L-54g Problem bei DSLoL mit LCOS 7.20
Moderator: Lancom-Systems Moderatoren
L-54g Problem bei DSLoL mit LCOS 7.20
Hallo Forum,
folgendes Problem:
ich habe einen L-54g mit frisch installierten 7.20er Firmware. Der AP ist an einen Switch angeschlossen, an dem u.a. ein DSL-Modem hängt. Mein Laptop hängt über WLAN an dem AP. Der AP wählt sich über DSLoL ins Internet ein. (LAN: 192.168.2.0/24, WLAN1-1: 192.168.3.0/24)
Wenn ich nun den isolierten Modus einschalte, um das LAN vom WLAN trennen zu können, kann keine Verbindung mehr ins Internet aufgebaut werden! Im LANmonitor sehe ich zwar den Versuch, die Verbindung kommt jedoch nicht zu stande?
Hat jemand eine Idee, wo das Problem liegt bzw. wie ich es weiter eingrenzen kann?
Danke und Gruß,
Marco
folgendes Problem:
ich habe einen L-54g mit frisch installierten 7.20er Firmware. Der AP ist an einen Switch angeschlossen, an dem u.a. ein DSL-Modem hängt. Mein Laptop hängt über WLAN an dem AP. Der AP wählt sich über DSLoL ins Internet ein. (LAN: 192.168.2.0/24, WLAN1-1: 192.168.3.0/24)
Wenn ich nun den isolierten Modus einschalte, um das LAN vom WLAN trennen zu können, kann keine Verbindung mehr ins Internet aufgebaut werden! Im LANmonitor sehe ich zwar den Versuch, die Verbindung kommt jedoch nicht zu stande?
Hat jemand eine Idee, wo das Problem liegt bzw. wie ich es weiter eingrenzen kann?
Danke und Gruß,
Marco
Moin,
Gruß Alfred
Den isolierten Modus kannst Du Dir sparen, wenn Du das DSLoL exklusiv ans LAN gebunden hast.Wenn ich nun den isolierten Modus einschalte, um das LAN vom WLAN trennen zu können, kann keine Verbindung mehr ins Internet aufgebaut werden! Im LANmonitor sehe ich zwar den Versuch, die Verbindung kommt jedoch nicht zu stande?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Moin,
erreichst Du auch, wenn das DSLoL exklusiv geschaltet wird. Sobald eine
Verbindung auf dem DSLoL gestartet wird und DSLoL exklusiv an ein
(W)LAN-Interface gebunden ist, wird dieses Interface der LAN-Bridge
entzogen, damit kann kein Client vom WLAN her mehr direkt das Modem
ansprechen - sie müssen über den Router und damit die Firewall gehen.
Und wenn man die Verbindungshaltezeit auf 9999 stellt, ist die Verbindung
immer aufgebaut.
Gruß Alfred
Das heißt, es soll nicht mehr auf das LAN gebridget werden, und genau dasDas Problem ist, dass jeder WLAN-Client eine eigene PPPoE-Verbindung über das Modem herstellen kann und so die Firewall komplett umgeht!
Und das möchte ich verhindern! Weiterhin soll z.B. nicht jeder WLAN-Client auf das am LAN hängende NAS zugreifen dürfen.
erreichst Du auch, wenn das DSLoL exklusiv geschaltet wird. Sobald eine
Verbindung auf dem DSLoL gestartet wird und DSLoL exklusiv an ein
(W)LAN-Interface gebunden ist, wird dieses Interface der LAN-Bridge
entzogen, damit kann kein Client vom WLAN her mehr direkt das Modem
ansprechen - sie müssen über den Router und damit die Firewall gehen.
Und wenn man die Verbindungshaltezeit auf 9999 stellt, ist die Verbindung
immer aufgebaut.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Marco,
doch, denn die WLAN-Clients am L-54g kommen dann nur noch über den Router und die Firewall ins Internet. Mach das mal so, wie Alfred das beschrieben hat und dann kannst Du es ja ausprobieren.
Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL ...
aktivieren
Modus: Exklusiv
LAN-Interface: LAN-1
Viele Grüße,
Jirka
doch, denn die WLAN-Clients am L-54g kommen dann nur noch über den Router und die Firewall ins Internet. Mach das mal so, wie Alfred das beschrieben hat und dann kannst Du es ja ausprobieren.
Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL ...
aktivieren
Modus: Exklusiv
LAN-Interface: LAN-1
Viele Grüße,
Jirka
ok, ich kann mich dann zwar nicht mehr über PPPoE einwählen, ABER:
dann habe ich ja gar keinen Zugriff mehr auf's LAN! Mein AP hat ja nur ein Ethernet-Interface und wenn das exklusiv für DSLoL genutzt wird, kann ich aus dem WLAN meine anderen Geräte im LAN ja gar nicht mehr erreichen!
Was nun?
Gruß,
Marco
dann habe ich ja gar keinen Zugriff mehr auf's LAN! Mein AP hat ja nur ein Ethernet-Interface und wenn das exklusiv für DSLoL genutzt wird, kann ich aus dem WLAN meine anderen Geräte im LAN ja gar nicht mehr erreichen!
Was nun?
Gruß,
Marco
Hallo Marco,
ok, das hattest Du aber nicht so konkret geschrieben oder wir haben es nicht so verstanden.
Dann wieder weg mit dem Exclusiven Modus des DSLoL.
Wie sieht denn bei Dir die Schnittstellen-Zuordnung Deiner Netze aus (LANconfig: TCP/IP -> Allgemein -> IP-Netzwerke...)?
Steht hier
Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL ...
für
LAN-Interface: LAN-1?
Viele Grüße,
Jirka
ok, das hattest Du aber nicht so konkret geschrieben oder wir haben es nicht so verstanden.
Dann wieder weg mit dem Exclusiven Modus des DSLoL.
Wie sieht denn bei Dir die Schnittstellen-Zuordnung Deiner Netze aus (LANconfig: TCP/IP -> Allgemein -> IP-Netzwerke...)?
Steht hier
Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL ...
für
LAN-Interface: LAN-1?
Viele Grüße,
Jirka
Moin,
verstehe ich das jetzt also richtig, daß
(1) normaler TCP/IP-Traffic zwischen LAN und WLAN laufen darf
(2) die Clients im WLAN selber keine PPPoE-Verbindungen aufbauen dürfen
(3) der L-54 selber PPPoE in Richtung LAN macht
Dann wäre es m.E. am einfachsten, den L-54 als normale Bridge zu betreiben (also auch
kein isolierter Modus) und das PPPoE vom WLAN her mit ein paar Filterregeln in der
Protokollfiltertabelle zu unterbinden.
Gruß Alfred
verstehe ich das jetzt also richtig, daß
(1) normaler TCP/IP-Traffic zwischen LAN und WLAN laufen darf
(2) die Clients im WLAN selber keine PPPoE-Verbindungen aufbauen dürfen
(3) der L-54 selber PPPoE in Richtung LAN macht
Dann wäre es m.E. am einfachsten, den L-54 als normale Bridge zu betreiben (also auch
kein isolierter Modus) und das PPPoE vom WLAN her mit ein paar Filterregeln in der
Protokollfiltertabelle zu unterbinden.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Jirka hat geschrieben:Hallo Marco,
ok, das hattest Du aber nicht so konkret geschrieben oder wir haben es nicht so verstanden.
Dann wieder weg mit dem Exclusiven Modus des DSLoL.
Scoep hat geschrieben: Weiterhin soll z.B. nicht jeder WLAN-Client auf das am LAN hängende NAS zugreifen dürfen.
Netzwerkname IP-Adresse Netzmaske Netzwerktyp VLAN-ID Schnittstelle Adressprüfung Tag KommentarJirka hat geschrieben: Wie sieht denn bei Dir die Schnittstellen-Zuordnung Deiner Netze aus (LANconfig: TCP/IP -> Allgemein -> IP-Netzwerke...)?
Löschen Kopieren INTRANET 192.168.2.1 255.255.255.0 Intranet 0 LAN-1 Flexibel 0 local intranet
Löschen Kopieren WLAN1-1 192.168.3.1 255.255.255.0 Intranet 0 WLAN-1 Flexibel 0
Löschen Kopieren WLAN1-2 192.168.4.1 255.255.255.0 Intranet 0 WLAN-1-2 Flexibel 0
Löschen Kopieren DMZ 0.0.0.0 255.255.255.0 DMZ 0 Beliebig Flexibel 0 demilitarized zone
ja, genau.Jirka hat geschrieben: Steht hier
Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL ...
für
LAN-Interface: LAN-1?
Viele Grüße,
Jirka
Gruß,
Marco
Hallo Alfred,alf29 hat geschrieben:Moin,
verstehe ich das jetzt also richtig, daß
(1) normaler TCP/IP-Traffic zwischen LAN und WLAN laufen darf
(2) die Clients im WLAN selber keine PPPoE-Verbindungen aufbauen dürfen
(3) der L-54 selber PPPoE in Richtung LAN macht
Punkt 2 und 3 sind richtig. zu Punkt 1:
ich habe 2 WLANs (eins für meine eigenen Notebooks, eins für meine Nachbarn). Das zweite WLAN möchte ich über die Firewall den Zugriff auf's LAN verbieten, aber eben nicht auf alles! Es soll z.B. über HTTP auf eine bestimmte IP im LAN zugegriffen werden können.
Gruß,
Marco
Hallo Marco,
ok, fangen wir mal mit dem hier von Alfred beschriebenem an:
Du erstellst zwei Regeln mit beliebigem Namen (z. B. PPPoE_Sperre_D und PPPoE_Sperre_S) und den Protokoll-Nummern 8863 und 8864 und Aktion Pakete verwerfen.
Auf die Protokoll-Nummern kommt man über diverse Quellen oder zum Beispiel über diese beiden Postings:
http://www.lancom-forum.de/ptopic,33669 ... html#33669
http://www.lancom-forum.de/ptopic,13130 ... html#13130
Damit sollte PPPoE über WLAN nicht mehr möglich sein. Teste das mal aus.
Viele Grüße,
Jirka
ok, fangen wir mal mit dem hier von Alfred beschriebenem an:
LANconfig: Wireless-LAN -> Security -> Protokolleund das PPPoE vom WLAN her mit ein paar Filterregeln in der Protokollfiltertabelle zu unterbinden.
Du erstellst zwei Regeln mit beliebigem Namen (z. B. PPPoE_Sperre_D und PPPoE_Sperre_S) und den Protokoll-Nummern 8863 und 8864 und Aktion Pakete verwerfen.
Auf die Protokoll-Nummern kommt man über diverse Quellen oder zum Beispiel über diese beiden Postings:
http://www.lancom-forum.de/ptopic,33669 ... html#33669
http://www.lancom-forum.de/ptopic,13130 ... html#13130
Damit sollte PPPoE über WLAN nicht mehr möglich sein. Teste das mal aus.
Viele Grüße,
Jirka