Hallo,
es gibt einen ähnlichen Threat hier, in dem ein L-54ag als einfacher Accesspoint benutzt werden soll.
Ich würde es gerne etwas komplezierter haben.
Also ich habe ein kleines Netz, mit einem DSL-Router. In dieses Netz soll auch der L-54ag, nur sollen die Klients an dem Accesspoint nicht auf das LAN zugreifen können.
Soweit ich das verstanden habe, muss ich dann die Bridge abschalten und routing machen.
Aber dann bekomme ich es nicht hin, das ich ins Internet komme.
Kann mir da jemand etwas auf die Sprünge helfen, was ich für eine Route erstellen muss und welche einträge ich beim GW und DNS eintragen muss.
Gruß
Oliver
Lancom L-54ag zwar als Accesspiont benutzen, aber...
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Oliver,
gehe mal davon aus, das das Routing klappt, Stichworte: Assi-> kein Land->PlainEthernet.
Route für Privates Netz überprüfen, die darf nicht 0.0.0.0 sein.
Viel wichtiger ist:
Wenn der LAN-Anschluss auch als WAN genutzt wird, wie soll dann erstmal theoretisch eine Kommunikation unterbunden werden?
Meine Idee war VLAN, aber da kenne ich mich nicht aus.
Ich habe genau so ein Routing eingerichtet, um das WLAN Netz vom LAN abzuschirmen. Es soll lediglich vom WLAN ins Internet (über einen extra Router) ermöglicht werden.
Das schöne dabei ist, dass man die Firewall dazwischen hat.(Bandbreitenmanagement)
Nur als der AP per DHCP immer wieder ins LAN gefunkt hat musste ich feststellen, das die Trennung doch nicht so strikt ist, wie ich sie gerne hätte.
Vielleicht weiß hierzu jemand eine Lösung.
Gruß
Michael
gehe mal davon aus, das das Routing klappt, Stichworte: Assi-> kein Land->PlainEthernet.
Route für Privates Netz überprüfen, die darf nicht 0.0.0.0 sein.
Viel wichtiger ist:
Wenn der LAN-Anschluss auch als WAN genutzt wird, wie soll dann erstmal theoretisch eine Kommunikation unterbunden werden?
Meine Idee war VLAN, aber da kenne ich mich nicht aus.
Ich habe genau so ein Routing eingerichtet, um das WLAN Netz vom LAN abzuschirmen. Es soll lediglich vom WLAN ins Internet (über einen extra Router) ermöglicht werden.
Das schöne dabei ist, dass man die Firewall dazwischen hat.(Bandbreitenmanagement)
Nur als der AP per DHCP immer wieder ins LAN gefunkt hat musste ich feststellen, das die Trennung doch nicht so strikt ist, wie ich sie gerne hätte.
Vielleicht weiß hierzu jemand eine Lösung.
Gruß
Michael
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Alfred, danke für die Antwort,
ich dachte die Protokollfiler sind zwschen WLAN und LAN gültig.
Das Problem tritt aber zw. LAN und der transparenten Verbindung(IPoE) auf.
Ideal wäre wenn der AP die Kommunikation nur über die IPoE abwickeln könnte.
Nochmal kurz das Problem:
AP(routing)<-LAN->Router(DHCP)<-DSL->Internet
Alle Clients am AP sollen ins Internet, über den DSLzugang am Router. Aber alle Clients, die sich am AP anmelden sollen nichts vom LAN mitbekommen bzw. das LAN nicht stören können.-Eben völlig getrennt vom LAN sein.
Eigentlich funktioniert die Trennung mittels Routing und Firewall ganz gut. Das Problem ist dass ich an der strikten Trennung zweifle, wenn ein am AP eingeschalteter DHCP immer wieder im LAN Störungen verursacht bzw. falsche IPs vergibt.
Wenn jetzt ein Client am WLAN die LAN Adressen eingibt könnte er vielleicht auch aufs LAN zugreifen. Das scheint mir etwas unsicher zu sein, weil ich nicht weiß was der AP sonst noch durchlässt.
Könnten die Routing Optionen
a)Entfernte Stationen mit Proxy-ARP einbinden
b)Pakete im lokalen Netz weiterleiten
hier eine Rolle spielen?
Gruß
Michael
ich dachte die Protokollfiler sind zwschen WLAN und LAN gültig.
Das Problem tritt aber zw. LAN und der transparenten Verbindung(IPoE) auf.
Ideal wäre wenn der AP die Kommunikation nur über die IPoE abwickeln könnte.
Nochmal kurz das Problem:
AP(routing)<-LAN->Router(DHCP)<-DSL->Internet
Alle Clients am AP sollen ins Internet, über den DSLzugang am Router. Aber alle Clients, die sich am AP anmelden sollen nichts vom LAN mitbekommen bzw. das LAN nicht stören können.-Eben völlig getrennt vom LAN sein.
Eigentlich funktioniert die Trennung mittels Routing und Firewall ganz gut. Das Problem ist dass ich an der strikten Trennung zweifle, wenn ein am AP eingeschalteter DHCP immer wieder im LAN Störungen verursacht bzw. falsche IPs vergibt.
Wenn jetzt ein Client am WLAN die LAN Adressen eingibt könnte er vielleicht auch aufs LAN zugreifen. Das scheint mir etwas unsicher zu sein, weil ich nicht weiß was der AP sonst noch durchlässt.
Könnten die Routing Optionen
a)Entfernte Stationen mit Proxy-ARP einbinden
b)Pakete im lokalen Netz weiterleiten
hier eine Rolle spielen?
Gruß
Michael
Hallo Michael,
Du könntest ja mal versuchen, den DCHP im AP nur auf das WLAN zu beschränken.
Gruß
Mario
na ja, der DHCP liegt ja außerhalb des IP-Router Moduls und wird somit wohl auch nicht durch die Firewall beeinflusst.Das Problem ist dass ich an der strikten Trennung zweifle, wenn ein am AP eingeschalteter DHCP immer wieder im LAN Störungen verursacht bzw. falsche IPs vergibt.
Du könntest ja mal versuchen, den DCHP im AP nur auf das WLAN zu beschränken.
Welche Firewall-Regeln hast Du konfiguriert?Wenn jetzt ein Client am WLAN die LAN Adressen eingibt könnte er vielleicht auch aufs LAN zugreifen.
Gruß
Mario
Hallo Oliver,
Als erstes lässt Du am AP den Assistenten für den Internetzugang durchlaufen. Dort Plain Ethernet (IPoE) auswählen. Bei den IP-Parametern gibst Du als IP-Adresse eine freie Adresse aus dem LAN ein, Subnetmask wie im LAN verwendet. Als Gateway kommt Dein DSL-Router rein, als DNS eben das, was auch die Clients im LAN verwenden.
Dann musst Du dem AP für sein WLAN einen eigenen IP-Adressbereich verpassen (TCP/IP -> Intranet-IP). Die WLAN Clients müssen dann ebenfalls IP-Adressen aus diesem Bereich besitzen. Wenn die IPoE Verbindung maskiert bleibt, sollten jetzt die WLAN-Clients schon ins Internet kommen.
Um den Zugriff vom WLAN ins LAN (bis auf den DSL-Router) zu verhindern, muss man erst eine Regel erstellen, die sämtlichen Verkehr ins LAN unterbindet und als weiteres eine Regel, die sämtlichen Verkehr zum DSL-Router erlaubt.
Das sollte es eigentlich gewesen sein...
Gruß
Mario
Hab ich zwar noch nicht gemacht, aber ich versuchs mal:Kann mir da jemand etwas auf die Sprünge helfen, was ich für eine Route erstellen muss und welche einträge ich beim GW und DNS eintragen muss.
Als erstes lässt Du am AP den Assistenten für den Internetzugang durchlaufen. Dort Plain Ethernet (IPoE) auswählen. Bei den IP-Parametern gibst Du als IP-Adresse eine freie Adresse aus dem LAN ein, Subnetmask wie im LAN verwendet. Als Gateway kommt Dein DSL-Router rein, als DNS eben das, was auch die Clients im LAN verwenden.
Dann musst Du dem AP für sein WLAN einen eigenen IP-Adressbereich verpassen (TCP/IP -> Intranet-IP). Die WLAN Clients müssen dann ebenfalls IP-Adressen aus diesem Bereich besitzen. Wenn die IPoE Verbindung maskiert bleibt, sollten jetzt die WLAN-Clients schon ins Internet kommen.
Um den Zugriff vom WLAN ins LAN (bis auf den DSL-Router) zu verhindern, muss man erst eine Regel erstellen, die sämtlichen Verkehr ins LAN unterbindet und als weiteres eine Regel, die sämtlichen Verkehr zum DSL-Router erlaubt.
Das sollte es eigentlich gewesen sein...
Gruß
Mario
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Mario,
Wahlweise kann ich die Bandbreite regulieren, wenn das LAN vom WLAN beeinflusst wird: %Lgds1024 %D %N (bei 128kB verwerfen)
192.168.2.1 ist der Ausgangsrouter im LAN.
Ich sehe gerade, die ALLOW_ALL war garnicht aktiviert.
Vielleicht kann alle Kummunikation doch über die FW unterbunden werden.
-> Wie teste ich ob alle Kommunikation unterbunden wird funktioniert?
Soll ich noch eine DENY_ALL Regel hinzufügen? Hilft das was?
Danke
Michael
Genau das möchte ich, kannst du mir bitte sagen, wie ich das einstellen kann. Dann könnte ich endlich auch im WLAN DHCP aktivieren.na ja, der DHCP liegt ja außerhalb des IP-Router Moduls und wird somit wohl auch nicht durch die Firewall beeinflusst.
Du könntest ja mal versuchen, den DCHP im AP nur auf das WLAN zu beschränken.
Welche Firewall-Regeln hast Du konfiguriert?
Code: Alles auswählen
Name Prot. Quelle Ziel Aktion verknuepft Prio Activ Stateful
BLOCKLAN ANY ANYHOST %A192.168.2.2-192.168.2.255 %Lgds0 %R %N nein 2 ja nein
ALLOW_ALL ANY %A192.168.5.0 %M255.255.255.0 ANYHOST %Lcds0 %A %N nein 0 nein ja192.168.2.1 ist der Ausgangsrouter im LAN.
Ich sehe gerade, die ALLOW_ALL war garnicht aktiviert.
Vielleicht kann alle Kummunikation doch über die FW unterbunden werden.
-> Wie teste ich ob alle Kommunikation unterbunden wird funktioniert?
Soll ich noch eine DENY_ALL Regel hinzufügen? Hilft das was?
Code: Alles auswählen
DENY_ALL ANY ANYHOST ANYHOST %Lcds0 %R %N nein 0 ja jaMichael
Hallo Michael,
Gruß
Mario
geht nur im Webinterface: Setup -> DHCP -> Ports.Genau das möchte ich, kannst du mir bitte sagen, wie ich das einstellen kann. Dann könnte ich endlich auch im WLAN DHCP aktivieren.
ok - so kann man das natürlich auch machen. Die Allow_All Regel ist eigentlich überflüssig, wenn Du kein Deny_All konfiguriert hast.Code:
Name Prot. Quelle Ziel Aktion verknuepft Prio Activ Stateful
BLOCKLAN ANY ANYHOST %A192.168.2.2-192.168.2.255 %Lgds0 %R %N nein 2 ja nein
Gruß
Mario
Moin,
Clients mit niemand anders im LAN 'reden' können als mit dem DSL-Router, das
hätte man so auch ohne Einsatz des Routers bzw. DSLoL erreichen können.
ist aber, daß man das L-54 dann auch vom LAN her nicht mehr konfigurieren
kann, wenn die DSLoL-Verbindung gerade nicht aktiv ist. Und im Router muß
man dann immer noch passende Firewall-Regeln definieren.
Gruß Alfred
Ich hatte das so verstanden, daß nur die Anforderung bestand, daß die WLAN-Ich dachte die Protokollfiler sind zwschen WLAN und LAN gültig.
Das Problem tritt aber zw. LAN und der transparenten Verbindung(IPoE) auf.
Clients mit niemand anders im LAN 'reden' können als mit dem DSL-Router, das
hätte man so auch ohne Einsatz des Routers bzw. DSLoL erreichen können.
Dafür stellt man das DSLoL-Interface in den Exklusivmodus, der Nachteil davonIdeal wäre wenn der AP die Kommunikation nur über die IPoE abwickeln könnte.
ist aber, daß man das L-54 dann auch vom LAN her nicht mehr konfigurieren
kann, wenn die DSLoL-Verbindung gerade nicht aktiv ist. Und im Router muß
man dann immer noch passende Firewall-Regeln definieren.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Mario,
ich habe die Allow_ALL eigentlich nur vorbereitet, damit ich die WLAN Pakete "greifen" kann, wenn sie im LAN Stören. (Block/Reduzierung...)
Jetzt habe ich die DENY_ALL hinzugefügt und den DHCP im LAN deaktiviert.
Meinst du das WLAN und LAN sind damit sicher getrennt?
Danke für den profi DHCP-Tip
Michael
ich habe die Allow_ALL eigentlich nur vorbereitet, damit ich die WLAN Pakete "greifen" kann, wenn sie im LAN Stören. (Block/Reduzierung...)
Jetzt habe ich die DENY_ALL hinzugefügt und den DHCP im LAN deaktiviert.
Meinst du das WLAN und LAN sind damit sicher getrennt?
Danke für den profi DHCP-Tip
Michael
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Mario,
klar würde ich es gerne überprüfen, aber wie?
Etherreal habe ich drauf, wenn das was nützt?
Denn als ich zu überprüfung die LAN IPs vom WLAN aus (und umgekehrt) nicht ansprechen konnte war ich davon ausgegengen, dass das Netz dicht ist.
Pustekuchen, der wilde DHCP-Server hat mich eines besseren belehrt.
Danke
Michael
klar würde ich es gerne überprüfen, aber wie?
Etherreal habe ich drauf, wenn das was nützt?
Denn als ich zu überprüfung die LAN IPs vom WLAN aus (und umgekehrt) nicht ansprechen konnte war ich davon ausgegengen, dass das Netz dicht ist.
Pustekuchen, der wilde DHCP-Server hat mich eines besseren belehrt.
Danke
Michael
Hallo Michael,
Gruß
Mario
bei deny_all reicht da eigentlich schon ein ping. Ansonsten mit einem Portscanner prüfen.klar würde ich es gerne überprüfen, aber wie?
Ich hatte Dir doch schon gesagt, das die Pakete des DHCP nicht über die Firewall laufen. Das hat also nichts mit der Erreichbarkeit des LANs aus dem WLAN zu tun.Denn als ich zu überprüfung die LAN IPs vom WLAN aus (und umgekehrt) nicht ansprechen konnte war ich davon ausgegengen, dass das Netz dicht ist.
Pustekuchen, der wilde DHCP-Server hat mich eines besseren belehrt.
Gruß
Mario