Bitte um Anleitung: WLAN-NAT hinter externem Router

[nidi]

Liebe Leute,

da ich jetzt schon den Tag und die Nacht damit zubringe, den L-452agn zu konfigurieren, und auch nach Konsultation des Handbuchs und Recherche dieses Forums nicht komplett zum Ziel komme, bitte ich um eine grobe Anleitung bzgl. folgendem - eigentlich recht einfachem - Setups:

- Es gibt bereits ein Netz (192.168.2.0/24), in dem ein Telekom-Gerät (192.168.2.1) DHCP anbietet und als VDSL-Modem fungiert. (bisher ist das Ding auch AP und DHCP-Server für alle, das soll aber eingeschränkt werden, da unzuverlässig)
- Der L-452 ist über LAN-1 an die Telekom-Box angeschlossen.
- LAN-2 und die WLAN-Devices sollen zwei neue Subnetze (192.168.5.0/24 - INTERN, und 192.168.6.0/24 - GUEST) per NAT aufmachen, zwei SSIDs mappen jeweils auf ein Subnetz.

Dafür habe ich:

- Iface: LAN-Bridge in isolierten Modus gestellt;
- Iface: LAN-2, WLAN-1, WLAN-2 mappen auf BRG-2; WLAN-1-2, WLAN-2-2 mappen auf BRG-3.
- IPv4: Netzwerk INTERN hat 192.168.5.1/24 ist auf BRG-2 (Typ Intranet); Netzwerk GUEST hat 192.168.6.1/24 auf BRG-3.
- IPv4: Auch habe ich ein 192.168.2.2/24-Netz angelegt, auf LAN-1 (Typ Intranet). (Brauche ich das?)
- DHCPv4: Zwei DHCP-Netze angelegt, die die Bereiche 192.168.5.50-250 und .6.50-250 bedient.
- DHCPv4: Ein DHCP-Netz im Client-Modus gegen obiges 2.2-Netz. Ich glaube, dass das so nicht stimmt.
- Routing: Je eine Route 192.168.5.0/24 via 0.0.0.0 und 192.168.6.0/24 via 0.0.0.0 (maskiert (?))
- Routing: Eine Route 192.168.2.0/24 via 0.0.0.0 (soll das stattdessen via Gegenstelle gehen?)
- Routing: Default-Route (die heißt hier seltsamerweise 255.255.255.255/0) via 192.168.2.1 (maskiert (?))

Konkret checke ich zwei Punkte nicht:

- Wie definiere ich, dass ich über LAN-1 DHCP-Client sein will? Tatschlich über ein DHCP-Netz im Client-Modus? Oder irgendwie über eine Gegenstelle? Falls Gegenstelle, was für eine ist das? Eine DSL-Gegenstelle mit IPOE oder DHCPOE? Was muss ich da noch tun?
- Wie erreiche ich, dass die Clients im .5.0-Netz rausgeroutet werden? Konkret können diese zwar 192.168.2.2 anpingen, nicht aber 192.168.2.1 oder Internet.


Über Hilfe würde ich mich sehr freuen! Gerne auch konzeptionelle Hinweise, falls Dinge anders sinnvoller gemacht werden können. Ich kenne bisher nur Plaste-Router und Routing mit Standard-Linux-Systemen, die Lancom-Konzepte sind neu für mich. Tatsächlich hatte ich mir das auch einfacher vorgestellt...

Besten Dank,
Nico

[Dr.Einstein]

Hallo nidi,

interessante Uhrzeit, um sich mit solchen Problem zu beschäftigen

- IPv4: Auch habe ich ein 192.168.2.2/24-Netz angelegt, auf LAN-1 (Typ Intranet). (Brauche ich das?)

Nein, du benötigt eine WAN-Verbindung, Erklärung folgt.

- DHCPv4: Ein DHCP-Netz im Client-Modus gegen obiges 2.2-Netz. Ich glaube, dass das so nicht stimmt.

Nein, die Einstellung dafür erfolgt dann über die WAN-Verbindung, falls die eine WAN konfigurierst.

- Routing: Je eine Route 192.168.5.0/24 via 0.0.0.0 und 192.168.6.0/24 via 0.0.0.0 (maskiert (?))
- Routing: Eine Route 192.168.2.0/24 via 0.0.0.0 (soll das stattdessen via Gegenstelle gehen?)

Nein, diese "Eigenrouten" sind bei Linuxsystemen etc. notwendig, bei Lancom jedoch nicht. Einfach weglassen.

- Routing: Default-Route (die heißt hier seltsamerweise 255.255.255.255/0) via 192.168.2.1 (maskiert (?))

Und hier kommen wir zum entscheidenden Punkt: Lancoms können nur über eine WAN-Gegenstelle maskieren. In deinem Fall ist eine Maskierung zwingend notwendig, da du dem Speedport keine Rückroute für 192.168.5.x + 192.168.6.x beibringen kannst (evtl. hast du nen Speedport, der zu ner Fritzbox konvertiert werden kann u.ä., dann schon). 255.255.255.255/0 via Gegenstellenname, siehe unten, maskiert.

- Wie definiere ich, dass ich über LAN-1 DHCP-Client sein will? Tatschlich über ein DHCP-Netz im Client-Modus? Oder irgendwie über eine Gegenstelle? Falls Gegenstelle, was für eine ist das? Eine DSL-Gegenstelle mit IPOE oder DHCPOE? Was muss ich da noch tun?

Lösche das IP-Netz 2.x, was du angelegt hast. Richte unter Kommunikation / Gegenstelle eine neue Gegenstelle ein, die als Haltezeit 9999 hat, sowie den Layer IPoE falls du eine feste IP auf dem LAN-1(DSL-1) definieren willst oder DHCPoE falls diese via DHCP bezogen werden soll + DSL-Port 1. Vorher musst du unter Schnittstellen / LAN dem Ethernet-Port-1 die Funktion DSL-1 zuweisen und unter Schnittstellen /WAN / DSL-1 kontrollieren, ob DSL-1 aktiviert ist. Die Ergänzung der Default-Route ist ja oben bereits beschrieben.

- Wie erreiche ich, dass die Clients im .5.0-Netz rausgeroutet werden? Konkret können diese zwar 192.168.2.2 anpingen, nicht aber 192.168.2.1 oder Internet.

Default-Route reicht erstmal, um ins Internet zu gelangen. Wenn du die 192.168.2.1 erreichen willst, musst du darauf achten, dass eine standardmäßig eine Blockroute für das 192.168.0.0/16 hinterlegt ist.

Besten Dank,
Nico

[nidi]

Vielen Dank für die Erklärungen!

Ich habe noch ein paar Nachfragen, da das Setup noch nicht funktioniert. Mein Hauptproblem ist, dass das DHCP nach außen nicht funktioniert und ich auch nicht weiß, wie ich eine statische Adresse einrichten würde. Im Einzelnen:

Vorher musst du unter Schnittstellen / LAN dem Ethernet-Port-1 die Funktion DSL-1 zuweisen ...

Wo kann ich das zuweisen? Unter Schnittstellen / LAN hab ich für ETH1 (LAN-1):

- Übertragungsart automatisch; bevorzugt Slave
- Isolierter Modus
- Port-Tabelle ... LAN-1: Ethernet 1; Port aktinert; Bridge-Gruppe BRG-1; Point-to-point automatisch; DHCP-Begrenzung 0.

... und unter Schnittstellen /WAN / DSL-1 kontrollieren, ob DSL-1 aktiviert ist.

Unter Schnittstellen/WAN hab ich DSLoL aktiviert; modus automatisch; LAN-Interface LAN-1.

Richte unter Kommunikation / Gegenstelle eine neue Gegenstelle ein, die als Haltezeit 9999 hat, sowie den Layer IPoE falls du eine feste IP auf dem LAN-1(DSL-1) definieren willst oder DHCPoE falls diese via DHCP bezogen werden soll [...]

In Kommunikation / Gegenstellen hab ich jetzt eine DSL-Gegenstelle (Name VDSL) mit Haltezeit 9999 und Layer DHCPoE.

Ich bekomme aber kein DHCP. Auch ist mir unklar, wo ich im IPoE-Fall die statische IP-Adresse für ETH-1 (192.168.2.2) und das Gateway (192.168.2.1) einrichten würde.

Über SSH und dann sysinfo bekomme ich übrigens:

Code: Alles auswählen

IP-ADDRESS:       192.168.5.1
IP-NETMASK:       255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK:     0.0.0.0

Kann ich auch irgendwie die Routing-Tabelle direkt angucken?

[...] + DSL-Port 1.0 DSL-1 aktiviert ist.

Wo kann ich das aktivieren?

Die Ergänzung der Default-Route ist ja oben bereits beschrieben.

Da hab ich jetzt 255.255.255/0; Routing-Tag 0; Route ist aktiviert und wird über RIP propagiert; Router VDSL (obige Gegenstelle); Distanz 1 (?); Intranet und DMZ maskieren.


Danke nochmals,
Nico

[Dr.Einstein]

Hallo nidi,

in der Annahme, dass die APs mit zwei Schnittstellen eine DSL Schnittstellen haben, habe ich dir wohl etwas falsches geschrieben.

Lass beide Ethernetports einfach auf LAN-1, aktiviere das DSLoLAN Interface unter Schnittstellen / WAN / Interface-Einstellungen.

Bei der Gegenstelle wählst du dann am besten IPoE statt DHCPoE aus. Unter Kommunikation / Protokolle / IP-Parameter kannst du dann für diese Gegenstelle die 192.168.2.2 Gateway 192.168.2.1 etc hinterlegen.

Sorry für das Missverständnis, wer nutzt schon nen AP als Router

Gruß Dr.Einstein

[nidi]

Leider funktioniert es noch nicht.

Lass beide Ethernetports einfach auf LAN-1

Was bedeutet das? Der eine Port ist ja LAN-1 (der den ich brauche), der andere LAN-2. Das sollte doch richtig sein.

aktiviere das DSLoLAN Interface unter Schnittstellen / WAN / Interface-Einstellungen.

Bei der Gegenstelle wählst du dann am besten IPoE statt DHCPoE aus. Unter Kommunikation / Protokolle / IP-Parameter kannst du dann für diese Gegenstelle die 192.168.2.2 Gateway 192.168.2.1 etc hinterlegen.

Ist gemacht. Weiterhin werde ich jedoch nicht geroutet - ich kann vom Lancom aus weder 192.168.2.1 noch sonst was im Internet anpingen. Der Lancom reagiert jedoch von dem internen .5-Netzwerk auf ping 192.168.2.2.

HIer ist die Routing-Tabelle:

Code: Alles auswählen

> ls Status/IP-Router/Act.-IP-Routing-Tab./

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type    
------------------------------------------------------------------------------------------------------------
192.168.6.0      255.255.255.0    0        192.168.6.1      GUEST        0         No          Intranet
192.168.5.0      255.255.255.0    0        192.168.5.1      INTERN       0         No          Intranet
172.16.0.0       255.240.0.0      0        0.0.0.0                            0         No          Static  
224.0.0.0        224.0.0.0        0        0.0.0.0                            0         No          Static  
255.255.255.255  0.0.0.0          0        192.168.2.1      VDSL              1         on          Static  

Was könnte denn noch falsch sein?

Sorry für das Missverständnis, wer nutzt schon nen AP als Router

Ist das so absurd? Der Gedanke ist eben, den Speedport quasi nur als VDSL-Modem zu verwenden, und den DHCP-Server vom AP zu nutzen, da dieser vmtl zuverlässiger als der vom Speedport ist. Was wäre die Alternative?


Danke,
Nico

[nidi]

Ich habe das Problem gelöst:

In Schnittstellen / WAN / Interface-Einstellungen / DSLoL musste Modus auf exklusiv gestellt werden.

Uff.