Alle Mitarbeiter der Abteilung 'Einkauf' müssen sich per PPPoE erst am Gerät authentisieren (IP-Routing, Prüfung mit PAP), damit sie auf das Internet zugreifen dürfen.
Randbedingung: Das Gerät ist als Router, Firewall und Gateway für die Benutzer im LAN direkt zu erreichen, d. h. es sind keine weiteren Router dazwischengeschaltet.
Die Rechner im Einkauf bekommen über die Liste der Adressen für Einwahlzugänge (LANconfig:
) eine IP-Adresse aus einem bestimmten Adressbereich zugewiesen (z. B. 192.168.100.200 bis 192.168.100.254).Damit die Anwender die Authentifizierung nicht umgehen können, wird in der Firewall eine DENY-ALL-Regel angelegt, die alle lokalen Verbindungen unterbindet.
Dazu wird der Benutzer 'Einkauf' als Gegenstelle ohne Benutzername, aber mit einem gemeinsamen Kennwort für alle Mitarbeiter in der Abteilung in der PPP-Liste angelegt (LANconfig:
) und die Authentifizierung (verschlüsselt) über CHAP vorgegeben. Für diesen PPP-Benutzer werden sowohl IP-Routing als auch NetBIOS (Windows Networking) aktiviert:Neben der Aktivierung des PPPoE-Servers (LANconfig:
) können weitere Einschränkungen (z. B. auf die erlaubten MAC-Adressen) ebenfalls im PPPoE-Server definiert werden. Dieses Beispiel nutzt aber den dort vorhandenen Eintrag DEFAULT mit der MAC-Adresse 00:00:00:00:00:00, so dass alle MAC-Adressen erlaubt sind.Mit Hilfe der Firewall (LANconfig:
) können die erlaubten Dienste für die Mitarbeiter des Einkaufs gesteuert werden (z. B. nur Freischalten von HTTP und EMAIL).