Konfiguration des L-54g

[LukeNukem]

Hi,

meine gewünschte Konfiguration ist ziemlich einfach: ich möchte ein LAN-Interface mit einer festen IP-Adresse aus meinem bestehenden Netzwerk. Auf dem WLAN-Interface soll ein eigenes Netzwerk mit WEP-128 laufen, das der AP über DHCP mit den IPs aus diesem eigenen Netz versorgt und das per SNAT ins bestehende LAN eingebunden werden soll. Im bestehenden Netz 192.168.0.0/24 wird ein DNS mit der IP 192.168.0.4 und ein Gateway mit 192.168.0.254 betrieben; bis auf diese beiden sollen die WLAN-Clients nicht auf das interne Netzwerk zugreifen.

Die Konfiguration wäre unter (beispielsweise) Linux recht einfach:

--snip-----
# LAN-Interface und Defaultroute für den AP
ifconfig eth0 192.168.0.253 netmask 255.255.255.0 up
route add default gw 192.168.0.254

# WLAN-Interface Funk + IP
iwconfig wlan0 essid "foo" mode Managed key restricted <bar>
ifconfig wlan0 192.168.10.254 netmask 255.255.255.0 up
route add -net 192.168.10.0 netmask 255.255.255.0 dev wlan0

# Zugriffe vom WLAN auf DNS und Gateway zulassen
iptables -P INPUT DROP
iptables -I INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -I INPUT -s 192.168.10.0/24 -d 192.168.0.4 --dport 53 --m state --state NEW -j ACCEPT
# alles, was nicht in 192.168.0.0 geht, zum Gateway durchlassen
iptables -I INPUT -s 192.168.10.0/24 -d ! 192.168.0.0/24 -j ACCEPT

# SNAT für WLAN-Clients und IP-Forwarding einschalten
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 192.168.0.253
echo '1' > /proc/sys/net/ipv4/ip_forward

# Resolver für den AP
echo -e "nameserver 192.168.0.4\nsearch lukenukem.de\n" > /etc/resolv.conf

# DHCP für die WLAN-Clients
echo -e "subnet 192.168.10.0 netmask 255.255.255.0 {\n range 192.168.10.100 192.168.10.199\n option routers 192.168.10.253\n option domain-name "wlan.home.lukenukem.de"\n option domain-name-servers 192.168.0.4\n}\n" > /etc/dhcp.conf
--snap-----

Das sollte es weitestgehend sein, die mMn. unwichtigen Teile habe ich weggelassen und wahrscheinlich den einen oder anderen Tipp- und / oder Denkfehler drin. Insbesondere habe ich Schwierigkeiten, DHCP ans WLAN-Interface zu binden und die SNAT-Geschichte umzusetzen -- für alles andere kloppe ich schlimmstenfalls noch ein NIC in den Gateway und wickle das Ganze über dessen SNAT-Funktionen ab. (Ja, das kann ich auch gleich machen und dann den Bridging-Modus des AP nutzen, aber das kann ja wohl nicht der Sinn sein.)

Leider bin ich offenbar zu blöd, die Lancom-Manuals zu verstehen -- ja, gelesen habe ich sie natürlich. Aber konfrontiert mit der Realität des Webinterface steh' ich wie der Ochs vorm Berg. Dabei dachte ich schon fast, ich verstünde etwas von Netzwerken. :)

Das Netz soll künftig erweitert werden, indem ausgewählten Clients ein SSH-Zugriff auf die Hosts im LAN gewährt wird. Aber das ist noch Zukunftsmusik, vielleicht sollte ich dazu erstmal den Accesspoint verstanden haben. :)

Vielleicht hat jemand von Euch eine Idee, wo ein alter UNIX-Hase ein paar Informationen findet, die er versteht.

Herzliche Grüße,
LukeNukem

PS: Wenn jemand einen 802.11b/g-fähigen USB-Stick mit Prism-Chipsatz kennt, der unter Linux, Free- oder OpenBSD mit hostap rennt, würde ich mich über einen Tipp sehr freuen.

[Casey]

Insbesondere habe ich Schwierigkeiten, DHCP ans WLAN-Interface zu binden

Vielleicht sucht du folgendes?
Experten-Konfiguration/Setup/DHCP-Modul/Port-Tabelle

[backslash]

Hi LukeNukem

meine gewünschte Konfiguration ist ziemlich einfach: ich möchte ein LAN-Interface mit einer festen IP-Adresse aus meinem bestehenden Netzwerk. Auf dem WLAN-Interface soll ein eigenes Netzwerk mit WEP-128 laufen, das der AP über DHCP mit den IPs aus diesem eigenen Netz versorgt und das per SNAT ins bestehende LAN eingebunden werden soll. Im bestehenden Netz 192.168.0.0/24 wird ein DNS mit der IP 192.168.0.4 und ein Gateway mit 192.168.0.254 betrieben; bis auf diese beiden sollen die WLAN-Clients nicht auf das interne Netzwerk zugreifen.

Beim LANCOM macht man das indem man das DSLoL-Interface im Exklusiv-Modus betreibt und dann ganz einfach mit dem Internet-Wizard eine Plain-IP-Verbindung mit fester IP-Adresse einrichtet. Im Wizard gibt man dann als Transfernetz das 192.168.00/24er Netz, den DNS-Server (192.168.0.4) und das Gateway (192.168.0.254) an.

Da im Auslieferungszustand alle 192.168.x.x Netze gesperrt sind, war es das schon.

@Casey:

Vielleicht sucht du folgendes?
Experten-Konfiguration/Setup/DHCP-Modul/Port-Tabelle

Kann er sich sparen, wenn das DSLoL-Interface im Exklusiv-Modus betrieben wird - dann tut der DHCP-Server sowieso nur auf dem WLAN...

Gruß
Backslash

[LukeNukem]

Beim LANCOM macht man das indem man das DSLoL-Interface im Exklusiv-Modus betreibt und dann ganz einfach mit dem Internet-Wizard eine Plain-IP-Verbindung mit fester IP-Adresse einrichtet. Im Wizard gibt man dann als Transfernetz das 192.168.00/24er Netz, den DNS-Server (192.168.0.4) und das Gateway (192.168.0.254) an.

Da im Auslieferungszustand alle 192.168.x.x Netze gesperrt sind, war es das schon.

Für DSLoL muß ich mein DSL-Modem und den AP an meinen Switch anschließen, und der AP wickelt dann den DSL-Verkehr über denselben Switch ab, über den hier auch der interne Netzwerkverkehr läuft. Wenn ich das richtig verstanden habe, möchte ich das lieber nicht machen, fürchte ich. Zum Einen, weil da außer mir noch andere Leute auf dem Switch hängen, zum Anderen, weil ich ein bisschen altmodisch bin und meine Datenströme lieber trenne. Und zuletzt, weil ich einen exzellenten Linux-Gateway (P1/233MMX, 128MB RAM, SCSI-RAID, RSBAC) verwende. In den ich habe soviel Zeit investiert, daß mir das Herz blutet, wenn ich ihn außer Betrieb nehmen soll. Insofern möchte ich den RJ45-Port des L54g lieber als reine Ethernetschnittstelle verwenden.

Aber mal eine andere Frage: woher bekomme ich eine Dokumentation des "Expertenmodus"? Vieles dort sieht für mich vertrauter aus als in der "Konfiguration", aber bei anderen Parametern bin ich etwas verwirrt. Beispielsweise die Begriffe "Port" und "Layer" passen häufig irgendwie nicht zu dem, was ich aus der Netzwerktechnik kenne. Gut, bei "Port" kann ich irgendwie noch eine Assoziation mit einem Ethernet-Port an einem Switch öä. assoziieren, aber was ist mit "Kommunikationslayern"? Äh, ein Layer im Sinne des OSI-Modells wird ja wohl eher nicht gemeint sein.

Beste Grüße und vielen Dank für Eure Bemühungen,
Luke

[MoinMoin]

Moin, moin!

Du kannst dein Linux-Gate behalten. Der Sinn, das LANCOM per DSLoL anzubinden ist, daß du dann zwischen WLAN und LAN Router und Firewall hängen hast. Du beschränkst den DHCP-Server automatisch auf das WLAN, du verwendest für LAN und WLAN verschiedene Netze und kannst bei Bedarf maskieren. Nachteil ist der reduzierte Durchsarz.

Ciao, Georg

[backslash]

Hi LukeNukem

Für DSLoL muß ich mein DSL-Modem und den AP an meinen Switch anschließen, und der AP wickelt dann den DSL-Verkehr über denselben Switch ab, über den hier auch der interne Netzwerkverkehr läuft.

Letztendlich ja - worüber sollte er den Traffic auch sonst abwickeln...

Wenn ich das richtig verstanden habe, möchte ich das lieber nicht machen, fürchte ich. Zum Einen, weil da außer mir noch andere Leute auf dem Switch hängen, zum Anderen, weil ich ein bisschen altmodisch bin und meine Datenströme lieber trenne.

wie willst du es sonst machen? Auch wenn du den im ersten Posting beschriebenen Linux-Rechner passend konfigurierst, kommt doch letztendlich das Selbe dabei heraus - irgendwo mußt du den AP ja dranklemmen...

Und zuletzt, weil ich einen exzellenten Linux-Gateway (P1/233MMX, 128MB RAM, SCSI-RAID, RSBAC) verwende. In den ich habe soviel Zeit investiert, daß mir das Herz blutet, wenn ich ihn außer Betrieb nehmen soll. Insofern möchte ich den RJ45-Port des L54g lieber als reine Ethernetschnittstelle verwenden.

Es spricht nichts dagegen das Gateway weiterzuverwenden. Das Einschalten des DSLoL-Interfaces sorgt letzten Endes nur dazu, daß die LAN/WLAN-Bridge deaktiviert wird und alles über den Router gehen muß. Zudem wolltest du ja ein NAT machen - das finktioniert auch nur über den Router. Das DSLoL-Interface macht nicht nur PPPoE sondern kann auch als ganz normales Ethernet-Interface verwendet werden (alle Layer Transparent, Ethernet Encapsulation)

Die einzige Chance das zu trennen besteht darin, dem Gateway eine weitere Netzwerkkarte zu spendieren, und den AP daran zu hängen - dann brauchst du aber auch kein NAT mehr...

Aber mal eine andere Frage: woher bekomme ich eine Dokumentation des "Expertenmodus"? Vieles dort sieht für mich vertrauter aus als in der "Konfiguration", aber bei anderen Parametern bin ich etwas verwirrt.

Die "Expertenkonfiguration" ist eine 1:1 Abbildung der Telnet-Oberfläche. Im Handbuch steht bei allen Parametern, wie sie unter LANconfig (bzw. in der WEBconfig unter "Konfiguration") oder unter Telnet zu finden sind.

Beispielsweise die Begriffe "Port" und "Layer" passen häufig irgendwie nicht zu dem, was ich aus der Netzwerktechnik kenne. Gut, bei "Port" kann ich irgendwie noch eine Assoziation mit einem Ethernet-Port an einem Switch öä. assoziieren, aber was ist mit "Kommunikationslayern"? Äh, ein Layer im Sinne des OSI-Modells wird ja wohl eher nicht gemeint sein.

Doch das sind genau die OSI-Layer auf der WAN-Seite. Du hast das Problem, daß wenn Du IP über eine WAN-Strecke überträgst, die Layer plötzlich von Layer 3 wieder auf den Layer 1 zurückspringen.

Hier eine kurze Auflistung:

Layer1 - physical: HDLC7, HDLC8, ETH, seriell
Layer2 - data link: X.75, PPPoE, Transparent
Layer3 - network: PPP, DHCP, Transparent (zur Bestimmung der Netzadresse!)

hier kommt nun ggf. der Rückfall auf Layer 1/2:

Encaps: Ethernet, Transparent

bis wie letztendlich wieder beim Layer-3 (IP) ankommen...

Gruß
Backslash