Hallo,
folgende Situation:
Ich habe ein Lan Netz mit Router und aktiviertem DHCP. Nun soll der WLAN AP Lancom 54G an den vorhandenen Router angeschlossen werden. (WLAN Clients sollen nur Internet Verbindung erhalten können)
Ich habe den AP am Router mit einer festen IP, die WLAN Teilnehmer erhalten ihre IP
vom Router, nicht vom AP (als Bridge) . Funktioniert auch wunderbar, nur kann ich jetzt über die WLAN Clients auch die Rechner im Lan Netz sehen, was ich eigentlich unbedingt verhindern möchte.
Wie kann ich das verhindern? Ist in der Situation Bridge eigentlich die richtige Einstellung? Wenn ich den anderen Modus nehme bekommen die WLan Clients keine Verbindung zum Internet. Kann mir jemand ein paar gute Tipps geben. Bekomme
die Sache einfach nicht richtig zum laufen.
Danke und Gruss
Lancom 54 G als Bridge oder Routing
Moderator: Lancom-Systems Moderatoren
VLAN
Ich wage mich mal an eine Antwort.
Sicherlich ist mit Routing und den Firewallregeln eine Konfiguration denkbar.
Nett ist aber auch die Möglichkeit über VLAN verschiedene Segmente zu bilden. Wenn Dein Internet-Router/Firewall VLAN-Tagging kann dann geht das mit den Lancoms wunderbar. Einfach getrennte SSIDs in verschiedenen VLANs und so an den Gateway die getagten Packete weiterreichen.
Privat hab ich das mit meiner Linuxbuechse sehr schoen am Laufen. Dort ist es eine L54g und eine Debian ins Internet. Funzt.
Norbert
Sicherlich ist mit Routing und den Firewallregeln eine Konfiguration denkbar.
Nett ist aber auch die Möglichkeit über VLAN verschiedene Segmente zu bilden. Wenn Dein Internet-Router/Firewall VLAN-Tagging kann dann geht das mit den Lancoms wunderbar. Einfach getrennte SSIDs in verschiedenen VLANs und so an den Gateway die getagten Packete weiterreichen.
Privat hab ich das mit meiner Linuxbuechse sehr schoen am Laufen. Dort ist es eine L54g und eine Debian ins Internet. Funzt.
Norbert
hm
danke für die nette antwort.
allerdings bin nicht nicht so fit in sachen vlan, will da auch an dem laufenden lan nicht unbedingt änderungen vornehmen. möchte das system nicht verändern, nur die lan rechner sollen halt im wlan nicht sichtbat sein.
wann ich es über routing mache muss ja den dhcp das ap aktivieren, damit die wlan clients ihre ip bekommen, nun hat der andere router schon ein aktives dhcp.
das ist wohl nicht die beste lösung.
wie gesagt, ap als bridge funkts alles, die wlan clients bekommen die ip vom router.
kann ich den ap nicht so konfigurieren das die wlan clients des ap nur verbindung zur ip des routers haben und zu nix was dahinter noch läuft???
allerdings bin nicht nicht so fit in sachen vlan, will da auch an dem laufenden lan nicht unbedingt änderungen vornehmen. möchte das system nicht verändern, nur die lan rechner sollen halt im wlan nicht sichtbat sein.
wann ich es über routing mache muss ja den dhcp das ap aktivieren, damit die wlan clients ihre ip bekommen, nun hat der andere router schon ein aktives dhcp.
das ist wohl nicht die beste lösung.
wie gesagt, ap als bridge funkts alles, die wlan clients bekommen die ip vom router.
kann ich den ap nicht so konfigurieren das die wlan clients des ap nur verbindung zur ip des routers haben und zu nix was dahinter noch läuft???
Hi NoFear
Gruß
Backslash
wenn er als Bridge läuft, hast du keine Chance - das ist halzt so, als ob du ein Kabel in den Switch steckst - da kannst du auch nicht Verhindern, daß alle Rechner in dem Netz sichtbar werden.kann ich den ap nicht so konfigurieren das die wlan clients des ap nur verbindung zur ip des routers haben und zu nix was dahinter noch läuft???
Wo ist das Problem? Da die Clients eh in ein anderes Netz müssen als der Router, ist es doch kein Problem, daß der AP im WLAN seine eigenen IP-Adressen verteilt. Du kannst den DHCP-Server im AP auch gerne als Relay-Agent konfigurieren - nur ob der DHCP-Server dienes Routers damit klar kommt...wann ich es über routing mache muss ja den dhcp das ap aktivieren, damit die wlan clients ihre ip bekommen, nun hat der andere router schon ein aktives dhcp.
das ist wohl nicht die beste lösung.
Gruß
Backslash
2 Netze?
Backslash, wieso habe ich dann 2 Netze? Ich muss dem AP doch eine IP aus dem Netz des Routers geben, damit er darüber eine Verbindung zum Internet aufbauen kann. Also habe ich doch auch im WLAN dann die gleiche Netzmaske, oder versteh ich was falsch?
Hi NoFear
Das WLAN kommt somit in ein anderes Netz und im Router trägst du eine Route zu diesem Netz ein, in der das LANCOM (also die Ethernet-Seite) als zuständiges Gateway eingetragen ist.
Genauso trägst du im LANCOM eine Defaultroute ein, die als Gateway eben den Router verwendet. Die Warnung, die LANconfig dabei ausgibt kannst du ignorieren.
Um nun zu verhindern, daß die WLAN-User die Rechner in deinem LAN sehen, trägst du einfach für das LAN-Netz eine Sperrroute ein (das Gateway ist dabei 0.0.0.0)
Damit dann auch noch die DNS-Auflösung im WLAN funktioniert, trägst du den zu verwendenden DNS-Server im LANCOM unter TCP/IP -> Adressen -> Erster DNS ein - i.A. reicht es aus, dort die Adresse des Routers einzutragen.
Gruß
Backslash
das ist richtig, gilt aber nur für das Ethernet-LANwieso habe ich dann 2 Netze? Ich muss dem AP doch eine IP aus dem Netz des Routers geben, damit er darüber eine Verbindung zum Internet aufbauen kann
Das versteht du falsch - du willst ja routen!Also habe ich doch auch im WLAN dann die gleiche Netzmaske, oder versteh ich was falsch?
Das WLAN kommt somit in ein anderes Netz und im Router trägst du eine Route zu diesem Netz ein, in der das LANCOM (also die Ethernet-Seite) als zuständiges Gateway eingetragen ist.
Genauso trägst du im LANCOM eine Defaultroute ein, die als Gateway eben den Router verwendet. Die Warnung, die LANconfig dabei ausgibt kannst du ignorieren.
Um nun zu verhindern, daß die WLAN-User die Rechner in deinem LAN sehen, trägst du einfach für das LAN-Netz eine Sperrroute ein (das Gateway ist dabei 0.0.0.0)
Damit dann auch noch die DNS-Auflösung im WLAN funktioniert, trägst du den zu verwendenden DNS-Server im LANCOM unter TCP/IP -> Adressen -> Erster DNS ein - i.A. reicht es aus, dort die Adresse des Routers einzutragen.
Gruß
Backslash
Hi NoFear,
die ist i.Ü. eh von den Defaultmäßig eingerichteten Sperrerouten abgedeckt (sie matcht auf die Sperrroute für das 192.168.0.0/16 Netz)
Angenommen der Router habe die IP 192.168.1.1, dann sieht die Defaultroute wie folgt aus:
zusammen mit den Defaultmäßig eingetragenen Sperrrouten müßte deine Routing-Tabelle nun so aussehen:
Gruß
Backslash
angenommen dein LAN sei folgendes Netz 192.168.1.0/24. Dann sieht die Sperreoute wie folgt ausKannst du das mit der Sperroute mal etwas genauer beschreiben!!!
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active
-----------------------------------------------------------------------------------------------
192.168.1.0 255.255.255.0 0 0.0.0.0 0 No Yes
was meinst du jetzt? Das Gateway? - ja, das ist die IP des Routers.Die Route zum Lan ist doch die gleiche IP wie zum Router!?!
Angenommen der Router habe die IP 192.168.1.1, dann sieht die Defaultroute wie folgt aus:
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active
-----------------------------------------------------------------------------------------------
255.255.255.255 0.0.0.0 0 192.168.1.1 0 No Yeszusammen mit den Defaultmäßig eingetragenen Sperrrouten müßte deine Routing-Tabelle nun so aussehen:
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active
-----------------------------------------------------------------------------------------------
192.168.0.0 255.255.0.0 0 0.0.0.0 0 No Yes
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Yes
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Yes
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes
255.255.255.255 0.0.0.0 0 192.168.1.1 0 No Yes
Backslash
Hallo Backslash,
Gruß
Mario
war es bisher nicht so, dass Sperrouten für die direkt angeschlossenen Netze ignoriert werden?angenommen dein LAN sei folgendes Netz 192.168.1.0/24. Dann sieht die Sperreoute wie folgt aus
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active ----------------------------------------------------------------------------------------------- 192.168.1.0 255.255.255.0 0 0.0.0.0 0 No Yes
Gruß
Mario
Hi eddia
@NoFear:
OK es muß also mit einer Firewallregel geblockt werden:
wenn du auch noch verhindern willst, daß die Rechenr aus deinem LAN in das WLAN-Netz kommen, dann mußt du noch die umgekehrte Regel einfügen:
Gruß
Backslash
stimmt - hast recht. das würde nur gehen, wenn sich das Ethernet-Netz im WAN befinden würde...war es bisher nicht so, dass Sperrouten für die direkt angeschlossenen Netze ignoriert werden?
@NoFear:
OK es muß also mit einer Firewallregel geblockt werden:
Code: Alles auswählen
Quelle: WLAN-Netz (z.B. 192.168.2.0/255.255.255.0)
Ziel: Etherent-Netz (z.B. 192.168.1.0/255.255.255.0)
Dienste: alle Dienste
Aktion: zurückweisenCode: Alles auswählen
Quelle: Etherent-Netz (z.B. 192.168.1.0/255.255.255.0)
Ziel: WLAN-Netz (z.B. 192.168.2.0/255.255.255.0)
Dienste: alle Dienste
Aktion: zurückweisenBackslash
Klappt nicht!?
Hallo Backslash,
ich habe nach deinen Tipps folgende Konfiguration vorgenommen:
1. Router 1 (ist mit DSL Modem verbunden und Gateway für das lan)
IP 192.168.0.1 >>> Route zum Wlan AP eingerichtet:
255.255.255.0 >>> 192.168.2.0
2. WLAN AP > IP 192.168.2.0
Route zum Router 1 >>> 255.255.255.0 >>> 192.168.0.1
3. AP als Router eingestellt (nicht Bridge) mit DHCP
WLAN eingerichtet
WALN ist dann erreichbar und wlan Client erhält IP per DHCP vom AP.
Problem: Die wlan clients bekommen keine Verbindung zum Internet.
Woran könnte das liegen???
Wenn AP als Bridge dann ist die Internet Verbindung im Wlan verfügbar.
ich habe nach deinen Tipps folgende Konfiguration vorgenommen:
1. Router 1 (ist mit DSL Modem verbunden und Gateway für das lan)
IP 192.168.0.1 >>> Route zum Wlan AP eingerichtet:
255.255.255.0 >>> 192.168.2.0
2. WLAN AP > IP 192.168.2.0
Route zum Router 1 >>> 255.255.255.0 >>> 192.168.0.1
3. AP als Router eingestellt (nicht Bridge) mit DHCP
WLAN eingerichtet
WALN ist dann erreichbar und wlan Client erhält IP per DHCP vom AP.
Problem: Die wlan clients bekommen keine Verbindung zum Internet.
Woran könnte das liegen???
Wenn AP als Bridge dann ist die Internet Verbindung im Wlan verfügbar.
Hi NoFear
Also gibst du ihm für das Intranet eine Adresse aus dem Netz des Routers (z.B. 192.168.0.100 mit Netzmaske 255.255.255.0). Desweiteren bindest du das Intranet fest an das LAN-Interface (LAN-1).
In der DMZ vergibst du ihm nun eine Adresse aus dem 192.168.2.0/24 Netz (z.B. 192.168.1.1 mit Netzmaske 255.255.255.0). Die DMZ bindest du fest an das WLAN-Interface (WLAN-1).
nun trägst du im LANCOM die Defaultroute zum Router 1 ein:
und im Router 1 trägst du passend die Rückroute zum WLAN-Netz ein:
fertig...
Gruß
Backslash
das kann irgendwie nicht funktionieren. Ich nehme mal an, dein AP soll auf dem WLAN das Netz 192.168.2.0/24 haben.1. Router 1 (ist mit DSL Modem verbunden und Gateway für das lan)
IP 192.168.0.1 >>> Route zum Wlan AP eingerichtet:
255.255.255.0 >>> 192.168.2.0
Also gibst du ihm für das Intranet eine Adresse aus dem Netz des Routers (z.B. 192.168.0.100 mit Netzmaske 255.255.255.0). Desweiteren bindest du das Intranet fest an das LAN-Interface (LAN-1).
In der DMZ vergibst du ihm nun eine Adresse aus dem 192.168.2.0/24 Netz (z.B. 192.168.1.1 mit Netzmaske 255.255.255.0). Die DMZ bindest du fest an das WLAN-Interface (WLAN-1).
nun trägst du im LANCOM die Defaultroute zum Router 1 ein:
Code: Alles auswählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Router: 192.168.0.1und im Router 1 trägst du passend die Rückroute zum WLAN-Netz ein:
Code: Alles auswählen
IP-Adresse: 192.168.2.0
Netzmaske: 255.255.255.0
Router: 192.168.0.100Gruß
Backslash
Dank erstmal
Hallo,
toll das Ihr euch so viel Mühe gebt...vielen Dank dafür!!!
Nun habe ich alles nach Euren Angaben eingerichtet.
Der WLan Client bekommt vom DHCP jetzt folgende Daten:
IP: 192.168.0.239
Netzm: 255.255.255.0
Router: 192.168.0.100
Aber er bekommt weiterhin keine Verbindung zum Internet...
Gruss NF
toll das Ihr euch so viel Mühe gebt...vielen Dank dafür!!!
Nun habe ich alles nach Euren Angaben eingerichtet.
Der WLan Client bekommt vom DHCP jetzt folgende Daten:
IP: 192.168.0.239
Netzm: 255.255.255.0
Router: 192.168.0.100
Aber er bekommt weiterhin keine Verbindung zum Internet...
Gruss NF