 |
|
|
|
| Autor |
Nachricht |
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
 Verfasst am:
Di 30 Aug, 2005 19:44 |
  |
|
Hallo,
folgendes Szenario soll realisiert werden:
LAN --- | L54 | -- WLAN Point2Point -- | 3550 | -- WLAN-Clients
Dabei stellt der 3550 den Zugang per UMTS ins Internet her und der L54 dient ausschließlich der Anbindung des LANs an den 3550.
Es gibt eigentlich nur zwei Anforderungen:
1. Das LAN soll ungehinderten Zugriff ins Internet bekommen.
2. Die WLAN-Clients am 3550 dürfen auf keinen Fall ins LAN gelangen.
Ich hab mir jetzt schon verschieden Realisierungsmöglichkeiten überlegt. Sinnvoll erscheint auf alle Fälle, am 3550 zwei logische WLANs einzurichten - einmal für die P2P-Strecke und einmal für die WLAN-Clients. Aber wie könnte man die Trennung gemäß Anforderung 2 korrekt realisieren?
Das Erstellen einer Filterliste gemäß
http://www2.lancom.de/kb.nsf/a5ddf4817397f...amp;German
wäre wohl eine Möglichkeit. Da bin ich mir aber nicht sicher, ob trotz IP-Adressen aus dem gleichem Netz die Trennung wirklich absolut ist.
Die andere Variante wäre die Einrichtung von WLAN-Routing gemäß
http://www2.lancom.de/kb.nsf/a5ddf4817397f...amp;German
Da könnte man einfach mit Firewallregeln am L54 sämtlichen Verkehr von außen unterdrücken. Ich weiss aber nicht, ob das für diesen Fall so realisierbar ist.
Was wäre für diesen Fall die bessere Lösung - oder sollte man das eventuell ganz anders machen?
Gruß
Mario |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 31 Aug, 2005 20:06 |
|
|
Hallo,
| Zitat:
|
Das Erstellen einer Filterliste gemäß
http://www2.lancom.de/kb.nsf/a5ddf4817397f...amp;German
wäre wohl eine Möglichkeit.
|
ich hab das heute mal nach dieser Methode konfiguriert - erfüllt genau meine Anforderungen.
Eine Sache trübt jedoch die Freude: Die P2P Verbindung ist absolut instabil. In unregelmäßigen Abständen (so zwischen 5 - 30 Minuten) gehen keine Daten mehr über diese Strecke. Manchmal regeneriert sich die Verbindung nach ein paar Minuten von selber. Meist hilft aber nur ein Reset eines der beiden APs.
Die P2P Strecke ist mit 802.11b/g, Kanal 11, 802.11i-PSK AES WPA2 konfiguriert. Einer ist Master, der andere Slave. Irgendwelche andere WLANs sind nicht in der Nähe.
Bei funktionierender Verbindung habe ich im Linktest SNR-Werte von 26-27dBm und 33-34dBm an den APs (der Unterschied wird wohl durch die Richtantenne am L54 begründet sein).
Wenn die Verbindung wegbricht, wird im Linktest am L54 keine Verbindung mehr angezeigt, aber in der Zeile 'vom AP gesehen' wird immer noch der vorherige Wert des SNR angezeigt. Der Lanmonitor zeigt sich überhaupt nicht beeindruckt - dort erscheint unverändert unter P2P der Status verbunden.
Hat jemand eine Idee, wo die Ursache liegen könnte?
Gruß
Mario |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Do 01 Sep, 2005 07:54 |
|
|
Moin,
was sagt in dem Moment die Tabelle 'Status/WLAN/Interpoint/Accesspoint',
insbesondere die Werte 'Link-Phy-Signal' und 'Keying-State' auf Slave & Master?
Gruß Alfred |
|
|
 |
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 01 Sep, 2005 18:03 |
|
|
Hallo Alfred,
| Zitat:
|
was sagt in dem Moment die Tabelle 'Status/WLAN/Interpoint/Accesspoint',
insbesondere die Werte 'Link-Phy-Signal' und 'Keying-State' auf Slave & Master?
|
da stand immer noch das selbe wie bei funktionierender Verbindung drin.
Aber scheinbar hat sich das Problem in Luft aufgelöst. Beim Blick heute morgen auf den 3550 fielen mir pausenlose Einträge in der Firewall der DoS-Detection auf. Da versuchte ein Client aus dem Lan, ganze IP-Adressbereiche im Internet auf Port 135 zu kontaktieren. Seit dem die Wurmschleuder vom Netz ist, läuft die P2P Verbindung stabil.
Ich kann mir zwar nicht erklären, wo da ein technischer Zusammenhang besteht und auch nicht, warum die DoS auf ausgehende Verbindungsversuche anspricht...
Aber was soll's - jetzt funktioniert es. 
Danke und Gruß
Mario |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 01 Sep, 2005 18:59 |
|
|
Hi eddia,
| Zitat:
|
|
Ich kann mir zwar nicht erklären, wo da ein technischer Zusammenhang besteht und auch nicht, warum die DoS auf ausgehende Verbindungsversuche anspricht...
|
Die DoS-Detection springt immer an - egal ob bei abgehenden oder ankommenden Paketen. Denn letztendlich willst du ja nicht selbst zur Virenschleuder werden - bzw. im Falle eines Falles willst du es schnell mitbekommen und vor allem die Leitung freihalten. Gerade bei Volumentarifen können üble Virenschleudern teuer werden - abgesehen von möglichen Regressansprüchen der Opfer...
Gruß
Backslash |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 01 Sep, 2005 20:17 |
|
|
Hallo Backslash,
| Zitat:
|
|
Die DoS-Detection springt immer an - egal ob bei abgehenden oder ankommenden Paketen.
|
ja sorry - ich hatte bei DoS immer nur den eingehenden Datenstrom im Kopf. Wieder was gelernt.
Allerdings frag ich mich immer noch, warum dadurch der Datenverkehr über die WLAN-P2P Strecke geerdet wurde.
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
