PublicSpot auf AP durchschleifen

[ecox]

Hallo zusammen,

ich steh irgendwie auf dem Schlauch, muss am Schalfentzug liegen.

Gegeben beim Kunden ist:
»Geräte sind von ETH-1 zu ETH-1 verbunden

»1783VAW (mit PS Option)
Netze: INTRANET(192.168.10.1/24 - VLAN1); PUBLICSPOT(192.168.20.1/24 - VLAN20)
VLAN: VLAN1 (default); VLAN20(publicspot)
DHCP: an
Port-Tabelle(VLAN): lan-1(gemischt/id:1); wlan-1(ankom. gemischt/id:1); wlan-1-2(niemals/id:20)
IPv4-Netzwerke: INTRANET(VLAN1; BRG-1); PUBLICSPOT(VLAN20; WLAN-1-2)

Publicspot bekommt die üblichen Einstellungen (int. RADIUS, Name & Kennwort für Anmeldung und wlan-1-2 für Anmeldung aktiviert und das VLAN20 eingetragen)

Ist die SSID für Publicspot nur auf dem 1783 aktiviert, funktioniert das ganze Problemlos

»1781AW
Netze: INTRANET(192.168.10.1/24 - VLAN1)
VLAN: VLAN1 (default); VLAN20(publicspot)
Port-Tabelle(VLAN): lan-1(gemischt/id:1); wlan-1(ankom. gemischt/id:1); wlan-1-2(niemals/id:20)
IPv4-Netzwerke: INTRANET(VLAN1; BRG-1)
DHCP: aus
Default-Route & DNS-Weiterleitung zum 1783 (192.168.10.1)
Firewall: aus

--------------------------------------------------------------------
Das Einbuchen in das private WLAN funktioniert tadellos, nur eben bei der PublicSpot SSID klemmt es, ich habe jetzt soviel rum probiert das mir der Kopf brummt, ich meine zu wissen das das gehen muss, aktuell habe ich aber das Gefühl das mir hier eine Sache das Genick bricht, und zwar das ich dem Publicspot auf dem 1783 nicht sagen kann das er auch die Anmeldung auf LAN-1 aktivieren soll, also ich meine mit einem zweiten Kabel wäre da sicherlich was zu machen, aber geht das auch mit nur einem Kabel zu realisieren, hoffe hier fehlt jetzt nichts.

Sollte was fehlen, ich liefere die Infos nach

Grüße

[Dr.Einstein]

Hey ecox,

du hast beim 1783 mit PS Spot Option das Gastnetzwerk auf WLAN-1-2 gestellt, d.h. über LAN ankommende VLAN20s werden verworfen. Stell um auf BRG-1, und sorg auch dafür, dass WLAN-1, WLAN-1-2 und LAN-1 auf BRG-1 eingestellt ist.

Außerdem solltest du auf keinen Fall die VLAN Art "ankommend gemischt" verwenden. Nutze hier niemals in deinem Szenario. In der VLAN, die ich bei deinen Angaben nicht sehe, muss für das VLAN20 LAN-1 und WLAN-1-2 hinterlegt sein.

Gruß Dr.Einstein

[ecox]

Hallo Dr. Einstein,

ich habe das mal versucht in die Tat umzusetzen. Es ist nun so das ich zumindestens schonmal eine IP-Adresse aus dem Netz vom PS zugewiesen bekomme, jedoch kommt keine Anmeldeseite. Auf dem 1783 mit PublicSpot habe ich RADIUS-Authentifizierung, ich denke das hier das nächste Problem liegt, ich habe unter den RADIUS Einstellungen vom AP mit RADIUS Weiterleitung und unter den WLAN Einstellungen unter 802.1x einen RADIUS Default Server gesetzt, und zwar das GW vom Router mit der PS Option (192.168.10.1). Eine Anmeldeseite etrwartet man allerdings sehnlichst

Ich habe jetzt mal ein paar Bilder von der Konfig angehängt, evtl. ist da irgendwo der Wurm drin -.-

Danke für eure Hilfe!

Infos zu den Bildern:
Rechts der Router mit PS Option
Links der Router der als AP arbeiten soll

[ecox]

...danke!

[Dr.Einstein]

Was für eine Bilderschlacht.

Grundsätzlich verstehst du den PB Spot noch nicht ganz. Das Radius Protokoll ist nur intern für den Router, der die Public Spot Option verwaltet. Nach außen hin existiert gar kein Radius. D.h. aus Sicht des Access Points machst du da keine 802.1x Authentifizierung, sondern normales WLAN nach WPA2 oder halt unverschlüsselt. Du richtest auch keine Radius Weiterleitung ein.

Wenn du eine gültige IP aus dem richtigen Netz bekommst, hast du VLANs erledigt. Jetzt kommt nur das Public Spot Modul. Hast du neben dem VLAN20 auch die Schnittstelle "LAN-1" hinzugefügt neben WLAN-1-2? Hast du http bzw https vom LAN als Zugriffsrecht erlaubt?

Gruß Dr.Einstein

[ecox]

Hallo Dr. Einstein,

die VLAN-Tabelle sieht auf beiden Geräten so aus:

vlan-tabelle.jpg

Die Zugriffsrechte habe ich bereits für WAN, LAN & WLAN auf "erlaubt" gesetzt, um der Geschichte aus dem Weg zugehen. Anfangs dachte ich auch meine Deny-All gretscht mir rein, aber auch mit Firewall aus, kein Erfolg.

Nochmal zur Port-Tabelle(ebenfalls auf beiden Geräten gleich):
LAN-1 = gemischt / vlan 1
WLAN-1 = niemals / vlan 1
WLAN-1-2 = niemals / vlan 20

Routing auf AP ist angepasst auf (default zum Router):
255.255.255.255 / 0.0.0.0 an 192.168.10.1 (Mask. aus)

##########################

Mache ich einen RADIUS Trace auf dem Router, kann ich nicht erkennen das dort was abgefragt wird wenn ich mich einbuche, stelle ich den AP aus und buche mich normal in den PublicSpot am Router ein, tut sich auch im RADIUS was.

Grüße

[Dr.Einstein]

Hast du gelesen, was ich zum PB Spot Modul geschrieben habe? Da musst du hinterlegen, auf welchen Schnittstellen in welcher Kombi PB Spot greifen soll. Wie gesagt, VLAN ist erledigt, da du die richtige DHCP Adresse bekommst.

[ecox]

Hast du gelesen, was ich zum PB Spot Modul geschrieben habe? Da musst du hinterlegen, auf welchen Schnittstellen in welcher Kombi PB Spot greifen soll. Wie gesagt, VLAN ist erledigt, da du die richtige DHCP Adresse bekommst.

Also ich versteh jetzt den Wink mit der Reihenfolge nicht wie PS greifen soll, ich richte ein das er auf WLAN-1-2 greifen soll, was anderes wäre mir nicht bekannt um das zu definieren

Wo finde ich denn diese Einstellung (hoffe du meinst jetzt nicht die VLAN-Tabelle im PSpot, dann meinst du doch damit dort einfach VLAN20 und VLAN1 hinzufügen?)

Solltest du damit meinen das ich die Anmeldung auf LAN-1 und WLAN-1-2 aktivieren soll, dann sperre ich mich doch aus! Das hatte ich vor geraumer Zeit mal so, danach war der AP für mich nicht mehr erreichbar...

Grüße

[Dr.Einstein]

LAN-1 und WLAN-1-2 scharfschalten. Diese beiden Schnittstellen werden dann kombiniert mit dem hinterlegten VLAN20 aus dem Menüpunkt darunter. Erst wenn beide Einträge für ankommende Pakete matchen, wird dem User der PB Spot angezeigt, ansonsten kommt man glatt durch, z.B. bei VLAN1 über LAN-1

[ecox]

Hey Dr.

also eingestellt habe ich das jetzt so im PS:
LAN-1: scharf

lan_1_neu.jpg

WLAN-1-2: scharf

wlan_1-2.jpg

VLAN-Tabelle(PublicSpot): 20

vlan.jpg

Leider kann ich es erst heute Abend testen, aber so hast du es doch jetzt im Endeffekt gemeint, right?

Grüße

[Dr.Einstein]

Genau

[ecox]

Genau

läuft jetzt, perfekt! danke vielmals einstein

grüße