Geräte:
IAP-54
L54-ag
diverse wlan-pcmcia-karten
Erster Tag der Konfiguration war ein voller Erfolg!
IAP-54, diverse wlan-karten
- dedizierter Radius loeppt (acc und auth)
- LEPS ueber Radius laeuft wunderbar
- dedizierter DHCP Server verteilt brav an PCMCIA-Karten seine Adressen
Zweiter Tag ist der Grund fuer diese Nachricht ...
Ich moechte den L54ag als Client an den IAP-54 anmelden.
Dabei habe ich es erstmal im Routermodus versucht.
Die Anmeldung kommt auch brav beim Radius an
und der gibt das OK an den IAP54 weiter. Die Strecke wir aufgebaut und das WAN Interface bekommt eine
DHCP IP zugewiesen. Diese kann ich von aussen auch erreichen.
Sah spontan also ganz toll aus. Das Ding will aber ums verrecken die Packete vom
Intranet nicht in das WLAN routen. Im Router sind die privaten geblockten Routen geloescht die defaultroute hat NAT an
und die Firewall ist abgestellt.
Ich denke der Fehler ist ganz einfach, ich kenne die Geraete halt mal zwei Tage.
Der Router routet nicht ...
Als zweites Szenario sollte es dann gebridged sein, aber eins nach dem anderen.
Grundsaetzlich ist die L54ag doch als Client einsetzbar oder?
L54ag als Client am IAP-54
Moderator: Lancom-Systems Moderatoren
Moin,
grundsätzlich ja, aufgrund der Art, wie IEEE 802.11
MAC-Adressen benutzt, gibt es aber ein paar Fallstricke
im Client-Betrieb.
IEEE 802.11 betrachtet einen Client im WLAN als
'Kommunikation-Endpunkt', d.h. an dieser Stelle
endet das LAN - zumindest auf dem MAC-Layer. Damit
ein LANCOM als Client aber trotzdem ein ganzes LAN
in die Funkzelle bringen kann betreibt es so eine Art
'MAC-Maskierung', d.h. bei verschickten Paketen
ersetzt es die Quelladresse aus dem LAN durch seine
eigene WLAN-MAC. Bei empfangenen Pakete wird
die eigentliche Ziel-MAC-Adresse anhand der Ziel-IP-
Adresse und einer Tabelle rekonstruiert. Das funktioniert
in einem 'flachen' LAN ganz gut, aber wenn IP-Router
ins Spiel kommen, klappt das leider nicht mehr.
Sofern das LANCOM sich mit einem LANCOM-AP
verbindet, hast Du die Möglichkeit, auf beiden Seiten
den sogenannten Client-Bridge-Modus einzuschalten,
dann verwenden die beiden LANCOMs ein etwas
anderes Paketformat, das eine voll-transparente
Kommunikation erlaubt.
Eine weitere Möglichkeit, eine volltransparente
Verbindung zu erhalten, ist das zweite LANCOM überhaupt
nicht als Client, sondern auch als Access Point zu
konfigurieren und zwischen den beiden eine
Point-2-Point-Strecke aufzubauen. Der Vorteil ist,
daß das zweite LANCOM als Access Point ebenfalls
Clients bedienen kann, die bei passender Konfiguration
auch zwischen den beiden Seiten roamen können; der
Nachteil ist die Notwendigkeit, feste MAC-Adressen auf
beiden Seiten zu konfigurieren. Des weiteren ist die
Zahl der Point-2-Point-Partner auf 6 begrenzt.
Grundsätzlich ist es eigentlich einfacher, gleich zu bridgen,
wenn man das ohnehin später vorhat, weil man sich dabei
die Konfiguration verschiedener IP-Netze und die Pflege
irgendwelcher Routing-Tabellen spart. Des weiteren
könnte der Durchsatz im Bridging-Modus höher sein.
Gruß Alfred
grundsätzlich ja, aufgrund der Art, wie IEEE 802.11
MAC-Adressen benutzt, gibt es aber ein paar Fallstricke
im Client-Betrieb.
IEEE 802.11 betrachtet einen Client im WLAN als
'Kommunikation-Endpunkt', d.h. an dieser Stelle
endet das LAN - zumindest auf dem MAC-Layer. Damit
ein LANCOM als Client aber trotzdem ein ganzes LAN
in die Funkzelle bringen kann betreibt es so eine Art
'MAC-Maskierung', d.h. bei verschickten Paketen
ersetzt es die Quelladresse aus dem LAN durch seine
eigene WLAN-MAC. Bei empfangenen Pakete wird
die eigentliche Ziel-MAC-Adresse anhand der Ziel-IP-
Adresse und einer Tabelle rekonstruiert. Das funktioniert
in einem 'flachen' LAN ganz gut, aber wenn IP-Router
ins Spiel kommen, klappt das leider nicht mehr.
Sofern das LANCOM sich mit einem LANCOM-AP
verbindet, hast Du die Möglichkeit, auf beiden Seiten
den sogenannten Client-Bridge-Modus einzuschalten,
dann verwenden die beiden LANCOMs ein etwas
anderes Paketformat, das eine voll-transparente
Kommunikation erlaubt.
Eine weitere Möglichkeit, eine volltransparente
Verbindung zu erhalten, ist das zweite LANCOM überhaupt
nicht als Client, sondern auch als Access Point zu
konfigurieren und zwischen den beiden eine
Point-2-Point-Strecke aufzubauen. Der Vorteil ist,
daß das zweite LANCOM als Access Point ebenfalls
Clients bedienen kann, die bei passender Konfiguration
auch zwischen den beiden Seiten roamen können; der
Nachteil ist die Notwendigkeit, feste MAC-Adressen auf
beiden Seiten zu konfigurieren. Des weiteren ist die
Zahl der Point-2-Point-Partner auf 6 begrenzt.
Grundsätzlich ist es eigentlich einfacher, gleich zu bridgen,
wenn man das ohnehin später vorhat, weil man sich dabei
die Konfiguration verschiedener IP-Netze und die Pflege
irgendwelcher Routing-Tabellen spart. Des weiteren
könnte der Durchsatz im Bridging-Modus höher sein.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Moin Moin,
danke fuer die rasend schnelle Antwort!
Im Bridigmodus bekomme ich nun eine lauffähige Verbindung. Leider kann ich vom zentralen DHCP-Server
die Adresse nicht übergeben. Mit Hilfe der Weiterleitung im L54ag kommt die Anfrage laut
Log zwar am DHCP Server an, aber mit der ARP des Clients und dieser ist ueber
den Radius nicht authentifiziert.
Ich pinsel mal...
Clientrechner
|
|Ethernet
|
L54ag
|
|WLAN
|
IAP54
|
|Ethernet
|
Radius/DHCP -----Router--------Internet
Aus mir wird noch ein Künstler.
Ich verstehe zwar nicht warum die MAC überhaupt beim DHCP ankommt, sollte doch eigentlich gar nicht raus gehen,
aber das muss mich in der Tiefe nun gar nicht interesssieren. Bei statischer Adressvergabe geht das...
Was will ich nun aber eigentlich?
Der L54ag soll auf dem WAN Interface per DHCP eine IP mit allem drum und dran bekommen. (geht)
Der Clientrechner ist hinter dem L54ag und der L54ag hat eine feste IP auf dem Ethernetinterface. (geht)
Per NAT soll nun der Clientrechner hinter dem L54ag ueber den IAP54 ins Internet.
Wenn ich Dich nun richtig verstanden habe geht das nicht, da hier die MAC-Adresse des Clientrechners
das 802.11 stoert. Ich ging hier aber eigentlich von zwei getrennten Segmenten (LAN und WAN, geroutet) aus, daher duerfte der IAP die MAC doch gar nicht mehr mitbekommen.
Wenn es mit dem L54ag nicht geht, gibt es eine andere Moeglichkeit fuer diese Art der Anwendung?
Es geht mir einfach darum, wenn Kunden keine Wlan-Karte wollen oder einsetzen koennen, die Verbindung als konfiguriertes Gerät per Ethernet definiert zu uebergeben.
Ich hoffe, ich schreibe nicht langsam wirr...
danke fuer die rasend schnelle Antwort!
Im Bridigmodus bekomme ich nun eine lauffähige Verbindung. Leider kann ich vom zentralen DHCP-Server
die Adresse nicht übergeben. Mit Hilfe der Weiterleitung im L54ag kommt die Anfrage laut
Log zwar am DHCP Server an, aber mit der ARP des Clients und dieser ist ueber
den Radius nicht authentifiziert.
Ich pinsel mal...
Clientrechner
|
|Ethernet
|
L54ag
|
|WLAN
|
IAP54
|
|Ethernet
|
Radius/DHCP -----Router--------Internet
Aus mir wird noch ein Künstler.
Ich verstehe zwar nicht warum die MAC überhaupt beim DHCP ankommt, sollte doch eigentlich gar nicht raus gehen,
aber das muss mich in der Tiefe nun gar nicht interesssieren. Bei statischer Adressvergabe geht das...
Was will ich nun aber eigentlich?
Der L54ag soll auf dem WAN Interface per DHCP eine IP mit allem drum und dran bekommen. (geht)
Der Clientrechner ist hinter dem L54ag und der L54ag hat eine feste IP auf dem Ethernetinterface. (geht)
Per NAT soll nun der Clientrechner hinter dem L54ag ueber den IAP54 ins Internet.
Wenn ich Dich nun richtig verstanden habe geht das nicht, da hier die MAC-Adresse des Clientrechners
das 802.11 stoert. Ich ging hier aber eigentlich von zwei getrennten Segmenten (LAN und WAN, geroutet) aus, daher duerfte der IAP die MAC doch gar nicht mehr mitbekommen.
Wenn es mit dem L54ag nicht geht, gibt es eine andere Moeglichkeit fuer diese Art der Anwendung?
Es geht mir einfach darum, wenn Kunden keine Wlan-Karte wollen oder einsetzen koennen, die Verbindung als konfiguriertes Gerät per Ethernet definiert zu uebergeben.
Ich hoffe, ich schreibe nicht langsam wirr...
NAT auf WLAN
Danke Mirko fuer Deine Antwort, genau dies moechte ich konfigurieren.
Ich kann aber kaum glauben das dies nicht gehen soll.
Fuer mich war eigentlich ganz klar, dies ist ein Router mit NAT, egal in welche Richtung...
Da ich ein unglaeubiger Mensch bin, habe ich den Support noch mal angerufen. Spontan konnte er die Frage auch nicht beantworten, er wird sich aber darum kuemmern, ich werde hier das Resultat posten.
Kennt sonst jemand ein preiswertes Fertiggeraet, welches auf dem WLAN NATet und dort auch das Defaultgateway hat?
Ich kann aber kaum glauben das dies nicht gehen soll.
Fuer mich war eigentlich ganz klar, dies ist ein Router mit NAT, egal in welche Richtung...
Da ich ein unglaeubiger Mensch bin, habe ich den Support noch mal angerufen. Spontan konnte er die Frage auch nicht beantworten, er wird sich aber darum kuemmern, ich werde hier das Resultat posten.
Kennt sonst jemand ein preiswertes Fertiggeraet, welches auf dem WLAN NATet und dort auch das Defaultgateway hat?
Moin,
NAT geht nur auf ein WAN-Interface. Das ist eine
Einschränkung, die LCOS im Moment hat, und aufgrund
der Software-Architektur ist dies auch nicht so einfach
zu lösen (egal ob man sich's vorstellen kann oder nicht).
Was geht, ist das DSLoL an ein WLAN-Interface
exklusiv zu binden und darüber die WAN-Verbindung zu
konstruieren.
Gruß Alfred
NAT geht nur auf ein WAN-Interface. Das ist eine
Einschränkung, die LCOS im Moment hat, und aufgrund
der Software-Architektur ist dies auch nicht so einfach
zu lösen (egal ob man sich's vorstellen kann oder nicht).
Was geht, ist das DSLoL an ein WLAN-Interface
exklusiv zu binden und darüber die WAN-Verbindung zu
konstruieren.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hi,
auf einem 3550 leider gar nicht, weil es kein DSLoL hat...
auf den Gerätem, die DSLoL haben, ist das eigentlich ganz einfach. Man konfiguriert
unter Setup/Interfaces/DSLoL, an welchen (W)LAN-Port es sich binden soll und stellt es
auf 'exklusiv'. Danach hat men etwas, auf das man wie bei Geräten mit WAN-Ethernet-Port
eine PPPoE- oder Plain-IP-Verbindung aufsetzen kann.
Wichtig ist ansonsten noch, daß in der LAN-Bridge der isolated Mode (also routen statt
bridgen) nicht setzen darf - wer das braucht, muß die benutzten (W)LAN-Ports einzeln auf
isolated setzen. Diese Einschränkung wird in der nächsten Firmware hoffentlich
entfallen.
Gruß Alfred
auf einem 3550 leider gar nicht, weil es kein DSLoL hat...
auf den Gerätem, die DSLoL haben, ist das eigentlich ganz einfach. Man konfiguriert
unter Setup/Interfaces/DSLoL, an welchen (W)LAN-Port es sich binden soll und stellt es
auf 'exklusiv'. Danach hat men etwas, auf das man wie bei Geräten mit WAN-Ethernet-Port
eine PPPoE- oder Plain-IP-Verbindung aufsetzen kann.
Wichtig ist ansonsten noch, daß in der LAN-Bridge der isolated Mode (also routen statt
bridgen) nicht setzen darf - wer das braucht, muß die benutzten (W)LAN-Ports einzeln auf
isolated setzen. Diese Einschränkung wird in der nächsten Firmware hoffentlich
entfallen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015