LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 23 Apr 2018, 05:33

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 13 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 13 Jan 2018, 20:34 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Hallo zusammen,

ich bräuchte mal ein bisschen Hilfe bei einem kleinen Konfigurations-Problem mit einem Lancom Router bzw. Access Point.

Ich habe einen 1781EF+ als Router und einen L-822acn als WLAN Access Point. Auf dem 1781 gibt es drei Netze. Nennen wir sie mal A, B und C. Netz A liegt auf ETH1 (LAN1), Netz B auf ETH2 (LAN2) und Netz C auf ETH3 (LAN3). Auf ETH4 (LAN4) ist der Access Point angeschlossen.

Die Netze A, B und C sollen auch über WLAN (unterschiedliche SSIDs) verfügbar sein. Das heißt doch, dass ETH4 auf dem 1781 und ETH1 auf dem Access Point getaggt sein müssen. Sowohl auf dem Router, als auch auf dem Access Point ist das VLAN-Modul aktiviert.

Wenn ich testweise die Uplink-Ports vom Router zum Access Point nicht tagge und nur ein Netz drüber laufen lasse, kann ich z.B. vom Access Point den Router anpingen. Sobald ich jedoch die Ports wieder auf Tagging (Immer) stelle, komme ich nicht mehr auf die Gegenstelle. Ach ja, beide Geräte laufen im Bridge Mode, also nicht isoliert.

Am Routing kann es ja nicht liegen, da es (zumindest mit einem Netz) ohne Tagging funktioniert. Außerdem soll ja nicht der Accesspoint routen, sondern der Router. ;-)

Hat jemand von euch vielleicht eine Idee? Danke schon mal für eure Antworten.

LG Frank


Nach oben
 Profil  
 
BeitragVerfasst: 16 Jan 2018, 21:04 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 34
VLAN-Modul aktivieren und auf der Strecke Router <-> AP taggen ist schon mal richtig, Du musst aber die VLANs auch konfigurieren. Bin mir nicht sicher was Du schon gemacht hast, daher hier mal die wichtigsten Einstellungen auf dem Router:

Schnittstellen / LAN / Port-Tabelle: LAN-1 bis LAN-4 alle der selben Bridge-Gruppe zuordnen, z. B. BRG-2.

Schnittstellen / VLAN / VLAN-Tabelle: Für jedes Netz (A, B, C) einen Eintrag anlegen, z. B.:
Code:
VLAN-Name  VLAN-ID  Port-Liste
A          10       LAN-1, LAN-4
B          11       LAN-2, LAN-4
C          12       LAN-3, LAN-4

Schnittstellen / VLAN / Port-Tabelle: Port-IDs einstellen:
LAN-1 = Port-ID 10, LAN-2 = Port-ID 11, LAN-3 = Port-ID 12

IPv4 / Allgemein / IP-Netzwerke bzw. IPv6 / Allgemein / LAN-Schnittstellen: VLAN-ID und Schnittstelle einstellen:
Code:
Netzwerkname  VLAN-ID  Schnittstelle
A             10       BRG-2
B             11       BRG-2
C             12       BRG-2


Ich denke die Einstellungen auf dem AP kannst Du daraus ableiten.


Nach oben
 Profil  
 
BeitragVerfasst: 16 Jan 2018, 23:54 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Maurice hat geschrieben:
VLAN-Modul aktivieren und auf der Strecke Router <-> AP taggen ist schon mal richtig, Du musst aber die VLANs auch konfigurieren. Bin mir nicht sicher was Du schon gemacht hast, daher hier mal die wichtigsten Einstellungen auf dem Router:

Schnittstellen / LAN / Port-Tabelle: LAN-1 bis LAN-4 alle der selben Bridge-Gruppe zuordnen, z. B. BRG-2.

Schnittstellen / VLAN / VLAN-Tabelle: Für jedes Netz (A, B, C) einen Eintrag anlegen, z. B.:
Code:
VLAN-Name  VLAN-ID  Port-Liste
A          10       LAN-1, LAN-4
B          11       LAN-2, LAN-4
C          12       LAN-3, LAN-4

Schnittstellen / VLAN / Port-Tabelle: Port-IDs einstellen:
LAN-1 = Port-ID 10, LAN-2 = Port-ID 11, LAN-3 = Port-ID 12

IPv4 / Allgemein / IP-Netzwerke bzw. IPv6 / Allgemein / LAN-Schnittstellen: VLAN-ID und Schnittstelle einstellen:
Code:
Netzwerkname  VLAN-ID  Schnittstelle
A             10       BRG-2
B             11       BRG-2
C             12       BRG-2


Ich denke die Einstellungen auf dem AP kannst Du daraus ableiten.


Hallo Maurice,

vielen Dank. Deine Tips haben mir auf jeden Fall schon mal weitergeholfen. :D

Beruflich habe ich viel mit Netzwerken zu tun. Allerdings weniger mit Routern, sondern Switchen. Das Geräte intern mit Bridges arbeiten kenne ich, hatte aber nie damit zu tun.

Mein Fehler war wohl, dass ich die Ports in der Port Tabelle keiner Bridge Group zugeordnet hatte. Mein Gedanke war dass, wenn ich die Pakete über die Firewall routen möchte, der Port im isolierten Modus laufen muss und keiner Bridge Group zugeordnet sein darf.

Unter IPv4 / Allgemein / IP-Netzwerke habe ich den Netzen/VLANs dann die logischen Schnittstellen (LAN-1, LAN-2, etc.) zugeordnet und keine Bridge Groups.

Im Referenzhandbuch (LCOS 10.12) steht zwar einiges über das Thema, aber so richtig verständlich war das für mich nicht. Aber ich sehe schon, dass ich noch ein bisschen zu lernen habe. :wink:

Ich werde mich als nächstes mal des Themas WLAN annehmen. 8)


Nach oben
 Profil  
 
BeitragVerfasst: 17 Jan 2018, 22:19 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 34
ToshiPa hat geschrieben:
Beruflich habe ich viel mit Netzwerken zu tun. Allerdings weniger mit Routern, sondern Switchen. Das Geräte intern mit Bridges arbeiten kenne ich, hatte aber nie damit zu tun.

Die Logik finde ich da bei Lancom auch etwas gewöhnungsbedürftig. ETH 1 bis ETH 4 sind die physikalischen Ethernet-Ports, für diese ist jedoch keine direkte VLAN-Konfiguration möglich (wie das bei den meisten Switches und Routern mit integriertem Switch die Regel ist). Die VLAN-Konfiguration ist nur für logische Interfaces möglich, die wiederum einen oder mehrere Ethernet-Ports beinhalten können. Auch die Benennung ist uneinheitlich; so werden LAN-1 bis LAN-4 mal als "Interface" bzw. "Schnittstelle" und mal als "Port" bezeichnet. Sowohl IP-Pakete als auch Ethernet-Frames werden konsequent "Pakete" genannt, obwohl das nun mal gar nichts miteinander zu tun hat... :roll:

ToshiPa hat geschrieben:
Mein Fehler war wohl, dass ich die Ports in der Port Tabelle keiner Bridge Group zugeordnet hatte. Mein Gedanke war dass, wenn ich die Pakete über die Firewall routen möchte, der Port im isolierten Modus laufen muss und keiner Bridge Group zugeordnet sein darf.

Die Isolierung erfolgt hier über die unterschiedlichen VLAN-IDs.

ToshiPa hat geschrieben:
Unter IPv4 / Allgemein / IP-Netzwerke habe ich den Netzen/VLANs dann die logischen Schnittstellen (LAN-1, LAN-2, etc.) zugeordnet und keine Bridge Groups.

Da LAN-4 dann wohl keinem IP-Netzwerk zugeordnet war ist der AP abgeschnitten. Das Problem ist, dass man sowohl einem IP-Netzwerk als auch einem Ethernet-Port jeweils nur genau ein logisches Interface zuordnen kann. Wenn man nun zwei Ethernet-Ports einem IP-Netzwerk zuordnen möchte gibt es zwei Möglichkeiten:

  • Beide Ethernet-Ports (z. B. ETH 1 und ETH 4) dem selben logischen Interface zuordnen (z. B. LAN-1) und dieses wiederum dem IP-Netzwerk. Dann hat man aber keine Möglichkeit, den Ethernet-Ports individuelle VLAN-Konfigurationen zuzuweisen.
  • Die Ethernet-Ports unterschiedlichen logischen Interfaces zuordnen (z. B. ETH 1 auf LAN-1 und ETH 4 auf LAN-4). Über diesen Umweg kann man die VLAN-Konfiguration individuell für jeden Ethernet-Port vornehmen. Da man aber nur eines der logischen Interfaces (und damit nur einen der Ethernet-Ports!) dem IP-Netzwerk zuordnen kann bleibt der zweite Ethernet-Port außen vor. Der Workaround ist daher, die beiden logischen Interfaces wiederum einer gemeinsamen Bridge-Gruppe zuzuordnen und diese dem IP-Netzwerk.

Zumindest habe ich mir das so zusammengereimt. Einfachere Lösungen willkommen.

ToshiPa hat geschrieben:
Im Referenzhandbuch (LCOS 10.12) steht zwar einiges über das Thema, aber so richtig verständlich war das für mich nicht.

Ja, die Doku ist in vielen Punkten recht bescheiden. Insbesondere die KB-Artikel beziehen sich zudem oft auf ältere LCOS-Versionen. Da muss man sich vieles selbst zusammenreimen.


Nach oben
 Profil  
 
BeitragVerfasst: 18 Jan 2018, 00:15 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Hallo Maurice,

danke für Deine ausführlichen Antworten. :-)

Sie haben mir auf jeden Fall geholfen, das Mysterium Lancom etwas besser zu verstehen. ;-)


Gesendet von meinem BLA-L29 mit Tapatalk


Nach oben
 Profil  
 
BeitragVerfasst: 20 Jan 2018, 13:26 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Hallo zusammen...

Ich habe die Konfiguration jetzt mal so umgesetzt, wie von Maurice empfohlen.

Ethernet-Ports
ETH1 = LAN1
ETH2 = LAN2
ETH3 = LAN3
ETH4 = LAN4

Port-Tabelle
ETH1 - ETH4 = BRG2

VLAN-Tabelle
"Gast" / VLAN1 / LAN4
"Smarthome" / VLAN2 / LAN1 + LAN4
"Management" / VLAN3 / LAN3 + LAN4
"Heimnetz" / VLAN 4 / LAN2 + LAN4)

Port-Tabelle
LAN1 - LAN3 : "Niemals taggen" / "Alle VLANs erlauben = " "Nein" / Port-IDs "1-3"
LAN4 : "Immer getaggt" / "Alle VLANs erlauben auf "Ja" / Port-ID "Nicht relevant, da getaggt" --> Hier hängt der Access-Point

IP-Netze
"Gast" : 192.168.1.0/24 / VLAN-ID "1" / Schnittstellen-Tag "1" / BRG2
"Smarthome" : 192.168.2.0/24 / VLAN-ID "2" / Schnittstellen-Tag "2" / BRG2
"Heimnetz" : 192.168.3.0/24 / VLAN-ID "3" / Schnittstellen-Tag "3" / BRG2
"Management" : 192.168.4.0/24 / VLAN-ID "4" / Schnittstellen-Tag "4" / BRG2

IPv4 Routing Tabelle
Private Netze ins Internet sperren
Default Gateway ins Internet

Wenn ich das Schnittstellen-Tag auf "0" (Default) lasse, komme ich von jedem Netz in jedes andere. Das ist nicht gewollt. Ich möchte den Verkehr über die Firewall regeln. Also habe ich den IP-Netzen die Schnittstellen-Tags verpasst. Jetzt kann ich nur noch innerhalb des jeweiligen Netzes kommunizieren und ins Internet.

Wie bekomme ich den Traffice netzübergreifen über die Firewall geregelt? Muss ich am Routing auch noch was drehen (Routing-Tags auswerten)?

Mir raucht schon der Kopf. :G)

Danke schon mal für eure Hilfe. :M


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 16:52 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Hallo zusammen,

ich habe mein Problem leider noch nicht gebacken bekommen. Vielleicht noch ein paar Anmerkungen, die weiterhelfen können.

Wie schon erwähnt, möchte ich über die Firewall die Kommunikation innerhalb der unterschiedlchen Netze und VLANs regeln. Sind Ports in einer Bridge Group zusammengefasst, wird (laut Referenzhandbuch) ja nicht geroutet und Pakete, die nicht geroutet werden gehen auch nicht über die Firewall.

Also muss ich den Router dazu bringen, das zu tun. Aus diesem Grund habe ich ja (unter anderem) die VLAN Tags gesetzt. Jetzt macht der Router, was er soll. Er routet zwischen den Netzen und das ohne Ausnahme. Die Firewall interessiert es gar nicht (Firewall Trace). Das Firewall Regelwerk ist vorerst sehr einfach gehalten. Eine DENY-ALL Regel am Ende und dann ein paar Ausnahmen.

Ich habe dann überlegt, wie ich die Pakete über die Firewall zwinge. Da kam mir die Idee zusätzlich zu den VLANs auf den IP-Netzen Schnittstellen Tags zu setzen. Ich habe sie der Einfachkeit halber genau so benannt, wie die VLANs des jeweiligen Netzes. Jetzt wandern die Pakete alle wunderschön durch die Firewall und werden auch richtig gefiltert. Doch leider hakt es jetzt am Router. Da bekomme ich die Fehlermeldung "No Route", "Network unreachable".

Was mache ich falsch? Habe ich da vielleicht einen fatalen Denkfehler in meinen Überlegungen?

Ich würde mich freuen, wenn mir jemand vielleicht einen Tip geben könnte.


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 17:17 
Offline
Benutzeravatar

Registriert: 03 Jan 2005, 14:39
Beiträge: 4007
Wohnort: Ex-OPAL-Gebiet
Hi,

in den Regeln in der Firewall, den den Zugriff auf andere lokale Netze erlauben, musst Du dann auch das Routing-Tag des Zielnetzes setzen, sonst passt das nicht.

Viele Grüße,
Jirka

_________________
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 19:40 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Jirka hat geschrieben:
Hi,

in den Regeln in der Firewall, den den Zugriff auf andere lokale Netze erlauben, musst Du dann auch das Routing-Tag des Zielnetzes setzen, sonst passt das nicht.

Viele Grüße,
Jirka


Hallo Jirka,

so ganz verstehe ich nicht, was Du meinst. Auf welchen Lösungsansatz beziehst Du Dich? Auf den, wo ich mit VLAN Tags arbeite und die Schnittstellen Tags auf "0" stehen oder die, wo ich zusätzlich zu den VLAN Tags die Schnittstellen Tags gesetzt habe?

Und eine "0" in den Firewallregeln oder im Router bedeutet doch, dass der Eintrag für alle Netze gilt.

Es gibt zum Beispiel ein Regel, dass mein Laptopn in alle Netze darf. Wie kann ich da in der Firewall nur "ein" Routing Tag des Zielnetzes eintragen? Und die Firewall kommt doch in der Reihenfolge vor dem Routing, oder?


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 19:48 
Offline
Benutzeravatar

Registriert: 03 Jan 2005, 14:39
Beiträge: 4007
Wohnort: Ex-OPAL-Gebiet
Ich beziehe mich auf den Lösungsansatz, wo Du zusätzlich zu den VLAN Tags die Schnittstellen-Tags gesetzt hast. Denn die Schnittstellen-Tags bewirken eine Netztrennung (wenn man keine Deny-All-Regel hat), nicht die VLAN-Tags.

_________________
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 20:02 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
Jirka hat geschrieben:
Ich beziehe mich auf den Lösungsansatz, wo Du zusätzlich zu den VLAN Tags die Schnittstellen-Tags gesetzt hast. Denn die Schnittstellen-Tags bewirken eine Netztrennung (wenn man keine Deny-All-Regel hat), nicht die VLAN-Tags.


Okay.... ja, die Schnittstellen Tags habe ich gesetzt, damit die Netze getrennt sind. In der Firewall trifft auch die passende Regel zu.

Code:
[Firewall] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
Packet matched rule ALLOW_MANAGEMENT
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc

test next filter (no matching route)

[Firewall] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
Packet matched rule DENY_ALL
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc

packet rejected

[IP-Router] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
IP-Router Rx (LAN-3, MANAGEMENT, RtgTag: 100):
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc
Filter (Port)

[ICMP] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
ICMP Tx (LAN-3, MANAGEMENT): Dest-IP: 192.168.100.10: Destination unreachable (Host unreachable)
original packet:
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc


Aber der Router findet dann die jeweiligen Zielnetze nicht. Hmm.... :|


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 21:16 
Offline

Registriert: 19 Aug 2014, 22:41
Beiträge: 309
Für "Heimnetzwerk"-internen Datenverkehr sollte die Firewallregel wie folgt aussehen:
Code:
Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Zielnetzwerk>


Für "Internetverkehr" (Default-Route) sollte die Firewallregel wie folgt aussehen:
Code:
Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Quellnetzwerk>


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jan 2018, 22:51 
Offline

Registriert: 15 Mai 2017, 21:59
Beiträge: 8
GrandDixence hat geschrieben:
Für "Heimnetzwerk"-internen Datenverkehr sollte die Firewallregel wie folgt aussehen:
Code:
Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Zielnetzwerk>


Für "Internetverkehr" (Default-Route) sollte die Firewallregel wie folgt aussehen:
Code:
Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Quellnetzwerk>


Hallo GrandDixence, hallo Jirka .... DANKE :D Das war der entscheidende Tip. Danke auch an alle anderen, die mir bei der Lösung geholfen haben.

Ich dachte eine Firewall Regel mit Tag "0" gilt für alle Netze. Eine Regel wie zum Beispiel "Laptop mit IP xyz, Quell-Tag 0 und Routing Tag 0 darf in Netz A, B und C" geht hier wohl nicht. Ich brauche, wie ich das jetzt verstanden habe, drei Regeln:

    "Laptop mit Quell-ID 1 darf in Netz A mit Routing Tag 2"
    "Laptop mit Quell-ID 1 darf in Netz B mit Routing Tag 3"
    "Laptop mit Quell-ID 1 darf in Netz C mit Routing Tag 4"

Anstatt eines ganzen Netzes kann ich natürlich auch eine einzelne IP oder einen Bereich innerhalb dieses Netzes nehmen.

Ich muss mir das jetzt noch ein bisschen verinnerlichen und mir, mit den neuen Erkenntnissen im Hinterkopf, die Kapitel im Handbuch nochmals reinziehen. Die Philosophie, die hinter den Lancom Routern steckt, ist durchaus etwas anders als das, mit dem ich sonst zu tun habe.


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 13 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. VLAN Guest Access on 2nd Access Point

g.idone

2

731

13 Mai 2014, 21:10

g.idone Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Gast Zugang WLAN ROuter und Access Point

Hans3003

0

709

19 Dez 2015, 10:12

Hans3003 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. WLAN Fehler 1781 VAW / Frage Access Point

Hans3003

0

554

18 Jan 2017, 07:46

Hans3003 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Mehrere IP's auf gleichem Uplink ?

P4killer

13

1050

24 Jun 2014, 05:42

hartmuta Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. WLAN-Gastzugangs ohne Nutzung einer Port-based VLAN

marcusd

12

1215

06 Feb 2017, 12:35

Pothos Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group