Ich habe nach dieser Lancom Anleitung auf meinem L320 ein 2. Wlan in einem 2. Netzwerk eingerichtet.
Es haut auch alles soweit hin, ausser die Konfiguration der Firewall.
Ich steige da nicht durch, wie muss die Firewall im Detail eingerichtet werden, damit das Gastnetzwerk auch wirklich nur Internetzugriff hat und nicht auf das Intranet.
https://knowledgebase.lancom-systems.de ... d=32984801
Hiernach funktioniert es nur mit ausgeschalteter Firewall.
Wlan AP = Lancom L320
Gateway = Lancom 1803 VA
Kann jemand helfen.
Lancom L320 2 getrennte WLAN einrichten
Moderator: Lancom-Systems Moderatoren
Re: Lancom L320 2 getrennte WLAN einrichten
Moin,
die Firewall brauchst Du hier nicht, Einfach unter Netzwerke Deinem Gast-IP-Netz ein Tag geben, welches
1. nicht 0 ist
2. sich von dem Tag Deine Intranets unterscheidet (falls dieses nicht 0 ist).
Fertig.
VG,
Torsten
Edit:
Warum hast Du den Thread zweimal erstellt?
die Firewall brauchst Du hier nicht, Einfach unter Netzwerke Deinem Gast-IP-Netz ein Tag geben, welches
1. nicht 0 ist
2. sich von dem Tag Deine Intranets unterscheidet (falls dieses nicht 0 ist).
Fertig.
VG,
Torsten
Edit:
Warum hast Du den Thread zweimal erstellt?
Re: Lancom L320 2 getrennte WLAN einrichten
Vielen Dank, aber dein Tipp hat so auch nicht funktioniert, wenn ich z.B. eine 1 als Tag setze.
Wenn ich in der Einstellung des Gastnetzwerkes einen Tag 1 setze bekomme ich im Wlan keinen Internetzgang, lediglich
der DHCP weist mir eine IP Adresse zu.
Wenn ich in der Einstellung des Gastnetzwerkes einen Tag 1 setze bekomme ich im Wlan keinen Internetzgang, lediglich
der DHCP weist mir eine IP Adresse zu.
Re: Lancom L320 2 getrennte WLAN einrichten
Hast du für dass neue Tag eine passende DNS-Weiterleitung angelegt?
Hast du in der Routingtabelle eine Defaultroute mit dem Routingtag 0?
Hast du in der Routingtabelle eine Defaultroute mit dem Routingtag 0?
LCS NC/WLAN
Re: Lancom L320 2 getrennte WLAN einrichten
Es ist alles so wie in der Anleitung von Lancom beschrieben.
Den Tag 1 habe ich mir DNS Weiterleitung konfiguriert.
Ich sollte wohl noch sagen das der Gateway eine deny_all Sttategie in der Firewall hat.
Den Tag 1 habe ich mir DNS Weiterleitung konfiguriert.
Ich sollte wohl noch sagen das der Gateway eine deny_all Sttategie in der Firewall hat.
-
Dr.Einstein
- Beiträge: 3223
- Registriert: 12 Jan 2010, 14:10
Re: Lancom L320 2 getrennte WLAN einrichten
Die Anleitung ist uralt. Seit irgendeinem LCOS Update, ich glaube 10.42, musst du in diesem Fall eine Allow-Regel DNS auf die Router-IP setzen.
Re: Lancom L320 2 getrennte WLAN einrichten
Ok, kann mir jemand helfen eine funktionierende Konfiguration zusammen zu basteln?
Die Aufgabe ist auf dem AP 2 getrennte Netzwerke zu betreiben, wobei das Gastnetzwerk nur Internetzugriff haben soll. Kein Zugriff auf das Intranet.
Gibt es irgendwo eine modernere Anleitung?
Die Aufgabe ist auf dem AP 2 getrennte Netzwerke zu betreiben, wobei das Gastnetzwerk nur Internetzugriff haben soll. Kein Zugriff auf das Intranet.
Gibt es irgendwo eine modernere Anleitung?
Re: Lancom L320 2 getrennte WLAN einrichten
Ich muss gestehen, dass ich die verlinkte Anleitung bei meiner vorherigen Anleitung nicht gelesen hatte.
Daher korrigiere ich mich.
Du setzt ja das 2. Szenario um. Also müssen die Tags auf 0 gesetzt werden. Auch bei der DNS-Weiterleitung im AP.
Nun setzt Du wie in der Anleitung die Firewall-Regel, die Zugriff aus dem Gast-Netz auf das Intranet komplett verhindert.
Wie von Dr. Einstein geschrieben musst Du in der Firewall im AP allerdings eine weitere Regel setzen, die in der Anleitung nicht beschrieben ist:
Name: Allow_Gast_DNS
Aktion: Akzeptieren
Quelle: Gast
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: DNS
Diese Regel sollte in der Tabelle automatisch über der anderen landen. Wenn nicht, manuell durch Erhöhen der Priorität anpassen.
Wenn Du auf Deinem Router nun eine Deny-All-Strategie hast, dann musst Du auch auf dem Router in der Firewall tätig werden.
1. Zugriff aus dem Gast-Netz auf den DNS erlauben
Name: Allow_Gast_DNS
Aktion: Akzeptieren
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: DNS
2. Datenverkehr vom Gast-Netz auf das Intranet verhindern:
Name: Deny_Gast_Intranet
Aktion: Zurückweisen
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: Any
3. Datenverkehr vom Gast-Netz ins Internet erlauben:
Name: Allow_Gast_all
Aktion: Akzeptieren
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Any
Quell-Dienst: Any
Ziel-Dienst: Any
Dafür sorgen, dass diese Regeln in der Firewall auch in dieser Reihenfolge auftauchen. Mit der letzten Regel erlaubst Du dem Gast-Netz alles, also alles, was nicht vorher verboten wurde. Für das Gast-Netz gelten dann also Deine weiteren Einschränkungen Deiner Deny-All-Strategie im Router nicht. Wenn Du das anders möchtest, musst die Firewall-Regeln im Router entsprechend anpassen.
Theoretisch könntest Du Dir die Firewall-Regeln im Router sparen, wenn Du bei der Default-Route im AP die Maskierung einschaltest. Dann wird der Datenverkehr im Gast-Netz hinter der IP des APs im Intranet maskiert und somit gelten dann im Router alle Firewall-Regeln so, wie sie auch für andere Clients des Intranets gelten.
VG,
Torsten
Daher korrigiere ich mich.
Du setzt ja das 2. Szenario um. Also müssen die Tags auf 0 gesetzt werden. Auch bei der DNS-Weiterleitung im AP.
Nun setzt Du wie in der Anleitung die Firewall-Regel, die Zugriff aus dem Gast-Netz auf das Intranet komplett verhindert.
Wie von Dr. Einstein geschrieben musst Du in der Firewall im AP allerdings eine weitere Regel setzen, die in der Anleitung nicht beschrieben ist:
Name: Allow_Gast_DNS
Aktion: Akzeptieren
Quelle: Gast
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: DNS
Diese Regel sollte in der Tabelle automatisch über der anderen landen. Wenn nicht, manuell durch Erhöhen der Priorität anpassen.
Wenn Du auf Deinem Router nun eine Deny-All-Strategie hast, dann musst Du auch auf dem Router in der Firewall tätig werden.
1. Zugriff aus dem Gast-Netz auf den DNS erlauben
Name: Allow_Gast_DNS
Aktion: Akzeptieren
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: DNS
2. Datenverkehr vom Gast-Netz auf das Intranet verhindern:
Name: Deny_Gast_Intranet
Aktion: Zurückweisen
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Intranet
Quell-Dienst: Any
Ziel-Dienst: Any
3. Datenverkehr vom Gast-Netz ins Internet erlauben:
Name: Allow_Gast_all
Aktion: Akzeptieren
Quelle: IP-Netz des Gast-Zugangs (der Router kennt die benamte Gegenstelle Gast nicht)
Ziel: Any
Quell-Dienst: Any
Ziel-Dienst: Any
Dafür sorgen, dass diese Regeln in der Firewall auch in dieser Reihenfolge auftauchen. Mit der letzten Regel erlaubst Du dem Gast-Netz alles, also alles, was nicht vorher verboten wurde. Für das Gast-Netz gelten dann also Deine weiteren Einschränkungen Deiner Deny-All-Strategie im Router nicht. Wenn Du das anders möchtest, musst die Firewall-Regeln im Router entsprechend anpassen.
Theoretisch könntest Du Dir die Firewall-Regeln im Router sparen, wenn Du bei der Default-Route im AP die Maskierung einschaltest. Dann wird der Datenverkehr im Gast-Netz hinter der IP des APs im Intranet maskiert und somit gelten dann im Router alle Firewall-Regeln so, wie sie auch für andere Clients des Intranets gelten.
VG,
Torsten
Re: Lancom L320 2 getrennte WLAN einrichten
Vielen Vielen Dank, so hat es nun geklappt.