Gäste-Wlan mit Raspberry Pi erstellen, ohne Zugriff auf das Heimnetz zu gewähren.
Das Szenario:
Ich betreibe ein Heimnetzwerk mit dem IP-Adressraum 192.168.2.0-255. Die Adresse 192.168.2.1 gehört dem Router (ja, ein Speedport - W 724V Typ A um genau zu sein..). Daneben habe ich noch 2 AP‘s, die TK-Anlage, das NAS und den Netzwerkdrucker mit fortlaufenden festen IP-Adressen ausgestattet (192.168.2.2, ...2.3, usw.) . Die restlichen Geräte wie Chromecast, Computer, Smartphones etc. landen per DHCP im Adressbereich 192.168.2.100-199
Da der Speedport keinen Gastzugang für Freunde und Familie bereitstellt - es sei denn, sie können WLAN TO GO nutzen - habe ich meinen Raspberry Pi 3, Modell B, 1GB RAM nach dieser Anleitung als Access Point eingerichtet. Der Raspi hat im Heimnetz die feste IP 192.168.2.10 auf eth0. Das Gastnetz über wlan0 wird über den Adressbereich 192.168.10.x realisiert, wobei wlan0 selbst die IP 192.168.10.1 bekommen hat, DHCP wurde von ...10.100 bis ...10.120 eingerichtet.
Das Ganze funktioniert, hat aber einen Schönheitsfehler: Die Gäste können sich mit allen Geräten im Heimnetz verbinden, also mit dem Chromecast, dem NAS, der TK-Anlage usw.
Das Ziel:
Die Gäste sollen weiterhin ins Internet können, aber sie sollen nicht auf die Geräte in meinem Heimnetz Zugriff bekommen.
Die Idee:
Iptables auf dem Raspi so konfigurieren, dass es im PREROUTING auf wlan0 alle Pakete verwirft, die auf den Adressbereich 192.168.2.x anfragen. Natürlich soll das nur die Netzwerkschnittstelle wlan0 betreffen, nicht eth0., denn der Raspi selbst soll schon ins eigene Netz können. Das habe ich so realisieren können:
sudo iptables -A PREROUTING \-t mangle -i wlan0 -m iprange --dst-range 192.168.2.0-192.168.2.255 -j DROP
Soweit funktioniert das Ganze ja auch, doch…
Das Problem:
..der konzeptionelle Ansatz ist falsch! Besser wäre es, alles zu verbieten und nur die Ausnahmen zuzulassen, die zwingend erforderlich sind. Aber Iptables ist nun mal wirklich hohes Kung-Fu und ich weiß nicht, wie ich das hinkriegen soll.
Die Frage:
Kann sich das mal bitte jemand ansehen, der mehr Ahnung hat? Danke für Eure Hilfe und/oder konstruktive Kritik!
Gruß Jan
PS: Bitte nicht OT!
„Kauf Dir eine Fritz!Box.“ Danke, aber ich brauche keine Kaufberatung. Ich weiß, dass es andere Geräte gibt, die genau das, was ich suche, einrichten könnten. Aber ich hab nun mal kein anderes Gerät. Und ich möchte auch kein Neues kaufen.
„Wenn du deinen Freunden nicht traust, lass sie nicht in dein Netzwerk.“ Danke, aber ich brauche keine Lebensberatung. Ich traue meinen Freunden, aber nicht uneingeschränkt ihren Smartphones oder Tablets. Außerdem muss es nicht immer ein Exploit sein, der lauert. Wenn plötzlich ohne erkennbaren Grund der Fernseher anspringt und ein Typ namens Logo etwas über Minecraft erzählt, weil die Freundin meiner Tochter auf ihrem Smartphone das Cast-Symbol angetippt hat, ist das zwar recht amüsant, aber irgendwie auch befremdlich. Das hat nichts damit zu tun, dass ich dem Mädel nicht traue. Ich will nur einfach nicht, dass sie das kann und fertig.
„Denk an die Störerhaftung respektive sonstige rechtliche Fallstricke!“ Danke, aber ich brauche keine Rechtsberatung. Ich möchte nur einen Weg finden, wie ich meinen Freunden ein Gastnetz-Wlan aufspannen kann, ohne dass sie Zugriff auf mein Netzwerk bekommen.