LAN-Bridge und Routing

[stefanbunzel]

Hallo backslash,

Okay, das hört sich gut an. Werde es nach Urlaub testen und berichten.

[Bernie137]

Hi,

Oder aber du sorgst dafür, daß dar AP auf ARP-Requests für die Loopback-Adresse antwortet - dazu gibt es CLI unter /setup/tcp-ip den Schalter "Non-Loc.-ARP-Replies". Wenn du den auf "yes" stellst, dann antwortet der AP auch auf der maskierten Verbindung auf ARP-Requests, die nicht aus dem Netz stammen, das direkt auf der WAN-Seite anliegt...

OK, das hat mir jetzt auch geholfen. Allerdings muss man für "Entfernte Netze" den Zugriff erlauben. Ist das ein (Sicherheits-)Problem?

Du willst das "lokale Netz" (also das am Ethernet-Port des C-54) maskieren. Maskierung/NAT geht beim LCOS nur auf WAN-Verbindungen, also ist der einzige Weg, das DSLoL-Interface für die Verbindung zu benutzen. Das DSLoL bindest Du an WLAN-1, und das tunlichst auch im *Exklusivmodus", damit das Gerät nicht noch parallel versucht, zwischen LAN und WLAN zu bridgen.

Ich glaube "Exklusivmodus" ist das Problem, dass man vom "lokalen Netz" dann nicht mehr auf das "WLAN Netz" selbst zugreifen kann? Habe ich noch ne Chance es parallel hin zu bekommen, also Internet und WLAN-Netz? Brauche das für VoIP und DNS ausm WLAN Netz.
Bin ich mit VLAN aufm Holzweg?

Gruß Heiko

[backslash]

Hi Bernie137

Oder aber du sorgst dafür, daß dar AP auf ARP-Requests für die Loopback-Adresse antwortet - dazu gibt es CLI unter /setup/tcp-ip den Schalter "Non-Loc.-ARP-Replies". Wenn du den auf "yes" stellst, dann antwortet der AP auch auf der maskierten Verbindung auf ARP-Requests, die nicht aus dem Netz stammen, das direkt auf der WAN-Seite anliegt...

OK, das hat mir jetzt auch geholfen. Allerdings muss man für "Entfernte Netze" den Zugriff erlauben. Ist das ein (Sicherheits-)Problem?

nun ja, das ist eine Frage der persönlichen paranoia... Du solltest dann zumindest für sichere Paßwörter sorgen.
Du kannst aber über die Zugriffliste (Management -> Admin -> Zugriffs-Stationen) einschänken, aus welchem Netz zugriff auf das Gerät erlaubt sind. Solange die Liste leer ist, darf jeder - sobald sich dort mindestens ein Eintrag befindet, dürfen nur noch Hosts aus den angegebenen Netzen auf das Gerät zugreifen - Also vorsicht: Damit kannst du dir genauso leicht wie beim VLAN den Ast absägen auf dem du sitzt...

Gruß
Backslash

[Bernie137]

Hallo,

Ich habe nun endlich meinen Konfigurationsfehler gefunden. Ich hatte das WLAN Netz im C-54ag noch unter TCP-IP -> IP-Netzwerke drin stehen und dann mit einer IP aus diesem WLAN Netz zusätzlich einen IPoE Zugang angelegt. Nachdem ich das WLAN Netz aus TCP-IP -> IP-Netzwerke raus gehauen habe, funktioniert nun auch der Zugriff vom Kunden Netz ins WLAN Netz über IPoE. Die Dinge, worauf der Kunde keinen Zugriff haben soll, kann dann die Firewall blocken. Der Zugriff aufs Internet ging ja schon, nachdem ich von LCOS 8.62 auf LCOS 8.82 gewechselt hatte.

@backslash: Vielen Dank für Deinen Hinweis. Da werde den Fernzugriff auf das entsprechende Netz einschränken.

Übrigens ist mir aufgefallen bei dieser Bastelei, dass in einem C-54(a)g mit LANconfig unter TCP-IP -> IP-Netzwerke es nicht möglich ist, die Schnittstellen und Adressprüfung einzustellen. Den Punkt gibt es dort gar nicht. Ist das ein Bug von LANconfig und wie meldet man das weiter? Kann jeder selbst mit LANconfig prüfen, indem man unter Bearbeiten Neu Konfigdatei auswählt. Über WEBconfig -> LCOS-Menübaum -> Setup -> TCP-IP -> Netzliste ist es hingegen konfigurierbar.

Schönes WE
Gruß Heiko

[stefanbunzel]

Hallo Backslash,

Urlaub ist beendet und dein Vorschlag wurde getestet:

Die Loopback-Adresse ist da schon die richtige Lösung - nur hast du ein Problem auf Interfaces, die eine ARP-Auflösung erfordern (WLAN)... Du mußt entweder für jede Loobback-Adresse in deinem Zentralen Gateway eine Route anlegen, die diese Adresse zur WAN-Adresse des jeweiligen APs routet - da kannst du ie APs aber auch besser direkt auf der WAN-Adresse ansprechen... Oder aber du sorgst dafür, daß dar AP auf ARP-Requests für die Loopback-Adresse antwortet - dazu gibt es CLI unter /setup/tcp-ip den Schalter "Non-Loc.-ARP-Replies". Wenn du den auf "yes" stellst, dann antwortet der AP auch auf der maskierten Verbindung auf ARP-Requests, die nicht aus dem Netz stammen, das direkt auf der WAN-Seite anliegt...

Beim L-54dual mit LCOS 7.80 haben wir es nicht geschafft...

DSLoL an WLAN mit P2P im Exklusiv-Modus -> egal ob mit Loopback und / oder weiteres Netzwerk und / oder Routing-Eintrag im Gateway: Kein Zugriff über diese IP auf das Gerät über WAN-Interface
DSLoL an WLAN mit P2P im Automatik-Modus -> Zugriff geht über ein weiteres Netz im L-54dual, wobei dann aber DHCP für User am L-54dual auch mal vom Gateway "durchgereicht" wird

Liegt es an der LCOS-Version? Ich hätte aber gedacht, dass sich bei DSLoL bzw. Loopback-IP schon ewig nichts mehr geändert hätte...

Irgendiwe nervt das, wenn man es nciht hinbekommt. Wie könnte ich den Fehler weiter eingrenzen? Bestimmte Traces?

Viele Grüße, Stefan

[Bernie137]

Hallo Stefan,

Liegt es an der LCOS-Version? Ich hätte aber gedacht, dass sich bei DSLoL bzw. Loopback-IP schon ewig nichts mehr geändert hätte...

Also ich kann nur von meiner Erfahrung mit dem C-54ag berichten und es hat NICHT funktioniert mit LCOS 8.62, ab 8.80 schon. Nicht funktioniert heißt in meinem Fall, dass ich keine funktionierende Internetverbindung zu Stande bekommen habe (egal ob Exklusivmodus, oder Standard), sowie rückwärtig (Dein Vorhaben) auch nicht auf das Gerät gekommen bin.

Viele Grüße
Heiko