DD-WRT v24 SP2 – Einrichtung eines Gast WLAN

Veröffentlicht am Veröffentlicht in Linux, Netzwerk

Solltet ihr Besitzer eines DD-WRT kompatiblen Gerätes sein, dann habt auch ihr euch sicherlich schon die Frage gestellt, ob die Software auch einen Gast WLAN Zugang anbieten kann. Bei der Funktionsvielfalt der Software ist zuerst davon auszugehen, dass dies aus dem Standard heraus geht, leider ist dem nicht so.

Es gibt bereits einige gute Anleitungen im Netz. Hier hat mir aber immer wieder der entscheidende Teil gefehlt, daher werde ich diesen hier veröffentlichen.

Ich gehe hier davon aus, dass ihr bereits ein zweites WLAN, welches nicht gebriddged ist, angelegt habt und dieses auf eine gesonderte Bridge gelegt habt. Diesem Sollte des Weiteren ein eigener IP Adressscope zugewiesen sein und derDHCP Dienst sollte hierauf konfiguriert sein.

In dem folgenden Beispiel hat der „Hotspot“ den IP Adressscope 192.168.1.x. Will man nun den Verkehr in private Netzwerke verbieten, dann muss dies über folgende Firewall regeln geschehen.

Anleitung

#br1 (Gästenetzwerk) Zugriff zum Internet erlauben
iptables I FORWARD i br1 m state state NEW j ACCEPT
iptables I FORWARD p tcp tcpflags SYN,RST SYN j TCPMSS clampmsstopmtu
#br1 (Gästenetzwerk) Zugriff in private Netzwerke verbieten
iptables -t nat -I POSTROUTING -o br0 -j SNAT –to `nvram get lan_ipaddr`
iptables -A FORWARD -i br1 -d `nvram get lan_ipaddr`/32 -j ACCEPT
iptables -A FORWARD -i br1 -d 192.168.0.0/16 -j DROP
iptables -A FORWARD -i br1 -d 172.16.0/12 -j DROP
iptables -A FORWARD -i br1 -d 10.0.0.0/8 -j DROP
#NAT einrichten
iptables t nat I POSTROUTING o br0 j SNAT to `nvram get lan_ipaddr`
Sollte man den Zugriff aus dem Gästenetzwerk auf den Router beschränken wollen, so sollte man noch dieses Regelwerk einbauen:
iptables I INPUT i br1 p tcp dport 22 j REJECT rejectwith tcpreset
iptables I INPUT i br1 p tcp dport 80 j REJECT rejectwith tcpreset
iptables I INPUT i br1 p tcp dport 443 j REJECT rejectwith tcpreset

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.