WLAN-Clients via AP/SSID trennen

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

WLAN-Clients via AP/SSID trennen

Beitrag von CyberT »

Hallo zusammen,

ich habe hier nur einen Provider-Kabel-Router als Gateway (1x 24er-Netz mit DHCP- und DNS-Server) und 2x LANCOM LN-860 (LCOS 10.20 RU7). Beide APs hängen derzeit direkt am internen Switch des Router:
AP-01 mit SSID-01
AP-02 mit SSID-02

Jetzt würde ich gerne, dass alle mit der SSID-01 assoziierten WLAN-Clients (auf AP-01) nicht die anderen mit der SSID-02 assoziierten WLAN-Clients (auf AP-02) sehen können (und natürlich umgekehrt). Die je SSID assoziierten Stationen sollen sich untereinander aber sehen können.

Welche (ggfs. unterschiedlichen) Möglichkeiten gibt es dies zu realisieren?

Vielen Dank.
Gruß.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: WLAN-Clients via AP/SSID trennen

Beitrag von ua »

Hi,

Beide AP als Router betreiben:
- den LAN-Port als WAN konfigurieren
- ein LAN auf die SSID legen
Das auf beiden AP und den Rest erledigt das NAT.

VG

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: WLAN-Clients via AP/SSID trennen

Beitrag von CyberT »

Hi Udo,

vielen Dank für Deinen Input.

Gibt es abseits der Konfigueration beider APs als Router keine andere Möglichkeit das Vorhaben zu realisieren?

Ich hatte die Hoffnung durch geeignete Konfiguration vom "Datenverkehr zwischen SSIDs", "IAPP", "Isolierte SSID/VLAN-IDs", u.ä. das ganze ebenfalls lösen zu können. Meine Versuche, das auf diesem Weg zu realisieren, sind jedoch allesamt gescheitert.

Danke und
Gruß.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: WLAN-Clients via AP/SSID trennen

Beitrag von ua »

Hi,

SSID = L2 und irgendwo treffen sie sich wieder ….
… abgesehen von so üblen Sachen wie MAC-Filterlisten o.Ä.

VG

Udo

PS Du könntest eine ASA im Transparent-Mode (Bridging) dazwischen werfen …. :mrgreen:
... das Netz ist der Computer ...
n* LC und vieles mehr...
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: WLAN-Clients via AP/SSID trennen

Beitrag von CyberT »

Ja, richtig. Danke.

ua hat geschrieben: 23 Sep 2019, 19:22 … abgesehen von so üblen Sachen wie MAC-Filterlisten o.Ä.
[...]
PS Du könntest eine ASA im Transparent-Mode (Bridging) dazwischen werfen …. :mrgreen:
Ja, Ziel war eben, eine möglichst einfache Lösung zu finden, die sowohl die Konfiguration jetzt als den Pflegeaufwand in Zukunft auf ein Minimum reduziert.

Wenn ich jetzt noch ergänzend einen Managed Switch (z. B. den LANCOM GS-2310P+, dann könnte ich auch auf die externen Netzteil bei den APs verzichten) dazwischen hänge, bekomme ich das dann via VLAN sauber gelöst?

Danke und
Gruß.
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: WLAN-Clients via AP/SSID trennen

Beitrag von GrandDixence »

Mit VLAN und ARF ist es möglich, jeden Netzwerkteilnehmer im Heimnetz und im Firmennetz von jedem anderen Netzwerkteilnehmer "abzuschotten":

viewtopic.php?f=41&t=16109&p=90529#p90529

viewtopic.php?f=15&t=17569&p=99671#p99671
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: WLAN-Clients via AP/SSID trennen

Beitrag von ua »

Hi,
Mit VLAN und ARF ist es möglich, jeden Netzwerkteilnehmer im Heimnetz und im Firmennetz von jedem anderen Netzwerkteilnehmer "abzuschotten":
Aber hier ist die L3 Instanz der Provider-Router.
VLAN nützen auch nichts, wenn die Clients "im selben" L3-Netzt sind.
M.E. Trennung (mit vertretbarem Aufwand und wartbar) nur auf den AP mit Subnetz,
ansonsten kenne ich nur einen amerikanischen Hersteller dem sich dynamische ACL per Radius-AV-Pair mitgeben lassen...

VG

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: WLAN-Clients via AP/SSID trennen

Beitrag von GrandDixence »

ua hat geschrieben: 23 Sep 2019, 22:04Aber hier ist die L3 Instanz der Provider-Router.
Ja und aus Sicherheitsgründen und Administrationsgründen sollte da noch eine eigene "L3 Instanz" (zum Beispiel von LANCOM) dazwischen. Der Provider-Router sollte am besten als "Medienkonverter" betrieben werden.
Fully
Beiträge: 113
Registriert: 19 Apr 2007, 13:40

Re: WLAN-Clients via AP/SSID trennen

Beitrag von Fully »

Hallo CyberT,

was Du wohl als einfache Lösung suchst, das ist die Option "Inter-SSID-Traffic " und da die Einstellung : "globally-off (2)".
Da ist leider nichts zu machen, die Option gibt es noch, aber der Wert "globally-off (2)" ist ab LCOS 10 futsch. Der LN-860 ist auch nie mit einer 9.24 ausgeliefert worden.

Was man stattdessen machen kann, das ist hier schon beschrieben worden.

a) Man kann auf der Bridge zwischen WLAN und LAN filtern (die Bridge hat da schöne Einstellungen) oder
b) die Bridge an dieser Stelle trennen und routen.

Wenn man keine Lust hat a) genau zu dokumentieren, dann sollte man b) nehmen, am einfachsten in der Ausprägung, die udo beschrieben hat:
Beide AP als Router betreiben:
- den LAN-Port als WAN konfigurieren
- ein LAN auf die SSID legen
Das auf beiden AP und den Rest erledigt das NAT.
Dafür gibt es auch einen Assistenten.

Gruß Fully
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: WLAN-Clients via AP/SSID trennen

Beitrag von CyberT »

Hallo zusammen,

vielen Dank für all Euren Input.

GrandDixence hat geschrieben: 24 Sep 2019, 17:45Ja und aus Sicherheitsgründen und Administrationsgründen sollte da noch eine eigene "L3 Instanz" (zum Beispiel von LANCOM) dazwischen. Der Provider-Router sollte am besten als "Medienkonverter" betrieben werden.
Ja, das ist klar und dieses Setup war auch mein Wunsch gewesen. Aber aus diversen Gründen ist das so derzeit nicht möglich (da hilft alles betteln und flehen nichts), daher ja auch hier diese Frage an die Experten-Community. - Insofern hilft mir dieser Hinweis jetzt nicht wirklich weiter. Ich muss nun mal mit der jetzigen Situation und der gegebenen Hardware eine Lösung finden.

Fully hat geschrieben: 25 Sep 2019, 10:25was Du wohl als einfache Lösung suchst, das ist die Option "Inter-SSID-Traffic " und da die Einstellung : "globally-off (2)".
Ja, an so etwas in der Art hatte ich gedacht, ohne diese Option jetzt im Detail gekannt zu haben.

Fully hat geschrieben: 25 Sep 2019, 10:25a) Man kann auf der Bridge zwischen WLAN und LAN filtern (die Bridge hat da schöne Einstellungen) [...]
Da mir aktuell Möglichkeit b) nicht so zusagt, würde ich es gerne mal mit Möglichkeit a) versuchen, und diese dann entsprechend dokumentieren.

Wie sollte ich hierbei am besten vorgehen?


Danke und
Gruß.
Antworten