IP-Router mit Firewall als Bridge konfigurieren

[MarcoL]

Hallo,

ich habe zwei OAP-54 wireless so eingerichtet, dass einer als WLAN-AP und einer als Client fungiert. An beiden Geräten hängen per LAN Rechner aus dem gleichen Subnetz. also aus dem gleichen IP-Adresskreis.

Nun möchte ich den IP-Router mit Firewall (jeweils zwischen LAN und WLAN) nutzen und habe daher den isolierten Modus aktiviert. Wie konfiguriere ich nun die beiden LANCOMs so, dass sie im Prinzip dieselbe Funktion wie im (nicht-isolierten) Bridge-Modus bieten?

Danke schonmal!

[MarcoL]

Zur Zeit habe ich die IP-Netzwerke wie folgt konfiguriert (IP Adressen geändert):

Code: Alles auswählen

DMZ	0.0.0.0	255.255.255.0	DMZ	0	Beliebig	Flexibel	0
INTRANET	1.2.3.4	255.255.255.0	Intranet	0	LAN-1	Flexibel	1
WLAN	5.6.7.8	255.255.255.0	Intranet	0	WLAN-1	Flexibel	2

Gleiches auf dem zweiten Router, mit anderer IP für das WLAN und anderem Subnetz für das INTRANET.

Ich schaffe es nicht, dass die Pakete korrekt von LAN über WLAN zurück zum zweiten LAN geroutet werden (gem. Kap. 11.5.10 LCOS Referenzhandbuch 7.70). Wie müssten denn die Routen korrekt aussehen?

[alf29]

Moin,

ich wüßte ehrlich gesagt überhaupt nicht, wie Du in
dieser Konfiguration die Pakete über die LANCOMs
geroutet bekommst. Da auf beiden Seiten das gleiche
IP-Subnetz ist, werden die Rechner gar nicht auf die
Idee kommen, irgendein Gateway anzusprechen, sondern
versuchen, direkt den anderen Rechner zu erreichen.
Einen Router bekommt man in solchen Konfigs
üblicherweise nur mittels Tricks wie Proxy-ARP dazwischen,
ich wüßte aber nicht, daß das LCOS das in diesem
Szenario könnte...

Gruß Alfred

[MarcoL]

Nein, wie gesagt, Subnetze sind auf beiden LAN-Seiten verschieden.

Habs inzwischen hinbekommen. Musste die IP-Netzwerke auf DMZ stellen, Intranet blockt den Verkehr irgendwie.

[backslash]

Hi MarcoL

Intranet blockt den Verkehr irgendwie

Intranet blockt den Verkehr *nicht* irgendwie, sondern in deiner Konfig bewußt... Du hast INTRANET und WLAN unterschiedliche Interface-Tags gegeben (1 für INTRANET und 2 für WLAN). Damit sind die Netze untereinander unsichtbar. Wenn du nun ein Netz auf DMZ umstellst, dann kann dieses vom anderen gesehen werden, trotz des unterschiedlichen Tags. Nur umgekehrt funktioniert das noch nicht. Wenn du dann das zweite Netz auch noch auf DMZ umstellst, dann kann dieses auch von allen anderen - und somit auch von der ersten DMZ - gesehen werden.

Gruß
Backslash

[alf29]

Moin,

Nein, wie gesagt, Subnetze sind auf beiden LAN-Seiten verschieden.

Du hattest geschrieben:

An beiden Geräten hängen per LAN Rechner aus dem gleichen Subnetz. also aus dem gleichen IP-Adresskreis.

Gruß Alfred

[MarcoL]

Zwischen erstem und zweitem Post hat sich einiges verändert.

Wo werden denn überhaupt die Netzwerktypen "Intranet" und "DMZ" definiert? Oder sind diese statisch? Und welche Eigenschaften haben die dann? Intranet scheint ja in bestimmten Fällen zu blocken.

[backslash]

Hi MarcoL

Wo werden denn überhaupt die Netzwerktypen "Intranet" und "DMZ" definiert? Oder sind diese statisch?

die sind statisch...

Und welche Eigenschaften haben die dann?

- eine DMZ ist von allen Netzen aus sichtbar, unabhängig vom seinem Interface-Tag, während ein Intranet nur von Netzen mit dem gleichen Interface-Tag gesehen wird. Selbst sehen beide (DMZ und Intranet) aber nur Netze mit dem gleichen Interface-Tag

- eine DMZ wird nicht maskiert, wenn an einer Route die Maskierungsoption auf "nur Intranet maskieren" steht, während ein Intranet immer maskiert wird (es sein denn die Route ist unmaskiert)

- eine DMZ wird nicht in automatisch erstellte VPN-Regeln aufgenommen, ein Intranet hingegen schon

(das steht aberf auch so im Referenzhandbuch)

Gruß
Backslash

[MarcoL]

Jetzt ist es mir klar geworden, die Tags waren das Problem. Danke!