Fragen zum Stationsfilter Lancom IL-11 usw.

Forum zu älteren LANCOM Wireless Modellen

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Fragen zum Stationsfilter Lancom IL-11 usw.

Beitrag von fildercom »

Hallo zusammen,

ich habe ja mehrere Lancom IL-11 bzw. auch Siemens I-Gate 11M im Einsetz (die Siemens sind ja fast baugleich...).

Da die WEP-Verschlüsselung doch etwas altersschwach ist, möchte ich nun den Zugriff auf mein WLAN mittels Stationsfilter etwas einschränken. Dabei haben sich bei mir jedoch noch einige Fragen ergeben.

Im Moment habe ich meine Access-Points so konfiguriert, dass diese Punkt-zu-Punkt-Verbindungen aufnehmen und die Clients zwischen den Access-Points im Netz wechseln können (Roaming).

Dazu habe ich in die Basis-Stations-Liste jeweils die MAC-Adressen der MC 11-Karten der anderen Access-Points eingetragen.

So, um nun den Zugriff auf mein Netzwerk mittels Stationsfilter einzuschränken, würde ich es gerne so einstellen, dass nur der Verkehr der eingetragenen Stationen übertragen wird und andere Stationen gefiltert werden.

Meine Fragen:
1. Muss ich in diese Stationsliste auch die MAC-Adressen der anderen Access-Points eintragen, die bereits in der Liste für die Punkt-zu-Punkt-Verbindungen drin stehen?
2. Wenn bei Frage 1. ein Ja raus kommt: Muss ich auch die eigene MAC-Adresse eintragen?
3. Ansonsten muss ich natürlich alle MAC-Adressen aller Clients in die Liste eintragen. Wie viele dürfen da maximal eingetragen werden?
4. Wenn ein Client mit einer fremden MAC-Adresse sich mit meinem Netzwerk verbinden will, bekommt der zunächst einmal eine Verbindung oder nicht? Oder wird der trotzdem verbunden, seine Anfragen aber verworfen?

Muss ich sonst noch was beachten?

Bitte um Hilfe. Vielen Dank schonmal.


Viele Grüße
fildercom
Zuletzt geändert von fildercom am 20 Aug 2012, 13:42, insgesamt 1-mal geändert.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Beitrag von stefanbunzel »

Hallo prima-ballerina,

hart gesagt kannst du bei einem mit WEP verschlüsselten WLAN die Sicherheit nicht wirklich erhöhen! Aber, deine Ansätze sind schon mal okay. Habe ja schließlich selbst einen IL-2 hier noch im Einsatz.

zu 1.: Nein, brauchst du nicht.
zu 2.: demnach auch nein.
zu 3.: In meinem IL-2 sowie im L-54 sind in der Stationstabelle 512 Einträge möglich (lt. Web-Interface).
zu 4.: Nach meinen Erfahrung kann sich ein nicht in der MAC-Liste eingetragener Client auch nicht mit dem AP verbinden. Außerdem ist die erfolgreiche Verbindung in Folge des sicherlich falschen WEP-Schlüssels ebenfalls nicht möglich.

Als zusätzlichen Schutz empfehle ich noch das Verbergen des WLAN (geschlossenes Netzwerk).

Was ist eigentlich der Unterschied zum I-Gate 11 M von Siemens (außer der Name)?

Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Beitrag von fildercom »

Hallo Stefan,

danke für deine Antwort.

Aber dennoch die Frage: Angenommen, jemand sollte die WEP-Verschlüsselung doch umgehen können, so sollte der Stationsfilter ihn doch letztendlich davor abhalten, in mein Netz einzudringen, oder etwa nicht? Ich denke MAC-Adressen zu fälschen ist nicht so ganz einfach und zudem müsste er eine der erlaubten Adressen kennen.

Oder sehe ich da irgend etwas falsch? Meinst du mit dem Verbergen des Netzes schlichtweg, die SSID unsichtbar zu machen?

Zum Siemens I-Gate 11M:
Es gab zwei verschiedene Modelle: Einmal den I-Gate 11M ISDN, dieser hat nur die S0-Schnittstelle und kein LAN-Interface, es ist also nur per WLAN möglich mit diesem Gerät zu kommunizieren. So ein Gerät gab es von Lancom Systems bzw. Elsa nie. Dagegen gab es bei Elsa bzw. Lancom Systems den L-11, dieser hat nur eine LAN-Schnittstelle und eben keinen S0 (praktisch genau das Gegenteil vom Siemens I-Gate 11M ISDN).
Außerdem gab es bei Siemens den I-Gate 11M I/LAN, dieser hat dieselben Anschlüsse wie der Lancom IL-11, also sowohl LAN als auch ISDN.

Optisch unterscheiden sich die Geräte nur durch die Bedruckung mit den jeweiligen Firmen-Logos sowie mit der Beschriftung der LEDs (beim einen oben beschriftet, beim anderen unten).

Technisch gibt es wie gesagt bei Lancom Systems als auch bei Siemens jeweils ein Gerät, das es beim anderen eben nicht gibt (L-11 bzw. I-Gate 11M ISDN).

Der IL-11 bzw. I-Gate 11M I/LAN sind jedoch von der Hardware-Plattform im Grunde genommen identisch, unterscheiden sich (fast) nur von der Firmware her. Bei Siemens hörte die Entwicklung bei Version 2.42 auf, bei Lancom ging es bis 3.58 weiter. Es ist jedoch normalerweise NICHT möglich, auf den Siemens die Lancom-Firmware aufzuspielen und umgekehrt, da in der Hardware irgendwo gespeichert sein muss, welche Firmware es nimmt und welche nicht.

Irgendwelche Spezialisten schaffen es manchmal trotzdem die Firmware zu tauschen, dies ist jedoch nicht gewollt und ich weiß auch nicht wie es geht und dies hier zu erläutern würde denke ich auch nicht hier rein gehören.

Durch die Weiterentwicklung der Firmware bei Lancom Systems können die Lancom-Geräte mit der neueren Firmware auch mehr WLAN-Karten unterstützen, so z.B. die MC-11 der letzten Generationen (schwarzer Antennenkopf sieht etwas anders aus als bei der ersten Generation) werden nur vom Lancom unterstützt, ebenso die MC-11b.

Mehr Unterschiede sind mir im Moment nicht bekannt.

Viele Grüße
fildercom
Zuletzt geändert von fildercom am 20 Aug 2012, 13:42, insgesamt 1-mal geändert.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
4. Wenn ein Client mit einer fremden MAC-Adresse sich mit meinem Netzwerk verbinden will, bekommt der zunächst einmal eine Verbindung oder nicht? Oder wird der trotzdem verbunden, seine Anfragen aber verworfen?
Da die im (I)L-11 steckende MC11-Karte 'intelligent' ist und die Anmeldung von Clients
selbstständig behandelt, sieht es aus Sicht des Clients für einen Moment so aus, als wäre er
reingekommen - die MC-11 setzt dabei ein Signal an den Host-Prozessor ab, der sucht die
Abresse in der Stationsliste und schmeißt den Client unverzüglich wieder raus (Nutzdaten
können dabei niemals fließen). Das sieht aus der Sicht des Clients so aus, als würde er
ständig reinkommen und wieder rausfliegen, läßt sich aber nicht anders realisieren. Ein
Sicherheitsproblem ist das aber wie gesagt nicht.
Aber dennoch die Frage: Angenommen, jemand sollte die WEP-Verschlüsselung doch umgehen können, so sollte der Stationsfilter ihn doch letztendlich davor abhalten, in mein Netz einzudringen, oder etwa nicht? Ich denke MAC-Adressen zu fälschen ist nicht so ganz einfach und zudem müsste er eine der erlaubten Adressen kennen.
Also gültige MAC-Adressen lassen sich ja recht einfach an einem in Betrieb befindlichen
Funknetz mitsniffen und manche Treiber haben unter Windows sehr bequeme Eingabemöglichkeiten
für eine andere MAC-Adresse - deshalb ist die MAC-Liste bei LCOS heutzutage eigentlich keine
Filterliste mehr, sondern eine Art "Datenbank", wo man Client-spezifische Daten wie eigene
WPA-Passphrases oder Traffic-Limits anhängen kann-
Als zusätzlichen Schutz empfehle ich noch das Verbergen des WLAN (geschlossenes Netzwerk).
Noch so ein Pseudo-Schutz...scusi, aber heutzutage darf man das ja so deutlich sagen...
Der IL-11 bzw. I-Gate 11M I/LAN sind jedoch von der Hardware-Plattform im Grunde genommen identisch,
Die Hardware ist zu 100% identisch. In der Anfangszeit hat LANCOM von Distris z.T. unverkäufliche
Siemens-Geräte aufgekauft (Siemens hatte im Verkauf kein so glückliches Händchen) und daraus
IL-11 gemacht.
so z.B. die MC-11 der letzten Generationen (schwarzer Antennenkopf sieht etwas anders aus als bei der ersten Generation)
...die sogenannten 'Ruby-Karten', erkennbar daran, daß der Kartenboden kein bis zum Kopf
durchgehendes Blech mehr ist...

Die beste Anwendung für ein L-11 oder IL-11 ist m.E., sich auf dem irgendwo anders im hier in
dieser Liste beschriebenen Weg einen Freischaltcode für WPA zu besorgen. Zumindest mit einer
MC-11b bekommt man einen AP, der immerhin WPA1 und TKIP beherrscht (was nach heutigem
Stand noch als sicher gilt). Eine MC11 ohne 'b' kann das leider nur vernünftig im Client-Modus,
solche (I)L-11 finden bisweilen noch ihr Gnadenbrot als Client-Adapter. P2P-Betrieb mit WPA ist
aber generell nicht möglich.

Keinerlei Hoffnung auf WPA gibt's für die (IL)-2, die hängen aus anderen Gründen auf einer sehr
alten Version der Kartenfirmware fest. Sichere WLANs gibt's damit nach heutigem Maßstab
nur noch, indem man ein VPN-Gateway dahintersetzt.

Gruß Alfred
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Beitrag von fildercom »

Hallo Alfred,

vielen Dank für deine Antwort.

Ich habe noch ein paar Fragen an dich:
1. Wenn ich es richtig verstanden habe, kann ich meine IL-11 mit MC-11b und dem passenden Freischaltcode für WPA1 fit machen, aber eine Punkt-zu-Punkt-Verbindung verschiedener Access-Points miteinander ist damit nicht möglich, korrekt?

2. Wie kann ich mit meinen IL-11 einen VPN-Gateway realisieren? Welche Hard- und Software benötige ich dafür?

Viele Grüße und danke
fildercom
Zuletzt geändert von fildercom am 20 Aug 2012, 13:43, insgesamt 1-mal geändert.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

1. Wenn ich es richtig verstanden habe, kann ich meine IL-11 mit MC-11b und dem passenden Freischaltcode für WPA1 fit machen, aber eine Punkt-zu-Punkt-Verbindung verschiedener Access-Points miteinander ist damit nicht möglich, korrekt?

Korrekt. WPA auf WDS-Links in der LANCOM-Variante benötigt direkten Zugriff auf die Beacons
der jeweiligen Gegenstelle, und selbige rückt die MC-11-Firmware nicht heraus...
2. Wie kann ich mit meinen IL-11 einen VPN-Gateway realisieren? Welche Hard- und Software benötige ich dafür?
Was immer Du als VPN-Gateway dafür möchtest...ein VPN-fähiges LANCOM, einen Linux-PC,
wenn Geld keine Rolex spielt auch eine passende Cisco-Büchse. Daneben brauchst Du auf den
PCs natürlich noch den passenden Client. VPNs sind nicht so direkt mein Gebiet...LANCOM hat so
etwas mal als 'IPsec over WLAN' beworben (mit den APs, die auch VPN-Funktionalitäthaben), aber
mit dem Aufkommen von WPA hatte sich das damals recht schnell erledigt...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Beitrag von fildercom »

Hallo Alfred,

danke für deine Antwort. Kann ich dann theoretisch mit einem einzigen VPN-fähigen LANCOM (z.B. dem 1611+) meine beiden IL-11 welche eine P2P-Verbindung haben fit für VPN machen? Wie funktioniert das genau? Kann ich dann mit dem kostenlosen OpenVPN auf meinen PCs mich ans WLAN anmelden? Habe allerdings das dumme Gefühl, dass dann meine WLAN-Printserver nicht mehr damit funktionieren, korrekt?

Viele Grüße
fildercom
Zuletzt geändert von fildercom am 20 Aug 2012, 13:43, insgesamt 1-mal geändert.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Kann ich dann theoretisch mit einem einzigen VPN-fähigen LANCOM (z.B. dem 1611+) meine beiden IL-11 welche eine P2P-Verbindung haben fit für VPN machen?
Wenn beide IL-11 vor dem 1611+ liegen, ja. So einen Aufbau benutzen viele Universitäten bis
heute.
genau? Kann ich dann mit dem kostenlosen OpenVPN auf meinen PCs mich ans WLAN anmelden?
Mit einem LANCOM als Gateway geht nur IPsec als VPN-Technik.
Habe allerdings das dumme Gefühl, dass dann meine WLAN-Printserver nicht mehr damit funktionieren, korrekt?
Korrekt, denn die wären ja nicht in der Lage, sich bei einem VPN-Gateway anzumelden.

Wenn Du aber ohnehin ein neues LANCOM kaufst, wäre es evtl. einfacher, die etwas betagten
APs auszutauschen ;-)

Gruß Alfred
Antworten