L-54g + IPcop + WLAN-Gastzugang

drasmussen · Beitrag von **drasmussen** » 06 Jun 2007, 15:53

Hallo zusammen,

wie kann man in einem LAN/WLAN-Netz einen zusätzlichen WLAN-Gastzugang mit Internetzugriff einrichten, wenn der DSL-Zugang nicht über den LANCOM- L-54g erfolgt sondern über einen separaten Firewall-/Router-PC (IPcop V 1.4.15) erfolgt ?

Details zu der angestrebten Konfiguration:

Netzwerk-Adresse/Netmask des internen LAN/WLAN: 192.168.75.0/255.255.255.0
IP-Adresse des WLAN-AP: 192.168.75.201
IP-Adresse des IPCOP: 192.168.75.200
Alle weiteren PCs und Server des lokalen Netzes sind sowohl über LAN-Kabel als auch über WLAN (SSID: *LWLAN1) angebunden. Die IP-Adressen dieser Geräte sind ebenfalls fest vorgegeben (kein DHCP).

Gewünschter IP-Adress-Range für WLAN-Gast-PCs via zweitem WLAN-Netz (SSID: *LWLAN2): 192.168.76.100-192.168.76.250 (per DHCP)

Die WLAN-Gast-PCs sollen nur auf das Netz 192.168.76.0/255.255.255.0 UND den IPCOP als Internet-Router zugreifen können und sich die Netzkonfiguration via DHCP ziehen.

BTW: Beide WLAN-Netze sind dabei selbstverständlich mittels WPA (PSK) abgesichert.

Hat jemand schon mal eine derartige Konstellation gehabt und darin das ein zweites WLAN-Netz für einen Gastzugang zum Laufen gebracht ?

Bisher bin ich nach folgender Anleitung
http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument (s. "zweites Szenario")
vorgegangen. Was damit aber noch nicht funktioniert hat: die WLAN-Clients im zweiten WLAN haben die Netzwerkadressen noch nicht per DHCP-gezogen, obwohl ich im LANCOM L-54g extra ein DHCP mit passendem Adressrange auf dem logischen 2. WLAN-Device konfiguriert und aktiviert hatte !?

backslash · Beitrag von **backslash** » 06 Jun 2007, 16:58

Hi drasmussen

letztendlich ist das ein recht triviales Szenario:

Vergebe für die DMZ das Gatnetz (192.168.76.0/255.255.255.0) und binde die DMZ an WLAN-2.

Aktiviere den DHCP-Server des LANCOMs und binde ihn an WLAN-2.

Filtere in der WLAN-Konfiguration DHCP für WLAN-2

Dadurch erzwingst du, daß alle Clients aus dem WLAN-2 sich ihre Konfiguratuion vom LANCOM holen. Das LANCOM weist dabei sich als Defaultgateway zu.

Nun erstellst du noch eine Defaultroute, die auf den IPcop zeigt und eine Firewallregel, die allen Usern aus dem Gastnetz den Zugriff auf das Intranet verbietet:

Code: Alles auswählen

Quelle:  192.168.76.0/255.255.255.0
Ziel:    192.168.75.0/255.255.255.0
Dienste: alle dienste
Aktion:  zurückweisen.

fertig.

schwieriger wird es, wenn du mehrere APs hast und auf allen der Gastzugang und auch noch ein Roaming möglich sein soll. Dann kommst du um eine VLAN-Konfiguration nicht herum:

http://www2.lancom.de/kb.nsf/a5ddf48173 ... ang,German

Gruß
Backslash

drasmussen · Beitrag von **drasmussen** » 06 Jun 2007, 17:31

backslash hat geschrieben:Hi drasmussen

letztendlich ist das ein recht triviales Szenario:

Vergebe für die DMZ das Gatnetz (192.168.76.0/255.255.255.0) und binde die DMZ an WLAN-2.

Aktiviere den DHCP-Server des LANCOMs und binde ihn an WLAN-2.

Filtere in der WLAN-Konfiguration DHCP für WLAN-2

Dadurch erzwingst du, daß alle Clients aus dem WLAN-2 sich ihre Konfiguratuion vom LANCOM holen. Das LANCOM weist dabei sich als Defaultgateway zu.

Nun erstellst du noch eine Defaultroute, die auf den IPcop zeigt und eine Firewallregel, die allen Usern aus dem Gastnetz den Zugriff auf das Intranet verbietet:
Code: Alles auswählen
Quelle:  192.168.76.0/255.255.255.0
Ziel:    192.168.75.0/255.255.255.0
Dienste: alle dienste
Aktion:  zurückweisen.
fertig.

schwieriger wird es, wenn du mehrere APs hast und auf allen der Gastzugang und auch noch ein Roaming möglich sein soll. Dann kommst du um eine VLAN-Konfiguration nicht herum:

http://www2.lancom.de/kb.nsf/a5ddf48173 ... ang,German

Gruß
Backslash

Hi Backslash,

zunächst mal vielen Dank für Deine schnelle Antwort !

Ja wenn man Deine Ausführungen so liest, könnte man tatsächlich den Eindruck gewinnen, daß das ein "recht triviales Szenario" sei !

Allerdings ist mir leider noch nicht ganz klar, was und wo ich im Vergleich zu meiner praktizierten Vorgehensweise (lt. der von mir genannten Anleitung) noch ändern bzw. ergänzen muß ?

Sorry, aber mir sind die diesbzgl. Feineinstellungen im LANCOM noch nicht so geläufig ...

Es stellt sich mir auch die Frage ob der IPcop da mitspielen wird und auf seinem "grünen" Network-Interface auch Datenpakete aus einem ihm "fremden" grünen Netzwerk (192.168.76.0 vs. 192.168.75.0) akzeptieren und weiterleiten/mappen wird !? Denn der IPcop soll als zentraler Firewall- und Internet-Router sowohl für das lokale LAN/WLAN (192.168.75.0) als auch für das Gast-Netzwerk (192.168.76.0) dienen !

Kannst Du mir also bitte noch ein wenig auf die Sprünge helfen !?

BTW: Das "Problem" mit mehreren WLAN-AP stellt sich in meinem konkreten Fall Gott sei Dank (noch) nicht ...

backslash · Beitrag von **backslash** » 06 Jun 2007, 19:23

Hi drasmussen

Allerdings ist mir leider noch nicht ganz klar, was und wo ich im Vergleich zu meiner praktizierten Vorgehensweise (lt. der von mir genannten Anleitung) noch ändern bzw. ergänzen muß ?

es unterscheidet sich nicht viel, außer das im Szenario 2 beide WLANs adreßmäßig im gleichen Netz liegen und die Trennung auf Layer2 erfolgt, während in meiner Beschreibung die WLANs verschiedene Netze verwenden und die Trennung eben auf IP-Ebene (also Layer 3) erfolgt...

Es stellt sich mir auch die Frage ob der IPcop da mitspielen wird und auf seinem "grünen" Network-Interface auch Datenpakete aus einem ihm "fremden" grünen Netzwerk (192.168.76.0 vs. 192.168.75.0) akzeptieren und weiterleiten/mappen wird !?

Das mußt du dem IPcop schon erklären und eine passende Route zum AP legen...

Aber agbesehen davon - es geht noch viel einfacher und die Trennung erfolgt dabei sogar physikalisch, d.h. auf Layer 1:

Der IPcop hat doch eh 3 Netzwerkkarten, eine für das Internet (rot), eine für das Intranet (grün) und eine für die DMZ (blau). Häng doch einfach den AP (offen) an das blaue Interface und regel die Berechtigungen direkt im IPcop. Das löst alle Probleme auf einen Schlag...

Gruß
Backslash

drasmussen · Beitrag von **drasmussen** » 07 Jun 2007, 14:14

backslash hat geschrieben:Hi drasmussen
...
es unterscheidet sich nicht viel, außer das im Szenario 2 beide WLANs adreßmäßig im gleichen Netz liegen und die Trennung auf Layer2 erfolgt, während in meiner Beschreibung die WLANs verschiedene Netze verwenden und die Trennung eben auf IP-Ebene (also Layer 3) erfolgt...
...

Hi backslash,

ja dann müßte doch meine Einstellung lt. der o.g. Anleitung auch funktionieren -- oder ? Sie tut es aber nicht ! BTW: Bei den MAC-Adressen für den zweiten Router habe ich die MAC-Adresse des GRÜNEN Interfaces vom IPcop angegeben...

backslash hat geschrieben: ...
Aber abgesehen davon - es geht noch viel einfacher und die Trennung erfolgt dabei sogar physikalisch, d.h. auf Layer 1:

Der IPcop hat doch eh 3 Netzwerkkarten, eine für das Internet (rot), eine für das Intranet (grün) und eine für die DMZ (blau). Häng doch einfach den AP (offen) an das blaue Interface und regel die Berechtigungen direkt im IPcop. Das löst alle Probleme auf einen Schlag...
...

Abgesehen davon, dass ich in den IPcop noch eine 3. Netzwerkkarte für das BLAUE Interface einbauen müßte, verstehe ich nicht ganz wie das "auf einen Schlag meine Probleme lösen soll" ? Denn der LANCOM L-54g soll wie gesagt zwei logische WLAN-Netze bedienen (LWLAN1 für WLAN-PCs im internen/privaten 192.168.75.0-Netz mit fester IP-Konfig. bzw. LWLAN2 für WLAN-PCs im öffentlich 192.168.76.0-GastNetz mit DHCP gesteuerter IP-Konfig.), wobei beide über den IPcop Verbindung ins Internet erhalten sollen. Das Problem, dass ich mit zwei Netzwerk-Adressen an ein Netzwerk-Interface des IPcop connecten muß, habe ich im Falle des BLAUEN (statt GRÜNEN) Interfaces doch auch -- oder liege ich da falsch ?

backslash · Beitrag von **backslash** » 08 Jun 2007, 18:26

Hi drasmussen

ja dann müßte doch meine Einstellung lt. der o.g. Anleitung auch funktionieren -- oder ?

ja, solange du dem IPCop auf seinem grünen Interface zwei Netze gibst...

Abgesehen davon, dass ich in den IPCop noch eine 3. Netzwerkkarte für das BLAUE Interface einbauen müßte, verstehe ich nicht ganz wie das "auf einen Schlag meine Probleme lösen soll" ?

du würdest die Berechtigungen zentral auf dem IPCop verteilen und würdest nebenbei durch die physikalische Trennung der Ethernet-Stänge verhindern, daß z.B. Broadcasts aus deinem Intranet auch auf dem Gastnetz zu sehen sind.

Natürlich müßtest du auch hier dem IPCop auf dem blauen Interface zwei Netze geben.

Oder du richtest den L54 als Router ein, wie in meinem ersten Posting...

Gruß
Backslash

drasmussen · Beitrag von **drasmussen** » 08 Jun 2007, 18:37

Wie kann ich denn dem LANCOM L-54g klarmachen, dass er bitte schön DHCP-Anfragen auf LWLAN2 mit entsprechender IP-Konfig. (IP-Adressen aus Netzw. 192.168.76.0) beantwortet ?
Das sollte ja unabhängig von Szenario 1 oder 2 funktionieren !?

backslash · Beitrag von **backslash** » 08 Jun 2007, 18:41

Hi drasmussen

Wie kann ich denn dem LANCOM L-54g klarmachen, dass er bitte schön DHCP-Anfragen auf LWLAN2 mit entsprechender IP-Konfig. (IP-Adressen aus Netzw. 192.168.76.0) beantwortet ?

siehe mein erstes Posting:

Vergebe für die DMZ das Gatnetz (192.168.76.0/255.255.255.0) und binde die DMZ an WLAN-2.

Aktiviere den DHCP-Server des LANCOMs und binde ihn an WLAN-2.

Gruß
Backslash

drasmussen · Beitrag von **drasmussen** » 08 Jun 2007, 19:13

... nur damit wir uns nicht falsch verstehen, hier nochmal eine schematische Netzwerk-Darstellung von dem was ich realisieren möchte, wobei sich meine Frage auf die bestmögliche Integration der geplanten LWLAN2 Komponenten bezieht ...