Fehler bei GAST-LAN Config

[alehof]

Hallo zusammen,
ich versuche derzeit, bei einem bestehenden Netzwerk ohne VLAN an einem Lancom-Router ein Gast-LAN bereitzustellen. Ziel ist es, Gästen Zugang über die Ethernet-Ports 3 und 4 sowie über WLAN (2,4 GHz und 5 GHz) zu ermöglichen. Dazu habe ich folgende Schritte unternommen:
• Über die Schnittstellenverwaltung wurden ETH3 und ETH4 auf LAN-4 gelegt.
• Die logischen WLANs 1-2 und 2-2 wurden eingerichtet und aktiviert.
• Im Port-Tabelle habe ich LAN-4 + WLANs 1-2 + WLAN 2-2 der Bridge-Gruppe BRG-2 zugewiesen.
• Ein neues IP-Netzwerk wurde erstellt: Intranet | VLAN-ID 0 | BRG-2 | Schnittstellentag 1.
• Ein DHCP-Server ist für das Gast-LAN eingerichtet.


Das Problem ist, dass das Gast-LAN nicht funktioniert. Ich kann aber vom Gastnetz das Standardgateway nicht anpingen und habe somit keinen Zugang ins Internet. Die betroffenen Ports und WLANs erhalten zwar eine IP-Adresse vom DHCP-Server, aber die Verbindung endet am Gateway.
Hat jemand eine Idee, wo der Fehler in meiner Konfiguration liegen könnte
Vielen Dank für jeden Hinweis!

Router: LANCOM 1800VAW mit 10.80.0450

[Dr.Einstein]

Laut deiner Beschreibung passt zumindest alles, ggf. fehlt noch eine passende Default-Route in der Routing-Tabelle für das Tag 1. Falls diese nicht vorhanden ist, greift aber auch eine Default Route mit dem Tag 0.

Benutzt du eine Public Option auf dem Router? Ansonsten noch einmal zur Sicherheit die Frage: Mit du kannst das Gateway nicht anpingen meinst du die IP-Adresse des Lancoms, die du unter "Ein neues IP-Netzwerk wurde erstellt: Intranet | VLAN-ID 0 | BRG-2 | Schnittstellentag 1." eingetragen hast? Das wäre echt merkwürdig, zumal du keinerlei VLAN aktiv hast.

Du könntest einmal von einem Gastclient einen Dauerping auf die neue Routeradresse starten. Parallel loggst du dich via SSH oder LanTracer auf den Lancom ein und startest

Code: Alles auswählen

trace # eth @ <Quell IP des nicht funktionierenden Rechners>
z.B. trace # eth @ 10.1.1.10

Da müsste mindestens etwas ankommen.

Hinweis am Rand: 10.80.0450 ist völlig outdated. Bitte auf min. 10.80.1166-RU13 hochziehen.

[alehof]

Eine falsche Einstellung habe ich noch gefunden und zwar war auf Ethernet Port 4 der {Private-Mode} auf Yes. Ich habe das geändert aber konnte das noch nicht testen da der betroffene Standort remote ist.
Könnte diese Einstellung das generelle Problem verursacht haben? Kurios ist nur das es auch über WLAN nicht funktioniert hat!

[Jirka]

Nein, das generelle Problem könnte der Private-Mode nicht verursacht haben. Der Private-Mode bewirkt, dass die Kommunikation zwischen ETH-4 und den anderen Ports, die der gleichen logischen Schnittstelle zugeordnet sind, unterbunden wird, im konkreten Fall also zwischen ETH-4 und ETH-3.

Ansonsten: DHCP nur anschalten, keine weiteren Einstellungen. Auf Deny-All-Firewall-Regel prüfen. Default-Route prüfen, wie Dr. Einstein schon gesagt hat, also ob auch mit Routing-Tag 0.

Ist der LANCOM der Haupt-Router, oder ist da noch einer vorgeschaltet?

P. S.: Du hattest mich doch angerufen am Abend vor Deinem Posting hier, oder nicht? Wobei da war es nur ETH-4, aber ansonsten passt alles. Das Telefonat war dann plötzlich zu Ende, ein Rückruf meinerseits schlug fehl. Und die Konfiguration hattest Du mir auch nicht geschickt... Die Welt ist klein - habe ich heute gerade wieder erlebt...

[alehof]

Hallo Jirka, nein – mit dem Anruf das bin ich nicht

Ich habe gerade nochmal die Config geprüft und die sieht gut aus.

Hier die Routing Tabelle:

Code: Alles auswählen

#    IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment                                                         
#    ===========================================================----------------------------------------------------------------------------------------------------------------------
add  192.168.0.0      255.255.0.0      0        0              {Peer-or-IP}  "0.0.0.0"             {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "block private networks: 192.168.x.y"
add  172.16.0.0       255.240.0.0      0        0              {Peer-or-IP}  "0.0.0.0"             {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "block private networks: 172.16-31.x.y"
add  10.0.0.0         255.0.0.0        0        0              {Peer-or-IP}  "0.0.0.0"             {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "block private network: 10.x.y.z"
add  255.255.255.255  0.0.0.0          0        0              {Peer-or-IP}  "T-CLSURF"            {Distance}  0        {Masquerade}  on         {Active}  Yes     {Comment}  ""

Das Problem was ich habe, ich komme nur remote an den Lancom und kann das auch nicht wirklich aus dem Gast-LAN heraus testen.
Gibt es eine Möglichkeit das auch Remote zu prüfen?

[Jirka]

Also die Routing-Tabelle sieht gut aus, DHCP-Einstellungen noch mal geprüft? Firewall ohne Deny-All-Regel?
Dass Du aus dem Gast-Netz heraus nicht den LANCOM-Router (unter seiner IP-Adresse im Gastnetz) anpingen konntest, ist schon eigenartig und in der Regel durch falsche DHCP-Einstellungen hervorgerufen (irgendein Vertipper reicht schon). Man muss da die Felder wie schon geschrieben nicht füllen, der LANCOM macht dann alles nach bestem Wissen aus den Einstellungen in den IP-Netzwerken.

Remote kann man sich natürlich nicht als WLAN-Client im Gastnetzwerk ausgeben. Aber tracen, wie von Dr. Einstein beschrieben, kann man schon und damit alles analysieren, wenn irgendjemand mit irgendeinem Client vor Ort sich mit dem Gastnetz verbindet. In der Regel versucht der Client ja dann ins Internet zu gehen. Eigentlich ist das hier noch ein übersichtlicher Fall, da alles nur über ein einziges Gerät geht und VLAN nicht im Spiel ist. In der Regel schaut man sich also ordentlich die Konfig an, ob alles passt und dann tut es das normal auch. Dazu muss ich also nicht vor Ort sein.