Hallo,
bin für die folgende Aufgabenstellung auf der Suche nach einem passenden Gerät bzw. dem richtigen Setup:
Es existiert ein Accesspoint über den die Internetverbindung hergestellt wird. Das Problem ist nun allerdings, dass einige Clients fast schon außer Reichweite liegen. Mit einem Wireless-Repeater (WDS) kann die Reichweite entsprechend durch einen zweiten AP, der als Relais fungiert, vergrößert werden. Mein Problem ist aber zusätzlich, dass ich am Accesspoint, der die Internetverbindung bereitstellt, nix einstellen kann/darf.
Die Fragen wären nun:
- Kann ohne Einstellungen/Änderungen am Haupt-Accesspoint überhaupt ein WDS aufgespannt werden (z.B. mit einem L-54ag oder L-54g als Repeater)?
- Muss ich einen L-54 dual verwenden, dabei ein Funkmodul als Wireless Client konfigurieren und per NAT die Internetverbindung am 2. Funkmodul bereitstellen?
- oder geht das alles viel einfacher?
Gruß
gm
PS: Kann man für die LANCOM-Geräte die MAC-Adressen irgendwie frei konfigurieren?
Wireless-Repeater / WDS oder Wireless Client und NAT?
Moderator: Lancom-Systems Moderatoren
Moin,
zum anderen erfordert das immer auf beiden Seiten die Eingabe MAC-Adresse der Gegenseite.
Du so etwas machen willst, dann mußt Du das auf zwei Funkmodule verteilen (egal ob die in
einem Dual sitzen oder ob Du zwei einfache L-54 zusammenschaltest).
die man einfach 'seamless' dazwischenhängen kann, aber solche Betriebsarten sind nach meinem
Wissensstand mit den in LANCOMs verwendeten Atheros-Chips nicht hinzubekommen. Außerdem
willst Du ja noch ein NAT im Repeater, das dürfte einer dieser WLAN-Repeater ohnehin nicht
leisten.
(a) das MAC-Filter bei einem AP unterlaufen zu wollen
(b) eine Seite einer P2P-Strecke austauschen zu können, ohne die andere Seite umkonfigurieren
zu müssen.
(a) macht sich als 'Hacker-Feature' bei einem Profi-Gerät in den Release-Notes recht schlecht
und (b) wird sich mit der nächsten LCOS-Version auf andere Weise lösen lassen, ohne daß man
explizit MAC-Adressen setzen muß. Der einzige Fall, in dem ein LANCOM seine WLAN-MAC
ändert, ist der Client-Modus mit Adreßanpassung. Dabei wird auf dem WLAN die MAC-Adresse
des am LAN angeschlossenen Gerätes übernommen.
Gruß Alfred
Nein. Zum einen ist WDS/P2P herstellerspezifisch (ist die andere Seite überhaupt ein LANCOM?),- Kann ohne Einstellungen/Änderungen am Haupt-Accesspoint überhaupt ein WDS aufgespannt werden (z.B. mit einem L-54ag oder L-54g als Repeater)?
zum anderen erfordert das immer auf beiden Seiten die Eingabe MAC-Adresse der Gegenseite.
Das Funkmodul in einem LANCOM kann nicht gleichzeitig als AP und als Client arbeiten. Wenn- Muss ich einen L-54 dual verwenden, dabei ein Funkmodul als Wireless Client konfigurieren und per NAT die Internetverbindung am 2. Funkmodul bereitstellen?
Du so etwas machen willst, dann mußt Du das auf zwei Funkmodule verteilen (egal ob die in
einem Dual sitzen oder ob Du zwei einfache L-54 zusammenschaltest).
Da sehe ich leider keine einfacheren Möglichkeiten. Ich weiß, es gibt spezielle WLAN-Repeater,- oder geht das alles viel einfacher?
die man einfach 'seamless' dazwischenhängen kann, aber solche Betriebsarten sind nach meinem
Wissensstand mit den in LANCOMs verwendeten Atheros-Chips nicht hinzubekommen. Außerdem
willst Du ja noch ein NAT im Repeater, das dürfte einer dieser WLAN-Repeater ohnehin nicht
leisten.
Nein, dafür hat bisher kein Kunde einen Grund geben können, außerPS: Kann man für die LANCOM-Geräte die MAC-Adressen irgendwie frei konfigurieren?
(a) das MAC-Filter bei einem AP unterlaufen zu wollen
(b) eine Seite einer P2P-Strecke austauschen zu können, ohne die andere Seite umkonfigurieren
zu müssen.
(a) macht sich als 'Hacker-Feature' bei einem Profi-Gerät in den Release-Notes recht schlecht
und (b) wird sich mit der nächsten LCOS-Version auf andere Weise lösen lassen, ohne daß man
explizit MAC-Adressen setzen muß. Der einzige Fall, in dem ein LANCOM seine WLAN-MAC
ändert, ist der Client-Modus mit Adreßanpassung. Dabei wird auf dem WLAN die MAC-Adresse
des am LAN angeschlossenen Gerätes übernommen.
Gruß Alfred
Hallo Alfred,
Viele Grüße,
Jirka
Ich habe es so verstanden, dass er das NAT notgedrungen dann mitnehmen würde. Benötigen tut er es nicht. Nur ist das NAT ja die logische Konsequenz, wenn man hinter dem Client-Modus sinnvoll weiter machen will.alf29 hat geschrieben:Außerdem willst Du ja noch ein NAT im Repeater, das dürfte
einer dieser WLAN-Repeater ohnehin nicht leisten.
Viele Grüße,
Jirka
Hallo,
Sieht so aus, als ob ich das Ganze dann mit einem L-54 dual mache, da dieses Kästchen günstiger ist als zwei einzelne L-54(a)g und vor allem nur ein Gerät rumsteht.
Vielen Dank für die Vielen Tips und Infos.
Gruß
gm
Ja genau, das NAT will ich eigentlich nicht, aber es wird nicht ohne funktionieren.Jirka hat geschrieben:Ich habe es so verstanden, dass er das NAT notgedrungen dann mitnehmen würde. Benötigen tut er es nicht. Nur ist das NAT ja die logische Konsequenz, wenn man hinter dem Client-Modus sinnvoll weiter machen will.
Sieht so aus, als ob ich das Ganze dann mit einem L-54 dual mache, da dieses Kästchen günstiger ist als zwei einzelne L-54(a)g und vor allem nur ein Gerät rumsteht.
Was hat das denn mit hacken zu tun? Viele Geräte können ihre MAC-Adresse einfach anpassen. Das ist doch ein Sicherheitsfeature wenn der Admin sieht, dass so etwas möglich ist und sich nicht blind auf solch einen Filter verlässt... Es wäre aber wirklich genau um das Umgehen eines MAC-Filters gegangen, aber das kann ich sicher am Haupt-AP umkonfigurieren lassen, ist also kein Problem. Der Haupt-Accesspoint ist leider kein LANCOM.alf29 hat geschrieben: (a) macht sich als 'Hacker-Feature' bei einem Profi-Gerät in den Release-Notes recht schlecht
und (b) wird sich mit der nächsten LCOS-Version auf andere Weise lösen lassen, ohne daß man
explizit MAC-Adressen setzen muß. Der einzige Fall, in dem ein LANCOM seine WLAN-MAC
ändert, ist der Client-Modus mit Adreßanpassung. Dabei wird auf dem WLAN die MAC-Adresse
des am LAN angeschlossenen Gerätes übernommen.
Vielen Dank für die Vielen Tips und Infos.
Gruß
gm
Moin,
Teilen der LANCOM-Kundschaft leider anders gesehen, obwohl man es den Leuten zu erklären
versucht. Wenn ich die MAC-Adresse konfigurierbar machen würde, sehe ich mich schon mit
Kommentaren in etwa wie diesem konfrontiert:
"Ja, mag sein, daß das sich mit passenden Werkzeugen umgehen läßt, aber gegen die
Gelegenheitswardriver, die so etwas nicht machen, sehe ich das als einen wirksamen und sinnvollen
Schutz. Wenn Sie jetzt eine konfigurierbare MAC-Adresse anbieten, dann binden Sie das solchen
Leuten auf die Nase. Wieso machen Sie mir das Leben künstlich schwerer?"
Ähnliches gilt übrigens auch für das Verstecken des SSID-Broadcasts. Ein Un-Feature, das in der
Praxis mehr Probleme macht als es vielleicht an gefühltem Sicherheitsgewinn bringt, aber ein
Feature, ohne das man einen AP nicht verkaufen kann und das die Kunden auf der Feature-Liste
einfach sehen wollen. Und sie benutzen es reichlich, und sie glauben auch an seine Wirksamkeit:
"Ja mag sein, daß das nicht beliebig sicher ist, aber die Gelegenheitsmitsurfer halte ich damit heraus
und alles andere ist mir zu kompliziert einzurichten..."
Deshalb denke ich nicht, daß ich eine einstellbare MAC-Adresse durchbekomme, solange sich
dafür keine andere Anwendung als das Umgehen eines MAC-Filters findet. Wenn jemand eine
solche hat, nur her damit...
Gruß Alfred
Daß ein MAC-Filter kein wirkliches Sicherheitsfeature ist, stimme ich Dir zu, aber das wird in weitenWas hat das denn mit hacken zu tun? Viele Geräte können ihre MAC-Adresse einfach anpassen. Das ist doch ein Sicherheitsfeature wenn der Admin sieht, dass so etwas möglich ist und sich nicht blind auf solch einen Filter verlässt...
Teilen der LANCOM-Kundschaft leider anders gesehen, obwohl man es den Leuten zu erklären
versucht. Wenn ich die MAC-Adresse konfigurierbar machen würde, sehe ich mich schon mit
Kommentaren in etwa wie diesem konfrontiert:
"Ja, mag sein, daß das sich mit passenden Werkzeugen umgehen läßt, aber gegen die
Gelegenheitswardriver, die so etwas nicht machen, sehe ich das als einen wirksamen und sinnvollen
Schutz. Wenn Sie jetzt eine konfigurierbare MAC-Adresse anbieten, dann binden Sie das solchen
Leuten auf die Nase. Wieso machen Sie mir das Leben künstlich schwerer?"
Ähnliches gilt übrigens auch für das Verstecken des SSID-Broadcasts. Ein Un-Feature, das in der
Praxis mehr Probleme macht als es vielleicht an gefühltem Sicherheitsgewinn bringt, aber ein
Feature, ohne das man einen AP nicht verkaufen kann und das die Kunden auf der Feature-Liste
einfach sehen wollen. Und sie benutzen es reichlich, und sie glauben auch an seine Wirksamkeit:
"Ja mag sein, daß das nicht beliebig sicher ist, aber die Gelegenheitsmitsurfer halte ich damit heraus
und alles andere ist mir zu kompliziert einzurichten..."
Deshalb denke ich nicht, daß ich eine einstellbare MAC-Adresse durchbekomme, solange sich
dafür keine andere Anwendung als das Umgehen eines MAC-Filters findet. Wenn jemand eine
solche hat, nur her damit...
Gruß Alfred
Hi Alfred,
- Beim Bridgemodus braucht am 2. AP nichts angepasst zu werden wenn einer der beiden AP's getauscht wird.
- Wenn auf den Clients Firewallregeln auf MAC-Basis eingerichtet wurden, müssten beim Tausch des AP alle Clients angepasst werden.
- Einige Sniffer können an der MAC-Adresse abschätzen welcher Hersteller hinter dem Gerät steckt. Mit einer geänderten MAC-Adresse könnte man dieses Fingerprinting etwas erschweren.
- Wardriving mit einem Accesspoint macht keiner, also wäre es auch kein Nachteil wenn die LANCOM-AP's die MAC frei einstellen könnten.
- Falls in der Firma eigene MAC-Bereiche verfügbar sind, könnten diese eingesetzt werden.
- Wenn die MAC-Adresse des AP angepasst werden kann ist vielleicht die Netzwerkdokumentation leichter zu pflegen, weil diese nicht ständige bei jedem Tausch nachgezogen werden muss.
Mehr ist mir leider nicht eingefallen.
Gruß
gm
Habe die letzten Tage etwas darüber nachgedacht:alf29 hat geschrieben: Deshalb denke ich nicht, daß ich eine einstellbare MAC-Adresse durchbekomme, solange sich dafür keine andere Anwendung als das Umgehen eines MAC-Filters findet. Wenn jemand eine solche hat, nur her damit...
Gruß Alfred
- Beim Bridgemodus braucht am 2. AP nichts angepasst zu werden wenn einer der beiden AP's getauscht wird.
- Wenn auf den Clients Firewallregeln auf MAC-Basis eingerichtet wurden, müssten beim Tausch des AP alle Clients angepasst werden.
- Einige Sniffer können an der MAC-Adresse abschätzen welcher Hersteller hinter dem Gerät steckt. Mit einer geänderten MAC-Adresse könnte man dieses Fingerprinting etwas erschweren.
- Wardriving mit einem Accesspoint macht keiner, also wäre es auch kein Nachteil wenn die LANCOM-AP's die MAC frei einstellen könnten.
- Falls in der Firma eigene MAC-Bereiche verfügbar sind, könnten diese eingesetzt werden.
- Wenn die MAC-Adresse des AP angepasst werden kann ist vielleicht die Netzwerkdokumentation leichter zu pflegen, weil diese nicht ständige bei jedem Tausch nachgezogen werden muss.
Mehr ist mir leider nicht eingefallen.
Gruß
gm
Hallo gm,
die Argumente sind alle nicht wirklich haltbar:
Ich gebe zu, bei den Agere-WLAN-Karten damals hab ich auch ab und an die MAC geändert, weil die P2P-Gegenseite zur Umkonfiguration nicht erreichbar war (wobei sich "damals" so lange her anhört, die letzte war vor einem halben Jahr). Oder die alte defekte MAC-Adresse einer Agere-WLAN-Karte eines Besitzers war irgendwo zugelassen (Uni, FH, damals war sowas üblich) und das ganze sollte unkompliziert über die Runden gehen. Aber diese Fälle waren hauptsächlich auf Hardware-Schäden der WLAN-Karten zurückzuführen und die treten - zumindest meiner Meinung nach - bei den Atheros-Karten nicht so oft auf.
Viele Grüße,
Jirka
die Argumente sind alle nicht wirklich haltbar:
Wie Alfred schon schrieb, soll es beim nächsten großen Release eine Möglichkeit geben, dass dies nicht mehr erforderlich ist.Beim Bridgemodus braucht am 2. AP nichts angepasst zu werden wenn einer der beiden AP's getauscht wird.
Mir sind noch keine Clients untergekommen, wo das der Fall gewesen ist. Und wenn man die MAC-Adresse so leicht ändern kann, dann taugt diese Firewall-Regel evt. auch nicht wirklich viel.Wenn auf den Clients Firewallregeln auf MAC-Basis eingerichtet wurden, müssten beim Tausch des AP alle Clients angepasst werden.
Ja, und was bringt sie das weiter, wenn sie wissen, dass das ein LANCOM ist? Außerdem könntest Du zufälligerweise eine MAC-Adresse erwischen, für die ein Blacklist-Eintrag im AP vorhanden ist (der wo sich der AP im Client-Modus mit geänderter MAC anmeldet).Einige Sniffer können an der MAC-Adresse abschätzen welcher Hersteller hinter dem Gerät steckt. Mit einer geänderten MAC-Adresse könnte man dieses Fingerprinting etwas erschweren.
Also ich habe immerhin schon öfter einen L-54g im Auto gehabt und was ausprobiert.Wardriving mit einem Accesspoint macht keiner, also wäre es auch kein Nachteil wenn die LANCOM-AP's die MAC frei einstellen könnten.
Ich weiß nicht, ob es zur Fehlersuche wirklich sinnvoll ist, sowas zu machen. Wenn man einen Fehler sucht und selbst die MAC nicht mehr mit der aufgedruckten übereinstimmt oder die Herstellerangabe in Wireshark nicht stimmt, na viel Spaß.Falls in der Firma eigene MAC-Bereiche verfügbar sind, könnten diese eingesetzt werden.
Ok, wenn man das denn so im Detail macht.Wenn die MAC-Adresse des AP angepasst werden kann ist vielleicht die Netzwerkdokumentation leichter zu pflegen, weil diese nicht ständig bei jedem Tausch nachgezogen werden muss.
Ich gebe zu, bei den Agere-WLAN-Karten damals hab ich auch ab und an die MAC geändert, weil die P2P-Gegenseite zur Umkonfiguration nicht erreichbar war (wobei sich "damals" so lange her anhört, die letzte war vor einem halben Jahr). Oder die alte defekte MAC-Adresse einer Agere-WLAN-Karte eines Besitzers war irgendwo zugelassen (Uni, FH, damals war sowas üblich) und das ganze sollte unkompliziert über die Runden gehen. Aber diese Fälle waren hauptsächlich auf Hardware-Schäden der WLAN-Karten zurückzuführen und die treten - zumindest meiner Meinung nach - bei den Atheros-Karten nicht so oft auf.
Viele Grüße,
Jirka