtverständlich möglich. Im Idealfall gibt es in die oberen Geschosse gar noch freie Netzwerkkabel über die per PoE+ die APs ab PoE+ fähigem Switch gleich mit Strom versorgt werden können.
Kompromisse wie nur mit VLAN-fähigen Switch und AP z.B. den UPC Router für das normale Netzwerk weiterhin zu verwenden, und eine einfachen NAT Router für das Gast-Netzwerk zu verwenden (wobei das ganze Verkehr dann eben noch einen Hop über das normale IP Subnetz läuft) sind auch denkbar.
In welcher Gegend wohnst Du?
Grüsse
-Kurt
Hallo Kurt
Super! Besten Dank für die Infos. Ich habe nun mal die Möglichkeiten zusammen und werde mir eine passende Strategie für mich zusammenbauen.
Ich denke, ich werde eifachheitshalber im Mesh die gleiche SSID usw. parametrieren und die MAC Tabelle nachführen. Und weiterhin eine DHCP-Pool betreiben, sowie ein starkes PW verwenden. Somit sollte ich auch mit dem vorhandnen Material durchkommen - brauche ja auch kein Rolls Royce :-)
Danke und Gruss
Roger
