WLAN nur, wenn IP über DHCP bezogen wird

Anmeldungsdatum: 02.03.2011 Beiträge: 1

Hallo,

wir setzen den WLC-4006 mit der Public-Spot Version ein, der WLAN Zugang ist offen und nicht verschlüsselt und landet bei uns in einer Firewall DMZ.
Die PC´s bekommen dann vom WLC über DHCP eine IP Adresse mit der Gateway IP des WLC.
Im WLC ist eine Standard-Router hinterlegt die auf unsere Firewall zeigt.
Wenn ich jetzt im Internet Serven möchte, bekomme ich vom WLC ein Anmeldefenster wo ich Benutzer und PW der Voucher eintragen kann und alles ist gut.

Nun mein Problem: Wenn sich jetzt einer auf seiner WLAN Netzwerkkarte eine feste IP vergibt und als Standard Gateway die Firewall einstellt, geht er am WLC mit der Voucher Anmeldung vorbei !!!!!

Nun mein Wunsch, der WLC läßt nur PC´s in sein WLAN den er auch über DHCP eine IP Adresse, vergeben hat. Kann man das einstellen ?

Vielen Dank

Gruß Bulle

Anmeldungsdatum: 21.03.2011 Beiträge: 6

Hallo,

genau das ist auch mein Problem.

Hat denn niemand eine Idee, wie das zu bauen ist ????

Viele Gruesse

Lupi007

Anmeldungsdatum: 13.03.2011 Beiträge: 17

Das müsste sich eigentlich über TCP/IP BootP regeln lassen.

Ich zweckentfremde das z.B. um bestimmten WLAN Stationen (Musikserver, Multimediaplayer, bestimmte Laptops - Authentifizierung über MAC Adresse) via DHCP immer die gleiche IP Adresse zuzuweisen.

Wenn Du also hier einen Netzwerknamen für das WLC eingibst, müsstest Du trotz fester IP auf dem WLC landen - damit müsste auch das Anmeldeformular zwangsweise ausgeführt werden.
Man müsste natürlich den Bereich für die festen IP Adressen entsprechend mit MAC Filter versehen ... alleine das müsste sogar schon reichen um das Problem zu beheben.
Nachteil ist natürlich, das man erstmal alle MAC Adressen der fest zugelassenen Maschinen in den MAC Filter eintragen müsste und für den Rest eine Radius Authentifizierung einrichtet.

Hoffe, mein Lösungsansatz ist brauchbar - würde mich selbst interessieren.

Gruß Sven

Anmeldungsdatum: 21.03.2011 Beiträge: 6

arcticwolf hat folgendes geschrieben:

Nachteil ist natürlich, das man erstmal alle MAC Adressen der fest zugelassenen Maschienen in den MAC Filter eintragen müsste und für den Rest eine Radius Authentifizierung einrichtet.

Vielen Dank für Deine Idee - ist aber bei uns leider nicht praktikabel: Ich kenne nicht alle MAC-Adressen Crying or Very sad

Anmeldungsdatum: 13.03.2011 Beiträge: 17

Dann fällt mir leider nichts besseres ein - sorry

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi

in den Filtern der LAN/WLAN-Bridge (Wireless-LAN -> Security -> Protokolle) gibt es den Punkt "Per DHCP zugewiesene IP". Wenn du dort "nein" einträgst, als Aktion "Paket verwerfen" auswählst und ansonsten alles andere leer läßt, dann sollte genau das passieren, was du willst: Pakete von Stationen, die ihre Adresse nicht über DHCP erhalten haben, werden verworfen

Gruß
Backslash

Anmeldungsdatum: 21.03.2011 Beiträge: 6

Hallo Backslash

Das hört sich wirklich vielversprechend an ... leider finde ich in der Config diesen Punkt nicht. Sad

Kannst Du mir bitte sagen, wo genau

backslash hat folgendes geschrieben:

Filtern der LAN/WLAN-Bridge (Wireless-LAN -> Security -> Protokolle)

zu finden ist ???!!!

Wir haben ein WLC-4006 mit Firmware 8.00.0221RU2.

Vielen Dank

Lupi007

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi Lupi007

Zitat:

Wir haben ein WLC-4006 mit Firmware 8.00.0221RU2.

die Einstellung ist in den APs zu finden und nicht im WLC. Damit der WLC das einschalten kann, mußt du ein Script erstellen, das der WLC an den AP sendet. Dazu erstellst du am besten auf einem AP diesen Filter mit LANconfig (und dort halt wie angegeben unter Wireless-LAN -> Security -> Protokolle).

Danach lädst du das Script mit LANconfig aus dem Gerät heraus (rechtsklick auf das Gerät und dann ->Konfigurationsverwaltung -> Als Sckrip-Datei sichern). Im Datei-Dialog trägst du unter "Nur ausgewählte Sektionen herunterladen" "/setup/lan-bridge/protocol-table" ein. Dieses Script speicherst du auf einem WEB-Server dessen URL du dem WLC unter WLAN-Controller -> AP-Update -> Script-URL mitteilst. Das eigentliche Script weist du den APs über einen Eintrag unter WLAN-Controller -> AP-Update -> Script-Management zu

Gruß
Backslash

Anmeldungsdatum: 21.03.2011 Beiträge: 6

Hallo Backslash

Vielen Dank für Deine schnelle Hilfe - auf die Idee mit der Konfiguration im AP und Script-Ex-/Import wäre ich nie gekommen.

Ich muss aber nochmal nachfragen - sorry:

Wenn ich unter "Wireless-LAN -> Security -> Protokolle" einen neuen Eintrag mit "Per DHCP zugewiesene IP = nein" erstelle und in der Interface-Liste mein WLAN-1 angebe, dann bekommt der Client nicht mal mehr per DHCP seine IP-Adresse (der Filter funktioniert zu gut) ...

Hast Du eine Idee, warum wieso .... ????

Vielen Dank

Lupi007

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

ganz so einfach ist die Sache nicht. Du brauchst in den
Protokollfiltern mindestens 3 Regeln auf dem Interface
WLAN-1:

(1) ARP zulassen (Protokoll = 0806, Pakete übertragen,
alles andere auf Defaults lassen)
(2) DHCP/BOOTP zulassen (Protokoll = 0800, Untertyp = 17,
Anfangsport = 67, Anfangsport = 68, Pakete übertragen.
alles andere auf Defaults lassen)
(3) Alles von MAC-Adressen durchlassen, die sich eine
IP-Adresse per DHCP geholt haben (Protokoll = 0000,
per DHCP zugewiesene IP = ja, Pakete übertragen,
alles andere auf Defaults lassen).

Wenn das alles funktioniert, sollten in der CLI bzw. WEBconfig->
LCOS-Menübaum unter Status->LAN-Bridge->DHCP-Table
die Clients auftauchen, die sich eine Adresse per DHCP
geholt haben - das LANCOM liest durch die dritte Regel
das DHCP quasi 'mit'.

Gruß Alfred

Anmeldungsdatum: 21.03.2011 Beiträge: 6

@ backslash
@ alf29

Vielen Dank für Eure Hilfe - ich hab die Konfiguration inzwischen auf einem AP lauffähig.

Jetzt muß ich "nur noch" das Script per Webserver bzw. WLC für allle APs verteilen....

Viele Grüße

Lupi007