 |
|
|
|
| Autor |
Nachricht |
OliverR
Anmeldungsdatum: 08.07.2005
Beiträge: 2
|
 Verfasst am:
Fr 08 Jul, 2005 22:56 |
  |
|
Hallo,
es gibt einen ähnlichen Threat hier, in dem ein L-54ag als einfacher Accesspoint benutzt werden soll.
Ich würde es gerne etwas komplezierter haben.
Also ich habe ein kleines Netz, mit einem DSL-Router. In dieses Netz soll auch der L-54ag, nur sollen die Klients an dem Accesspoint nicht auf das LAN zugreifen können.
Soweit ich das verstanden habe, muss ich dann die Bridge abschalten und routing machen.
Aber dann bekomme ich es nicht hin, das ich ins Internet komme.
Kann mir da jemand etwas auf die Sprünge helfen, was ich für eine Route erstellen muss und welche einträge ich beim GW und DNS eintragen muss.
Gruß
Oliver |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 09 Jul, 2005 00:54 |
|
|
Hi Oliver,
gehe mal davon aus, das das Routing klappt, Stichworte: Assi-> kein Land->PlainEthernet.
Route für Privates Netz überprüfen, die darf nicht 0.0.0.0 sein.
Viel wichtiger ist:
Wenn der LAN-Anschluss auch als WAN genutzt wird, wie soll dann erstmal theoretisch eine Kommunikation unterbunden werden?
Meine Idee war VLAN, aber da kenne ich mich nicht aus.
Ich habe genau so ein Routing eingerichtet, um das WLAN Netz vom LAN abzuschirmen. Es soll lediglich vom WLAN ins Internet (über einen extra Router) ermöglicht werden.
Das schöne dabei ist, dass man die Firewall dazwischen hat.(Bandbreitenmanagement)
Nur als der AP per DHCP immer wieder ins LAN gefunkt hat musste ich feststellen, das die Trennung doch nicht so strikt ist, wie ich sie gerne hätte.
Vielleicht weiß hierzu jemand eine Lösung.
Gruß
Michael |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Sa 09 Jul, 2005 01:31 |
|
|
Moin,
eventuell reicht es, bei den Protokollfiltern für WLAN eine Regel zu definieren, die
die MAC-Adresse des DSL-Routers enthält, des weiteren noch eine Regel für
ARP-Broadcasts.
Gruß Alfred |
|
|
 |
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 09 Jul, 2005 02:06 |
|
|
Hi Alfred, danke für die Antwort,
ich dachte die Protokollfiler sind zwschen WLAN und LAN gültig.
Das Problem tritt aber zw. LAN und der transparenten Verbindung(IPoE) auf.
Ideal wäre wenn der AP die Kommunikation nur über die IPoE abwickeln könnte.
Nochmal kurz das Problem:
AP(routing)<-LAN->Router(DHCP)<-DSL->Internet
Alle Clients am AP sollen ins Internet, über den DSLzugang am Router. Aber alle Clients, die sich am AP anmelden sollen nichts vom LAN mitbekommen bzw. das LAN nicht stören können.-Eben völlig getrennt vom LAN sein.
Eigentlich funktioniert die Trennung mittels Routing und Firewall ganz gut. Das Problem ist dass ich an der strikten Trennung zweifle, wenn ein am AP eingeschalteter DHCP immer wieder im LAN Störungen verursacht bzw. falsche IPs vergibt.
Wenn jetzt ein Client am WLAN die LAN Adressen eingibt könnte er vielleicht auch aufs LAN zugreifen. Das scheint mir etwas unsicher zu sein, weil ich nicht weiß was der AP sonst noch durchlässt.
Könnten die Routing Optionen
a)Entfernte Stationen mit Proxy-ARP einbinden
b)Pakete im lokalen Netz weiterleiten
hier eine Rolle spielen?
Gruß
Michael |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 09 Jul, 2005 09:44 |
|
|
Hallo Michael,
| Zitat:
|
|
Das Problem ist dass ich an der strikten Trennung zweifle, wenn ein am AP eingeschalteter DHCP immer wieder im LAN Störungen verursacht bzw. falsche IPs vergibt.
|
na ja, der DHCP liegt ja außerhalb des IP-Router Moduls und wird somit wohl auch nicht durch die Firewall beeinflusst.
Du könntest ja mal versuchen, den DCHP im AP nur auf das WLAN zu beschränken.
| Zitat:
|
|
Wenn jetzt ein Client am WLAN die LAN Adressen eingibt könnte er vielleicht auch aufs LAN zugreifen.
|
Welche Firewall-Regeln hast Du konfiguriert?
Gruß
Mario |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 09 Jul, 2005 10:23 |
|
|
Hallo Oliver,
| Zitat:
|
|
Kann mir da jemand etwas auf die Sprünge helfen, was ich für eine Route erstellen muss und welche einträge ich beim GW und DNS eintragen muss.
|
Hab ich zwar noch nicht gemacht, aber ich versuchs mal:
Als erstes lässt Du am AP den Assistenten für den Internetzugang durchlaufen. Dort Plain Ethernet (IPoE) auswählen. Bei den IP-Parametern gibst Du als IP-Adresse eine freie Adresse aus dem LAN ein, Subnetmask wie im LAN verwendet. Als Gateway kommt Dein DSL-Router rein, als DNS eben das, was auch die Clients im LAN verwenden.
Dann musst Du dem AP für sein WLAN einen eigenen IP-Adressbereich verpassen (TCP/IP -> Intranet-IP). Die WLAN Clients müssen dann ebenfalls IP-Adressen aus diesem Bereich besitzen. Wenn die IPoE Verbindung maskiert bleibt, sollten jetzt die WLAN-Clients schon ins Internet kommen.
Um den Zugriff vom WLAN ins LAN (bis auf den DSL-Router) zu verhindern, muss man erst eine Regel erstellen, die sämtlichen Verkehr ins LAN unterbindet und als weiteres eine Regel, die sämtlichen Verkehr zum DSL-Router erlaubt.
Das sollte es eigentlich gewesen sein...
Gruß
Mario |
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 09 Jul, 2005 10:35 |
|
|
Hi Mario,
| Zitat:
|
na ja, der DHCP liegt ja außerhalb des IP-Router Moduls und wird somit wohl auch nicht durch die Firewall beeinflusst.
Du könntest ja mal versuchen, den DCHP im AP nur auf das WLAN zu beschränken.
|
Genau das möchte ich, kannst du mir bitte sagen, wie ich das einstellen kann. Dann könnte ich endlich auch im WLAN DHCP aktivieren.
| Zitat:
|
Welche Firewall-Regeln hast Du konfiguriert?
|
| Code:
|
Name Prot. Quelle Ziel Aktion verknuepft Prio Activ Stateful
BLOCKLAN ANY ANYHOST %A192.168.2.2-192.168.2.255 %Lgds0 %R %N nein 2 ja nein
ALLOW_ALL ANY %A192.168.5.0 %M255.255.255.0 ANYHOST %Lcds0 %A %N nein 0 nein ja
|
Wahlweise kann ich die Bandbreite regulieren, wenn das LAN vom WLAN beeinflusst wird: %Lgds1024 %D %N (bei 128kB verwerfen)
192.168.2.1 ist der Ausgangsrouter im LAN.
Ich sehe gerade, die ALLOW_ALL war garnicht aktiviert.
Vielleicht kann alle Kummunikation doch über die FW unterbunden werden.
-> Wie teste ich ob alle Kommunikation unterbunden wird funktioniert?
Soll ich noch eine DENY_ALL Regel hinzufügen? Hilft das was?
| Code:
|
|
DENY_ALL ANY ANYHOST ANYHOST %Lcds0 %R %N nein 0 ja ja
|
Danke
Michael |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 09 Jul, 2005 10:52 |
|
|
Hallo Michael,
| Zitat:
|
|
Genau das möchte ich, kannst du mir bitte sagen, wie ich das einstellen kann. Dann könnte ich endlich auch im WLAN DHCP aktivieren.
|
geht nur im Webinterface: Setup -> DHCP -> Ports.
| Zitat:
|
Code:
Name Prot. Quelle Ziel Aktion verknuepft Prio Activ Stateful
BLOCKLAN ANY ANYHOST %A192.168.2.2-192.168.2.255 %Lgds0 %R %N nein 2 ja nein
|
ok - so kann man das natürlich auch machen. Die Allow_All Regel ist eigentlich überflüssig, wenn Du kein Deny_All konfiguriert hast.
Gruß
Mario |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Sa 09 Jul, 2005 11:21 |
|
|
Moin,
| Zitat:
|
Ich dachte die Protokollfiler sind zwschen WLAN und LAN gültig.
Das Problem tritt aber zw. LAN und der transparenten Verbindung(IPoE) auf.
|
Ich hatte das so verstanden, daß nur die Anforderung bestand, daß die WLAN-
Clients mit niemand anders im LAN 'reden' können als mit dem DSL-Router, das
hätte man so auch ohne Einsatz des Routers bzw. DSLoL erreichen können.
| Zitat:
|
Ideal wäre wenn der AP die Kommunikation nur über die IPoE abwickeln könnte.
|
Dafür stellt man das DSLoL-Interface in den Exklusivmodus, der Nachteil davon
ist aber, daß man das L-54 dann auch vom LAN her nicht mehr konfigurieren
kann, wenn die DSLoL-Verbindung gerade nicht aktiv ist. Und im Router muß
man dann immer noch passende Firewall-Regeln definieren.
Gruß Alfred |
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 09 Jul, 2005 11:23 |
|
|
Hi Mario,
ich habe die Allow_ALL eigentlich nur vorbereitet, damit ich die WLAN Pakete "greifen" kann, wenn sie im LAN Stören. (Block/Reduzierung...)
Jetzt habe ich die DENY_ALL hinzugefügt und den DHCP im LAN deaktiviert.
Meinst du das WLAN und LAN sind damit sicher getrennt?
Danke für den profi DHCP-Tip
Michael |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 09 Jul, 2005 13:12 |
|
|
Hallo Michael,
| Zitat:
|
|
Meinst du das WLAN und LAN sind damit sicher getrennt?
|
da ich DSLoL nicht benutze, kann ich das praktisch nicht überprüfen.
Aber Du... 
Gruß
Mario |
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Sa 09 Jul, 2005 13:17 |
|
|
Hi Mario,
klar würde ich es gerne überprüfen, aber wie?
Etherreal habe ich drauf, wenn das was nützt?
Denn als ich zu überprüfung die LAN IPs vom WLAN aus (und umgekehrt) nicht ansprechen konnte war ich davon ausgegengen, dass das Netz dicht ist.
Pustekuchen, der wilde DHCP-Server hat mich eines besseren belehrt.
Danke
Michael |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 09 Jul, 2005 13:33 |
|
|
Hallo Michael,
| Zitat:
|
|
klar würde ich es gerne überprüfen, aber wie?
|
bei deny_all reicht da eigentlich schon ein ping. Ansonsten mit einem Portscanner prüfen.
| Zitat:
|
Denn als ich zu überprüfung die LAN IPs vom WLAN aus (und umgekehrt) nicht ansprechen konnte war ich davon ausgegengen, dass das Netz dicht ist.
Pustekuchen, der wilde DHCP-Server hat mich eines besseren belehrt.
|
Ich hatte Dir doch schon gesagt, das die Pakete des DHCP nicht über die Firewall laufen. Das hat also nichts mit der Erreichbarkeit des LANs aus dem WLAN zu tun.
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
