Hallo miteinander,
vorab schon mal sorry, aber meine Konstellation ist etwas komplizierter.
Folgende Situation: Ich habe eine große Windows-Domäne mit DHCP-Server mit Festverbindung ins Internet (10.x.x.x IP-Adresse).
Außerdem existiert ein separater DSL-Anschluss, an dem ein 1721+ hängt. Über den laufen Spezialanwendungen in einem 192er-Netz (192.168.1.x, DHCP aktiviert). Der ist komplett unabhängig verkabelt, kein Kontakt bisher zur Windows-Domäne.
Nun kommt ein L-321agn hinzu. Dieser steht in einem anderen Gebäude, so dass ich diesen nicht direkt auf einen Port des 1721 patchen kann. Es muss also die vorh. Switch-Infrastruktur genutzt werden, in der auch die Windows-Domäne hängt.
Dieser AP soll dort ebenfalls den DSL-Zugang bereitstellen. Allerdings ohne den eingewählten Clients Kontakt zum IP-Bereich der Domäne zu ermöglichen.
Ich habe es nun soweit geschafft, dass es beinahe funktioniert. Im Normalfall bekommen die Clients eine 192er-Adresse zugewiesen, können auch surfen etc. Nur eben nicht IMMER.
Immer wieder bekommen Clients Kontakt zum DHCP der Windows-Domäne und erhalten entsprechende 10.x.x.x-Adressen.
Folgendes habe ich eingerichtet:
Ich habe am 1721+ ein separates LAN2 (192.168.2.1) eingerichtet und dem ETH2 zugeordnet. Phys. getrennt von den anderen. Diesen ETH2 habe ich mit der Infrastruktur der Windows-Domäne verbunden. Im anderen Gebäude steht nun der L-321agn. Der hat die 192.168.2.2 bekommen. DHCP ist aktiviert, aber nicht für LAN sondern nur für WLAN, da er ja sonst mit dem DHCP des Windows-Servers kollidieren würde.
Wähle ich mich nun über den AP ein, bekomme ich meistens eine IP aus dem 192er-Bereich. Doch manchmal bekommen Clients (Notebook, Smartphone) plötzlich 10er-Adressen. Und das obwohl der DHCP im AP aktiv ist. Woran kann das liegen? Eigentlich sollte der doch die Anfragen als Erster abgreifen!
Ich hab schon diverses versucht (z.B. LAN-Bridge-Einstellungen verändert), aber jedes Mal ging danach der Internet-Zugang nicht o.ä.
Wo sollte ich ansetzen? Kann ich z.B. an der Firewall des AP einfach die DHCP-Anfragen der WLAN-Clients blocken, dass die gar nicht ins LAN gehen?
Danke vorab.
Separates WLAN mit eigenem DHCP
Moderator: Lancom-Systems Moderatoren
Hi widescreen
damit sollten dann nur Adreßzuweisungen nur vom DHCP-Server im AP erfolgen, denn auf dem LAN werden alle DHCP-Pakete durch den Filter blockiert.
Gruß
Backslash
die Firewall ist der falsche Ansatzpunkt, da sie nur greift, wenn acuh gerotet wird. In deinem Fall arbeitet der AP aber als Bridge. Daher mußt du in den Protokoll-Filtern des WLANs eingreifen (Wireles-LAN -> Security -> Protokolle). Dort trägst du folgenden filter ein, der DHCP auf dem LAN-Interface blockt:Wo sollte ich ansetzen? Kann ich z.B. an der Firewall des AP einfach die DHCP-Anfragen der WLAN-Clients blocken, dass die gar nicht ins LAN gehen?
Code: Alles auswählen
Name: Block DHCP
Paket-Bedingungen
Protokoll: 0800
Untertyp: 17
Anfangs-Port: 67
EndPort: 68
Routen-Bedingungen
Interface-Liste: LAN-1
Aktion:
(*) Pakete verwerfenGruß
Backslash
-
widescreen
- Beiträge: 4
- Registriert: 11 Okt 2011, 15:17
Danke für die Info, backslash. Das hilft teilweise.
Allerdings hat das üble Folgen. Schon nach dem Upload der Konfig kann der AP nicht mehr über LAN konfiguriert werden, LANconfig findet ihn nicht mehr. Übers WLAN komme ich dann zwar drauf, aber LANmonitor zeigt mir nur noch ein rotes Ausrufezeichen. Da wird irgendwie zuviel blockiert.
Muss ich evtl. bei Netzwerk-IP u. Netzmaske im Protokollfilter noch was eintragen? Aktuell stehen bei mir jew. 0.0.0.0 drin.
Allerdings hat das üble Folgen. Schon nach dem Upload der Konfig kann der AP nicht mehr über LAN konfiguriert werden, LANconfig findet ihn nicht mehr. Übers WLAN komme ich dann zwar drauf, aber LANmonitor zeigt mir nur noch ein rotes Ausrufezeichen. Da wird irgendwie zuviel blockiert.
Muss ich evtl. bei Netzwerk-IP u. Netzmaske im Protokollfilter noch was eintragen? Aktuell stehen bei mir jew. 0.0.0.0 drin.
-
widescreen
- Beiträge: 4
- Registriert: 11 Okt 2011, 15:17
Moin,
sobald in den Protokollfiltern eine Regel für ein Interface
definiert ist, gilt für alle Pakete, die auf keine Regel passen,
eine Default-Drop-Regel. Wer also ein Filter in dem
Sinne 'alles bis auf...' haben will, muß neben den Filterregeln
eine Default-Pass-Regel erstellen.
Gruß Alfred
sobald in den Protokollfiltern eine Regel für ein Interface
definiert ist, gilt für alle Pakete, die auf keine Regel passen,
eine Default-Drop-Regel. Wer also ein Filter in dem
Sinne 'alles bis auf...' haben will, muß neben den Filterregeln
eine Default-Pass-Regel erstellen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
widescreen
- Beiträge: 4
- Registriert: 11 Okt 2011, 15:17
