Win2003 Server - NAT/VPN für WLAN

[renew]

Folgendes Szenario:
Ich hab einen Win2003 Server, der via NAT (Routing and Remote Access) die Verbindung ins Internet herstellt.

Der Server besitzt 2 Netzwerkkarten.

Das lokale Netz ist im Bereich 192.168.0.0/24.

Jetzt möchte ich ein WLAN hinzufügen, dass im Adressbereich 172.16.0.0/16 aufgehoben ist und keine direkte Verbindung ins LAN hat.
Die Verbindung ins LAN soll über den oben genannten Server per VPN erfolgen (Server ist der VPN Gateway) - die VPN Verbindung bekommt dann eine Adresse aus dem 192.168.0.0/24 Netz.

Die Frage ist jetzt, kann man das ganze realisieren - ohne eine 3. Netzwerkarte für das 172.16.0.0/16 Netz in den Server zu stecken.
Der AP fürs WLAN hängt nämlich auch am gleichen Switch. Das heißt, die 172.16.0.0 Adresse würde als 2. Adresse auf der LAN Karte des Servers eingetragen werden....

Ich freu mich schon auf eure Antworten, lg, renew

[LouCypher]

d.h. ein böser wlaner muss nur statisch eine 192er ip vergeben und kommt ohne vpn in dein lan?

[renew]

Hmm, das ist ein guter Einwand...

Da hab ich einen kleinen Denkfehler begangen, denn daran hab ich ja gar nicht gedacht. Bzw. dürft ich den AP nicht an den normalen Switch hängen, damit das so funktioniert.

Insofern erübrigt sich aber somit auch die Frage ob das ganze mit einer Netzwerkarrte funktioniert.

Bzw. würde meine Idee nur dann funktionieren, wenn ich am AP nur IPs ins Netz lasse, die eine 172.16er Adresse haben (keine Ahnung ob das geht, hab erst einmal einen Netgear AP/Router konfiguriert)

[LouCypher]

wpa bzw. wpa2 sollte eigentlich sicher genug sein.

Ausserdem würd ich die finger von netgear lassen, zumindest von den silbernen billig dingern, damit ist ein stabiler zugang nicht zu machen.

VLan fähiger switch + vlan fähige nw karte im server währe ein ansatz.

Ansonsten einfach eine 3. nwkarte in den server für wlan einbauen, bzw. gleich eine wlan karte mit software ap verwenden.

Nachdem das ganze vermutlich so günstig wie möglich sein sollte würde ich zur 3. nwkarte im server greifen und da den ap anstecken. Ich bezweifle allerdings das du einen relevanten sicherheitsgewinn gegenüber reinem wpa damit zustande bringst.

[renew]

Obs ein Netgear AP/Router wird ist noch sehr fraglich, da mir die Probleme bekannt sind (steht ja sehr viel dazu im Forum)

Ja, das ganze soll günstig und gut sein. Dass mit dem VPN ist auch nur eine Idee, da eben die Möglichkeit besteht eines einzurichten.

Ich werds wohl eh bei WPA2 belassen, da ich leider nicht sehr einfach ein neues Kabel zum Server ziehen kann. (das aktuelle Kabel ist schon verlegt bzw. verwende ich in einem anderen Raum einen 2. Switch wo der Access Point dran hängt...)

[spunz]

Zitat:

Original geschrieben von renew

Ich werds wohl eh bei WPA2 belassen, da ich leider nicht sehr einfach ein neues Kabel zum Server ziehen kann. (das aktuelle Kabel ist schon verlegt bzw. verwende ich in einem anderen Raum einen 2. Switch wo der Access Point dran hängt...)

wenns unbedingt SICHER und GÜNSTIG sein soll, fahr wpa2/radius. bei w2k3 ist mit ias gleich ein passender radius server dabei.

[renew]

Zitat:

Original geschrieben von spunz
wenns unbedingt SICHER und GÜNSTIG sein soll, fahr wpa2/radius. bei w2k3 ist mit ias gleich ein passender radius server dabei.

Hört sich interessant an!

Was muss der WLAN-Client tun um sich am IAS anzumelden? Bzw. wo gibt er seine Benutzerdaten an?

Noch eine Frage dazu: Kennst du ein paar WLAN-Router die das können (wenn nicht, muss ich halt suchen )

Und noch ein wenig aus Interesse: Wie läuft die Authentifizierung bzw. Übertragung der Benutzerdaten vom WLAN-Client zum Router? Mit der selben Verschlüsselungsstärke/Art wie bei WPA2 od. anders/besser/....?
Nicht, dass ihr denkt, dass ich paranoid bin, mich interessierts nur.

[LouCypher]

glaub radius kann eigentlich jeder billig wlan ap, netgear und linksys könnens sicher (obs beim netgear allerdings tatsächlich funzt weis ich nicht ).