Hallo,
wir setzen den WLC-4006 mit der Public-Spot Version ein, der WLAN Zugang ist offen und nicht verschlüsselt und landet bei uns in einer Firewall DMZ.
Die PC´s bekommen dann vom WLC über DHCP eine IP Adresse mit der Gateway IP des WLC.
Im WLC ist eine Standard-Router hinterlegt die auf unsere Firewall zeigt.
Wenn ich jetzt im Internet Serven möchte, bekomme ich vom WLC ein Anmeldefenster wo ich Benutzer und PW der Voucher eintragen kann und alles ist gut.
Nun mein Problem: Wenn sich jetzt einer auf seiner WLAN Netzwerkkarte eine feste IP vergibt und als Standard Gateway die Firewall einstellt, geht er am WLC mit der Voucher Anmeldung vorbei !!!!!
Nun mein Wunsch, der WLC läßt nur PC´s in sein WLAN den er auch über DHCP eine IP Adresse, vergeben hat. Kann man das einstellen ?
Vielen Dank
Gruß Bulle
WLAN nur, wenn IP über DHCP bezogen wird
Moderator: Lancom-Systems Moderatoren
-
arcticwolf
- Beiträge: 18
- Registriert: 13 Mär 2011, 13:05
Das müsste sich eigentlich über TCP/IP BootP regeln lassen.
Ich zweckentfremde das z.B. um bestimmten WLAN Stationen (Musikserver, Multimediaplayer, bestimmte Laptops - Authentifizierung über MAC Adresse) via DHCP immer die gleiche IP Adresse zuzuweisen.
Wenn Du also hier einen Netzwerknamen für das WLC eingibst, müsstest Du trotz fester IP auf dem WLC landen - damit müsste auch das Anmeldeformular zwangsweise ausgeführt werden.
Man müsste natürlich den Bereich für die festen IP Adressen entsprechend mit MAC Filter versehen ... alleine das müsste sogar schon reichen um das Problem zu beheben.
Nachteil ist natürlich, das man erstmal alle MAC Adressen der fest zugelassenen Maschinen in den MAC Filter eintragen müsste und für den Rest eine Radius Authentifizierung einrichtet.
Hoffe, mein Lösungsansatz ist brauchbar - würde mich selbst interessieren.
Gruß Sven
Ich zweckentfremde das z.B. um bestimmten WLAN Stationen (Musikserver, Multimediaplayer, bestimmte Laptops - Authentifizierung über MAC Adresse) via DHCP immer die gleiche IP Adresse zuzuweisen.
Wenn Du also hier einen Netzwerknamen für das WLC eingibst, müsstest Du trotz fester IP auf dem WLC landen - damit müsste auch das Anmeldeformular zwangsweise ausgeführt werden.
Man müsste natürlich den Bereich für die festen IP Adressen entsprechend mit MAC Filter versehen ... alleine das müsste sogar schon reichen um das Problem zu beheben.
Nachteil ist natürlich, das man erstmal alle MAC Adressen der fest zugelassenen Maschinen in den MAC Filter eintragen müsste und für den Rest eine Radius Authentifizierung einrichtet.
Hoffe, mein Lösungsansatz ist brauchbar - würde mich selbst interessieren.
Gruß Sven
Zuletzt geändert von arcticwolf am 24 Mär 2011, 17:17, insgesamt 1-mal geändert.
Vielen Dank für Deine Idee - ist aber bei uns leider nicht praktikabel: Ich kenne nicht alle MAC-Adressenarcticwolf hat geschrieben: Nachteil ist natürlich, das man erstmal alle MAC Adressen der fest zugelassenen Maschienen in den MAC Filter eintragen müsste und für den Rest eine Radius Authentifizierung einrichtet.
-
arcticwolf
- Beiträge: 18
- Registriert: 13 Mär 2011, 13:05
Hi
in den Filtern der LAN/WLAN-Bridge (Wireless-LAN -> Security -> Protokolle) gibt es den Punkt "Per DHCP zugewiesene IP". Wenn du dort "nein" einträgst, als Aktion "Paket verwerfen" auswählst und ansonsten alles andere leer läßt, dann sollte genau das passieren, was du willst: Pakete von Stationen, die ihre Adresse nicht über DHCP erhalten haben, werden verworfen
Gruß
Backslash
in den Filtern der LAN/WLAN-Bridge (Wireless-LAN -> Security -> Protokolle) gibt es den Punkt "Per DHCP zugewiesene IP". Wenn du dort "nein" einträgst, als Aktion "Paket verwerfen" auswählst und ansonsten alles andere leer läßt, dann sollte genau das passieren, was du willst: Pakete von Stationen, die ihre Adresse nicht über DHCP erhalten haben, werden verworfen
Gruß
Backslash
Hallo Backslash
Das hört sich wirklich vielversprechend an ... leider finde ich in der Config diesen Punkt nicht.
Kannst Du mir bitte sagen, wo genau
Wir haben ein WLC-4006 mit Firmware 8.00.0221RU2.
Vielen Dank
Lupi007
Das hört sich wirklich vielversprechend an ... leider finde ich in der Config diesen Punkt nicht.
Kannst Du mir bitte sagen, wo genau
zu finden ist ???!!!backslash hat geschrieben:Filtern der LAN/WLAN-Bridge (Wireless-LAN -> Security -> Protokolle)
Wir haben ein WLC-4006 mit Firmware 8.00.0221RU2.
Vielen Dank
Lupi007
Hi Lupi007
Danach lädst du das Script mit LANconfig aus dem Gerät heraus (rechtsklick auf das Gerät und dann ->Konfigurationsverwaltung -> Als Sckrip-Datei sichern). Im Datei-Dialog trägst du unter "Nur ausgewählte Sektionen herunterladen" "/setup/lan-bridge/protocol-table" ein. Dieses Script speicherst du auf einem WEB-Server dessen URL du dem WLC unter WLAN-Controller -> AP-Update -> Script-URL mitteilst. Das eigentliche Script weist du den APs über einen Eintrag unter WLAN-Controller -> AP-Update -> Script-Management zu
Gruß
Backslash
die Einstellung ist in den APs zu finden und nicht im WLC. Damit der WLC das einschalten kann, mußt du ein Script erstellen, das der WLC an den AP sendet. Dazu erstellst du am besten auf einem AP diesen Filter mit LANconfig (und dort halt wie angegeben unter Wireless-LAN -> Security -> Protokolle).Wir haben ein WLC-4006 mit Firmware 8.00.0221RU2.
Danach lädst du das Script mit LANconfig aus dem Gerät heraus (rechtsklick auf das Gerät und dann ->Konfigurationsverwaltung -> Als Sckrip-Datei sichern). Im Datei-Dialog trägst du unter "Nur ausgewählte Sektionen herunterladen" "/setup/lan-bridge/protocol-table" ein. Dieses Script speicherst du auf einem WEB-Server dessen URL du dem WLC unter WLAN-Controller -> AP-Update -> Script-URL mitteilst. Das eigentliche Script weist du den APs über einen Eintrag unter WLAN-Controller -> AP-Update -> Script-Management zu
Gruß
Backslash
Hallo Backslash
Vielen Dank für Deine schnelle Hilfe - auf die Idee mit der Konfiguration im AP und Script-Ex-/Import wäre ich nie gekommen.
Ich muss aber nochmal nachfragen - sorry:
Wenn ich unter "Wireless-LAN -> Security -> Protokolle" einen neuen Eintrag mit "Per DHCP zugewiesene IP = nein" erstelle und in der Interface-Liste mein WLAN-1 angebe, dann bekommt der Client nicht mal mehr per DHCP seine IP-Adresse (der Filter funktioniert zu gut) ...
Hast Du eine Idee, warum wieso .... ????
Vielen Dank
Lupi007
Vielen Dank für Deine schnelle Hilfe - auf die Idee mit der Konfiguration im AP und Script-Ex-/Import wäre ich nie gekommen.
Ich muss aber nochmal nachfragen - sorry:
Wenn ich unter "Wireless-LAN -> Security -> Protokolle" einen neuen Eintrag mit "Per DHCP zugewiesene IP = nein" erstelle und in der Interface-Liste mein WLAN-1 angebe, dann bekommt der Client nicht mal mehr per DHCP seine IP-Adresse (der Filter funktioniert zu gut) ...
Hast Du eine Idee, warum wieso .... ????
Vielen Dank
Lupi007
Moin,
ganz so einfach ist die Sache nicht. Du brauchst in den
Protokollfiltern mindestens 3 Regeln auf dem Interface
WLAN-1:
(1) ARP zulassen (Protokoll = 0806, Pakete übertragen,
alles andere auf Defaults lassen)
(2) DHCP/BOOTP zulassen (Protokoll = 0800, Untertyp = 17,
Anfangsport = 67, Anfangsport = 68, Pakete übertragen.
alles andere auf Defaults lassen)
(3) Alles von MAC-Adressen durchlassen, die sich eine
IP-Adresse per DHCP geholt haben (Protokoll = 0000,
per DHCP zugewiesene IP = ja, Pakete übertragen,
alles andere auf Defaults lassen).
Wenn das alles funktioniert, sollten in der CLI bzw. WEBconfig->
LCOS-Menübaum unter Status->LAN-Bridge->DHCP-Table
die Clients auftauchen, die sich eine Adresse per DHCP
geholt haben - das LANCOM liest durch die dritte Regel
das DHCP quasi 'mit'.
Gruß Alfred
ganz so einfach ist die Sache nicht. Du brauchst in den
Protokollfiltern mindestens 3 Regeln auf dem Interface
WLAN-1:
(1) ARP zulassen (Protokoll = 0806, Pakete übertragen,
alles andere auf Defaults lassen)
(2) DHCP/BOOTP zulassen (Protokoll = 0800, Untertyp = 17,
Anfangsport = 67, Anfangsport = 68, Pakete übertragen.
alles andere auf Defaults lassen)
(3) Alles von MAC-Adressen durchlassen, die sich eine
IP-Adresse per DHCP geholt haben (Protokoll = 0000,
per DHCP zugewiesene IP = ja, Pakete übertragen,
alles andere auf Defaults lassen).
Wenn das alles funktioniert, sollten in der CLI bzw. WEBconfig->
LCOS-Menübaum unter Status->LAN-Bridge->DHCP-Table
die Clients auftauchen, die sich eine Adresse per DHCP
geholt haben - das LANCOM liest durch die dritte Regel
das DHCP quasi 'mit'.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015