hallo leute,
bin leider nicht so bewandert in routing und den feinheiten bitte deshalb um hilfestellung ( möglichst how to do und wo was eintragen ) für folgende situation:
haben dsl anschluss angezapft und per wlan richtstrecke in unser dorf geleitet nun sollen eingeloggte wlan client´s sich gegenseitig nicht sehen und keine daten austauschen können also nur einen internetzugang erhalten. ebenso dürfen wlan client´s keinen zugriff auf die konfig der ap´s
erhalten. zum verständniss hier die bestehende struktur:
DSL-Router mit switch 192.168.0.1 für Internetzugang
daran hängt
AP1 L54AG 192.168.0.230 P2P Master
Funkstrecke zu AP2
AP2 L54AG 192.168.0.220 P2P Slave
AP2 per Kabel an einem unmanag. Switch
am Switch angeschlossen ist ein PC IP 192.168.0.210 der
zur Konfiguration der AP´s genommen wird
AP3 L54g 192.168.0.200 als Zugangspunkt für Client´s und P2P zu AP4
AP3 läuft als DHCP-Server für Client´s ab 192.168.0.100-150
Gateway 192.168.0.1, Wlan1 aktiv mit SSID xyz
AP4 L54g 192.168.0.190 als Zugangspunkt für Clients
AP4 ist weiterer Verteiler als Zugangspunkt,...
Soweit ist alles ok Client´s können sich an AP3+4 einloggen und ins Inet.
Allerdings soll nun alles so konfiguriert werden dass angemeldete Wlan Clients keinen Zugriff auf die Konfig der AP´s bekommen und auch den angeschlossenen PC nicht erreichen können. Also so ein Art Gastzugang
bei dem das LAN komplett abgeschottet ist.
habe schon so was ähnliches in einem forum gesehen auch anleitungen
wie es machbar sein soll, allerdings etwas unverständlich weil sehr technisch und theoretisch beschrieben, ich denke dass es mit den L54er auf jeden fall
gehen sollte weiss nur nicht was wo wie eingetragen werden muss.
Alle AP mit LCOS 5.20
Danke für Hilfe
Gru
Michael
Wlan / Lan gegenseitig abschotten - Hilfe für Dummy
Moderator: Lancom-Systems Moderatoren
Hallo,
wir haben hier ein ähnliches Netz und würde soweit ich es verstanden habe ein bischen anders machen.
Gruß
bigrider
wir haben hier ein ähnliches Netz und würde soweit ich es verstanden habe ein bischen anders machen.
Den DSL Router kannst Du dir sparen da ein L54 über die DSLol Schnittstelle die Funktion auch mit übernehnen kann.DSL-Router mit switch 192.168.0.1 für Internetzugang
daran hängt
AP1 L54AG 192.168.0.230 P2P Master
Eigentlich nicht nötig (zu aufwendig)AP2 per Kabel an einem unmanag. Switch
am Switch angeschlossen ist ein PC IP 192.168.0.210 der
zur Konfiguration der AP´s genommen wird
Jetzt kann ich Dir nicht mehr ganz folgen, was verstehst Du unter Client´s und wo steht der AP4 (eine zeichnung wäre nicht schlecht)AP3 L54g 192.168.0.200 als Zugangspunkt für Client´s und P2P zu AP4
Gruß
bigrider
hallo bigrider - danke für antwort
ja den dsl-router koennte ich mit lancom L54 sparen - bei erstinstallation hatten wir noch geräte von netgear die nur als ap gehen deshalb externer dsl-router zusätzlich ( wollen wir so lassen da es ja prinzipiell läuft )
den über einen switch angeschlossenen PC ist im Prinzip unser LAN
welches von den Gästen zu verstecken ist, ...
Am AP3 können sich externe ( Gäste ) W-Lan Clients anmelden
AP3 läuft auch als Bridge (Mastermodus) mit Wimo Rundstrahlantenne
Am AP 4 köennen sich ebenso Gäste anmelden
AP4 dient als Reichweitenvergösserung und läuft im P2P Modus
mit AP 3 ( Slavemodus)
mit Wimo-Rundstrahlantenne ca. 800m weg von AP3
Das Poblem das diese Gäste das LAN sehen und ansprechen können ist dass alle im gleichem WLAN1 und im gleichen IP Netz angemeldet sind.
Ich denke ein Lösungsansatz sollte über unterschiedliche Wlan-ID´s
und/oder IP Subnetze sein, nur wie richtet man das verständlich ein, ... -
Ich hoffe ich habe es einigermaßen verständlich erklärt
Danke für Help
mfg
Michael
ja den dsl-router koennte ich mit lancom L54 sparen - bei erstinstallation hatten wir noch geräte von netgear die nur als ap gehen deshalb externer dsl-router zusätzlich ( wollen wir so lassen da es ja prinzipiell läuft )
den über einen switch angeschlossenen PC ist im Prinzip unser LAN
welches von den Gästen zu verstecken ist, ...
Am AP3 können sich externe ( Gäste ) W-Lan Clients anmelden
AP3 läuft auch als Bridge (Mastermodus) mit Wimo Rundstrahlantenne
Am AP 4 köennen sich ebenso Gäste anmelden
AP4 dient als Reichweitenvergösserung und läuft im P2P Modus
mit AP 3 ( Slavemodus)
mit Wimo-Rundstrahlantenne ca. 800m weg von AP3
Das Poblem das diese Gäste das LAN sehen und ansprechen können ist dass alle im gleichem WLAN1 und im gleichen IP Netz angemeldet sind.
Ich denke ein Lösungsansatz sollte über unterschiedliche Wlan-ID´s
und/oder IP Subnetze sein, nur wie richtet man das verständlich ein, ... -
Ich hoffe ich habe es einigermaßen verständlich erklärt
Danke für Help
mfg
Michael
Habe die Struktur mal als Zeichnung erstellt - hoffe ihr kommt klar.
Anscheinend soll so was über zwei getrennte W-Lan Netze mit entsprechenden Protokolleinträgen gehen, ich krieg das nur nicht gebacken wo welche Einträge reinkommen, ...
Danke für Help
Michael
Anscheinend soll so was über zwei getrennte W-Lan Netze mit entsprechenden Protokolleinträgen gehen, ich krieg das nur nicht gebacken wo welche Einträge reinkommen, ...
Danke für Help
Michael
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi compdate
Unter WLAN-Sicherheit -> Allgemein gibt es den Schalter für den Datenverkehr zwischen den Stationen. Dieser Schalter löst dein Problem ganz elegant: Stelle ihn auf "Datenverkehr nicht zulassen" und die eingebuchten Clients sehen sich weder untereinander, noch sehen sie dein LAN.
Diese Einstellung erzwingt die Verwendung des Routers. Daher brauchst du nun auch zwei IP-Kreise: Einen aus dem du die Adressen vergibst, die die Clients erhalten (Client-Netz) und einen für dein LAN. Den Kreis für dein LAN trägst du als DMZ ein und bindest ihn fest an das Interface LAN-1, den Anderen (also den für das Client-Netz) trägst du als Intranet ein und bindest ihn an WLAN-1.
Nun brauchst du noch zwei Einträge in der Routing-Tabelle: Zum Einen die Default-Route, die auf dein Gateway zeigt. Und zum anderen eine Sperr-Route für dein LAN. Im Gateway selbst trägst du nun noch die entsprechenden (Rück-) Routen für die (Client-) Netze der jeweilgen APs ein und das war's auch schon...
Diese Lösung hat zwar den Nachteil, daß es etwas auf die Performance geht - für einen DSL-Anschluß reicht es aber alle mal...
Fehlt nur noch die Möglichkeit, den Zugriff auf die Konfiguration zu unterbinden: Verbiete einfach jeden Zugriff unter Management -> Admin -> Zugriffsrechte -> Vom Wireless LAN.
Bei extremer Paranoia kannst du zudem noch unter Management -> Admin -> Zugriffs-Stationen die Adresse des PCs, den du zur Konfiguration verwendest eintragen (mit der Netzmaske 255.255.255.255). Desweiteren ist noch ein sicheres Paßwort für die Konfiguration zu empfehlen...
Gruß
Backslash
Unter WLAN-Sicherheit -> Allgemein gibt es den Schalter für den Datenverkehr zwischen den Stationen. Dieser Schalter löst dein Problem ganz elegant: Stelle ihn auf "Datenverkehr nicht zulassen" und die eingebuchten Clients sehen sich weder untereinander, noch sehen sie dein LAN.
Diese Einstellung erzwingt die Verwendung des Routers. Daher brauchst du nun auch zwei IP-Kreise: Einen aus dem du die Adressen vergibst, die die Clients erhalten (Client-Netz) und einen für dein LAN. Den Kreis für dein LAN trägst du als DMZ ein und bindest ihn fest an das Interface LAN-1, den Anderen (also den für das Client-Netz) trägst du als Intranet ein und bindest ihn an WLAN-1.
Nun brauchst du noch zwei Einträge in der Routing-Tabelle: Zum Einen die Default-Route, die auf dein Gateway zeigt. Und zum anderen eine Sperr-Route für dein LAN. Im Gateway selbst trägst du nun noch die entsprechenden (Rück-) Routen für die (Client-) Netze der jeweilgen APs ein und das war's auch schon...
Diese Lösung hat zwar den Nachteil, daß es etwas auf die Performance geht - für einen DSL-Anschluß reicht es aber alle mal...
Fehlt nur noch die Möglichkeit, den Zugriff auf die Konfiguration zu unterbinden: Verbiete einfach jeden Zugriff unter Management -> Admin -> Zugriffsrechte -> Vom Wireless LAN.
Bei extremer Paranoia kannst du zudem noch unter Management -> Admin -> Zugriffs-Stationen die Adresse des PCs, den du zur Konfiguration verwendest eintragen (mit der Netzmaske 255.255.255.255). Desweiteren ist noch ein sicheres Paßwort für die Konfiguration zu empfehlen...
Gruß
Backslash
Hallo Backslash,
danke für superschnelle rückantwort,
habe soweit alles begriffen bis auf abschnitt 2 und 3 wo es eben um die
für mich etwas " chinesisch" klingenden einträge ip, dmz und routingtabellen geht.
Wäre nett mir "Doofy" das ganze Schritt bei Schritt verständlich zu erläutern ( sobald ich mal was begriffen habe ist es oft ganz einfach zu verstehen und eigentlich ganz logisch und einfach, ... )
Gruß
Michael
danke für superschnelle rückantwort,
habe soweit alles begriffen bis auf abschnitt 2 und 3 wo es eben um die
für mich etwas " chinesisch" klingenden einträge ip, dmz und routingtabellen geht.
Wäre nett mir "Doofy" das ganze Schritt bei Schritt verständlich zu erläutern ( sobald ich mal was begriffen habe ist es oft ganz einfach zu verstehen und eigentlich ganz logisch und einfach, ... )
Gruß
Michael
Moin,
kleine Korrektur: Das Unterbinden des Datenverkehrs zwischen Stationen tut genau
nur das - in das LAN oder auf eventuell konfigurierte Point2Point-Strecken wird weiter
transparent gebridget. Das wird erst abgeschaltet, wenn man unter 'Interfaces->Wireless LAN'
den isolierten Modus einschaltet - dann muß man nur wirklich das Gerät mit mehreren
IP-Adressen ausstatten, wenn man zwischen LAn und WLAN routen will...
kleine Korrektur: Das Unterbinden des Datenverkehrs zwischen Stationen tut genau
nur das - in das LAN oder auf eventuell konfigurierte Point2Point-Strecken wird weiter
transparent gebridget. Das wird erst abgeschaltet, wenn man unter 'Interfaces->Wireless LAN'
den isolierten Modus einschaltet - dann muß man nur wirklich das Gerät mit mehreren
IP-Adressen ausstatten, wenn man zwischen LAn und WLAN routen will...
Hi compdate
viel einfacher ist das gar nicht zu erklären, aber ich versuch's trotzdem mal:
Wenn du unter TCP/IP -> Allgemein nachschaust, dann sieht du dort folgende Eingabefelder:
DMZ-IP-Adresse
DMZ-Netzmaske
DMZ-Interface
DMZ-Check
...
Hier stellst du die passenden Parameter für das DMZ-Netz (also dein LAN ein). im AP3 wären das:
nun brauchst du noch ein Netz für das WLAN. Das trägst du in den folgenden Feldern ein, z.B.
An diesem Netz können sich nun Clients anmelden. Damit diese auch eine korrekte IP-Adresse bekommen, stellst du den Adresspool des DHCP-Servers passend ein, nämlich auf 192.168.1.100 bist 192.168.1.150. Zusätzlich beschränkst du die Adreßvergabe auf das Interface WLAN-1-1. Das geht unter TCP/IP -> DHCP -> Port-tabelle.
Nun bekommen alle Clients die sich am AP3 anmelden eine Adresse aus diesem Pool.
Damit diese nun auch auf das Internet zugreifen können, braucht du noch die Default-Route zum DSL-Router. Die trägst du unter IP-Router -> Routing -> Routing-Tabelle ein:
Das ist aber nur die halbe Miete, denn auch der DSL-Router muß wissen, wo sich die Clients befinden. Daher braucht auch eine eine passende Route zum AP3:
Damit keiner der Clients nun auf das LAN zugreifen kann brauchst du im AP3 nun noch eine Sperr-Route, die den Traffic im gesamten 192.168.x.x Netz unterbindet:
Diese Sperr-Route ist i.Ü. nach einem Konfig-Reset bereits eingetragen.
Nun können alle Clients, die sich am AP3 angemeldet haben, ins Internet und haben keinen Zugriff auf das LAN oder andere Clients (solange du den Schalter unter WLAN-Sicherheit gesetzt hast)...
Nun kommt die Konfiguration von AP4 (AP5 wird entsprechend konfiguriert, nur mit einem anderen Client-Netz)
im AP4 trägst du nun als DMZ-Netz das WLAN-Netz des AP3 ein und bindest dies an die P2P-Strecke:
und nimmst für das Client-Netz einen neuen Adreß-Kreis und bindest diesen an das (restliche) WLAN-Interface:
Nun kommen noch die beiden Routen - einmal die Sperr-Route, die nach dem Konfig-Reset eh vorhanden ist und einmal die Default-Route, mit dem Unterschied, daß diese nun nicht mehr auf den DSL-Router verweist, sondern auf den AP3:
Damit nun die eingebuchten Clients auch Antworten aus dem Internet erhalten können, brauchst du nun sowohl im DSL-Router, als auch im AP3 eine Route zu den am AP4 angemeldeten Clients. Im DSL-Router zwight diese auf den AP3:
und im AP3 auf den AP4
Nun brauchen die Clients noch IP-Adressen, die vom DHCP-Server zugewiesen werden. Dazu setzt du seinen Adreßpool passend zum Client-Netz auf 192.168.2.100 bis 192.168.2.150 und beschränkst die Adreßvergabe wiederum auf das Interface WLAN-1-1.
Das gleiche machst du nun noch für den AP5, nur daß du dort als Client-Netz das Netz 192.168.3.x verwendest...
Wenn du es damit nicht hinbekommst, dann solltest du dir erstmal ein paar Bücher zum Thema durchlesen...
Gruß
Backslash
viel einfacher ist das gar nicht zu erklären, aber ich versuch's trotzdem mal:
Wenn du unter TCP/IP -> Allgemein nachschaust, dann sieht du dort folgende Eingabefelder:
DMZ-IP-Adresse
DMZ-Netzmaske
DMZ-Interface
DMZ-Check
...
Hier stellst du die passenden Parameter für das DMZ-Netz (also dein LAN ein). im AP3 wären das:
Code: Alles auswählen
DMZ-IP-Adresse: 192.168.0.210
DMZ-Netzmaske: 255.255.255.0
DMZ-Interface: LAN-1
DMZ-Check: looseCode: Alles auswählen
Intranet-IP-Adresse: 192.168.1.210
Intranet-Netzmaske: 255.255.255.0
Intranet-Interface: WLAN-1
Intranet-Check: looseNun bekommen alle Clients die sich am AP3 anmelden eine Adresse aus diesem Pool.
Damit diese nun auch auf das Internet zugreifen können, braucht du noch die Default-Route zum DSL-Router. Die trägst du unter IP-Router -> Routing -> Routing-Tabelle ein:
Code: Alles auswählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Router: 192.168.0.1
Maskierung: AusCode: Alles auswählen
IP-Adresse: 192.168.1.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Router: 192.168.0.210
Maskierung: Aus.Code: Alles auswählen
IP-Adresse: 192.168.0.0
Netzmaske: 255.255.0.0
Routing-Tag: 0
Router: 0.0.0.0
Maskierung: Aus. Nun können alle Clients, die sich am AP3 angemeldet haben, ins Internet und haben keinen Zugriff auf das LAN oder andere Clients (solange du den Schalter unter WLAN-Sicherheit gesetzt hast)...
Nun kommt die Konfiguration von AP4 (AP5 wird entsprechend konfiguriert, nur mit einem anderen Client-Netz)
im AP4 trägst du nun als DMZ-Netz das WLAN-Netz des AP3 ein und bindest dies an die P2P-Strecke:
Code: Alles auswählen
DMZ-IP-Adresse: 192.168.1.200
DMZ-Netzmaske: 255.255.255.0
DMZ-Interface: P2P-1-1
DMZ-Check: looseCode: Alles auswählen
Intranet-IP-Adresse: 192.168.2.200
Intranet-Netzmaske: 255.255.255.0
Intranet-Interface: WLAN-1
Intranet-Check: looseCode: Alles auswählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Router: 192.168.1.210
Maskierung: AusCode: Alles auswählen
IP-Adresse: 192.168.2.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Router: 192.168.0.210
Maskierung: Aus.Code: Alles auswählen
IP-Adresse: 192.168.2.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Router: 192.168.1.200
Maskierung: Aus.Das gleiche machst du nun noch für den AP5, nur daß du dort als Client-Netz das Netz 192.168.3.x verwendest...
Wenn du es damit nicht hinbekommst, dann solltest du dir erstmal ein paar Bücher zum Thema durchlesen...
Gruß
Backslash