Bitte um Konfigurationshilfe: 2x L-54g als Richtfunkstrecke

[Tillomar]

EDIT: Ich habe natürlich vor diesem Post die Suche bemüht -- aber anscheinend habe ich noch nicht 'raus, welche Stichworte ich sinnvollerweise benutzen sollte, ich binn jedenfalls in Fundstellen erstickt... und alles, was ich daraus gelesen habe, hat nicht wirklich zu meinem Problem gepaßt.




Moin allseits,

ich bin gerade dabei, eine Richtfunkstrecke zum Nachbarn aufzubauen (DSL-Mitnutzung), und ich krieg's nicht gebacken und hoffe deshalb hier auf Hilfe. Ich versuche mal, möglichst spezifisch zu fragen, um den Aufwand klein zu halten, deshalb hier kurz dargestellt,

• was ich erreichen will;
• wo jetzt genau die Probleme liegen.

Ist-Zustand:

• Der Nachbar betreibt ein eigenes 100BaseTX-Netzwerk und verbindet dieses per DSL-Router mit dem Internet.
• Auf meiner Seite existiert ebenfalls ein kabelgebundenes Netzwerk, das bisher über einen Lancom Office 1100 ISDN ins Netz geht.

Änderung:

• Der Nachbar will mir seinen Internet-Zugang zur Verfügung stellen.
• Außerdem will er in Zukunft noch weitere WLAN-Clients in sein eigenes Netzwerk einbinden.

Planung:

• WLAN-Verbindung über zwei L-54g und Richtantennen
• Der Nachbar betreibt seinen Router als AP, ich meinen als Client ("AP" und "Client" sind auch die Gerätenamen).
• Netzwerke 1 und 2 sollen einander nicht sehen können, bis auf den DSL-Router, der in beiden Netzwerken sichtbar sein muß;

Siehe beigefügte Netzwerkskizze!

Bisher erreicht:

• Verbindung (WPA2/AES-PSK) steht mit 108 MBit im Turbomode;
• Netzwerk 1 kann die DMZ-Adresse des "Client" pingen; (die DMZ ist an das WLAN1-Interface gebunden)
• Netzwerk 2 kann die Intranet-Addresse und die DMZ-Adresse des "Client" pingen, aber Pings an eine Adresse im Netz 1 werden dennoch über das LAN-Interface geroutet (per "trace ip-router").
• Anbindung des "AP" an den DSP-Router hab' ich noch gar nicht angefaßt, ebensowenig VLAN...

Problem "Client"-IP-Router-Konfiguration:

Die L-54g haben ja nur einen Ethernet-Anschluß, deshalb wußte ich nicht so recht, was ich jetzt mit der WAN-Verbindung machen sollte. Vom ISDN-Router war ich ja gewohnt, daß ich eine Gegenstelle anlegen muß, die das WAN-Interface benutzt (=ISDN), und dann eine Default-Route auf dieses Interface brauche. Also habe ich mir so geholfen:

• LAN-Interface: "Verbindung über den Router herstellen (isolierte Modus)" wg. getrennten IP-Ranges und Maskierung
• WLAN-Interface: "DSLoL aktiviert", Bindung an WLAN1
• Kommunikation: DSL-Gegenstelle "TEST" angelegt (mit PPP-Eintrag ohne Anmeldename und Passwort, aber mit IP-Routing -- vermutlich unsinnig...) und Kommunikations-Layer "IPoE"
• TCP/IP: DMZ-IP liegt im Netzwerk 1 und ist an das Interface WLAN1 gebunden ("loose" - was heißt das? wenn es nur das IDS betrifft, dürfte es hier noch keine Rolle spielen), Intranet-IP liegt im Netzwerk 2 undist an LAN1 gebunden (ebenfalls "loose")
• IP-Router: neue Default-Route angelegt mit Ziel "TEST"; außerdem "Intranet und DMZ maskieren"
• Firewall: deaktiviert

Nutzt nur leider nix! Wie gesagt, der IP-Router ist der Meinung, die Paket für das Netzwerk 1 müßten per Interface "LAN" geroutet werden.

Die DMZ-Adresse habe ich vergeben, weil ich keine andere Möglichkeit gesehen habe, wie ich der WLAN-Seite des Routers eine IP aus dem Netzwerk 1 zuordnen kann -- bei meinem ISDN-Router wird die IP der WAN-Seite ja dynamisch festgelegt. Scheint ja auch teilweise zu funktionieren (DMZ-IP-Ping aus Netzwerk 1 über Funk funktioniert); Aber da der Router die DMZ wohl am LAN vermutet, geht es schief!?

Wie geht es denn richtig?

Dazu noch einige Verständnisfragen:
Der Router hat nach meinem Wissen eigentlich keine "Richtung", d.h. alle Interface sind erst einmal gleichwertig, und nur die Existenz einer Default-Route erzeugt die Anmutung eines Up-/Down-Stream. Stimmt das so? Was passiert aber, wenn ich Maskierung (NAT) verwenden will?
Bei der Firewall müßte es dagegen anders sein, dort sollte es definitiv ein "innen" und ein "außen" geben -- wodurch wird klar, was was ist?

Vielen Dank erstmal für's lesen von soviel Text! -- und wer mir jetzt auch noch helfen mag, möge sich bitte keinen Zwang antun...

Bis dann,
Tillomar

PS: Auf Wunsch kann ich natürlich auch die Konfigurations-Files hier posten...

[Tillomar]

Hi,

bin ich ungeduldig, oder hat wirklich keiner eine Idee, wie das Routing von LAN nach WLAN funktioniert? Oder ist es so simpel...?

[eddia]

Hallo Tillomar,

ich würde das ganz anders versuchen. Zuerst mal eine LAN-LAN Kopplung gemäß folgendem Dokument herstellen:

http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument

Da nun in beiden L54 alles über den Router geht, kann man sämtliche Zugriffe von einem in das andere Netz per Firewall unterbinden. Dann brauchts nur noch ein Allow vom Netz 2 auf den DSL-Router in Netz 1 an beiden L54.

Zusatz: Der L54-2 benötigt dann eine default route zur DMZ-IP des L54-1. L54-1 bekommt ebenfalls eine default route zum DSL-Router und eine Route für das Netz-2 mit Ziel DMZ-IP von L54-2. Und der DSL-Router benötigt eine Route für Netz-2 mit Ziel LAN-IP von L54-1.

Gruß

Mario

[Tillomar]

Moin Mario,

das von Dir genannte Dokument beschreibt aber die Kopplung über ISDN -- und damit wieder über Einwahl-Gegenstellen... Ich habe keine Ahnung, wie ich das auf meine WLAN-Situation abbilden könnte!

[eddia]

Hallo Tillomar,

das von Dir genannte Dokument beschreibt aber die Kopplung über ISDN

Wo siehst Du da irgendwas von ISDN? Das Transfernetz ist die WLAN-Verbindung!

Gruß

Mario

[Tillomar]

Ups, hast Recht -- ich bin beim ersten Klick im falschen Dokument gelandet...

Sehe ich das richtig, daß das Transfernetz "nur in der Luft" existiert?

Ok, ich werde mir das nachher mal genau ansehen und ausprobieren, und rühre mich dann wieder...

[Tillomar]

Moin Mario,

ich bin jetzt weiter -- aber noch nicht wirklich glücklich...

Zum einen habe ich Probleme mit dem Telnet auf der Kiste im Netz 1 (Win2k) -- das beendet (!?) sich nach wenigen Sekunden selbst. Da ich die Telnet-Session zur Kontrolle des Router-Traces nutze, ist das extrem hinterlich. Ich weiß, das hat (hoffentlich) nichts mit dem Lancom zu tun, aber vielleicht ist da ja was bekannt?

Des weiteren habe ich versucht, die Router "symmetrisch" zu konfigurieren, d.h. beide als Basisstation im P2P-Betrieb -- das ist mir aber nicht gelungen. Ich habe es hintenangestellt, da die AP-Client-Verbindung ja funktioniert.

Dann habe ich die Router wie im KB-Artikel beschrieben in diese "Janus-Kopf"-Konfiguration mit dem Transfer-Netz gebracht. Nach ein paar Fummeleien an der Routing-Tabelle konnte ich dann vom Netz 2 den ISDN-Router im Netz 1 pingen, nicht aber den PC (nein, kein Firewall...). Vom Netz 1 aus konnte ich den Rechner im Netz 2 pingen... Allerdings erst, nachdem ich Standard-Gateway und -DNS im Windows umgestellt hatte, damit war allerdings der ISDN-Zugang tot. Ich habe dann die bisherige Default-Route im AP-Router spezifischer gemacht (nur noch für Netz 2-Adressen), und habe die neue Default-Route auf den ISDN-Router gelegt. Immer noch nix... Dann habe ich versucht, DNS-Anfragen an den AP-Router an den ISDN-Router weiterzuleiten, da wußte ich dann schließlich nicht mehr, wie ich es eintragen kann.

An diese Stelle habe ich jetzt aufgegeben; morgen ist auch noch ein Tag.
Ich denke, ich werde alles nochmal durchdenken und ein bischen aufräumen, und mich dann wieder mit dem erreichten Stand hier melden. Wenn sinnvoll, würde ich die Konfis hier posten, braucht dazu allerdings 'nen Hinweis, in welchem Format es gewünscht wird -- *.lcf oder *.lcs ?

Gute Nacht und bis Morgen.

[eddia]

Hallo Tillomar,

Des weiteren habe ich versucht, die Router "symmetrisch" zu konfigurieren, d.h. beide als Basisstation im P2P-Betrieb -- das ist mir aber nicht gelungen.

Hmm - das funktioniert eigentlich, wenn man sich an die Anleitung hält.

Nach ein paar Fummeleien an der Routing-Tabelle konnte ich dann vom Netz 2 den ISDN-Router im Netz 1 pingen, nicht aber den PC (nein, kein Firewall...). Vom Netz 1 aus konnte ich den Rechner im Netz 2 pingen... Allerdings erst, nachdem ich Standard-Gateway und -DNS im Windows umgestellt hatte, damit war allerdings der ISDN-Zugang tot. Ich habe dann die bisherige Default-Route im AP-Router spezifischer gemacht (nur noch für Netz 2-Adressen), und habe die neue Default-Route auf den ISDN-Router gelegt.

Deine Beschreibung ist etwas wirr. Im Netz 1 gibt es doch gar keinen ISDN-Router. Und dass nach Umstellung des Gateways am PC in Netz 2 der ISDN-Router nicht mehr benutzt wird, sollte klar sein. Das Gateway am 'AP-Router' (L54-1) muss natürlich auf den DSL-Router zeigen - das hatte ich aber bereits gesagt.

Wenn sinnvoll, würde ich die Konfis hier posten, braucht dazu allerdings 'nen Hinweis, in welchem Format es gewünscht wird -- *.lcf oder *.lcs ?

Am besten beide.

Gruß

Mario

[Tillomar]

Wochenende war Streß, bin noch nicht zum Probieren gekommen...

Deine Beschreibung ist etwas wirr. Im Netz 1 gibt es doch gar keinen ISDN-Router.

Yep. Ich muß hinzufügen, daß ich natürlich nicht Nachbars Netz zum Testen zur Verfügung habe -- also habe ich mein Netz gesplittet, und mein ISDN-Router muß derzeit den späteren DSL-Router ersetzen.

Das Gateway am 'AP-Router' (L54-1) muß natürlich auf den DSL-Router zeigen - das hatte ich aber bereits gesagt.

Wie gesagt, der ISDN-Router übernimmt z.Zt die Vertretung.

Ganz klar ist es mir aber trotzdem noch nicht...
Am PC1-1 (Netz 1) stelle ich als DNS/Gateway die Intranet-Adresse des AP ein (L-54g "AP"). Nun kann dieser aber nicht alles selbst routen, sondern nur Routen ins Transfernetz; alles andere muß er per IP-Routing-Regel an den ISDN- oder DSL-Router weiterreichen... richtig soweit? Da er aber aufgrund des nicht direkt erreichbaren Netzes 2 kein ICMP-Redirect schicken darf, muß er die ganze Arbeit selbst machen, d.h. der gesamte Internet-Verkehr geht dann über zwei Router im lokalen Netz. Wäre es nicht sinniger, statt dessen als Gateway und DNS den DSL-(ISDN)-Router zu benutzen und den dann per Regel allen Verkehr zum Netz 2 auf den AP umzulenken zu lassen (natürlich nur, sofern man tatsächlich auch die Netze verbinden will == nur jetzt für mich zum Test!) ?

Hmm - das funktioniert eigentlich, wenn man sich an die Anleitung hält.

Das Thema AP-AP im P2P-Modus können wir ja noch mal anschauen, wenn alles ander läuft, erst muß ich mich mal um's grobe kümmern.

Ob ich heute noch was machen kann, weiß ich nicht...
Aber jedenfalls: Danke für die Hilfe!

[Tillomar]

So, ich hab' noch weiterprobiert...

Ping geht jetzt in alle Richtungen, d.h. alle PCs können alle Teilnehmer anpingen, und ich kann auch alle drei Router von jedem PC ansprechen (LanConfig).

PC1 hat als Gateway und DNS die IP 192.168.100.254 (ISDN/DSL-Router), Internet-Zugang funktioniert. Dem ISDN-Router habe ich eine Regel hinzugefügt, damit Pakete für Netzwerk 2 an den AP weitergereicht werden (er darf doch Redirect machen?)

PC2 hat als Gateway und DNS die IP 192.168.200.254 (WLAN-Client), Internet-Zungang funktioniert, erscheint aber recht langsam (WLAN ist 108 MBit/s)

Die PCs können sich nicht gegenseitig sehen im Windwos-Netzwerk, das liegt vermutl. daran, daß derzeit nur IP geroutet wird? Muß ich da auch noch NetBIOS routen, und wie geht das?

Ich hänge mal hier die Konfigs an (alle drei Router, von den beiden L-54g auch noch als Skript, jeweils einmal komplett mit Default, und einmal ohne), vielleicht kann das ja noch die eine oder andere Klarheit beseitigen...

Wie das mit der DNS-Weiterleitung funktioniert, würde mich dann auch noch interessieren; allerdings -- ist es hier überhaupt sinnvoll?

Und jetzt muß ich schlafen...

[eddia]

Hallo Tillomar,

Ping geht jetzt in alle Richtungen, d.h. alle PCs können alle Teilnehmer anpingen, und ich kann auch alle drei Router von jedem PC ansprechen (LanConfig).

wie bist Du denn auf die Idee gekommen, für den Client-AP eine Sperrroute für das 150er Netz und dem anderen AP eine Sperroute ins 100er Netz? Das sollte zwar eigentlich nichts ausmachen, ist aber trotzdem unsinnig. Und dem WLAN-AP musst Du nicht noch mal in der Routingtabelle sagen, wie er das Netz 150 erreicht. Das weiss der aus seiner IP-Konfiguration. Nebenbei hast Du noch überflüssige plain-Ethernet Verbindungen konfiguriert.

Dem ISDN-Router habe ich eine Regel hinzugefügt, damit Pakete für Netzwerk 2 an den AP weitergereicht werden (er darf doch Redirect machen?)

Das hat mit Redirects nichts zu tun. Ich frag mich übrigens schon seit Ewigkeiten, warum diese bei einem Routing zwischen LAN- und WLAN deaktiviert sein sollen - Redirect heisst ja, dass ein Router einem Client mitteilt, für das gewünschte Ziel doch bitte in Zukunft einen anderen Router zu kontaktieren.

PC2 hat als Gateway und DNS die IP 192.168.200.254 (WLAN-Client), Internet-Zungang funktioniert, erscheint aber recht langsam (WLAN ist 108 MBit/s)

Erstaunlich, dass das überhaupt funktioniert. Der WLAN-Client weiss gar nicht, an wen er DNS-Anfragen schicken soll.

Die PCs können sich nicht gegenseitig sehen im Windwos-Netzwerk, das liegt vermutl. daran, daß derzeit nur IP geroutet wird?

Nein, das liegt am Prinzip des Browsing-Mechanismus von Windows. Netzübergreifend bekommst Du das nur mit Domänen hin.

Wie das mit der DNS-Weiterleitung funktioniert, würde mich dann auch noch interessieren; allerdings -- ist es hier überhaupt sinnvoll?

Trag einfach bei allen PCs die 192.168.100.254 als DNS-Server ein. Dann kannst Du Dir die DNS-Server auf den APs und die Weiterleitungen ersparen.

Gruß

Mario

[Tillomar]

Moin Mario,

wie bist Du denn auf die Idee gekommen, für den Client-AP eine Sperrroute für das 150er Netz und dem anderen AP eine Sperroute ins 100er Netz?

Nach dem Blick in meine Client-Konfiguration kann ich Dir jetzt nicht ganz folgen... Folgende Routen (neben den normalen private- und multicast-Sperr-Routen) habe ich am Client (192.168.200.254, DMZ 192.168.150.254) definiert:

• Sperr-Route für Netz 192.168.200.x (logisch, "lokale" Pakete werden nicht gerouted...)
• Default-Route für alle anderen Ziele über den Router des APs

Und am AP (192.168.100.250, DMZ 192.168.150.250):

• Sperr-Route für Netz 192.168.100.x (siehe Client)
• Eine Route für den Zugriff auf die DMZ-Seite des Client 192.168.150.x geht über den Router des AP
• Eine Route für 192.168.200.x ins Netz 2 geht über den Router des Client
• Default-Route für alle anderen Pakete geht zum ISDN-Router

Was ist daran jetzt so absonderlich? Oder reden (schreiben) wir aneinander vorbei? Ein Sperr-Route ist nach meinem Verständnis eine Route, die einen nicht-leeren IP-Bereich zum Router 0.0.0.0 schickt, also verwirft...

Das hat mit Redirects nichts zu tun. Ich frag mich übrigens schon seit Ewigkeiten, warum diese bei einem Routing zwischen LAN- und WLAN deaktiviert sein sollen - Redirect heisst ja, dass ein Router einem Client mitteilt, für das gewünschte Ziel doch bitte in Zukunft einen anderen Router zu kontaktieren.

Hm ja -- aber das funktioniert nur, wenn der solchermaßen umgeleitete Knoten den anderen Router auch direkt erreichen kann; andernfalls muß der Router tatsächlich das Paket stillschweigend weitergeben. Ich blicke nur nicht, warum der Router eine von der Wirklichkeit abweichende Meinung über die direkte Erreichbarkeit des anderen Routers haben sollte -- nur das könnte ja der Grund sein, warum man ihm noch extra sagen muß, daß er kein redirect machen darf!?

Erstaunlich, dass das überhaupt funktioniert. Der WLAN-Client weiss gar nicht, an wen er DNS-Anfragen schicken soll.

Klingt logisch, hab's geändert, funktioniert auch...

Nein, das liegt am Prinzip des Browsing-Mechanismus von Windows. Netzübergreifend bekommst Du das nur mit Domänen hin.

Aha... das heißt, Netzwerk- und Druckerfreigaben funktionieren genausowenig?

[backslash]

Hi Tillomar

Aha... das heißt, Netzwerk- und Druckerfreigaben funktionieren genausowenig

doch die funktionieren schon, nur mußt du die IP-Adressen der Rechner kennen. Wenn du den NetBIOS-Proxy im LANCOM benutzt, dann kannst du auch über die Rechnernamen zugreifen, die du aber ebenfalls kennen mußt.

Das einzige, was nicht geht, ist, daß die Rechner in der Netzwerkumgebung sichtbar werden - das funktioniert halt nur mit Domänen-Controllern

Gruß
Backslash

[eddia]

Hallo Tillomar,

Nach dem Blick in meine Client-Konfiguration kann ich Dir jetzt nicht ganz folgen... Folgende Routen (neben den normalen private- und multicast-Sperr-Routen) habe ich am Client (192.168.200.254, DMZ 192.168.150.254) definiert:

* Sperr-Route für Netz 192.168.200.x (logisch, "lokale" Pakete werden nicht gerouted...)

Du hast ein merkwürdiges Verständnis vom Routing. Zum einen würde ein PC in diesem Netz nie ein Paket für einen anderen PC in diesem Netz an den Router schicken. Der würde einfach einen ARP-Request ausführen und dann direkt an den anderen PC zustellen. Zum anderen verbietest Du ja eigentlich dem Lancom Pakete für dieses Netz über das verbundene Interface auszugeben. 'Eigentlich' deshalb, weil der Lancom derzeit offenbar Sperrrouten für direkt erreichbare Netze ignoriert. Sollte das mal anders werden, fällst Du auf die Nase. Deine Sperrrouten sind somit vollkommen überflüssig.

Hm ja -- aber das funktioniert nur, wenn der solchermaßen umgeleitete Knoten den anderen Router auch direkt erreichen kann; andernfalls muß der Router tatsächlich das Paket stillschweigend weitergeben.

Eben! Und das unabhängig von einer ein- oder ausgeschalteten Redirect-Funktion. Sonst wäre es kein Router. Aber vielleicht erleuchtet uns jemand noch...

Gruß

Mario

[Tillomar]

Moin Mario,

irgendwie kapier ich nicht, was Du meinst... oder, nur zum Teil. Du beziehst Dich mit der folgenden Aussage auf die erste Route im Client, ja?

Zum einen würde ein PC in diesem Netz nie ein Paket für einen anderen PC in diesem Netz an den Router schicken. Der würde einfach einen ARP-Request ausführen und dann direkt an den anderen PC zustellen. Zum anderen verbietest Du ja eigentlich dem Lancom Pakete für dieses Netz über das verbundene Interface auszugeben. 'Eigentlich' deshalb, weil der Lancom derzeit offenbar Sperrrouten für direkt erreichbare Netze ignoriert. Sollte das mal anders werden, fällst Du auf die Nase. Deine Sperrrouten sind somit vollkommen überflüssig.

Der Grund zum Anlegen der Sperr-Route ist doch, dem Router explizit die Weitergabe von Paketen zu verbieten, die eben nicht geroutet werden sollen, weil sie außerhalb des Netzwerksegments nichts zu suchen haben...! (das ist sozusagen die private-Sperr-Route so angepaßt, daß es noch mit beiden privaten Segmenten funktioniert). D.h. also, sollte aus irgendeinem Grund mal ein Netzwerk-internes Paket an den Router geschickt werden, dann soll es stillschweigend verworfen werden (mit ausgehenden Paketen vom Router ins lokale Netz hat das ja nichts zu tun). Insofern ist mir auch nicht klar, inwieweit eine spätere Änderung am Verhalten des Router mich hier in Schwirigkeiten bringen würde? Ich könnte mir höchstens noch vorstellen, daß sich das Konfigurationsinterface des Routers mal hinter dem IP-Router befinden könnte -- das halte ich aber für unsinnig.

Übringens stammt diese "Masche" mit der Sperr-Route für "lokale" Paket nicht von mir -- das habe ich aus einem der unzähligen KB-Artikel von Elsa/Lancom.

doch die funktionieren schon, nur mußt du die IP-Adressen der Rechner kennen. Wenn du den NetBIOS-Proxy im LANCOM benutzt, dann kannst du auch über die Rechnernamen zugreifen, die du aber ebenfalls kennen mußt.

Hm... wie muß ich denn da eine Netzwerkfreigabe verbinden? Normalerweise kann ich die ja browsen, ich habe da noch nie eine Eingabemöglichkeit für eine IP gesehen. Kann ich vielleicht beim Verbinden einen UNC-Pfad verwenden, bei dem ich den Servernamen einfach als IP schreibe?

Hat vielleicht noch jemand einen Tip, warum ich zwar alle Router von allen PCs per LanConfig bedienen, aber nicht mit LanMonitor überwachen kann? Es funktioniert immer nur bei den Geräten diesseits der WLan-Verbindung.

In den nächsten Tage werde ich mich mal an die Firewall(s) machen... das wird sicher lustig.

Gibt's sonst noch was, was ich einstellen sollte?

Danke und bis dann --
Tillomar