Isolierter Modus - ARP zwischen LAN u. WLAN trotzdem möglich

[Killerjoe]

Hallo,

ich habe ein Problem mit einem Lancom 1781EW, WLAN und einem externen DHCP Server (Netgear GSM7328S).
Ich habe auf dem Netgear Layer 3 Switch einen DHCP Server auf VLAN 101 eingerichtet und mit dem Port 4 des Lancom verbunden.
Auf dem Lancom ist der Port 4 als LAN-4 eingerichtet und dem VLAN 101 zugeordnet.
Als WLAN verwende ich das WLAN1-4, welches ebenfalls dem VLAN 101 zugeordnet ist.
Die VLAN Porteinstellungen sind wie folgt, LAN Port 4 gemischt PVID 101 und WLAN1-4 gemischt PVID 101.
Für die DHCP Zuweisung wurde ein IP-Interface WLAN_SHARED mit IP 192.168.101.250, Subnetzmaske 255.255.255.0 und VLAN 101 eingerichtet.
Es ist eine DHCP Weiterleitung für das WLAN_SHARED auf den Netgear mit der IP-Adresse 192.168.101.254 eingerichtet, um von diesem die IP-Adresse per DHCP zu erhalten.

Der Lancom Router läuft im isolierten Modus.

Ich habe es soweit geschafft, dass der externe DHCP Server (Netgear) einem Client (Galaxy S4) im WLAN1-4 die IP Adresse, Subnetzmaske usw. zuweist. Jedoch kann dieser im Anschluss keine Verbindung ins Internet oder LAN aufbauen.

Ich habe mit trace # arp folgende Meldungen bekommen:

[ARP] 2015/01/07 21:57:57,260
ARP RX (LAN-4, WLAN_SHARED): ARP-REQ
SrcIp=192.168.101.254 @ 00:18:4d:2d:91:75 (Netgear 2d:91:75)
DstIp=192.168.101.3 @ 00:00:00:00:00:00 (Xerox 00:00:00)
Response discarded

[ARP] 2015/01/07 21:58:07,682
ARP RX (LAN-4, WLAN_SHARED): ARP-REQ
SrcIp=192.168.101.254 @ 00:18:4d:2d:91:75 (Netgear 2d:91:75)
DstIp=192.168.101.3 @ 00:00:00:00:00:00 (Xerox 00:00:00)
Response discarded


Soweit ich gelesen habe, kommt dies wahrscheinlich daher, dass durch den isolierten Modus des Routers keine Bridge zwischen LAN und WLAN existiert. Ist dies nun der Grund für die Meldung "Response discarded"?

Ist es möglich im isolierten Modus des Lancom Routers eine ARP Auflösung zu ermöglichen oder ist dies grundsätzlich nicht möglich?

Als Ziel hinter der Aktion steckt, dass ich einen zentralen DHCP Server (Netgear) habe und dieser meinen beiden Lancom Routern (ich habe noch einen 1811-N) für einen Client immer die gleiche IP-Adresse zuweist und diese dann über IAPP zwischen den beiden Routern ausgetauscht werden, damit es möglich ist vom EG ins DG zu gehen, ohne mitten in einer WLAN Verbindung eine neue IP-Adresse zugewiesen zu bekommen und z. B. einen Videochat neu starten zu müssen.

Ich hoffe meine Fragen sind verständlich und mir kann geholfen werden.

Vielen Dank und Gruß
Jochen

[alf29]

Moin,

diese Meldungen kommen nicht von der LAN-WLAN-Bridge, sondern vom ARP-Modul im IP-Stack des LANCOM selber. ARP-Requests sind Broadcasts und unabhängig davon, ob das Bridging zwischen LAN und WLAN erlaubt ist oder nicht, läuft eine Kopie dieser ARP-Requests auch den IP-Stack im LANCOM selber 'hoch'. 'Response discarded' bedeutet einfach, daß das LANCOM die angefragte IP-Adresse selber nicht hat und deswegen den ARP-Request nicht beantwortet.

Gruß Alfred

[Koppelfeld]

Als Ziel hinter der Aktion steckt, dass ich einen zentralen DHCP Server (Netgear) habe und dieser meinen beiden Lancom Routern (ich habe noch einen 1811-N) für einen Client immer die gleiche IP-Adresse zuweist

Das geht mit der DHCP-Relay - Funktion des LANCOM erfreulich einfach, definiere für alle Deine LANs auf den LANCOMs DHCP-Netzwerke mit der Option "Weiterleiten". Ziel ist dann natürlich Dein zentraler Netgear-Server.

[Killerjoe]

Hallo und vielen Dank für Eure Antworten,

@alf29
Ok, der Lancom selbst kennt diese IP-Adresse nicht, jedoch ist der Lancom mit dem Interface von WLAN1-4 und LAN-4 im gleichen VLAN 101, in welchem er den ARP auflösen könnte. Warum tut er dies nicht?
Wenn ich in den Bridge Mode wechsle und den DHCP Server von WLAN1-4 entferne bekomme ich auch den ARP über das VLAN 101 über den Netgear aufgelöst und die Kommunikation funktioniert. Ich möchte jedoch nicht in den Bridge Mode wechseln, sondern den gesamten Verkehr über den Router führen.
Kann ich den Lancom im isolierten Modus nicht dazu bekommen einen ARP Request (Layer 2 Broadcast) durch das gesamte VLAN 101 zu senden?

@Koppelfeld
Ok, ich werde dies beim zweiten WLAN auf dem 1811n probieren, sobald das Problem mit dem nicht durchgängigen Layer 2 Broadcast über das VLAN 101 im isolierten Router Modus gefunden ist. Freut mich, dass dies damit einfach geht.
Mir fällt dazu noch ein, dass ich ein Problem hatte den DHCP Server mit dem Netgear zum laufen zu bringen, da der Lancom immer seine Server-ID in den DHCP Request gesetzt hat und dann der Netgear kein DHCP Acknowledge gesendet hatte, weil er seine Server-ID erwaretet. Ich habe dann die Option 54 noch hinzugefügt und seitdem funktioniert es soweit, dass der Netgear dem WLAN Client eine IP-Adresse zuweist. Ist dies so normal, dass der Lancom bei einer Weiterleitung immer seine Interface Adresse in den DHCP Request einsetzt und nicht die DHCP Offer Server ID nimmt?

Danke und Gruß
Jochen

[Bernie137]

Moin,

Ich möchte jedoch nicht in den Bridge Mode wechseln, sondern den gesamten Verkehr über den Router führen.

Broadcasts werden immer durch einen Router begrenzt, also niemals weitergeleitet!

vg Bernie

[Koppelfeld]

Mir fällt dazu noch ein, dass ich ein Problem hatte den DHCP Server mit dem Netgear zum laufen zu bringen, da der Lancom immer seine Server-ID in den DHCP Request gesetzt hat und dann der Netgear kein DHCP Acknowledge gesendet hatte, weil er seine Server-ID erwaretet.

Das kann der Lancom durchaus tun, denn er verhält sich gegenüber den Clients wie ein DHCP - Server. Er sammelt die Broadcasts ein und fordert per Unicast auf dem Referenzserver die Konfigurationsdaten an.
Das ist Deine einzige Chance, Broadcasts zu "routen" - von so widerwärtigen Pfuschereien wie "Proxy-ARP" einmal abgesehen.
Deswegen hat mir "NETBEUI" seinerzeit auch so gut gefallen: Weil man es nicht routen konnte, blieben die Microsoft-Proleten schön allein oder aber qua "MSN" unter ihresgleichen.

Im Moment allerdings hat Lancom das DHCP-Relay verkackt, sobald Du noch ein paar Zusatzoptionen mitgeben willst, empfehle ich die Version 9.0.258 zu nehmen und nicht das aktuelle Elendsrelease mit einer 84 als Build-ID.

[cpuprofi]

Hallo Koppelfeld,

...
Im Moment allerdings hat Lancom das DHCP-Relay verkackt, sobald Du noch ein paar Zusatzoptionen mitgeben willst, empfehle ich die Version 9.0.258 zu nehmen und nicht das aktuelle Elendsrelease mit einer 84 als Build-ID.

hast du diesbezüglich schon mal die 9.04.0091 (laut Backslash gefixed) ausprobieren können?

Grüße
Cpuprofi

[Killerjoe]

Hallo

@Bernie
Mir ist klar, dass Broadcasts grundsätzlich nicht von einem Router übertragen werden, nur dachte ich, dass durch die durchgängige VLAN Konfiguration 101 eine ARP Auflösung möglich sein sollte.
Dies bedeutet aber, dass man generell keinen externen DHCP Server für die WLAN Netze an einem Lancom im isolierten Router Modus betreiben kann und meine Konstellation nicht funktionieren wird?
Kann mir dann vielleicht jemand erklären, wie ich ein WLAN mit gleicher SSID (z.B. Lancom) auf zwei Lancom Routern (1781EW und 1811n) betreiben kann und ein WLAN Client beim Wechsel von einem Router zum anderen (z. B. Handy wird von EG in DG bewegt) weiter mit der gleichen IP-Adresse betrieben werden kann und es zu keinem Abbruch eines laufenden Videochats kommt?
Den genau dies ist mein Ziel, welches ich versuche mit der oben genannten Konfig zu erreichen.

@Koppelfeld
Danke für die Antwort, jedoch klappt dann ohne setzen von Optionen keine DHCP Server Verbindung. Ist dies so beabsichtigt?

Danke und Gruß
Jochen

[Dr.Einstein]

Hey Killerjoe,

verstehe überhaupt nicht dein Problem. Wozu nutzt du überhaupt nen Isolationsmodus, wenn du doch mit VLANs arbeitest. Mach einfach alle Interface etc. in separate VLANs, so du es denn brauchst. DHCP ist Broadcast, verbreitet sich also bei korrekter Konfiguration auch zB von WLAN-1-2 auf LAN-2. DHCP Relay im eigenen Netzwerk ist total an der Zielstellung vorbei. Was dein Roaming angeht, auch das geht automatisch bei korrekter VLAN Konfiguration.

Gruß Dr.Einstein

[Killerjoe]

Hi Dr. Einstein,

ok, mein Problem ist, dass ich mich erst seit kurzem mit dem Thema Routing beim Lancom beschäftige und gerade am herausfinden bin, was wie machbar ist.
Ich wollte den Isolationsmodus benutzen, um den gesamten Verkehr über den Router zu leiten und dort mit QoS und Firewall arbeiten zu können. Absicht ist über kurz oder lang den Verkehr vom WLAN nur auf bestimmte LAN Bereiche und das Internet zu erlauben und den Rest zu blocken. Erst mit einer VPN Verbindung kommt man dann an die inneren Netze heran.

Nun hatte ich also den isolierten Modus am Laufen und habe mich gefragt, ob es irgendwie möglich ist, dass meine Kommunikation auf dem Weg funktioniert. Ich wollte wissen, ob ich den isolierten Modus für meine Zwecke vergessen und mir die Zeit sparen kann, den Ihr habt mehr Erfahrung mit den Lancom Routern als ich.
So wie es mir scheint funktioniert der isolierte Modus für mein Szenario nicht und ich sollte auf den Bridge Modus wechseln und dort versuchen meine Vorstellungen umzusetzen.

Auf die Idee mit den separaten VLANs bin ich auch gekommen, wollte aber eben den Isolationsmodus dafür nutzen und wusste nicht, ob dies so funktionieren kann, deshalb auch der DHCP Relay, da ohne diesen im Isolationsmodus keine DHCP Anfragen vom Netgear durchkommen.

Danke für die Hilfe!

Gruß
Jochen

[Koppelfeld]

Moinsen !

hast du diesbezüglich schon mal die 9.04.0091 (laut Backslash gefixed) ausprobieren können?

Wollen ja, können nein. Der Support ließ sich zwei Wochen Zeit, bis überhaupt eine Rückmeldung kam (telephonisch war überhaupt keiner erreichbar), sodann wurde ich beschieden, es gebe keine neuere Version. Warum ein Downgrade auf die Vorversion nicht möglich war (ALL-IP benötigt), das vermochte ich dem jungen Mann nicht begreiflich zu machen.
Im Moment ist da wirklich der Wurm drin mit dem Support.

[Koppelfeld]

Ich wollte den Isolationsmodus benutzen, um den gesamten Verkehr über den Router zu leiten und dort mit QoS und Firewall arbeiten zu können.

Eigentlich ist der "Isolationsmodus" Standard, bei den größeren Modellen hat man vernünftigerweise auf die LAN-Bridge verzichtet. Ein Router ist ja auch kein Switch.

Der Router wiederum wird nur tätig auf Layer 3, d.h., wenn Du auf zwei unterschiedlichen Interfaces Geräte im gleichen Subnetz hast, dann werden die nie miteinander kommunizieren, weil der Router ja gar nicht engagiert wird: Ein sendendes Gerät schickt eine ARP-Anfrage 'raus, welche prompt nicht beantwortet wird, weil das Gerät auf dem anderen Interface die nicht mitbekommt und daher nicht antwortet.

[Bernie137]

Moin,

Mir ist klar, dass Broadcasts grundsätzlich nicht von einem Router übertragen werden, nur dachte ich, dass durch die durchgängige VLAN Konfiguration 101 eine ARP Auflösung möglich sein sollte.

Warum machst Du es dann trotzdem?

Dies bedeutet aber, dass man generell keinen externen DHCP Server für die WLAN Netze an einem Lancom im isolierten Router Modus betreiben kann und meine Konstellation nicht funktionieren wird?

Hat Dir Koppelfeld ja geschrieben, mit DHCP Relay.

ok, mein Problem ist, dass ich mich erst seit kurzem mit dem Thema Routing beim Lancom beschäftige

Routing ist Routing, Broadcasts werden nun mal nicht geroutet.

Ich wollte den Isolationsmodus benutzen, um den gesamten Verkehr über den Router zu leiten und dort mit QoS und Firewall arbeiten zu können. Absicht ist über kurz oder lang den Verkehr vom WLAN nur auf bestimmte LAN Bereiche und das Internet zu erlauben und den Rest zu blocken. Erst mit einer VPN Verbindung kommt man dann an die inneren Netze heran.

Puhh, ganz schön kompliziert, dafür dass es ein Homenetz ist.

Du hast VLANs. Mach es doch einfach, wie Dr. Einstein schrieb: 2 VLANs sind interne Netze, alles gebridged und mach noch ein zusätzliches 3. VLAN meinetwegen für Gäste oder was auch immer, auch alles gebridged. Aber alle 3 VLANs laufen am zentralen Router zusammen und dort in der Firewall regelst die Zugriffe untereinander. Du schaffst Dir zusätzlich Stress, wenn Du an jedem AP extra eine Firewall und dann noch pro VLAN konfigurieren willst.

vg Bernie