Konfigurationsprobleme L-54ag - internes Netz erreichbar

[oviwankinovi]

Hallo zusammen,

ich habe vor einiger Zeit das Thema Lancom von einem Kollegen übernommen, der die Firma verlassen hat. Nun ist mir leider etwas aufgefallen, was nicht so bleiben kann.
Wir haben zwei WLANs, einmal für Gäste und einmal eines, welches den Zugriff auch auf das interne LAN erlauben soll. Leider ist anscheinend aus dem Gäste-WLAN das komplette interne Netz erreichbar . Ich versuche mal im Folgenden, den Aufbau zu beschreiben.

Ein Router 1781EF+
Zwei L-54ag

Der 1781 macht den DHCP für beide WLANs, aus jeweils unterschiedlichen Subnetzen
Internes Netz: 172.22.0.0 - 172.22.3.254
Gäste-WLAN: 172.22.6.1 - 172.22.6.254
Internes WLAN 172.22.7.1 - 172.22.7.254

Komischerweise sind in beiden WLANs die internen DNS-Server als DNS-Server hinterlegt, fürs interne WLAN macht das ja Sinn, fürs Gäste-WLAN sollten nach meinem Verständnis externe DNS-Server ausreichen. Wenn ich dieses Dokument richtig verstehe, sollten zumindest für das Gäste-WLAN Routing-Tags gesetzt werden:
https://www.lancom-systems.de/fileadmin ... ARF-DE.pdf
Das ist jedoch nicht der Fall, alle Netze haben das Routing-Tag 0. Ich habe mal testweise probiert, diese Tags für das Gäste-WLAN zu vergeben, dann hat dieses WLAN aber überhaupt nicht mehr funktioniert.
Außerdem habe ich mal eine Regel angelegt, die sämtlichen Verkehr zwischen Gäste-WLAN und internem Netz unterbinden soll. Trotzdem funktionierte der Zugriff. Ich bin ratlos und habe keine Idee, was ich noch probieren könnte

Danke für jeden Tipp,
Christian

[Bernie137]

Hallo Christian,

mir stellt sich die Frage, wie denn die Netze getrennt zu den L-54ag geführt wird? Nach meinem Verständnis beduiíngt das VLAN, wovon Du nichts schreibst.
Wie lautet denn die Netzmaske zu den IP-Adressen? Ich vermute, dass es gar keine getrennten Netz sind. Ich würde für ein Gäste-WLAN einen völlig anderen Adresskreis nehmen, dass man gleich auf dem ersten Blick sieht -> Gast, z.B. 192.168.193.x/24, sofern es ausreichd IPs sind.

ARF ist ja eine Geschichte, die nur innerhalb des Routers selbst von Bedeutung ist.

Gruß Bernie

[Jirka]

Hallo,

genau, möglicherweise passiert in den L-54 mehr als hier angegeben wurde...

Also, ist eines der beiden WLAN-Netze im 1781EF+ mit einem VLAN-Tag versehen?

Viele Grüße,
Jirka

[oviwankinovi]

Hallo zusammen,

auch wenn reichlich spät, aber ich wollte mal Rückmeldung geben zu dem Thema.
Ja, beide WLANs haben unterschiedliche VLAN-IDs. Allerdings haben sie kein Routing-Tag. Das ist wohl auch das Problem. Ich habe mittlerweile eine Schulung zu dem Thema besucht und dort wurde genau diese Problematik erörtert. Nach einem Blick auf meine Config wusste der Trainer sofort, wo das Problem ist. Wenn alle Netze das Tag 0 haben, haben sie auch Zugriff untereinander.
Was ich mich jedoch seitdem Frage ist:

- wieso hat das erst funktioniert, denn der Zugriff aus dem Gäste-WLAN ins interne Netz war früher definitiv nicht möglich
- wieso funktioniert das weiterhin in anderen Standorten mit fast identischer Config und identischer Hardware.

viele Grüße,
Christian

[hyperjojo]

Hallo,

außer durch Routing-Tags kann auch mittels Firewall-Regeln die Netztrennung erfolgen.
Das macht afaik der Assistent auch so und nicht mit Tags.

Gruß hyperjojo

[oviwankinovi]

Hallo hyperjojo,

der Meinung war ich auch, aber der Trainer auf der Schulung meinte genau das Gegenteil. Ein Netz mit Routing-Tag null kann immer in alle anderen Netze. Firewall-Regeln greifen da nicht. Genau das würde ja auch mein Problem erklären, ich bin ja in dieser Situation. Andererseits verstehe ich nicht, wieso das jahrelang funktioniert hat

viele Grüße,
Christian