Zugriff vom WLC Gastnetz auf eine IP im Intranet

[snooppycount]

Hallo zusammen
Ich möchte vom WLC Gastnetz 192.168.200.x auf ein Gerät 192.168.1.251 im Intranet zugreifen können.
Eine erstellte Firewall-Regel funktioniert aber nicht
Ich vermute wegen VLAN 10 vom Gastnetz. Wie muss das Quell-Tag der Regel gesetzt werden, oder benötige ich gar das aktivierte VLAN Modul ?

# Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
# ==================
add "MANAGED" {IP-Address} 192.168.3.1 {IP-Netmask} 255.255.255.0 {VLAN-ID} 0 {Interface} LAN-1 {Src-check} loose {Type} Disabled {Rtg-tag} 0 {Comment} ""
add "INTRANET" {IP-Address} 192.168.1.1 {IP-Netmask} 255.255.255.0 {VLAN-ID} 0 {Interface} BRG-1 {Src-check} loose {Type} Intranet {Rtg-tag} 1 {Comment} "local intranet"
add "GASTZUGANG" {IP-Address} 192.168.200.1 {IP-Netmask} 255.255.255.0 {VLAN-ID} 10 {Interface} WLC-TUNNEL-1 {Src-check} loose {Type} Intranet {Rtg-tag} 2 {Comment} "Gastzugang"


Danke im Voraus
Jürgen

[snooppycount]

Hallo

Ergänzung, Test auf dem WLC:
ping -a 192.168.200.1 192.168.1.251

ping failed: route to null

VG
Jürgen

[hyperjojo]

hallo,

das Quell-Tag der Firewall-Regel lässt du auf Null stehen, das Ziel-Tag stellst du auf 1.
Dazu natürlich Quell- und Ziel-Netzwerk definieren und die Action auf Accept stellen.

Gruß hyperjojo

[snooppycount]

Hallo hyperjojo

Danke für den Tipp, funktioniert nur leider auch nicht.

cd /Setup/IP-Router/Firewall/Rules
# Name Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment
# ==================================
add "PUBLIC_TO_NAS" {Prot.} "ANY" {Source} "GASTNETZ" {Destination} "BZNAS01" {Action} "ACCEPT" {LB-Policy} "" {LB-Switchover} No {Linked} Yes {Prio} 0 {Firewall-Rule} Yes {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 1 {Comment} "Public to NAS"


GASTNETZ=192.168.200.0/255.255.255.0
BZNAS01=192.168.1.251

Auf dem WLC:
ping -a 192.168.200.1 192.168.1.251
ping failed: route to null


Danke und Gruß
Jürgen

[hyperjojo]

hi,

ist der WLC-TUNNEL-1 denn Teil der BRG-1?
Gibt es andere Firewall-Regeln, die vorher zutreffen könnten?

Gruß hyperjojo

[snooppycount]

Hey

Der WLC-TUNNEL-1 war nicht Teil der BRG-1, aber auch das hinzufügen bringt nicht das gewünschte Ergebnis.
Weitere Firewall-Regeln folgen nach dieser Regel, sind aber IMHO nicht relvant.

Gruß
Jürgen

[Aushilfsinformatiker]

Hallo, so ein Problem hatte ich ebenfalls und folgendermaßen gelöst. Ich versuche es mal auf deinen IP-Adressbereich anzuwenden.

192.168.200.x auf ein Gerät 192.168.1.251

WLC-Einstellungen
WLC ohne VLAN-Modul
ipv4 Netzwerk anlegen: 192.168.200.254 (VLAN 10, Schnittstellen-Tag 10)
DHCP aktivieren
phys. Einstellungen: Master-Netzwerk untagged, VLAN in AP aktivieren
logisches Netzwerk 192.168.200.x auswählen, Lan am AP, VLAN 10
Routing-Tabelle: Rückroute 192.168.200.1 mit Tag 10
Es ist möglich einen PublicSpot darauf zu setzen oder einfach ein WLAN-Passwort zu verwenden.

Router-Einstellungen
ipv4 Netzwerk anlegen 192.168.200.1 (VLAN 10, Schnittstellen-Tag 10) kein DHCP aktivieren
ipv4 Netzwerkanlegen 192.168.1.1 (VLAN 100, Schnittstellen-Tag 100) DHCP aktivieren

Firewall-Regel für INTER-VLAN-Routing:
Allgemein: Routing-Tag 100
Aktionen: Accept
Stationen: Verbindungs-Quelle: Verbindungen von allen Stationen im Netzwerk 192.168.200.x an Verbindungs-Ziel: 192.168.1.251, Protokolle und Dienste eventuell anpassen

Das funktioniert zumindest bei mir ganz gut. Im Switchen noch die VLANS anlegen. Somit routet alles vom WLC über S-Tag 10 (Rückroute in Tabelle) zum Router. Dort findet das Umtaggen auf die die zu erreichende Adresse statt.

Viele Grüße

[snooppycount]

Hallo Aushilfsinformatiker

Danke für die Beschreibung. Ich werde es ggfs. mal mit diesem Ansatz versuchen, ist aber schwierig da es eine Produktivumgebung mit ca. 100 aktiven Nutzern ist. Auch ist der Router "vorgelagert", und die zu erwartenden (Media) Daten dann über ihn zu routen scheint mit nicht sinnvoll.

Danke und Gruß
Jürgen