Forum: PC Hard- und Software [Linux] VLAN Netz zu gewisser Uhrzeit Internet trennen


von Draco (Gast)


Lesenswert?

Ich habe zu Hause zu Linux DHCP Server laufen. Ich habe ein Router mit 
Internetanschluss, ein Managed-Switch an dem der Server und feste 
Peripherie hängt. Desweiteren habe ich einen zusätzliche WLAN AP der per 
Kabel an dem Switch hängt.

Was ich möchte:

Ich möchte die Rechner, welche über den separaten AP welcher an dem 
Switch hängt. Nach einer gewissen Uhrzeit vom Internet umleiten / 
trennen.

Gibt es da Möglichkeiten? Wenn ja, wo beginne ich meine Suche? Was 
braucht Ihr für Infos von mir wegen der Konfiguration?

Wäre es auch möglich, den WLAN AP welcher an dem Switch hängt, komplett 
und ausschließlich über den Server zu routen? So das der Server als 
Router zum Internet fungiert und nicht die Fritzbox? Was benötige ich da 
als Hardware?

von Jens M. (schuchkleisser)


Lesenswert?

Im AP per Schedule den Funk abdrehen? Manche APs können pro SSID eine 
Zeitsteuerung, mache ich mit WAP1750 so.
Alternativ: Zeitschaltuhr = Strom weg = Funk/LAN weg?

Evtl. kann man mit cron auch noch irgendwas an der Route machen o.ä., 
aber dazu bin ich zuwenig Linuxer.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Wenn du da vom Linux-Server was drehen willst, wäre es natürlich das 
sinnvollste, diesen auch komplett das Netz verwalten zu lassen, also ihn 
Router, DHCP-Server, Nameserver etc. spielen zu lassen.

Früher™ konnte man so'ne Fritzbox noch als pures DSL-Modem betreiben, 
weiß nicht, ob das noch geht.

Natürlich hast du damit insgesamt erstmal initial etwas Aufwand, dafür 
bist du dann viel freier im Aufsetzen von Firewallregeln etc. pp.

Ansonsten fiele mir noch ein, den Switch via SNMP zu bestimmten Zeiten 
so umzukonfigurieren, dass er halt das entsprechende VLAN an- oder 
abschaltet. Aber unbedingt die SNMP-Passwörter dann neu setzen, die 
Standardpasswörter sind Scheunentore … Auch wäre es sinnvoll, wenn du 
für das Management des Switches ein komplett eigenes VLAN vorsiehst und 
der Switch nur darüber konfigurierbar ist. Dann hat man an allen anderen 
Ethernetports zumindest keine Möglichkeit, den Management-Traffic 
mitzuhören oder zu faken. (Wer natürlich an den Switchport physisch 
rankommt, kann diese simple Zugriffsbremse immer überspringen.)

von bingo (Gast)


Lesenswert?

Jörg W. schrieb:
> Früher™ konnte man so'ne Fritzbox noch als pures DSL-Modem betreiben,
> weiß nicht, ob das noch geht.

geht hier mit 7350 und 7490

von Εrnst B. (ernst)


Lesenswert?

Draco schrieb:
> Wäre es auch möglich, den WLAN AP welcher an dem Switch hängt, komplett
> und ausschließlich über den Server zu routen? So das der Server als
> Router zum Internet fungiert und nicht die Fritzbox? Was benötige ich da
> als Hardware?

Wenn der switch managed ist, dann hast du schon alle Hardware.
Dem Linux-Server kannst du dann beibringen, als (Zeitabhängige) 
Firewall/Router zwischen den Vlans zu hängen (auch wenn er nur eine 
Netzwerkkarte hat, der Managed Switch muss die vlans am server-Port nur 
"tagged" rausgeben können)

von Draco (Gast)


Lesenswert?

Jörg W. schrieb:
> Wenn du da vom Linux-Server was drehen willst, wäre es natürlich das
> sinnvollste, diesen auch komplett das Netz verwalten zu lassen, also ihn
> Router, DHCP-Server, Nameserver etc. spielen zu lassen.

Aktuell arbeitet der Server als DHCP und Nameserver für die 
Netzwerkverwaltung. Hauptsächlich aber als Web- und SMB-Server.

Angebunden an den Switch (DGS-1224T von D-Link) ist er über 4x GBit im 
Bond für SMB und WEB und 1xGBit (gleiches LAN) für DHCP und DNS.

Aktuell ist der Router (Fritzbox 7590) über den Switch mit dem Netzwerk 
verbunden. Auch der separate AP (Missbrauchter Speedport W 724V) ist 
direkt mit dem Switch verbunden.

Aktuell läuft dieser AP noch nicht in einem separatem VLAN.

Jörg W. schrieb:
> Früher™ konnte man so'ne Fritzbox noch als pures DSL-Modem betreiben,
> weiß nicht, ob das noch geht.
>
> Natürlich hast du damit insgesamt erstmal initial etwas Aufwand, dafür
> bist du dann viel freier im Aufsetzen von Firewallregeln etc. pp.

Das ist richtig, dies würde auch viele weitere nützliche Funktionen mit 
sich bringen - Filter, Sniffer etc... (Was aktuell aber natürlich völlig 
hinten ansteht)

Jörg W. schrieb:
> Auch wäre es sinnvoll, wenn du
> für das Management des Switches ein komplett eigenes VLAN vorsiehst und
> der Switch nur darüber konfigurierbar ist.

Ist er schon, ich habe vom Server eine direkt Verbindung zum switch - 
der Switch hat für die Serviceseite eine feste IP in einem anderen 
Netzbereich. Auf die Einstellungen komme ich ausschließlich über den 
Server, und nur ich habe Zugriff auf diesen. Ein physisches Eingreifen 
ist ohne Aufwand auch nicht möglich, da das alles in einem 
abgeschlossenen Raum steht.

Εrnst B. schrieb:
> (auch wenn er nur eine
> Netzwerkkarte hat, der Managed Switch muss die vlans am server-Port nur
> "tagged" rausgeben können)

Wie gesagt, an Schnittstellen mangelt es zum Glück nicht - ich könnte 
auch zur Not noch eine weitere Nic dazuhängen.

Er kann 802.1Q - also tagged und untagged Ports.

von Sven L. (sven_rvbg)


Lesenswert?


von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Draco schrieb:
> Aktuell ist der Router (Fritzbox 7590) über den Switch mit dem Netzwerk
> verbunden.

Klar, über den Switch ja irgendwie sowieso. ;-) Die Zeiten, wo man 4fach 
Ethernetkarten gebraucht hat, sind dank 802.1Q eigentlich vorbei.

Wenn du halt den Schritt noch weiter gehst, und die Fritzbox zum puren 
Modem degradierst, dann ist dein Server auch der PPPoE-Endpunkt für das 
Internet und der zentrale Router. Dann bestimmt der auch, wer wie wann 
was machen darf.

Ich habe eine einigermaßen ähnliche Konstellation, nur keine Fritzbox, 
sondern der Glasfaserabschluss kommt da von draußen rein. Logisch 
gesehen ist das aber nichts anderes als ein DSL-Modem: da kommt Ethernet 
raus, und zumindest bei der Telekom redet man darüber das gleiche PPPoE 
wie zuvor am DSL-Modem (VLAN7). Allerdings laufen da bei mir wirklich 
nur Firewall- und netzwerkrelevante Dienste drauf; "richtige" 
Serverdienste habe ich separat. Allerdings könnte man das mittlerweile 
auch dadurch recht brauchbar separieren, dass man auf einem Hypervisor 
zwei komplett verschiedene Systeme für Server und Firewall/Netzwerk 
laufen lässt.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.