Hallo!
Ich habe bei meinem 1821+ drei logische WLAN-Netze eingerichtet.
Die erste Funkzelle (LANCOM-1) ist verschlüsselt mit WPA2/PSK-TKIP/AES
Die zweite Funkzelle (LANCOM-2) ist verschlüsselt WEP128-TKIP
Die dritte Funkzelle (LADEN-GAST) ist offen, allerdings Broadcast unterdrücken AN.
WPA-Methode steht überall auf WPA1/2
SSID: LANCOM-2
SSID-Broadcast unterdrücken: AUS
MAC-Filter aktiviert: AN
Client-Bridge-Unterstützung: JA
Broadcastgeschwindigkeit: 2 Mbit/s
Daten von den aufgeführten Stationen übertragen...
-> Rest ist auf Standard
DHCP an, obwohl feste IPs nach Macadresse eingetragen sind.
DNS-Server aktiviert: Eigene Domäne : Laden.intern
DNS-Filter: keiner gesetzt
Bei TCP/IP - IP-Netzwerke habe ich folgedes:
Netzwerkname: IP-Adresse -- Netzwerktyp -- Schnittstelle -- TAG
1 Intranet -- 192.168.123.254 -- Intranet -- BRG-1 -- 0
2 DMZ -- 0.0.0.0 -- DMZ -- beliebig -- 0 (keine DMZ)
3 LADEN-GAST -- 192.168.123.254 -- Intranet -- WLAN-1-3 -- 1
1.Frage: Wie finde bei den anzuschließenden Geräten heraus welche Art
der Client-EAP-Methode ich benutzen soll? TLS,TTLS (diverse),
PEAP/MSCHAPV2??? Wann und wie wird das abgefragt?
2.Frage: Obwohl ich bei 'LANCOM-2' ja den MAC-Filter aktiviert habe, den Schlüssel 1/Passphrase richtig gesetzt habe (13 numerische Zeichen), kann ich mich mit meinem PDA (Loox720) zwar verbinden, komme aber nicht ins Internet, geschweige denn zu den anderen Stationen im LAN (Intranet, Lan-1 bis Lan-4, ebenfalls BRG-1 und TAG 0). Der Fehler lautet immer: Assoziierung abgelehnt.
Mit meinem Telefon (Nokia) funktionieren alle Verbindungen (Funknetze) wie sie sollen. Was habe ich eventuell übersehen? Leider kann der PDA nur WEP. Im ungeschützten WLAN-Netz (WLAN-1-3) funktioniert der PDA (Internet), nur komme ich (gewollt) so auch nicht in mein Intranet
3.Frage: WLAN-1-3 (der ungeschützte) soll NUR die Ports 80 und 110 durchlassen.
Alles andere soll gesperrt bleiben für die alle die sich dort einloggen.
Ich habe bis jetzt noch KEINE Regeln selbst gesetzt.
Kann mir bitte jemand mit einer Regel schon mal diese Baustelle dicht machen?
Ich weiß, es gibt bei einem neu konfigurierten Gerät viele Lücken die ich
noch stopfen muss. Bislang habe ich für mein Intranet alle Clients per
MAC-Adresse und statischer IP angemeldet, damit wenigstens dort alles läuft.
Danke schon einmal im vorweg an alle die sich Gedanken machen,
Jan
1821+: Fragen zu WLAN-Verschlüsselungen
Moderator: Lancom-Systems Moderatoren
Moin,
benutzbar, und bei WPA gibt es kein WEP mehr...
LANCOM selber als WLAN-Client betrieben wird. Und Da
Du auf keiner SSID 802.1x eingerichtet hat, ist das so oder
so irrelevant.
Verschlüsselungseinstellungen. Leider ist mir noch nicht
klar, ob jetzt WEP oder WPA benutzt wird...
Gruß Alfred
Das gibt es so nicht. TKIP ist nur in Zusammenhang mit WPADie zweite Funkzelle (LANCOM-2) ist verschlüsselt WEP128-TKIP
benutzbar, und bei WPA gibt es kein WEP mehr...
Diese Einstellung auf demLANCOM gilt nur, wenn das1.Frage: Wie finde bei den anzuschließenden Geräten heraus welche Art
der Client-EAP-Methode ich benutzen soll? TLS,TTLS (diverse),
PEAP/MSCHAPV2??? Wann und wie wird das abgefragt?
LANCOM selber als WLAN-Client betrieben wird. Und Da
Du auf keiner SSID 802.1x eingerichtet hat, ist das so oder
so irrelevant.
Die wahrscheinlichste Erklärung sind unpassende2.Frage: Obwohl ich bei 'LANCOM-2' ja den MAC-Filter aktiviert habe, den Schlüssel 1/Passphrase richtig gesetzt habe (13 numerische Zeichen), kann ich mich mit meinem PDA (Loox720) zwar verbinden, komme aber nicht ins Internet, geschweige denn zu den anderen Stationen im LAN (Intranet, Lan-1 bis Lan-4, ebenfalls BRG-1 und TAG 0). Der Fehler lautet immer: Assoziierung abgelehnt.
Verschlüsselungseinstellungen. Leider ist mir noch nicht
klar, ob jetzt WEP oder WPA benutzt wird...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hi Janniman
kein Problem... Dazu brauchst du nur zei Regeln in der Firewall:
Gruß
Backslash
3.Frage: WLAN-1-3 (der ungeschützte) soll NUR die Ports 80 und 110 durchlassen.
Alles andere soll gesperrt bleiben für die alle die sich dort einloggen.
Ich habe bis jetzt noch KEINE Regeln selbst gesetzt.
Kann mir bitte jemand mit einer Regel schon mal diese Baustelle dicht machen?
kein Problem... Dazu brauchst du nur zei Regeln in der Firewall:
Code: Alles auswählen
Name: GAST-ALLOW
Aktion: übertragen
Quelle: lokales Netz: LADEN-GAST
Ziel: alle Stationen
Dienste: TCP, Zielports 80, 110
Name: GAST-DENY
Aktion: Zurückweisen
Quelle: lokales Netz: LADEN-GAST
Ziel: alle Stationen
Dienste: alle DiensteBackslash
Hallo Alfred!
Ich bin (leider) davon ausgegangen was mir im Übersichtsfenster vor dem Dialog angezeigt wird.
Eingestellt ist LANCOM-2:
WEP128(104bit)
Verschlüsselung: Haken
Schlüssel 1/ Passphrase: 1234567890123 (Beispiel)
Authentifizierung: Open-System
Standardschlüssel: Schlüssel 1
Für den Client (PDA) im Lancom:
Macadresse: (korrekt eingegeben)
Name: Jan_Loox
Passphrase optional: 1234567890123
TX-Bandbreitenbegrenzung: 0
RX-Bandbreitenbegrenzung: 0
Kommentar: Jans Loox720
VLAN-ID: 0
Im PDA:
Authentifizierung: Öffnen (Öffnen,Freigegeben,WPA,WPA-PSK)
Datenverschlüsselung: WEP
Netzwerkschlüssel: 1234567890123
Schlüsselindex: 1
Im Anhang der PDA, wenn er im 'LANCOM-2' eingebucht werden soll. Sieht gut aus, aber der PDA trennt nach ein paar Sekunden die Verbindung immer. Leider holt sich der PDA da keine IP ab. Auch wenn ich die IP etc. manuell im PDA vergebe, dann zeigt der LAN-Monitor diese nicht an.
Zumindest im GAST-WLAN (ohne jede Art der Verschlüsselung) komme ich rein und kann die Verbindung halten. Nur kommen da die Regeln ins Spiel... Abgesehen davon kann ich vom Gastzugang ja nicht in mein Intranet.
Darunter die Meldung, wenn er (oder das Nokia) sich im GAST-WLAN einbuchen und versuchen Seiten aufzurufen.
Entschuldige das ich zu doof erscheine. Ich hoffe mein Lernziel noch zu erreichen...
Ciao,
Jan
Danke für die Antwort.alf29 hat geschrieben: Die wahrscheinlichste Erklärung sind unpassende
Verschlüsselungseinstellungen. Leider ist mir noch nicht
klar, ob jetzt WEP oder WPA benutzt wird...
Ich bin (leider) davon ausgegangen was mir im Übersichtsfenster vor dem Dialog angezeigt wird.
Eingestellt ist LANCOM-2:
WEP128(104bit)
Verschlüsselung: Haken
Schlüssel 1/ Passphrase: 1234567890123 (Beispiel)
Authentifizierung: Open-System
Standardschlüssel: Schlüssel 1
Für den Client (PDA) im Lancom:
Macadresse: (korrekt eingegeben)
Name: Jan_Loox
Passphrase optional: 1234567890123
TX-Bandbreitenbegrenzung: 0
RX-Bandbreitenbegrenzung: 0
Kommentar: Jans Loox720
VLAN-ID: 0
Im PDA:
Authentifizierung: Öffnen (Öffnen,Freigegeben,WPA,WPA-PSK)
Datenverschlüsselung: WEP
Netzwerkschlüssel: 1234567890123
Schlüsselindex: 1
Im Anhang der PDA, wenn er im 'LANCOM-2' eingebucht werden soll. Sieht gut aus, aber der PDA trennt nach ein paar Sekunden die Verbindung immer. Leider holt sich der PDA da keine IP ab. Auch wenn ich die IP etc. manuell im PDA vergebe, dann zeigt der LAN-Monitor diese nicht an.
Zumindest im GAST-WLAN (ohne jede Art der Verschlüsselung) komme ich rein und kann die Verbindung halten. Nur kommen da die Regeln ins Spiel... Abgesehen davon kann ich vom Gastzugang ja nicht in mein Intranet.
Darunter die Meldung, wenn er (oder das Nokia) sich im GAST-WLAN einbuchen und versuchen Seiten aufzurufen.
Entschuldige das ich zu doof erscheine. Ich hoffe mein Lernziel noch zu erreichen...
Ciao,
Jan
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von Janniman am 27 Feb 2009, 13:56, insgesamt 1-mal geändert.
Hallo Backslash!
Mich hat es verwundert, Deine Regeln haben beim Netzwerk den Wert 'LADEN-GAST'.
Unter 'TCP/IP|IP-Netzwerke' gibt es ja das Netzwerk: GAST-WLAN, allerdings hat es die SSID: 'LADEN-GAST'. versuche ich nun den Netzwerknamen auf 'GAST-WLAN' zu ändern, damit SSID und Netzwerkname identisch sind, dann kommt dies:
Meldung des Gerätes:
FAILURE
Abbruch verursachendes Konfigurations-Element:
TCP/IP / DHCP / DHCP-Client/Server / DHCP-Netzwerke / Netzwerkname
SNMP-ID dieses Konfigurations-Elements:
1.2.10.20.2.1
Fehlerhafter Wert:
GAST-WLAN
Darauf hin habe ich die SSID auf 'GAST-WLAN' umgestellt, damit Netzwerk und SSID beides auf 'GAST-WLAN'. Nun bei den Regeln mit 'GAST-WLAN' -> wird akzeptiert.
Bei GAST-ALLOW:
wie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
Dienste:
TCP,UDP (brauchen anscheinend z.B. mein Telefon, PDA)
Quell-Port:leer
Ziel-Ports:53,80,110 Bei GAST-DENY:
wie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
-> GAST-DENY steht vor GAST-ALLOW
... irgend etwas habe ich falsch gemacht!?
Gehe ich nun mit den Geräten ins Internet, dann kann ich zwar eine Seite aufrufen, aber recht schnell hakt es irgendwo in der DNS-Auflösung. Daran zu erkennen, weil der PDA den eingegebenen DNS Server aufruft (mit gleichem Ergebnis). Die Firewall meldet leider für alle mobilen Geräte, mit denen ich versucht habe mich in das Internet zu begeben:
GAST-DENY - UDP-Paket von 192.168.123.2:xxxxx nach 192.168.254:53 - Paket zurückgewiesen
(192.168.123.2=Telefon) wobei xxxxx immer verschiedene Ports sind.
Im Bild bei meiner Nachricht an Alfred kann man sehen was ich meine.
Vielen Dank für die schnelle Antwort mit den Regeln. Vor genau diesen Regeln habe ich den größten Respekt!
Ciao,
Jan
Mich hat es verwundert, Deine Regeln haben beim Netzwerk den Wert 'LADEN-GAST'.
Unter 'TCP/IP|IP-Netzwerke' gibt es ja das Netzwerk: GAST-WLAN, allerdings hat es die SSID: 'LADEN-GAST'. versuche ich nun den Netzwerknamen auf 'GAST-WLAN' zu ändern, damit SSID und Netzwerkname identisch sind, dann kommt dies:
Meldung des Gerätes:
FAILURE
Abbruch verursachendes Konfigurations-Element:
TCP/IP / DHCP / DHCP-Client/Server / DHCP-Netzwerke / Netzwerkname
SNMP-ID dieses Konfigurations-Elements:
1.2.10.20.2.1
Fehlerhafter Wert:
GAST-WLAN
Darauf hin habe ich die SSID auf 'GAST-WLAN' umgestellt, damit Netzwerk und SSID beides auf 'GAST-WLAN'. Nun bei den Regeln mit 'GAST-WLAN' -> wird akzeptiert.
Code: Alles auswählen
Name: GAST-ALLOW
Aktion: übertragen
Quelle: lokales Netz: LADEN-GAST
Ziel: alle Stationen
Dienste: TCP, Zielports 80, 110wie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
Dienste:
TCP,UDP (brauchen anscheinend z.B. mein Telefon, PDA)
Quell-Port:leer
Ziel-Ports:53,80,110
Code: Alles auswählen
Name: GAST-DENY
Aktion: Zurückweisen
Quelle: lokales Netz: LADEN-GAST
Ziel: alle Stationen
Dienste: alle Dienstewie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
-> GAST-DENY steht vor GAST-ALLOW
... irgend etwas habe ich falsch gemacht!?
Gehe ich nun mit den Geräten ins Internet, dann kann ich zwar eine Seite aufrufen, aber recht schnell hakt es irgendwo in der DNS-Auflösung. Daran zu erkennen, weil der PDA den eingegebenen DNS Server aufruft (mit gleichem Ergebnis). Die Firewall meldet leider für alle mobilen Geräte, mit denen ich versucht habe mich in das Internet zu begeben:
GAST-DENY - UDP-Paket von 192.168.123.2:xxxxx nach 192.168.254:53 - Paket zurückgewiesen
(192.168.123.2=Telefon) wobei xxxxx immer verschiedene Ports sind.
Im Bild bei meiner Nachricht an Alfred kann man sehen was ich meine.
Vielen Dank für die schnelle Antwort mit den Regeln. Vor genau diesen Regeln habe ich den größten Respekt!
Ciao,
Jan
Hi Janniman
Dazu hast du die "rauf und runter" Buttons (Priorität +/-) in der Regelliste... Du kannst die Priorität natürlich aus manuell vergeben, wobei gilt: je höher die Priorität, desto höher steht die Regel in der Liste
Gruß
Backslash
natürlich, denn du schriebst, daß das Netz so heißt:Mich hat es verwundert, Deine Regeln haben beim Netzwerk den Wert 'LADEN-GAST'.
Du mußt den Namen für das Netz angeben, der unter TCP/IP in der Netzwerkliste steht3 LADEN-GAST -- 192.168.123.254 -- Intranet -- WLAN-1-3 -- 1
Wie willst du es nun umbenennen von LADEN-GAST nach GAST-WLAN oder umgekehrt? Aber egal: du mußt alle Stellen berücksichtigen, an denen du das Netz eingetragen hast: DHCP-Server, NetBIOS-Proxy, DNS-Server etc, denn das LANCOM lehnt die Konfig ab, wenn ein Netz referenziert wird, das nicht existiert. Da das Netz nun offenbar GAST-WLAN hieß, solltest du es auch weiterhin so benennen und in den Firewallregeln statt LADEN-GAST als Name GAST-WLAN verwenden.Unter 'TCP/IP|IP-Netzwerke' gibt es ja das Netzwerk: GAST-WLAN, allerdings hat es die SSID: 'LADEN-GAST'. versuche ich nun den Netzwerknamen auf 'GAST-WLAN' zu ändern, damit SSID und Netzwerkname identisch sind, dann kommt dies:
Meldung des Gerätes:
FAILURE
Abbruch verursachendes Konfigurations-Element:
TCP/IP / DHCP / DHCP-Client/Server / DHCP-Netzwerke / Netzwerkname
SNMP-ID dieses Konfigurations-Elements:
1.2.10.20.2.1
Fehlerhafter Wert:
GAST-WLAN
Die Werte einfach so lassen, wie sie im Default sind, also kein Häkchen bei "Weitere Regeln beachten, nachdem diese Regel zutrifft" und natürlich ein Häkchen bei "Diese Regel hält die Verbindungszustände nach"Bei GAST-ALLOW:
wie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
siehe obenBei GAST-DENY:
wie von Dir beschrieben, aber...
dazu 'Weitere Regeln beachten, nachdem diese Regel zutrifft'
dazu 'Diese Regel hält die Verbindungszustände nach'
-> GAST-DENY steht vor GAST-ALLOW
... irgend etwas habe ich falsch gemacht!?
Dazu hast du die "rauf und runter" Buttons (Priorität +/-) in der Regelliste... Du kannst die Priorität natürlich aus manuell vergeben, wobei gilt: je höher die Priorität, desto höher steht die Regel in der Liste
stimmt: du brauchst natürlich noch eine Regel, die DNS zuläßt, entweder allgemein oder nur für das Gast-Netz, wenn dein Intranet alles darf:Gehe ich nun mit den Geräten ins Internet, dann kann ich zwar eine Seite aufrufen, aber recht schnell hakt es irgendwo in der DNS-Auflösung. Daran zu erkennen, weil der PDA den eingegebenen DNS Server aufruft (mit gleichem Ergebnis). Die Firewall meldet leider für alle mobilen Geräte, mit denen ich versucht habe mich in das Internet zu begeben:
Code: Alles auswählen
Name: ALLOW-DNS
Quelle: alle Stationen im lokalen Netz
Ziel: alle Stationen
Dienste: UDP, Zielport 53Backslash
Hallo Backslash!
Danke Dir! Nun läuft wenigstens der Gastzugang.
Das ich die Startseite des Routers erreiche ist aber normal? Da bekomme ich mit einfachen Versuchen zwar kein Login aber ich frage lieber noch mal. Für den Router habe ich alle Konfigurationsmöglichkeiten für WLAN auf 'Nur VPN' gesetzt, da ich ja selbst eventuell mal über WLAN noch hinein muss.
Vielen Dank vorerst! Ich befürchte mit den Regeln werde ich irgendwann noch mal nerven müssen. Spätestens, wenn ich mal die Zeit habe ein VPN-Zugang aufzubauen.
Liebe Grüße,
Jan
Klar, das habe ich versemmelt, aber nun begriffen. Danke.backslash hat geschrieben:natürlich, denn du schriebst, daß das Netz so heißt
Code: Alles auswählen
Name: ALLOW-DNS
Quelle: alle Stationen im lokalen Netz
Ziel: alle Stationen
Dienste: UDP, Zielport 53Das ich die Startseite des Routers erreiche ist aber normal? Da bekomme ich mit einfachen Versuchen zwar kein Login aber ich frage lieber noch mal. Für den Router habe ich alle Konfigurationsmöglichkeiten für WLAN auf 'Nur VPN' gesetzt, da ich ja selbst eventuell mal über WLAN noch hinein muss.
Vielen Dank vorerst! Ich befürchte mit den Regeln werde ich irgendwann noch mal nerven müssen. Spätestens, wenn ich mal die Zeit habe ein VPN-Zugang aufzubauen.
Liebe Grüße,
Jan