Antworten

MR60 als AP Mesh

Rogeriooo
Aspirant

MR60 als AP Mesh

Hallo liebe Community

 

Ich bin noch blutiger Anfänger und habe nun folgende Frage an die Community.

 

Ausganglage:

Ich habe einen bestehenden Router vom Provider im Keller, welcher bis anhin das WLAN bildete und via LAN auf einen Switch verbunden ist (an dem diverse LAN-Geräte im Haus verbunden sind). Der Router im Keller managed auch alles bezüglich IP-Filter, MAC-Filter und alles weitere. Neu kam jetzt ein MR60 mit 2 Satelliten dazu.

 

Wunsch:

Ich möchte den Router vom Provider so belassen und dessen WLAN-abstellen. Anstelle soll der MR60 einspringen und das WLAN-Signal im Haus aufspannen. Dazu kann ich den MR60 via LAN ab dem Switch im Keller anbinden. Die Satelliten verbinden sich ja automatisch mit dem MR60.

 

Frage:

Was ich nicht verstanden habe ist, wie ich den MR60 Router konfigurieren soll, dass dieser die SSID und PW vom Router im Keller hat, sowie die Geräte, welche via WLAN angebunden sind, auch über den Keller-Router gefiltert werden (IP Filter, MAC-Filter usw.)? Entsteht dadurch der Funktionsverlust vom Mesh?

 

Besten Dank für alle Feedbacks 😊

 

Viele Grüsse

Roger

Nachricht 1 von 8

Akzeptierte Lösungen
schumaku
Guru

Re: MR60 als AP Mesh

Grüezi Roger,

 


@Rogeriooo wrote:

Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter.


Es scheint zwei MAC Filter zu geben - einen für WiFi (alas nur für das Wireless an der Box) "Wireless MAC Filtering The wireless MAC filter is a layer of security that allows only specific MAC addresses to connect to your router via Wi-Fi. This section allows you to specify a list of MAC addresses that are authorized.", und einer mit dem man bestimmen MAC Adressen den Zugang zum Internet unterbinden kann "MAC Filtering ... This page allows configuration of MAC address filters in order to block Internet traffic to specific network devices on your local network." 

 


@Rogeriooo wrote:

DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.


Da muss ich Dich entäuschen ... im AP Mode gibt's m.E. kein Guest-Netzwerk. 

 

Ebenso gibt es auf der Connect Box auch keine Möglichkeit ein komplettes Guest-Netzwerk (WiFi und per Ethernet) einzurichten. 

 

Mal stark vereinfacht: Auch Geräte auf einem Gast-Netzwerk brauchen IP Addressen - da gibt's keine Magie. Den DHCP Pool einfach eliminieren geht also nicht.

 

Das einfachste was mir in den Sinn kommt ist die Möglichkeit die Connect Box zu bridgen bzw. in den reinen Modem-Betrieb umzukonfigurieren und den MR60 als Router zu betreiben, inkl. DHCP und MAC Filter.

 


@Rogeriooo wrote:

Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)


Was ist an einem Wireless Passwort so schlecht? Wenn ich als netter Nachbar lange genug Zeit habe, finde ich auch eine MAC Adresse welche von Deinem MAC-Filter eben erlaubt - aber im Moment nicht aktiv ist.

 

Wenn Du wirklich alles so einrichten willst hilft nur ein Router aus dem SMB-Umfeld, mit dem Du dann mehrere VLANs und IP Subnetzwerke so ziemlich unabhängig voneinander betreiben kannst, Dein "normales" Netzwerk entspechend mit einem WiFi MAC-Filter zusätzlich sichern kannst, ein dediziertes Gast-Netzwerk mit einem Captive Portal usw.  ausstatten. Das braucht dann eben einen Router welcher mehrere LAN/Netzwerke mit VLANs zu betreiben, einen oder ggf. mehrere Switches mit VLAN Support, Wireless Access Points mit VLAN- und Multi-SSID-Support. 

 

Möglichkeiten von Netgear gibt es mit einem Orbi Pro WiFi 6 System (das ältere 11ac kann keine VLAN), oder mit selektierten Komponenten aus dem Netgear Sortiment welches über Insight Cloud Management verwaltet werden kann. Aber auch einzeln lokal verwaltetete Teile sind selbtverständlich möglich. Im Idealfall gibt es in die oberen Geschosse gar noch freie Netzwerkkabel über die per PoE+ die APs ab PoE+ fähigem Switch gleich mit Strom versorgt werden können.

 

Kompromisse wie nur mit VLAN-fähigen Switch und AP z.B. den UPC Router für das normale Netzwerk weiterhin zu verwenden, und eine einfachen NAT Router für das Gast-Netzwerk zu verwenden (wobei das ganze Verkehr dann eben noch einen Hop über das normale IP Subnetz läuft) sind auch denkbar.

 

In welcher Gegend wohnst Du?

 

Grüsse

-Kurt 

 

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 6 von 8

Alle Antworten
schumaku
Guru

Re: MR60 als AP Mesh

Hallo Roger,

 


@Rogeriooo wrote:

Ich habe einen bestehenden Router vom Provider im Keller, welcher bis anhin das WLAN bildete und via LAN auf einen Switch verbunden ist (an dem diverse LAN-Geräte im Haus verbunden sind). Der Router im Keller managed auch alles bezüglich IP-Filter, MAC-Filter und alles weitere. Neu kam jetzt ein MR60 mit 2 Satelliten dazu.


Das hört sich doch schon nach einer sehr guten Basis an!

 

Je nach der Netzwerkstruktur (vorhandene freie Kabel und Switch Ports) könnte man gar andenken nicht nur den MR60 als Basis sondern auch die MS60 über Kabel zu erschliessen. Leider fehlt mir die praktische Erfahrung dazu, also bitte mit Vorsicht geniessen. 

 


@Rogeriooo wrote:

Ich möchte den Router vom Provider so belassen und dessen WLAN-abstellen. 


Es kommt etwas auf das Verhalten des Provider-WiFi-Routers an. Durchaus denkbar könnte es sein das WiFi - Du beabsichtigst ja die selbe SSID und Sicherheit zu konfigurieren damit nicht alle Wireless Clients umgebaut werden müssen. Eventuell die Leistung vermindern - das gibt eine wunderbare Abdeckung für den Keller (Voice-over-WiFi usw.)

 


@Rogeriooo wrote:

Was ich nicht verstanden habe ist, wie ich den MR60 Router konfigurieren soll, dass dieser die SSID und PW vom Router im Keller hat, ...


Ganz einfach in den Wireless-Einsellungen des MR60 die gleiche SSID (Netzwerknamen), Sicherheits-Mode, und Passwort (Security Key, PSK, ...) konfigurieren.

 


@Rogeriooo wrote:

... Geräte, welche via WLAN angebunden sind, auch über den Keller-Router gefiltert werden (IP Filter, MAC-Filter usw.)?


Hier kommt es sehr stark daruauf an was auf dem Provider-Router unter diesen Begriffen konfiguriert ist. Im Heimbereich umfasst der MAC-Filter zumeist nur die erlaubten MAC Adressen der Wireless-Geräte - also nur das WIFI am lokalen Router selbst. Alles andere (DHCP MAC-IP reservation, IP Port-Weiterleitung, usw. bleibt auf dem Router erhalten. 

 

Viel Erfolg!

 

-Kurt

Nachricht 2 von 8
Rogeriooo
Aspirant

Re: MR60 als AP Mesh

Hoi Kurt

 

Besten Dank für die schnelle und ausführliche Antwort.



Hier kommt es sehr stark daruauf an was auf dem Provider-Router unter diesen Begriffen konfiguriert ist. Im Heimbereich umfasst der MAC-Filter zumeist nur die erlaubten MAC Adressen der Wireless-Geräte - also nur das WIFI am lokalen Router selbst. Alles andere (DHCP MAC-IP reservation, IP Port-Weiterleitung, usw. bleibt auf dem Router erhalten. 

 

Bezüglich diesem Punkt möchte ich nochmals nachhacken. Ich habe im Netz alle Clients mit statischen IP's via MAC Tabelle zugeordnet (egal ob via LAN oder WLAN) - sodass ich bewusst Geräte zulassen muss. Neue Geräte muss ich erst "registrieren/anmelden/deklarieren". 

 

Zur Frage: Dies geschah bis anhin im Provider-Router via Tabelle. Wenn nun das Mesh-System aktiv ist, kann sich doch irgend ein Gerät ans WLAN anmelden, da das Mesh die Einstellungen vom Provider-Router nicht kennt. Folglich müsste ich alle Geräte immer im Provider-Router und im Mesh registrieren und nachtragen. Ist diese Überlegung korrekt? Kann das auch umgangen werden - geteilt werden?

 

Beste Grüsse

Roger

Nachricht 3 von 8
schumaku
Guru

Re: MR60 als AP Mesh

Hoi Roger,

 

Es ist nicht ganz klar ob Du her jetzt vom DHCP-Server (MAC<->IP) oder vom MAC-Filter (typischerweise für das WiFi) sprichst - darum in zwei Teilen:

 


@Rogeriooo wrote:

Bezüglich diesem Punkt möchte ich nochmals nachhacken. Ich habe im Netz alle Clients mit statischen IP's via MAC Tabelle zugeordnet (egal ob via LAN oder WLAN) - sodass ich bewusst Geräte zulassen muss. Neue Geräte muss ich erst "registrieren/anmelden/deklarieren". 


Ohne offenen DHCP Server am Netzwerk (d.h. ohne eine Pool für nicht deklarierte MAC-IP Paare) erhalten unbekannte Geräte keine IP Adresse - können aber doch auf das Netzwerk zugreifen. Nur die DHCP MAC-IP Tabelle (und keinen freien DHCP-Pool) ergibt keine wirkliche Sicherheit: Es ist nicht so schwiering das benutzte IP Subnetz und den passenden Default Gateway herauszuinden.

 


@Rogeriooo wrote:

Zur Frage: Dies geschah bis anhin im Provider-Router via Tabelle. Wenn nun das Mesh-System aktiv ist, kann sich doch irgend ein Gerät ans WLAN anmelden, da das Mesh die Einstellungen vom Provider-Router nicht kennt. Folglich müsste ich alle Geräte immer im Provider-Router und im Mesh registrieren und nachtragen. Ist diese Überlegung korrekt? Kann das auch umgangen werden - geteilt werden?


Wenn der Provider Router [was für ein Teil ist das denn - etwas mehr Information könnte helfen] noch MAC-Security bietet könnte sich das entweder auf das gesamte Netzwerk oder nur auf das WiFi direkt am Router beziehen. Typischerweise geht es hier eben nur um die Möglichkeit die Assoziierung mit der SSID einzuschränken, also eben zumeist nur das im Router eingebaute WiFi. Klar, dann muss der MAC-Filter auf dem Mesh eben dupliziert werden. Viel Spass 8-)

 

Wenn man den Verwaltungswahnsinn den treiben will - in Anbetracht der Privacy-Bemühungen mit ständig ändernden MAC Addressen für Wireless-Verbindungen von Apple und den Android-Implementierern mitsamt "Privacy Warnung" - dann muss eben die MAC-Tabelle auf dem Mesh ebenfalls nachgeführt werden. Dass dies den Verwaltungsaufwand an einem Heimnetzwerk mit etwas IoT mit bis zu hunderten von Geräten unverhältnismässig in die Höhe treibt ist selbstredend. Gar nicht zu sprechen vom Ersatz eines Netzwerk-Infrastrukturgerätes (WiFi-Router, Mesh, Wireless AP, ...).

 

Grüsse

-Kurt

Nachricht 4 von 8
Rogeriooo
Aspirant

Re: MR60 als AP Mesh

Hoi Kurt

 

Vorab… beim Keller Router handelt sich um die Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter. DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.

 

Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)

 

Wenn ich es richtig gesehen habe, ist mit diesem UPC Router keine Möglichkeit vorhanden, den händischen Aufwand zu umgehen? Ich gehe davon aus, dass es keine Alternative gibt?

 

Grüsse

Roger

Nachricht 5 von 8
schumaku
Guru

Re: MR60 als AP Mesh

Grüezi Roger,

 


@Rogeriooo wrote:

Connect Box von UPC Cablecom. Habe beides aktuell implementiert DHCP-Server (MAC<->IP) und MAC-Filter.


Es scheint zwei MAC Filter zu geben - einen für WiFi (alas nur für das Wireless an der Box) "Wireless MAC Filtering The wireless MAC filter is a layer of security that allows only specific MAC addresses to connect to your router via Wi-Fi. This section allows you to specify a list of MAC addresses that are authorized.", und einer mit dem man bestimmen MAC Adressen den Zugang zum Internet unterbinden kann "MAC Filtering ... This page allows configuration of MAC address filters in order to block Internet traffic to specific network devices on your local network." 

 


@Rogeriooo wrote:

DHCP Pool ist aktuell vorhanden – ist aber der Plan, dass dieser eliminiert wird und das Guest-Netzwerk vom Mesh aktiviert wird.


Da muss ich Dich entäuschen ... im AP Mode gibt's m.E. kein Guest-Netzwerk. 

 

Ebenso gibt es auf der Connect Box auch keine Möglichkeit ein komplettes Guest-Netzwerk (WiFi und per Ethernet) einzurichten. 

 

Mal stark vereinfacht: Auch Geräte auf einem Gast-Netzwerk brauchen IP Addressen - da gibt's keine Magie. Den DHCP Pool einfach eliminieren geht also nicht.

 

Das einfachste was mir in den Sinn kommt ist die Möglichkeit die Connect Box zu bridgen bzw. in den reinen Modem-Betrieb umzukonfigurieren und den MR60 als Router zu betreiben, inkl. DHCP und MAC Filter.

 


@Rogeriooo wrote:

Mir stellt sich noch die Frage, was wäre mit der vorhandenen Hardware der korrekte Ansatz um ein wenig Sicherheit betreffend Netzzugang zu haben? Da es sich um ein Heimnetzwerk handelt, ist ein Teil durch die physische Sicherheit schon gedeckt. :-)


Was ist an einem Wireless Passwort so schlecht? Wenn ich als netter Nachbar lange genug Zeit habe, finde ich auch eine MAC Adresse welche von Deinem MAC-Filter eben erlaubt - aber im Moment nicht aktiv ist.

 

Wenn Du wirklich alles so einrichten willst hilft nur ein Router aus dem SMB-Umfeld, mit dem Du dann mehrere VLANs und IP Subnetzwerke so ziemlich unabhängig voneinander betreiben kannst, Dein "normales" Netzwerk entspechend mit einem WiFi MAC-Filter zusätzlich sichern kannst, ein dediziertes Gast-Netzwerk mit einem Captive Portal usw.  ausstatten. Das braucht dann eben einen Router welcher mehrere LAN/Netzwerke mit VLANs zu betreiben, einen oder ggf. mehrere Switches mit VLAN Support, Wireless Access Points mit VLAN- und Multi-SSID-Support. 

 

Möglichkeiten von Netgear gibt es mit einem Orbi Pro WiFi 6 System (das ältere 11ac kann keine VLAN), oder mit selektierten Komponenten aus dem Netgear Sortiment welches über Insight Cloud Management verwaltet werden kann. Aber auch einzeln lokal verwaltetete Teile sind selbtverständlich möglich. Im Idealfall gibt es in die oberen Geschosse gar noch freie Netzwerkkabel über die per PoE+ die APs ab PoE+ fähigem Switch gleich mit Strom versorgt werden können.

 

Kompromisse wie nur mit VLAN-fähigen Switch und AP z.B. den UPC Router für das normale Netzwerk weiterhin zu verwenden, und eine einfachen NAT Router für das Gast-Netzwerk zu verwenden (wobei das ganze Verkehr dann eben noch einen Hop über das normale IP Subnetz läuft) sind auch denkbar.

 

In welcher Gegend wohnst Du?

 

Grüsse

-Kurt 

 

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 6 von 8
Rogeriooo
Aspirant

Re: MR60 als AP Mesh

Hallo Kurt

 

Super! Besten Dank für die Infos. Ich habe nun mal die Möglichkeiten zusammen und werde mir eine passende Strategie für mich zusammenbauen. 

Ich denke, ich werde eifachheitshalber im Mesh die gleiche SSID usw. parametrieren und die MAC Tabelle nachführen. Und weiterhin eine DHCP-Pool betreiben, sowie ein starkes PW verwenden. Somit sollte ich auch mit dem vorhandnen Material durchkommen - brauche ja auch kein Rolls Royce :-)

 

Danke und Gruss

Roger 

Nachricht 7 von 8
IoannisDM
NETGEAR Moderator

Re: MR60 als AP Mesh

Hallo @Rogeriooo,

 

herzlich willkommen in der Community! Smiley (fröhlich)

 

Vielen Dank @schumaku für Ihren Beitrag und Ihre Hilfestellung!

 

Mit freundlichen Grüßen,

Ioannis

NETGEAR Team 


____
Klicke auf KUDOS, wenn du diesen Beitrag hilfreich findest, und markiere ihn ggf. als AKZEPTIERTE LÖSUNG.

Nachricht 8 von 8
Autoren, für die die meisten Kudos vergeben wurden
Diskussionsstatistiken
  • 7 Antworten
  • 311 Aufrufe
  • 2 Kudos
  • 3 in Unterhaltung