Gäste Netzwerk einrichten

Soll ein Gäste-Netzwerk an einem DEFENDO betrieben werden, um z.B. Besuchern die Möglichkeit zu geben über WLAN ins Internet zu gelangen, folgen Sie dieser Anleitung.
Beachten Sie, dass bei der hier beschriebenen Konfiguration ein Zugriff vom Gäste-Netzwerk in das interne LAN des DEFENDOs nicht möglich ist.

Schnittstelle anlegen

Zunächst ist unter "Module > Netzwerk > Schnittstellen" eine neue Schnittstelle vom Typ "Ethernet (eth)" mit der Firewall-Vertrauensstufe "gering (Demilitarisierte Zone)" anzulegen. Tragen Sie als "Schnittstellen-Nummer" die Nummer einer ungenutzten Netzwerkkarte ein (z.B. "2" für eth2). Geben Sie dieser Schnittstelle anschließend eine IP-Adresse aus einem ungenutzten privaten Adressbereich (z.B. 192.168.1.1).

Firewall anpassen

Wechseln Sie ins Menü "Module > Einstellungen > Regeln" und wählen Sie dort Ihre Internet-Schnittstelle (in der Regel adsl0 oder eth1) aus. Wechseln Sie auf den Reiter (Tab) für Weiterleitungsregeln ("* > DEFENDO > ...") und fügen eine Regel wie folgt hinzu:
Protokoll
Wählen Sie "*" um vollen Zugriff auf das Internet zu erlauben. Sollen nur einzelne Protokolle erlaubt werden, erstellen Sie am besten ein eigenes Protokoll und wählen dieses hier aus. Sie können aber auch mehrere Regeln mit den entsprechenden Protokollen anlegen.
Quell-Zone
DMZ
Quell-IP/Netzwerk
Leer lassen oder das Netzwerk der DMZ-Schnittstelle eintragen (z.B. 192.168.1.0/24)
Ziel (...)
Leer lassen
Nur in Versionen vor 7.0
Aktivieren Sie die NAT-Option

SNAT konfigurieren

Dieser Schritt entfällt in Versionen vor 7.0
Wechseln Sie auf den Reiter "* > SNAT" Ihrer Internet-Schnittstelle und erstellen Sie folgenden Eintrag:
Protokoll
*
Quell-Zone
DMZ
Quell-IP/Netzwerk
Leer lassen oder das Netzwerk der DMZ-Schnittstelle eintragen (z.B. 192.168.1.0/24)
NAT
Aktivieren Sie die NAT-Option
Ziel (...)
Leer lassen
Bei dieser Regel geht es nicht darum, bestimmte Verbindungen zu erlauben oder zu verbieten. Das erkennen Sie auch an der fehlenden Spalte "Zugriff". Die Regel sorgt dafür, dass die in der DMZ verwendeten internen IP-Adressen auf eine im Internet gültige IP-Adresse umgesetzt werden.

IP-Gruppe "INTRANET"

Nicht zwingend notwendig aber dennoch empfohlen ist es, die Gruppe "INTRANET" unter "Definitionen > IP-Objekte" entsprechend Ihrer tatsächlichen lokalen Netzwerke anzupassen. So wird im Auslieferungszustand darin unter anderem das Netzwerk 192.168.0.0 mit einer 16-Bit Netzmaske aufgeführt. Dies steht für ALLE Netzwerke, die mit 192.168. beginnen. Wenn Sie im LAN nun das Netzwerk 192.168.0.0/24 und im Gästenetzwerk das Netz 192.168.1.0/24 verwenden, könnten auch die Clients aus dem Gästenetz die Dienste des DEFENDOs nutzen, entsprechende Firewall-Konfiguration vorausgesetzt. Da dies nicht erwünscht ist, sollten Sie alle Einträge aus der Gruppe "INTRANET" löschen und nur die tatsächlich intern genutzten Netze wie z.B. 192.168.0.0/24 hinzufügen.

Konfiguration der Clients

Den Clients wird die Netzwerk-Konfiguration am besten per DHCP zugewiesen. Falls Sie im Gästenetz einen WLAN Access-Point betreiben, können Sie dessen DHCP-Server nutzen. Alternativ stellt auch DEFENDO einen DHCP-Server zur Verfügung, der im Menü "Module > DHCP" konfiguriert wird.
Weisen Sie als Standard-Gateway die DMZ-IP des DEFENDOs zu.
Für die Namensauflösung haben Sie mehrere Möglichkeiten. Am einfachsten ist es, wenn Sie als DNS die Server Ihres Providers zuweisen. Falls diese nicht bekannt sind oder dynamisch zugewiesen werden, können Sie auch öffentliche DNS-Server wie z.B. die von Google verwenden. Solange im DEFENDO-DNS keine Weiterleitungen an interne DNS-Server aus dem LAN konfiguriert sind, spricht auch nichts dagegen, den DEFENDO-DNS zu verwenden. In der Firewall-Konfiguration der DMZ-Schnittstelle ist dazu der Zugriff für das Protokoll "DNS" freizugeben. Prüfen Sie ferner im Menü "Module > DNS > Einstellungen" auf dem Reiter (Tab) "Client-Zugriff" unter "Lokale IP-Adressen" ob das DMZ-Netzwerk berechtigt ist, den DEFENDO-DNS zu nutzen. Falls Sie unserer Empfehlung gefolgt sind, ist das DMZ-Netzwerk nicht in der Gruppe "INTRANET" enthalten. Fügen Sie in diesem Fall einen zusätzlichen Eintrag mit dem DMZ-Netzwerk ein (z.B. 192.168.1.0/24).
In der hier beschriebenen Konfiguration wird der DEFENDO Web-Proxy von den Gästen nicht genutzt. Im Browser darf folglich kein Proxy konfiguriert sein. Die Verwendung des Web-Proxies ist zwar technisch möglich, über den Proxy kann jedoch zunächst auch auf interne Netzwerke wie das LAN zugegriffen werden! Wie dies zu verhindern ist, ist abhängig von verschiedenen Randbedingungen, deren genaue Erläuterung den Rahmen dieses Artikels sprengen würde. Im einfachsten Fall genügt es, in der Firewall den Zugriff von DEFENDO auf schützenswerte Netze zu verbieten.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany