Hallo,

ich habe bei mir zu Hause einen Netzwerkaufbau wie im Bild dargestellt. Es gibt einen Internet-Router, der die Verbindung zum Internet herstellt, und seine LAN-Anschlüsse als DMZ zur Verfügung stellt.
Dann gibt es einen 2ten Router, der das dahinterliegende LAN zur DMZ absichert. Dieser verwaltet 3 VLANs.
VLAN1 sind die übrig gebliebenen Ports am interne Switch (nutze ich zur Zeit nicht).
VLAN2 und VLAN3 sind über einen Trunk-Port mit einem Switch verbunden.
Am VLAN3 hängt ein 3ter Router, der nur WLAN zur Verfügung stellen soll.
Bis vor kurzem hatte ich Bekannten und Verwanten mein WLAN Passwort einfach immer gegeben und gut. Nun da die Kinder und deren Freunde auch alle ein Telefon haben und von den Freunden meiner Kinder schon 1, 2 mal nach WLAN-Zugang gefragt wurde, habe ich ein Gäste-WLAN eingerichtet.
Unter DD-Wrt (fast) kein Problem, virtuelles WLAN-Interface, über NAT ins VLAN3 - fertig.
Mhh, da ich aber über das VLAN3 gehen muss, hat man so erst mal noch nichts an Sicherheit gewonnen. Die Gäste haben über VLAN3 noch immer Zugriff auf das interne Netz. Es müssten also Firewallregeln am Router 3 hinzugefügt werden. Mit einem mulmigen Gefühl, ob denn auch wirklich jeder Fall abgedeckt ist, werde ich das aber vermutlich hinbekommen.
Eigene VLANs unterstützt der 3te Router leider nicht, sonst könnte man das Gäste WLAN auf ein eigenes VLAN legen und am Router 2 sämtlichen Verkehr vom Gäste-VLAN blocken der nicht in das Internet geht.
Dann fiel mir aber ein, ich könnte am Router 3 auch den WAN-Port wieder reaktivieren und diesen direkt am Internet-Router anschließen(gepunktete Linie im Bild). Dann das Gäste-WLAN per NAT über den WAN routen und sämtlichen Verkehr vom Gäste-WLAN-Interface auf das LAN-Interface im Router 3 blocken.

Gefühlt scheint mir das sicherer. ** Aber ist es das auch wirklich? Lohnt es sich nochmal zu ändern? **

Praktich fällt mir nur ein, daß wenn ich mal ein weiteres VLAN hinzunehme, müsste ich

• in meiner jetzigen Variante auch daran denken diesen IP-Bereich für das Gäste-WLAN-Interface am Router 3 zu blocken
• in der anderen eine statische Route am Router 3 zu dem neuen VLAN hinzuzufügen.