L-54g + Public Spot + Repeater

[SchlaWiener]

Guten Morgen,

ich habe bei uns zu Hause in einem kleinen Hotel einen L-54g mit Public Spot in Betrieb.

Jetzt habe ich die Situation, das in Gastraum und den meisten Zimmern WLAN verfügbar ist. Nur in einigen abgelegenen Zimmern eben nicht.

Jetzt würde ich das WLAN-Signal gerne repeaten und habe dafür einen Fritz WLAN Repeater NG getestet.
Dieser verstärkt das Signal und eine Verbindung ist auch möglich, allerdings setzt dieser die MAC bei Anfragen der Clients auf seine eigene.

Im Syslog sehe ich sehr schön, das zwar eine Anmeldung von der IP eines Clients erfolgt, die MAC ist aber die des Repeaters.

Da der Lancom die Public Spot Benutzer anhand der MAC authentifiziert, habe ich den Effekt, dass sich der erste Client authentifizieren muss und dadurch das Netz für weitere Clients offen steht, da die MAC ja bereits einem Benutzer zugeordnet ist.


Jetzt gäbe es zwei mögliche Lösungen, die mir einfallen:

1. Kann ich den L-54g beibringen, das Public Spot Benutzer über MAC+IP authentifiziert werden

2. Kennt jemanden einen Repeater, der die MAC-Adresse der Clients bei Anfragen beibehält, bzw. eine eindeutige eigene MAC verwendet?


Es wäre ja auch noch möglich die Lancom Hardware zu erweitern, also einen zweiten L-54g + Public Spot Lizenz, aber dann bräuchte ich vermutlich ja auch einen WLAN Controller, damit die Clients sich nach einem Roaming nicht erneut anmelden müssen und das würde von den Kosten her etwas den Rahmen sprengen.


Vielen Dank vorab.

[alf29]

Moin,

1. Kann ich den L-54g beibringen, das Public Spot Benutzer über MAC+IP authentifiziert werden

Nein. Da würde sich die Katze auch etwas in den Schwanz beißen, weil der Client die IP-Adresse üblicherweise erst während der Anmeldung per DHCP bekommt.

2. Kennt jemanden einen Repeater, der die MAC-Adresse der Clients bei Anfragen beibehält, bzw. eine eindeutige eigene MAC verwendet?

Nimm ein zweites LANCOM, das die gleiche SSID ausstrahlt, und baue zwischen den beiden zusätzlich eine Punkt-zu-Punkt-Verbindung auf. Punkt-zu-Punkt-Verbindungen sind Layer-2-transparent, d.h. MAC-Adressen werden nicht umgestellt. Eine zweite Public-Spot-Lizenz brauchst Du nicht, schalte auf dem ersten L-54 Public-Spot zusätzlich auf der Schnittstelle P2P-1-1 ein, dann greift das Public-Spot-Gateway auf dem ersten LANCOM auch für die Clients, deren Pakete über die P2P-Strecke hereinkommen.

Falls Du neben der "Public-Spot-SSID" noch eine "private SSID" ohne Public Spot hast, die auch 'repeatet' werden soll, dann geht das auch, es wird nur ein bißchen kniffliger, weil man dann überall mit VLANs arbeiten und die P2P-Strecke zwischen den LANCOMs als VLAN-Trunk konfigurieren muß. Im Public-Spot-Modul kommt dann die VLAN-Tabelle zum Tragen...

Es wäre ja auch noch möglich die Lancom Hardware zu erweitern, also einen zweiten L-54g + Public Spot Lizenz, aber dann bräuchte ich vermutlich ja auch einen WLAN Controller, damit die Clients sich nach einem Roaming nicht erneut anmelden müssen und das würde von den Kosten her etwas den Rahmen sprengen.

Roaming ohne Neuanmeldung und ohne WLC geht schon, das IAPP zwischen den LANCOMs kann Informationen über eine laufende Public-Spot-Sitzung bei einem Roaming-Vorgang vom alten zum neuen AP herübertragen. Dazu muß nur im Public-Spot-Modul das Roaming-Secret gesetzt sein.

Gruß Alfred

[SchlaWiener]

Vielen Dank schonmal für die Antwort.

Nein. Da würde sich die Katze auch etwas in den Schwanz beißen, weil der Client die IP-Adresse üblicherweise erst während der Anmeldung per DHCP bekommt.

Also gehen würde das schon, die Zuweisung der IP-Adresse erfolgt ja bereits vor der eigentlichen Authentifizierung am Public Spot über den Browser.

Nimm ein zweites LANCOM, das die gleiche SSID ausstrahlt, und baue zwischen den beiden zusätzlich eine Punkt-zu-Punkt-Verbindung auf. Punkt-zu-Punkt-Verbindungen sind Layer-2-transparent, d.h. MAC-Adressen werden nicht umgestellt. Eine zweite Public-Spot-Lizenz brauchst Du nicht, schalte auf dem ersten L-54 Public-Spot zusätzlich auf der Schnittstelle P2P-1-1 ein, dann greift das Public-Spot-Gateway auf dem ersten LANCOM auch für die Clients, deren Pakete über die P2P-Strecke hereinkommen.

Dazu habe ich folgende Anleitung gefunden http://www2.lancom.de/kb.nsf/1275/4F0F1 ... enDocument
Klingt schonmal vielversprechend, auch wenn sich die Anleitung eher darauf bezieht 2 LAN-Netzwerke per Funk miteinander zu verbinden.
Der zweite Lancom könnte ja ein gesichertes WLAN Netz zum bestehenden L54 aufbauen und ein weiteres, ungeschütztes, für die Clients bereitstellen.


Bevor ich jedoch die ~200-300 Euro für einen weiteren L54 in die Hand nehme:
Wenn ich in Internet nach einfachen WLAN-Repeatern suche, liegen die zwischen 30 und 50 Euro. Wenn so ein Gerät die MAC-Adresse des Clients bei Anfragen, anders als der Fritz Repeater, beibehalten würde, wäre das ja völlig ausreichend.

Ich würde nur gerne vorher wissen, welche Geräte das können.

[alf29]

Moin,

Also gehen würde das schon, die Zuweisung der IP-Adresse erfolgt ja bereits vor der eigentlichen Authentifizierung am Public Spot über den Browser.

...und sie läßt sich noch viel leichter umsetzen/fälschen als die MAC-Adresse. Deshalb habe ich mich dagegen bisher immer erfolgreich gewehrt. Abgesehen, daß das im Public-Spot-Modul die Verwaltung der Clients komplett umkrempelt und man mit so Sachen klarkommen muß, daß sich die IP-Adresse eines Clients während einer Sitzung ändert, und sei es nur von einem Wert == 0.0.0.0 auf einen Wert != 0.0.0.0. Ein Client kann im Public Spot auch schon vor der Anmeldung einige Dinge machen (Stichwort walled garden), das macht die Sache im Detail ziemlich knifflig, wenn man nicht eine Client-Eigenschaft hat, die unveränderlich ist...

Klingt schonmal vielversprechend, auch wenn sich die Anleitung eher darauf bezieht 2 LAN-Netzwerke per Funk miteinander zu verbinden.
Der zweite Lancom könnte ja ein gesichertes WLAN Netz zum bestehenden L54 aufbauen und ein weiteres, ungeschütztes, für die Clients bereitstellen.

Wichtig: Die P2P-Strecken benutzen die Verschlüsselungseinstellungen der ersten SSID mit, die Public-Spot-SSID müßte also auf WLAN-1-2 wandern, wenn man die P2P-Strecke verschlüsselt haben will...

Wenn ich in Internet nach einfachen WLAN-Repeatern suche, liegen die zwischen 30 und 50 Euro. Wenn so ein Gerät die MAC-Adresse des Clients bei Anfragen, anders als der Fritz Repeater, beibehalten würde, wäre das ja völlig ausreichend.

Ich würde nur gerne vorher wissen, welche Geräte das können.

Das wird Dir im voraus vermutlich niemand sagen können, mein Eindruck ist jedoch, daß solche volltransparenten Repeater inzwischen eher selten geworden sind. Ich erinnere mich, mal so ein Gerät von D-Link gehabt zu haben, das hat sich für jeden Client, den es 'betreut', wiederum am AP mit genau dieser Adresse angemeldet. War aber irgendwann zu seligen 11MBit-Zeiten...

LANCOM-Clients und -APs selber kennen übrigens einen sogenannten Client-Bridge-Modus, in dem ein Client Pakete aus dem Netz 'hinter ihm' (egal ob Ethernet oder ein anderes WLAN) transparent an den AP weiterleiten kann. Dann bräuchtest Du aber einen (noch teureren) Dual-Radio-LANCOM-AP, da das LCOS ein WLAN-Modul nich gleichzeitig im AP- und Client-Modus betreiben kann, also selber (noch) keinen Repeater-Betrieb beherrscht...

Gruß Alfred