 |
|
|
|
| Autor |
Nachricht |
widescreen
Anmeldungsdatum: 11.10.2011
Beiträge: 4
|
 Verfasst am:
Di 11 Okt, 2011 16:11 |
  |
|
Hallo miteinander,
vorab schon mal sorry, aber meine Konstellation ist etwas komplizierter.
Folgende Situation: Ich habe eine große Windows-Domäne mit DHCP-Server mit Festverbindung ins Internet (10.x.x.x IP-Adresse).
Außerdem existiert ein separater DSL-Anschluss, an dem ein 1721+ hängt. Über den laufen Spezialanwendungen in einem 192er-Netz (192.168.1.x, DHCP aktiviert). Der ist komplett unabhängig verkabelt, kein Kontakt bisher zur Windows-Domäne.
Nun kommt ein L-321agn hinzu. Dieser steht in einem anderen Gebäude, so dass ich diesen nicht direkt auf einen Port des 1721 patchen kann. Es muss also die vorh. Switch-Infrastruktur genutzt werden, in der auch die Windows-Domäne hängt.
Dieser AP soll dort ebenfalls den DSL-Zugang bereitstellen. Allerdings ohne den eingewählten Clients Kontakt zum IP-Bereich der Domäne zu ermöglichen.
Ich habe es nun soweit geschafft, dass es beinahe funktioniert. Im Normalfall bekommen die Clients eine 192er-Adresse zugewiesen, können auch surfen etc. Nur eben nicht IMMER.
Immer wieder bekommen Clients Kontakt zum DHCP der Windows-Domäne und erhalten entsprechende 10.x.x.x-Adressen.
Folgendes habe ich eingerichtet:
Ich habe am 1721+ ein separates LAN2 (192.168.2.1) eingerichtet und dem ETH2 zugeordnet. Phys. getrennt von den anderen. Diesen ETH2 habe ich mit der Infrastruktur der Windows-Domäne verbunden. Im anderen Gebäude steht nun der L-321agn. Der hat die 192.168.2.2 bekommen. DHCP ist aktiviert, aber nicht für LAN sondern nur für WLAN, da er ja sonst mit dem DHCP des Windows-Servers kollidieren würde.
Wähle ich mich nun über den AP ein, bekomme ich meistens eine IP aus dem 192er-Bereich. Doch manchmal bekommen Clients (Notebook, Smartphone) plötzlich 10er-Adressen. Und das obwohl der DHCP im AP aktiv ist. Woran kann das liegen? Eigentlich sollte der doch die Anfragen als Erster abgreifen!
Ich hab schon diverses versucht (z.B. LAN-Bridge-Einstellungen verändert), aber jedes Mal ging danach der Internet-Zugang nicht o.ä.
Wo sollte ich ansetzen? Kann ich z.B. an der Firewall des AP einfach die DHCP-Anfragen der WLAN-Clients blocken, dass die gar nicht ins LAN gehen?
Danke vorab. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Di 11 Okt, 2011 19:38 |
|
|
Hi widescreen
| Zitat:
|
|
Wo sollte ich ansetzen? Kann ich z.B. an der Firewall des AP einfach die DHCP-Anfragen der WLAN-Clients blocken, dass die gar nicht ins LAN gehen?
|
die Firewall ist der falsche Ansatzpunkt, da sie nur greift, wenn acuh gerotet wird. In deinem Fall arbeitet der AP aber als Bridge. Daher mußt du in den Protokoll-Filtern des WLANs eingreifen (Wireles-LAN -> Security -> Protokolle). Dort trägst du folgenden filter ein, der DHCP auf dem LAN-Interface blockt:
| Code:
|
Name: Block DHCP
Paket-Bedingungen
Protokoll: 0800
Untertyp: 17
Anfangs-Port: 67
EndPort: 68
Routen-Bedingungen
Interface-Liste: LAN-1
Aktion:
(*) Pakete verwerfen
|
damit sollten dann nur Adreßzuweisungen nur vom DHCP-Server im AP erfolgen, denn auf dem LAN werden alle DHCP-Pakete durch den Filter blockiert.
Gruß
Backslash |
|
|
|
|
widescreen
Anmeldungsdatum: 11.10.2011
Beiträge: 4
|
| Verfasst am:
Mo 17 Okt, 2011 12:41 |
|
|
Danke für die Info, backslash. Das hilft teilweise.
Allerdings hat das üble Folgen. Schon nach dem Upload der Konfig kann der AP nicht mehr über LAN konfiguriert werden, LANconfig findet ihn nicht mehr. Übers WLAN komme ich dann zwar drauf, aber LANmonitor zeigt mir nur noch ein rotes Ausrufezeichen. Da wird irgendwie zuviel blockiert.
Muss ich evtl. bei Netzwerk-IP u. Netzmaske im Protokollfilter noch was eintragen? Aktuell stehen bei mir jew. 0.0.0.0 drin. |
|
|
|
|
widescreen
Anmeldungsdatum: 11.10.2011
Beiträge: 4
|
| Verfasst am:
Mo 17 Okt, 2011 12:51 |
|
|
Was noch viel schlimmer wiegt: Nach Eintrag des Filters erreiche ich auch den Router über WLAN nicht mehr, Internet ist also ebenfalls blockiert. Sobald ich den Filter rausnehme, gehen Ping zum Router und Internet wieder. |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mo 17 Okt, 2011 14:07 |
|
|
Moin,
sobald in den Protokollfiltern eine Regel für ein Interface
definiert ist, gilt für alle Pakete, die auf keine Regel passen,
eine Default-Drop-Regel. Wer also ein Filter in dem
Sinne 'alles bis auf...' haben will, muß neben den Filterregeln
eine Default-Pass-Regel erstellen.
Gruß Alfred |
|
|
 |
|
widescreen
Anmeldungsdatum: 11.10.2011
Beiträge: 4
|
| Verfasst am:
Mo 17 Okt, 2011 14:19 |
|
|
Bingo, das war es! Habe eine Regel angelegt, bei der alle Optionen leer bzw. auf 0 sind für das LAN-1 u. auf Übertragen. Diese dann mit höherer Prio als die Deny-Regel. Dann klappt es.
Vielen Dank!  |
|
|
|
|
|
|
|
|
| |
|
|
