Ping blockiert / nicht mehr möglich, wenn Public Spot an ist

[Jirka]

Hallo zusammen,

gegeben ist ein LANCOM-Router mit Firmware größer gleich 9.10-RU5. Dieser hat zwei lokale Netze konfiguriert. An ihm angeschlossen ist (hinter Switchen) ein LANCOM-AP mit ebenfalls diesen Netzen. Man kann nun den AP vom Router aus sowohl in dem einen Netz (Intranet), als auch in dem anderen Netz (Gastnetz) anpingen. Schaltet man nun den Public Spot auf dem Gastnetz an (im Router), d. h. bindet ihn an das Interface des Gastnetzes, dann kann man den AP im Gastnetz nicht mehr anpingen. Es scheint keine Antwort mehr zu kommen. Schaut man sich das Ganze genauer an, sieht man, dass im Ethernet-Trace ordnungsgemäß das Echo-Reply kommt, der Router das aber ignoriert! Wieso ist das so? Habe ich was nicht mitbekommen? Da mir unerklärlich ist, was das Ignorieren des Pings bringt, gehe ich hier eher von einem Bug aus. Ebenso antwortet der Router nicht mehr, wenn man vom AP aus den Router anpingt. (Der AP ist in dem Moment so eine Art Public-Spot-Benutzer.) Was soll das? Backslash schreibt hier im Forum gebetsmühlenartig, dass das Nichtantworten auf einen Ping Quatsch ist, aber der LANCOM macht das?! Und mich kostet das 6 Stunden bis ich endlich festgestellt habe, warum der Ping blockiert wird? (Man muss dazu sagen, dass die Konfig im konkreten Fall viel komplexer ist, als hier zum leichteren Verständnis angegeben.) Also nach meinem Verständnis ist es hinderlich, wenn das Anpingen des Routers von den Clients im Public Spot ignoriert wird und noch viel schlimmer, wenn man vom Router selber aus nicht mehr pingen kann, so werden einem wichtige Mittel genommen, die man zur Fehlerdiagnose braucht.

Vielen Dank und viele Grüße,
Jirka

[Dr.Einstein]

Hallo Jirka,

das ist aber schon ewig so (kann mich zurück an die 7.60 mit PB erinnern). Deswegen mache ich immer ein Management VLAN von der AP drin ist, und ein VLAN für die PB Spot Sache. Sinn beim Ping unterdrücken, kA, schätze das war das einfachste, um die Sicherheit zu Gewährleisten ohne große Klimmzüge in der Programmierung zu machen?

Gruß Dr.Einstein

[Jirka]

Hallo Dr. Einstein,

danke, so mache ich es ja auch, das Intranet dient hier als Management-VLAN. Im Gastnetz hat der AP ja nur mal (temporär) eine IP zum anpingen bekommen, damit ich sicherstellen kann, dass ich VLAN-mäßig durch die Switche gekommen bin (Gastnetz getaggt, Intranet ungetaggt) und HotSpot-Clients dann auch wirklich eine Verbindung zum Router haben.

Viele Grüße,
Jirka

[alf29]

Moin,

für das Public-Spot-Modul im Router ist eine MAC-Adresse wie die andere, egal ob das die MAC des APs ist oder eines daran angemeldeten Clients. Will heißen, solange die MAC-Adresse des APs nicht im Public Spot als 'angemeldet' geführt wird, wird nur die begrenzte Menge von Protokollen und Diensten durchgelassen, die eben für unangemeldete Clients zugelassen ist. Daß die Pings Richtung AP rausgehen, liegt daran, daß der Public-Spot-Filter nur in Rx-Richtung greift, das genügt, um unangemeldeten Clients keinen Traffic zu gestatten

Das Public Spot Modul hat eine MAC-Adreßliste, wo man MAC-Adressen hinterlegen kann, die automatisch freigegeben werden. Trage da die MAC-Adresse vom AP ein.

Gruß Alfred

[Jirka]

Hallo Alfred,

vielen Dank für Deine Antwort.

Dass der AP aus Sicht des Routers in dem Fall ein normaler Client ist, ist mir schon klar, deswegen schrieb ich ja auch: "Der AP ist in dem Moment so eine Art Public-Spot-Benutzer." Und dass ich Public-Spot-Benutzer auch per MAC freigeben kann, ebenfalls.
Trotzdem bin ich aber der Meinung, dass das Blocken des Pings die Prüfung der Funktionalität des Netzes erschwert und aus Sicherheitsaspekten überhaupt nichts bringt.

wird nur die begrenzte Menge von Protokollen und Diensten durchgelassen, die eben für unangemeldete Clients zugelassen ist.

Ja, da fehlt eben, dass der unangemeldete Client auch sein Gateway anpingen darf - jedenfalls meiner Meinung nach.

Daß die Pings Richtung AP rausgehen, liegt daran, daß der Public-Spot-Filter nur in Rx-Richtung greift, das genügt, um unangemeldeten Clients keinen Traffic zu gestatten

Traffic entsteht meiner Meinung nach genau dann, wenn geroutet wird, also Pakete über den Router hinaus zur WAN-Seite transportiert werden, aber nicht, wenn der Router selber angepingt wird.
Vermutlich setzt der Public-Spot-Filter schon vor der Firewall an und deswegen ist das Verhalten so wie es ist. Dass der Zugriff auf die meisten Sachen beim Router gesperrt ist, wenn der Parameter WLAN-Authentication-Pages-Only auf yes gesetzt ist, finde ich ja gut, aber mit dem Ping, das widerspricht, wie schon gesagt, Backslashs Grundsätzen, die ich genauso sehe.
Vielleicht bin ich jetzt auch etwas hartnäckig - sorry -, weil ich es einfach anders erwartet hatte und den Public Spot anfangs auch gar nicht im Blick hatte, weil der schon da war und eigentlich ja "nur" ein AP ergänzt werden sollte, was man ja normal in weniger als 30 Min. erledigt hat incl. der Switch-Konfigurationen.

Vielen Dank und viele Grüße,
Jirka

[alf29]

Ja, da fehlt eben, dass der unangemeldete Client auch sein Gateway anpingen darf - jedenfalls meiner Meinung nach.

Die Public Spot Option hängt transparent auf Layer 2 im Datenpfad. Das Gateway eines Clients kennt sie überhaupt nicht. Du kannst die Public Spot-Option ja auch auf einem einzelnen AP einschalten, der einfach nur bridget und das Gateway steht irgendwo dahinter im Netz.

Traffic entsteht meiner Meinung nach genau dann, wenn geroutet wird, also Pakete über den Router hinaus zur WAN-Seite transportiert werden, aber nicht, wenn der Router selber angepingt wird.

Siehe oben - den Router eines Clients kennt die Public Spot Option überhaupt nicht. Mag sein, daß sie häufig heute so eingesetzt wird, daß das Gerät, auf dem die Option läuft, auch gleichzeitig Gateway für die Clients ist, aber das muß im allgemeinen Fall nicht so sein.

Gruß Alfred

[Jirka]

Hallo Alfred,

Die Public Spot Option hängt transparent auf Layer 2 im Datenpfad.

ok, aus diesem Standpunkt heraus ergibt das einen Sinn.

Das Gateway eines Clients kennt sie überhaupt nicht.

Und wahrscheinlich auch nicht mal eben so die IP des Interfaces des Gerätes auf dem sie, also die Public Spot Option, läuft, und im Falle eines APs muss es ja noch nicht mal eine geben, wobei es natürlich logisch ist, wenn es keine gibt, dass die auch nicht angepingt werden kann.
Die Sache ist schon nicht ganz trivial...

Wie auch immer, im Augenblick kann gar nichts mehr gepingt werden, weil in dem Gebäude heute nacht eingebrochen wurde. Die LANCOMs stehen noch da, aber sämtliche Kabel wurden durchtrennt, vermutlich weil man aufgrund der Überwachungskameras und Alarmsysteme die Konnektivität nach außen unterbinden wollte. Ich habe die Störung noch um 24 Uhr gemeldet, aber es wurde vermutet, dass es eine Telekom-Störung sei. Leider war dem nicht so...

Vielen Dank und viele Grüße,
Jirka Reimer