113726
10.01.2015, aktualisiert am 24.01.2015
9058
167
0
2 getrennte Netze, wenn DHCP auf dem SBS läuft
Guten Nabend,
ich möchte bei uns gerne Schritt für Schritt 2 getrennte Netze aufbauen.
Ein komplettes internes Netz und eins, was nur Internetzugang bekommt mit einem anderen IP Bereich.
Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft. Selbst wenn ich für das Gastnetz am Router DHCP getrennt aktiviere, nimmt er sich eine IP vom SBS, ergo hat er wieder Zugriff aufs interne Netz.
Wie kann man das lösen? Der DHCP sollte am SBS weiterhin laufen bleiben.
Manuel
ich möchte bei uns gerne Schritt für Schritt 2 getrennte Netze aufbauen.
Ein komplettes internes Netz und eins, was nur Internetzugang bekommt mit einem anderen IP Bereich.
Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft. Selbst wenn ich für das Gastnetz am Router DHCP getrennt aktiviere, nimmt er sich eine IP vom SBS, ergo hat er wieder Zugriff aufs interne Netz.
Wie kann man das lösen? Der DHCP sollte am SBS weiterhin laufen bleiben.
Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259438
Url: https://administrator.de/contentid/259438
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
167 Kommentare
Neuester Kommentar
Hallo,
2 DHCP in eine Broadcastdomäne ergibt massive Probleme wenn nicht alles entsprechend Konfiguriert wird, und dein SBS mag das nicht tun bzw. ist dafür nicht geschaffen worden.
Gruß,
Peter
Suche einen neuen Access Point und eventuell Modem
Nutzungsvereinbarung des WLANS im Unternehmen
Zitat von @113726:
Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft.
DER ist nicht dein Problem. Dein Netzdesign ist dein Problem.Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft.
getrennt aktiviere, nimmt er sich eine IP vom SBS,
Es wird immer die IP des am schnellsten Antwortenden DHCP genommen. Entdeckt der Windows DHCP einen anderen DHCP, beendet sich der klügerer DHCP (dein SBS) Wie kann man das lösen? Der DHCP sollte am SBS weiterhin laufen bleiben.
Wie dir schon in all deinen anderen Threads bezüglich WLAN etc. mitgeteilt wurde ist dein Freund VLAN. Du hast aber kein Gerät welches VLAN Routing kann um mehr als 1 Netz zu nutzen bzw. 2 Netze oder mehr per VLAN oder auch echt (Physikalisch getrennte Netze) gemeinsam zu nutzen um dort z.B. das Internet gemeinsam zu nutzen. Deine Fritte kann kein VLAN dort. Du brauchst zwingend ein VLAN fähigen Router oder Switch (L3).. Mikrotik wurde dir schon mal genannt.....als Beispiel..... Ein Cisco SG-300 kann es auch sein....2 DHCP in eine Broadcastdomäne ergibt massive Probleme wenn nicht alles entsprechend Konfiguriert wird, und dein SBS mag das nicht tun bzw. ist dafür nicht geschaffen worden.
Gruß,
Peter
Suche einen neuen Access Point und eventuell Modem
Nutzungsvereinbarung des WLANS im Unternehmen
Schon wieder so ein Fritten-Geschädigter
Auch mit installiertem Freetz wirst du keine "getaggten" Pakete an einem eth-Port rausbekommen da die Fritte hier intern anders arbeitet. Auf den eth Interfaces kommen die Pakete immer untagged raus !! Nur dem WAN Port lassen sich getaggten Pakete entlocken.
http://www.ip-phone-forum.de/showthread.php?t=212727&page=3&s=a ...
Man kann zwar den Ports einzelne VLANs zuweisen, intern gehen die Pakete dann über die CPU und je nach zugeordnetem VLAN an die entsprechenden Ports ohne Tag.
Für multiple DHCP Scopes über die VLANs müsste man dann dnsmasq bemühen aber selbst das ist mit Freetz noch nicht vollkommen ausgereift.
Besorg dir also mindestens einen 35€ Mikrotik dann hast du alles was du für dein Vorhaben brauchst, und das Funktioniert dann 100%.
Gruß jodel32
Auch mit installiertem Freetz wirst du keine "getaggten" Pakete an einem eth-Port rausbekommen da die Fritte hier intern anders arbeitet. Auf den eth Interfaces kommen die Pakete immer untagged raus !! Nur dem WAN Port lassen sich getaggten Pakete entlocken.
http://www.ip-phone-forum.de/showthread.php?t=212727&page=3&s=a ...
Man kann zwar den Ports einzelne VLANs zuweisen, intern gehen die Pakete dann über die CPU und je nach zugeordnetem VLAN an die entsprechenden Ports ohne Tag.
Für multiple DHCP Scopes über die VLANs müsste man dann dnsmasq bemühen aber selbst das ist mit Freetz noch nicht vollkommen ausgereift.
Besorg dir also mindestens einen 35€ Mikrotik dann hast du alles was du für dein Vorhaben brauchst, und das Funktioniert dann 100%.
Gruß jodel32
Zitat von @113726:
Auch hier habe ich eine Fritzbox, die kein VLAN kann. Aber ich habe noch eine alte Fritzbox hier, wo ich mal Freetz drauf flashe
und schon sollte das mit dem VLAN funktionieren.
Auch hier habe ich eine Fritzbox, die kein VLAN kann. Aber ich habe noch eine alte Fritzbox hier, wo ich mal Freetz drauf flashe
und schon sollte das mit dem VLAN funktionieren.
Das ist nur Wunschdenken. Nimm Dir lieber einen Mikrotik oder eine alix-board. Damit kannst Du dann wirklich bequem VLAN probieren. dir frittenb sind nciht dafür gemacht ordentlich mit VLAN umzugehen.
lks
Grundlagen dazu kannst du in diesem Forumstutorial nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
TP-Link Modem ausgeliehen
Ist das wirklich ein reines Modem oder ist das ein Router ?? Technisch und vom Verständniss ist das ein himmelweiter Unterschied !Das solltest du zum weiteren Troubleshooting hier wasserdicht klären !
Es geht nicht.
Das ist häufig klar, da diese Router ein NICHT abschaltbares NAT machen auf den Router Ports. Durch die dann immer aktive NAT Firewall kannst du kein transparentes Routing machen wie es eigentlich sein sollte, sondern Routing ist immer eine Einbahnstrasse. Daran scheitern häufig solche Umsetzungen, da die HW falsch ist oder das Feature nicht supportet.Ist das bei deinem TP Link ggf. auch so ??
Wenn ja hast du nur die Option eine andere alternative Firmware wie OpenWRT oder DD-WRT zu flashen die diese Beschränkung der Original Firmware überwindet. Oder eben eine alternative Router HW !
Das obige Tutorial: Routing von 2 und mehr IP Netzen mit Windows, Linux und Router beschreibt diese NAT Problematik ausführlichst !
Als Alternative ein 30 Euro billiger Mikrotik Router löst alles was du vorhast im Handumdrehen inklusive VLANs. Das ist budgettechnsich ja nun nicht die Welt:
Mikrotik RB750 - Quick Review
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Der TP-Link Modemrouter kann auch keine tagged. Ich habe zwar die Option, 802.1Q zu aktivieren aber auf der WAN/ppoe Schnittstelle und kann dort auch nur 1 VLAN angeben.
Dann ist diese HW vollkommen ungeeignet für das was du vorhast !!802.1q auf dem WAN Port wird nur im VDSL Umfeld benötigt. Siehe HIER. Das hat aber rein gar nichts mit dem zu tun was du vorhast.
Du benötigst einen Router der VLAN Support im lokalen LAN bietet wie es in diesem Tutorial, speziell im "Praxisbeispiel" genau beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Theroetisch kannst du das auch direkt mit dem SBS lösen. Siehe hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Geht auch aber letztlich besser ist aber immer ein externen Router um den Server nicht weiter zu belasten.
ich bekomme dann eine interne IP, aber Internet geht nicht.
Klar... Weil der Router nicht routet oder eben nicht mit VLANs umgehen kann !er erkennt automatisch den SBS als DNS Server aber es gibt keine IP.
Das ist klar wenn du vergessen hast im DNS Setup des SBS eine Weiterleitung auf die Router IP einzurichten. Der Router arbeutet immer als DNS Proxy ins Internet. Fehlt eine Weiterleitung des internen DNS Servers kann der nur interne Hostnamen auflösen scheitert aber logischerweise mit der DNS Auflösung öffentlicher Hostnamen wenn die Weiterleitung fehlt oder fehlerhaft ist.Es ist ein Modem mit integrierten Router und WLAN. Genau genommen der TD-W8970B.
Also netwzwerktechnisch gesehen "ein Router" !die Möglichkeit, Fullcone-NAT zu aktivieren aber das ist bestimmt wieder was anderes.
Ja völlig was anderes ! Du musst NAT GANZ abschalten können bzw. können müssen um dein Vorhaben umzusetzen !Ich glaube für den Router gibt es noch keine offizielle alternative Firmware.
Das kannst du z.B. in der OpenWRT und DD-WRT datenbank ganz schnell überprüfen:http://www.dd-wrt.com/site/support/router-database
Heißt also ich nehme die Fritzbox oder den TP-Link Router mit Modem und hänge direkt dahinter den RB750 und gehe dann von da weiter zum Switch?
Genau das heisst es !Also dann den RB750 z.B.?
Ja, liest bitte das VLAN Tutorial dort kannst du es schwarz auf weiß nachlesen !D.h. dann könnte ich mir den externen Router sparen und könnte mein vorhaben mit der Fritzbox bzw. dem TPLINK Router mit modem machen?
Ja, das kann man so machen.Beachte aber das gerouteter Traffic deinen Server beeinflussen kann in der Performance. Bei weing Traffic sicher kein Thema bei mehr eher kontraproduktiv. Es gilt der goldene Netzwerker Grundsatz: "Server sollen serven und Router routen".
Bei Kleinstinstallationen und Netzen kann man dann weiniger streng sein
Ich habe die Router IP nicht im DNS registriert mit Hostname. Also den kann er nicht auflösen, das macht aber ja nichts.
OK, wenns der DNS nicht ist dann kann es nur das Routing sein was das verhindert. Ist auch klar wenn die NAT Firewall bei deinem testrouter aktiv ist und nicht abschlatbar ist.die Fritte nutzen kann nur für Internet zum bereitstellen. Das andere macht dann der RB750 Router.
Jau...genau so ist es !da habe ich am Ende ja weniger Kabelgewirr, wenn ich mir einen Router Zwischenwirten spare.
Na ja...bleib mal auf dem Teppich. Bei deinem Popelnetz sind das max. 3 zusätzliche Strippen !Aber klar...kann man sparen mit der Server Lösung wenns passt.
ich freu mich schon auf die Folgefragen wenn er den Mikrotik hat @aqui :-P
Ist der Mikrotip wirklich so kompliziert?
Für einen Netzwerkneuling macht man das mit dem nicht mal so eben. Das Gerät erfordert sehr gute Netzwerkkenntnisse Routing- und Firewall Erfahrung. So einfach wie mit einer Fritte oder den Chinaböllern ist das definitiv nicht. Aber probier dich doch einfach mal aus, gibt ja auf der Mikrotikseite das RouterOS zum ausprobieren. http://demo.mt.lv/ (User:demo , kein Passwort) Im Prinzip ist es doch ein ganz normaler Router, der eine IP bekommt und wo ich dann über 1 Port die tagged Line zum Switch setze.
Ein Router mit 1000x mehr Features als deine TP-Link und Co Gurken . Und hier musst du alles manuell machen, da nimmt dir eben kein Klicki-Bunti-GUI die komplette Arbeit ab !Aber dafür lernst du mit dem Gerät sehr viel von Netzwerken, auch wenn die Lernkurve hier sehr sehr steil ist. Also nicht verzweifeln ...
Viel Erfolg !
Gruß jodel32
Hi,
und was wird aus diesen Thread wenn er sein SBS durch seine VLAN versuche dort erst zerschossen hat....
Ab SBS 2008 wird nur noch eine (1) netzwerkkarte unterstützt. Alle Assistenten können nur noch mit einer NIC umgehen, alles andere artet in Fehler aus. Prinzipiell kann ein SBS ab 2008 schon noch mehr als eine NIC, dazu ist aber reine Handarbeit erforderlich und die Assistenten dürfen nie wieder genutzt werden. Dazu ist aber sehr umfangreiches Wissen von Server, IIS, DHCP, DNS, SharePoint, SQL, Exchange usw. nötig. Einen SBS komplette per Hand einzustellen ist eine Mammutaufgabe und nicht Trivial. Nur der SBS 2003 wurde für mehr als eine NIC Konzipiert und seine Assistenten auch dafür ausgelegt ...
Ich finde die Idee mit einen laufenden Server eben das VLAN abzufackeln auch nicht verkehrt, nur mit einen SBS macht man das nicht, außer es ist eine Labor Umgebung....
Ein SBS beinhaltet auch immer ein Server OS - Ein Server OS ist aber kein SBS
Gruß,
Peter
und was wird aus diesen Thread wenn er sein SBS durch seine VLAN versuche dort erst zerschossen hat....
Ab SBS 2008 wird nur noch eine (1) netzwerkkarte unterstützt. Alle Assistenten können nur noch mit einer NIC umgehen, alles andere artet in Fehler aus. Prinzipiell kann ein SBS ab 2008 schon noch mehr als eine NIC, dazu ist aber reine Handarbeit erforderlich und die Assistenten dürfen nie wieder genutzt werden. Dazu ist aber sehr umfangreiches Wissen von Server, IIS, DHCP, DNS, SharePoint, SQL, Exchange usw. nötig. Einen SBS komplette per Hand einzustellen ist eine Mammutaufgabe und nicht Trivial. Nur der SBS 2003 wurde für mehr als eine NIC Konzipiert und seine Assistenten auch dafür ausgelegt ...
Ich finde die Idee mit einen laufenden Server eben das VLAN abzufackeln auch nicht verkehrt, nur mit einen SBS macht man das nicht, außer es ist eine Labor Umgebung....
Ein SBS beinhaltet auch immer ein Server OS - Ein Server OS ist aber kein SBS
Gruß,
Peter
Hallo,
für dich nachgelesen auf dieser Seite
Gruß,
Peter
Zitat von @113726:
Das sehe ich wo? Er hat die gleiche Größe
Na, die Größe sagt nichts über deren Funktion aus Der Hersteller oder seine veröffentlichten Technischen Daten oder seine Handbücher sagen es dir.... Was machst du bloß wenn du mal ein Problem hast wenn es an begriffen wie Ethernet oder (a/v)DSL schon happert? Dein Hersteller sagt du hastDas sehe ich wo? Er hat die gleiche Größe
Schnittstelle
4 10/100Mbps-LAN-Ports
10/100Mbps-WAN-Port
- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?
Was du möchtest und je nachdem wie du dort Konfigurierst- Betriebsmodus Gateway oder Router?
Auch das hängt davon ab wie du dort Konfigurierst und du deine Frittenschmiede noch verwendest, sofern du die noch verwendest....- ich habe die Option VLAN nicht,
Wo? Setze nicht voraus das hier ein jeder deine Hardware, deren Firmwares und Versionen und die so zusammen gepappt hat wie es bei dir vor Ort ist. Hier können wir jetzt nur Vermuten das du von deiner uns unbekannten DD-WRT Version xx redest.der Tab Vlan ist nicht vorhanden bei mir
So langsam sollte dir klar sein das ein Forum keine Grundlagenschulung machen kann ... Und wenn du dir Zutraust dies alles selbst zu machen, dann wirst du halt selbst Lernen müssen. Dein Internet hat alle Grundlagen welche du brauchst, nur Lernen musst du selbst, es nützt dir nichts wenn wir dir alles Bit für Bit vorkauen.Gruß,
Peter
Zitat von @113726:
Noch paar kleine Fragen:
- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?
- Betriebsmodus Gateway oder Router?
- ich habe die Option VLAN nicht, wie es überall geschrieben wird. Anscheinend muss ich das irgendwie anders einstellen, aber
der Tab Vlan ist nicht vorhanden bei mir
Noch paar kleine Fragen:
- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?
- Betriebsmodus Gateway oder Router?
- ich habe die Option VLAN nicht, wie es überall geschrieben wird. Anscheinend muss ich das irgendwie anders einstellen, aber
der Tab Vlan ist nicht vorhanden bei mir
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html
Hallo,
Gruß,
Peter
Zitat von @113726:
Ich meine diesen Tab oben:
Ist das Bild von deiner Maschine? Firmware wurde ohne Fehler korrekt aufgespielt? alle nötige Module vorhanden?Ich meine diesen Tab oben:
Ergo kann ich kein VLAN machen mit den Router aber das sollte ja laut Informationen von euch und vom Internet her gehen.
Dein WR941ND ist welcher?Gruß,
Peter
VLAN-Support hängt auch vom Chipsatz ab, kann also gut sein das unter DD-WRT deine Kiste kein VLAN supported. Btw. ist OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd
Zitat von @113726:
Erst zurück zur Original-Firmware von TP-Link , dann erst zu OpenWRT !VLAN-Support hängt auch vom Chipsatz ab, kann also gut sein das unter DD-WRT deine Kiste kein VLAN supported. Btw. ist
OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd
Danke, dann kann ich ja das noch mal testen, wird nur schwer jetzt wieder von DD-WRT auf OpenWRT zu flashen.OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd
Zitat von @113726:
Aber OpenWRT ist ja auch schwerer in der Handhabung, für mich also eher wieder kontraproduktiv.
Sorry aber wenn man mit VLANs hantiert ... Sind wir wieder beim Thema Grundlagen .... das nimmt hier eh kein Ende mehr, i'm outAber OpenWRT ist ja auch schwerer in der Handhabung, für mich also eher wieder kontraproduktiv.
Viel Erfolg
Hallo,
Gruß,
Peter
Zitat von @113726:
das hat auch der Admin im Forum
Wenn du schon dort mit den Admin Kontakt hast und er dir gesagt hat eine andere FW zu nehmen, kann er dir vielleicht sagen warum bei dir dann einige Punkte nicht da sind oder existieren. meinst du nicht das dort dir besser geholfen werden kann? Hier wird sich keiner deine Hardware besorgen um dein Hexentreiben nachzuvollziehen.das hat auch der Admin im Forum
Solange keine "ofizielle" für 5.x new draußen ist soll die vom 840ND genutzt werden.
Können wir hier nicht wissen.Gruß,
Peter
Zitat von @aqui:
> Wollt ihr noch einen kleinen Zwischenbericht hören?
Das ist ja der tiefere Sinn eines Forums, also immer her mit dem Feedback. Soll ja auch anderen helfen !
> Das teste ich aber alles heute Nachmittag daheim.
Hört sich gut an.... Dann harren wir mal auf mehr positive Meldungen ?!
> Wollt ihr noch einen kleinen Zwischenbericht hören?
Das ist ja der tiefere Sinn eines Forums, also immer her mit dem Feedback. Soll ja auch anderen helfen !
> Das teste ich aber alles heute Nachmittag daheim.
Hört sich gut an.... Dann harren wir mal auf mehr positive Meldungen ?!
Oder überhaupt auf feedback, damit wir auch was lernen.
lks
Der SBS findet auch keinen Router.
Wie immer ein Windows Problem....Habe heute mal unsere IT Firma angefragt, die haben aber auch bisher ganz selten etwas mit VLANs gemacht.
Uuuhhhuhu.... da solltest du aber besser mal nachdenken ob du da noch richtig aufgehoben wird.Das ist billiges Commodity Wissen und lernt heute jeder Azubi im ersten Lehrjahr und jeder PC Shop um die Ecke kennt das. Spricht nicht wirklich für den Laden.
VLANs sind auch in kleinen Firmennetzen heute simpler Standard. In Zeiten von VoIP muss eine Firma allein schon aus rechtlichen Gründen zwingend diesen Traffic trennen.
Hoffentlich meinten die das nicht im Ernst...?!
Wäre schon gut, wenn ich das Problem selbst noch lösen könnte, aber mir fehlt gerade der Lösungsansatz.
Aber du hast es doch schon gelöst !! Wenn es bei dir klappt klappts auch in der Firma. Es gibt kein gutes und kein böses Ethernet oder ein rotes und ein blaues !(wo es bei mir daheim sofort ging) und auch da bekomm ich in der Firma kein Internet.
Wenn da nicht irgendwo noch ne Firewall dazwischen ist kann das ja nicht sein !!Gehe mal strategisch vor...
- kannst du vom OpenWRT das Internet (z.B. 8.8.8.8) pingen ?
- Wen ja weiter nach unten arbeiten mit dem Ping oder im gerouteten Umfeld immer Traceroute um die Routing Hops zu sehen !!
- Wenn nein, kannst du den Internet Router pingen ?
- Sind die statischen Routen der Subnetze auf dem Internet Router konfiguriert wie hier beschrieben
Man kann dort doch Schritt für Schritt mit dem Troubleshooting vorgehen um das zu lösen ?!
Es kann ja sein, dass der Server da intern noch irgendwas regeln etc. und es deshalb nicht geht.
Nein eigentlich nicht, denn er Server ist aus Sicht des Switches ja nur ein dummes Endgerät an einem untagged Port wie jeder einfache PC aus.Es sei denn ihr habt am Server eine aufwendige VLAN Konfiguration wie es hier beschrieben ist gemacht.
Nach deiner Beschreibung zur IT Firma oben ist davon aber wohl eher mal nicht auszugehen ?!
Interessant ist dann schon eher der Switch selber ob der einen VLAN Konfig drauf hat. Aber das hast du ja wohl hoffentlich vorher geklärt ??
In der Firma: Fritte->OpenWRT->Switch->Server
Ist ja dasgleiche wie daheim wenn der Switch ein dummer, einfacher L2 Switch ohne VLANs ist.Nicht aber wenn er ein VLAN und/oder L3 Switch ist !
Den OpenWRT Router konnte ich pingen. Die Fritte vom Server aus aber nicht, deshalb ging auch kein Internet.
Klar... Wie immer fehlte dann wohl mal wieder die statische Route auf der Fritte wie es hier beschrieben ist:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Server ist ja hier quasi der OpenWRT Router !)
Das du eine Default Route auf den Open WRT auf die IP der Fritte eingerichtet hast ist ja wohl hoffentlich klar.
Sicher ist aber das du eins von den obigen beiden ganz sicher vergessen hast !! Ein Traceroute hätte dir das gezeigt !
Dann kann es aber doch nicht am Switch liegen, da bin ich ja schon vorbei.
Richtig !Auf dem OpenWRT Router ist aber die Firewall richtig eingestellt
Die solltest du IMMER erstmal ausgeschlatet lassen bevor nicht dein Routing sauber rennt.Ein Firewall Funktion schafft dir erheblich mehr Fehlerquellen ! Also aus damit ertsmal um die reine Netzwerk Funktion zu testen und sicherzustellen. Security kommt später, denn so kannst du Routing oder Forwarding Probleme ja sicher ausschliessen weil du weist das das ja sauber klappt...logisch !
Aber ich habe nur für das Netz gesetzt, was die Fritte nicht kennt
Richtig. Das sollte dann tunlichst das ein was hinter dem OpenWRT liegt und wo der Server drin ist !!
Nur nochmal doof nachgefragt: WIE sieht das IP Adress Design aus ??
(Internet)====(Friite)-----192.168.2.0 /24-----(OpemWRT)-----192.168.3.0 /24----(PC)
Wenn die Fritte da dann z.B. die 192.168.2.1 hat und der Open WRT die 192.168.2.254 dann muss die Route in der FB lauten:
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254
Entsprechend zeigt auf dem OpenWRT Router nur eine Default Route auf die Fritte also 192.168.2.1 !
Das ist das ganze Routing !
Wenn der Server so oder so direkt im Frittennetz ist also 192.168.2.0 dann hat er ja niemals mehr was mit dem OpenWRT zu tun wenn er ns Internet geht, ist also in all das gar nicht involviert.
Thema Firewall und
(Internet)====(Friite)-----192.168.2.0 /24-----(OpemWRT)-----192.168.3.0 /24----(PC)
Wenn die Fritte da dann z.B. die 192.168.2.1 hat und der Open WRT die 192.168.2.254 dann muss die Route in der FB lauten:
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254
Entsprechend zeigt auf dem OpenWRT Router nur eine Default Route auf die Fritte also 192.168.2.1 !
Das ist das ganze Routing !
Wenn der Server so oder so direkt im Frittennetz ist also 192.168.2.0 dann hat er ja niemals mehr was mit dem OpenWRT zu tun wenn er ns Internet geht, ist also in all das gar nicht involviert.
Thema Firewall und
Also alles auf "Accept" stellen?
Schalte sie besser ertsmal komplett aus zum Testen...besser ist das !Zitat von @113726:
Es sieht folgendermaßen aus
Internet === Fritte 192.168.2.1 === Openwrt 192.168.2.2 === Switch 192.168.2.252 === Server 192.168.2.250
Es sieht folgendermaßen aus
Internet === Fritte 192.168.2.1 === Openwrt 192.168.2.2 === Switch 192.168.2.252 === Server 192.168.2.250
Wie ist das gemeint?
Hängen alle am selben switch oder ist das eine Kette?
Wenn zwischen Server und Fritzbox tatsächlich der WRT-Router hängt, mußt Du Deine Ip-Netze anpassen.
lks
Zitat von @113726:
Ja so dachte ich war die ausgangslage.
Also an der Fritte hängt der OpenWRT Router und an den Router hängt der Switch und an dem Switch hängt der Server.
Ja so dachte ich war die ausgangslage.
Also an der Fritte hängt der OpenWRT Router und an den Router hängt der Switch und an dem Switch hängt der Server.
wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei IP-Netze konfiguriert haben,
Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben switch hängen (ggf. kaskadiert mit anderem switch).
Also:
Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.
Lösung auf die schnelle:
Du konfigurierst ein transfernetz zwschen fritte udn WRT-Router, das von Deinen anderen netzen disjunkt ist.
lks
Zitat von @113726:
> wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei
> IP-Netze konfiguriert haben,
Er hat keine 3 Beinchen.
2 IP Bereiche
192.168.2.0 (Intern)
192.168.3.0 (Gast)
> Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben
switch
> hängen (ggf. kaskadiert mit anderem switch).
Der Switch und alle anderen Geräte sind im 192.168.2.0 Netz.
Selbst die AP sind in dem Netz, sollen aber über VLAN ein zweites Netz bereitstellen.
> Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.
Ich habe die Fritte mit dem OpenWRT verbunden. Die Fritte im LAN Anschluss, OpenWRT im WAN Anschluss.
Der WAN Anschluss bei OpenWRT ist auf DHCP gestellt.
Und dann hängt der OpenWRT Router per LAN am Switch.
> wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei
> IP-Netze konfiguriert haben,
Er hat keine 3 Beinchen.
2 IP Bereiche
192.168.2.0 (Intern)
192.168.3.0 (Gast)
> Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben
switch
> hängen (ggf. kaskadiert mit anderem switch).
Der Switch und alle anderen Geräte sind im 192.168.2.0 Netz.
Selbst die AP sind in dem Netz, sollen aber über VLAN ein zweites Netz bereitstellen.
> Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.
Ich habe die Fritte mit dem OpenWRT verbunden. Die Fritte im LAN Anschluss, OpenWRT im WAN Anschluss.
Der WAN Anschluss bei OpenWRT ist auf DHCP gestellt.
Und dann hängt der OpenWRT Router per LAN am Switch.
Arbeitet Dein WRT als bridge? Ansonsten hast du das Problem, daß Du auf WAn udn auf LAN dasselbe Netz hast und damit gegen die Regel verstößt, daß IP-netze disjunkt sein müssen.
Entweder Du hängt die Fritte und den WRT an denselben switch oder Du konfigurierst die verbindung zwischen WRT und fritte auf ein andere netz.
lks
Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.
Aha...daher rührt vermutlich das kranke Verhalten !??Das ist natürlich totaler Unsinn bei einem Router !! Ein Router ist ein Layer 3 Gerät !! Dort müssen die Interfaces immer in eigenen IP Netzen hängen. Was du da machst ist Bridging aber kein Routing !
Sorry aber vielleicht solltest du dir erstmal die einfachsten Grundlagen von IP Routing hier aneigenen bevor wir hier sinnvoll weitermachen.
Wenn es schon an solch einfachen Basics scheitert...kein Wunder das wir uns hier im Kreis drehen und einen Wolf suchen.
Was sollte der OpenWRT den in dem Design bewirken ?? Den kannst du ja dann auch durch einen dummen Switch ersetzen wenn er nur im selben IP Netz als Bridge verwendet wird.....vergiss das, das ist ja aus Routing Sicht totaler Unsinn !
Klar das das in die Hose gehen musste
Zitat von @113726:
Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.
Was ist die saubere / Bessere Lösung?
Ich kann natürlich auch die Reihe auflösen und beide (Fritte & Openwrt) an den selben Switch hängen.
Wie bekommt das 3.0 Netz dann Internet? Über die statischen Routen?
D.h. ich brauche dann nur für den 3.0 Ip Bereich eine statische Route, der auf die Fritte verweist?
Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.
Was ist die saubere / Bessere Lösung?
Ich kann natürlich auch die Reihe auflösen und beide (Fritte & Openwrt) an den selben Switch hängen.
Wie bekommt das 3.0 Netz dann Internet? Über die statischen Routen?
D.h. ich brauche dann nur für den 3.0 Ip Bereich eine statische Route, der auf die Fritte verweist?
Ich gehe mal davon aus, daß dein switch VLANS kann:
- Die Fritte direkt an den swicth hängen.
- Auf der Fritte ein eine statische Router zum Netz 192.168.3.0/24 via WRT eintragen.
Wenn Dein WRT-hardware VLANs kann:
- Genau ein Beinchen an den switch und beide VLANs auf dieses Beinchen konfigurieren und routen lassen.
Wenn Deine WRT-hardware kein VLAN kann:
- LAN und WAN des WRT-Routers an den switch hängen. und eine Port auf das eine netz und ein Port af das andere Netz konfigurieren. (Und natürlich dem switch sagen, welcher Port zu welchem VLAN gehört).
Du hast hier aber imemr noch den Fall, daß das gastnetz durch das Produktivnetz geroutet wird und somit theoretisch die Möglichkeit besteht, auf die produktivsysteme zuzugreifen.
Sinnvoller wäre es andersherum oder die Netze ganz zu trennen, d.h. die Frittte durch einen ordetlichen Router (z.B. eine Cisco der 880-er Reihe) zu ersetzen. Der kann dann per VLAn beide Netze getrennt halten. udn Du hast nicht das Risiko, daß die Pakete durch das jeweils andere Netz geroutet werden (außer natürlichm, du konfigurierst den VLAn-switch falsch).
lks
Edit: Ergänzungen
Zitat von @113726:
> Du hast hier aber imemr noch den Fall, daß das gastnetz durch das Produktivnetz geroutet wird und somit theoretisch
die
> Möglichkeit besteht, auf die produktivsysteme zuzugreifen.
>
> Sinnvoller wäre es andersherum.
Was müsste da verändert werden, um das Produktivnetz über das Gastnetz zu routen?
> Du hast hier aber imemr noch den Fall, daß das gastnetz durch das Produktivnetz geroutet wird und somit theoretisch
die
> Möglichkeit besteht, auf die produktivsysteme zuzugreifen.
>
> Sinnvoller wäre es andersherum.
Was müsste da verändert werden, um das Produktivnetz über das Gastnetz zu routen?
"Netze tauschen". Aber ich würde davon abraten.
Kann man es trotzdem so verwenden oder ist das dann genau so sicher wie der hauseigene Gastzugang in der Fritte?
Können kann man vieles. Aber ich würde es nicht tun.
Wie oben geschrieben bringt der Switch auch bereits ein dafault VLAn mit. VLAN 1 = alle Ports untagged.
Sollte man das direkt für das Produktiovnetz verwenden oder eine eigene VLAn anlegen?
Ich muss im Openwrt ja dann 2 VLAns anlegen oder reicht da eine für das Gastnetz zu ?
Sollte man das direkt für das Produktiovnetz verwenden oder eine eigene VLAn anlegen?
Ich muss im Openwrt ja dann 2 VLAns anlegen oder reicht da eine für das Gastnetz zu ?
Mein Vorschlag wenn du wirklich nicht in neue Hardware investieren willst:
- Stell die Fritte auf ein andere netz, z-B. 192.168.254.0/24 um.
- Hänge den WRT-Router mit WAN an die Fritte.
- Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).
- Häng den WRT-Router an den switch, falls VLAns auf dem WRT möglich sind, mit einem beinchen udn beiden netzen, ansonsten mit zwei beinchen und zwei Netzen.
- verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.
Aber wie ich schon sagte: Ein ordentlicher Cisco88X-DSL-Router statt Fritte und WRT erspart Dir viel Kopfzerbrechen.
lks
Zitat von @113726:
> * Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).
OK
Auf dem WRT-Router braucht es dann keine Routen, richtig?
> * Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).
OK
Auf dem WRT-Router braucht es dann keine Routen, richtig?
Nur daß die default Route zu der fritzbox geht.
> * Häng den WRT-Router an den switch, falls VLAns auf dem WRT möglich sind, mit einem beinchen und beiden netzen,
> ansonsten mit zwei beinchen und zwei Netzen.
Ok dann mit ein beinchen und tagged.
> ansonsten mit zwei beinchen und zwei Netzen.
Ok dann mit ein beinchen und tagged.
jepp.
> * verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.
Wie mache ich das? (Über Firewall)?
Wie mache ich das? (Über Firewall)?
In der WRT-Firewall. bevor Du die regeln aktivierst, solltest Du aber sicherstellen, daß das restliche Setup funktioniert.
> Aber wie ich schon sagte: Ein ordentlicher Cisco88X-DSL-Router statt Fritte und WRT erspart Dir viel Kopfzerbrechen.
Ich weiß aber erst mal soll es das so tuen (später kann man imemr noch schauen) und ich lerne so mehr.
Ich weiß aber erst mal soll es das so tuen (später kann man imemr noch schauen) und ich lerne so mehr.
Mit der Cisco lernst Du besser und schneller.
lks
PS: hast Du in der Fritte irgendwelche Weiterleitungen oder VPn-einstellungen? Diese müssen ggf angepaßt werden.
Hallo,
Damit hasst du dich für eine Routerkaskade entschieden. Dein Exchange, VPN, RWW, OWA etc. sind von extern nun nicht mehr ansprechbar weil die Portweiterleitungen in der Fritte nicht mehr stimmen.
Hast du dir jemals mal die Routingtabelle deines Rechners angeschaut und gefragt wie der Aldi zeigen kann, obwohl du nicht mit einer IP von Aldi ausgestattet bist? Ohne Routing würde es kein Internet geben. Und genau dieses Routing ist das was du brauchst. Ohne dieses Routing kannst du deine VLANs vergessen und du hast dann nur Fritte - Switch - Rechner und gut ist.
Ich weiß nicht wo deine Stärken sind, IT ist es definitiv nicht.
Gruß,
Peter
Zitat von @113726:
So, ich habe in der Mittagspause d as ganze Szenario noch mal getesten, leider ohne erfolg.
Da du permanent immer noch fast alles durcheinander bringst und somit nicht mischbares vermischt. kann und werden deine versuche immer ins leere laufen.So, ich habe in der Mittagspause d as ganze Szenario noch mal getesten, leider ohne erfolg.
- Von der Fritte habe ich ein Kabel zum WAN Port des OpenWRT gezogen
OK- Vom der openWRT LAN Buchse habe ich ein Kabel zum Switch gezogen.
OK.Damit hasst du dich für eine Routerkaskade entschieden. Dein Exchange, VPN, RWW, OWA etc. sind von extern nun nicht mehr ansprechbar weil die Portweiterleitungen in der Fritte nicht mehr stimmen.
----> Damit ist die verkablung mMn schon mal fertig und auch richtig.
Die Verkabelung schon.- Die Fritte hat die IP 192.168.254.1 bekommen
OK (und wir dürfen annehmen das du hier explicit nur von der LAN Seite redest)- Der OpenWRT hat die IP 192.168.2.1 bekommen
Das ist aber nur 50% der Lösung . Hier fehl die angabe ob es die WAN oder LAN seite ist. Es ist ein Router, also müssen zwnagsweise mindestens 2 verschiede IPs existieren, und wenn die zum Routen genommen werden müssen es gar zwei getrennte Netze sein. Was also ist die andere IP?- Ich habe bewusst jetzt erst mal auf das zweite Netzwerk (192.168.3.0) verzichtet
Nein, das wäre dein 3.tes Netz. Durch deine Routerkaskade hast du schon 2 Netze.Bevor ich auf dem Router kein internet
Welcher Router - du hast 2?- Ich habe über SSH die komplette Firewall gestoppt und ausgeschaltet, zusätzlich im Webinterface alles auf accept gesteltl und überall (LAN/WAN) NAT deaktiviert.
Bridge?!?- Die Fritte hat die 2 statischen Routen bekommen, also 192.168.2.0 auf Gateway 192.168.2.1 (OpenWRT)
Und wie bitte, deiner Meinung nach, soll deine Fritte das Gateway 192.168.2.1 erreichen? Deine Frittennetz ist doch das 192.168.254.0/24!- Im openWRT Webinterface habe ich eine statische Route angelegt. Da wusste ich nicht genau, was rein muss. Gateway ist ja dann die IP der Fritte Und Netzwerk das 192.168.254.0 oder das 192.168.2.0? Wenn letzteres, benötige ich ja auch wieder zwei, nämlich für die 3.0 mit.
- Die statische Route im OpenWRT, betrifft doch das WAN Interface richtig, denn das geht ja in Richtung Fritte. Oder doch das LAN Interface?
Du mischt alles wild durcheinander weil du immer noch nicht die Grundlagen auch nur ansatzweise verstanden hast. Bei dir ist 2 + 2 immer 3 oder 5, aber auch wenn wir dir 4 vorsagen, kommt dann immer noch alles, nur keine 4.- Die statische Route im OpenWRT, betrifft doch das WAN Interface richtig, denn das geht ja in Richtung Fritte. Oder doch das LAN Interface?
Ich hoffe ich habe nichts vergessen.
Vergessen ist nicht schlimm, Verstanden ist das entscheidende.Ich konnte am Server wieder den OpenWRT Router anpingen, aber nicht die Fritte.
Klar, das ist auch zu 100% zu erwarten nach dem du dran warst. Das ist das einzige was bei deinem tun als Ergebnis schon feststeht. Und das liegt nur an dein nicht Verstehen der Grundlagen. Du bist wie ein Lektor mit Buchstabenschwäche (Legasthenie)Demzufolge kein internet.
Klar, aber sogar vorhersagbar Meiner Meinung nach habe ich aber alle Tipps von euch umgesetzt
Und alles wild durcheinander geworfen.woran könnte es hapern?
Grundlagen?Wie erreiche ich überhaupt dann das Webinterface der Fritte?
Über ein Routing und die entsprechenden Gateways.Ich habe ja keinen Rechner in dem IP-Bereich
Nicht nötig. Routing ist das Zauberwortund das WLAN der Fritte ist auch aus.
Ist auch so in Ordnung weil du doch dazu dir extra deine Access Points angeschafft hast....Hast du dir jemals mal die Routingtabelle deines Rechners angeschaut und gefragt wie der Aldi zeigen kann, obwohl du nicht mit einer IP von Aldi ausgestattet bist? Ohne Routing würde es kein Internet geben. Und genau dieses Routing ist das was du brauchst. Ohne dieses Routing kannst du deine VLANs vergessen und du hast dann nur Fritte - Switch - Rechner und gut ist.
Ich weiß nicht wo deine Stärken sind, IT ist es definitiv nicht.
Gruß,
Peter
Zitat von @113726:
- Die Fritte hat die IP 192.168.254.1 bekommen
- Der OpenWRT hat die IP 192.168.2.1 bekommen
- Die Fritte hat die IP 192.168.254.1 bekommen
- Der OpenWRT hat die IP 192.168.2.1 bekommen
Wie Peter schon sagte:
Auch der WRT-Router braucht eine IP-Adrese zu der Fritte hin. Das ist dann das gaetway, daß Du in der fritte für die netze 192.168.2.0/24 udn 192.168.3.0/24 eintragen mußt.
Aber Du scheinst ein grundsätzliche Verständnisproblem der Termini und der Zusammenhänge zu haben. Daher wäre jetzt erstmal lesen angebracht. Oder Du holst Dir jemanden, der wirklich etwas davon versteht.
lsk
also nochmal ...
das hier lesen, dann hast du dein Gefrickel der Routerkaskade schon mal stehen. Das zu lesen und zu verstehen schafft jeder Dummy, dann verstehst du auch wieso um warum diese und jene Einstellung gesetzt sein muss:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html
das hier lesen, dann hast du dein Gefrickel der Routerkaskade schon mal stehen. Das zu lesen und zu verstehen schafft jeder Dummy, dann verstehst du auch wieso um warum diese und jene Einstellung gesetzt sein muss:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html
Und hier nochmal die Routing Topologie Ansicht zu den beiden Optionen du du hast:
Das ist das klassische Design wie es der Kollege @114757 oben auch schon grafisch beschrieben hat !
Alternativ gibt es auch noch die Variante über einen Switch der VLANs und damit Tagging nach 802.1q supportet wie es das hiesige Forumstutorial im Detail beschreibt:
Die Einrichtung von 802.1q VLAN Tagging unter Linux / Unix und OpenWRT ist ja oben schon mit diveresen URLs angeführt.
Mit nur ein klein wenig Netzwerk Knowhow ist so ein simples Popelszenario ob in der klasssichen oder der VLAN Variante in 20 Minuten aufgesetzt und zum Fliegen gebracht.
Das ist das klassische Design wie es der Kollege @114757 oben auch schon grafisch beschrieben hat !
Alternativ gibt es auch noch die Variante über einen Switch der VLANs und damit Tagging nach 802.1q supportet wie es das hiesige Forumstutorial im Detail beschreibt:
Die Einrichtung von 802.1q VLAN Tagging unter Linux / Unix und OpenWRT ist ja oben schon mit diveresen URLs angeführt.
Mit nur ein klein wenig Netzwerk Knowhow ist so ein simples Popelszenario ob in der klasssichen oder der VLAN Variante in 20 Minuten aufgesetzt und zum Fliegen gebracht.
Das kommt darauf an wieviel Ports du auf dem OpenWRT Router hast.
Wenn du nur 2 Netze hast und auch nur 2 Ports nimm die Variante ohne VLANs
Die VLAN Varianet musst du immer nur dann nehmen wenn du mehr IP Netze routen musst als du physische Ports hast.
Dann musst du ja zwangsweise aufs Tagging gehen und das über einen Tagged Link bedienen weil du physisch nicht so viele Ports hast...logisch.
Aus Performance Sicht sind dedizierte Links natürlich immer besser. In einem tagged Link teilen sich ja alle anderen gerouteten Netze die physische bandbreite eines einzelnen Links.
Bei moderatem Traffic Volumen in kleinen Netzen macht aber solche Überbuchung nichts.
Kommt man aber auch von selber drauf wenn man mal in Ruhe drüber nachdenkt
Wenn du nur 2 Netze hast und auch nur 2 Ports nimm die Variante ohne VLANs
Die VLAN Varianet musst du immer nur dann nehmen wenn du mehr IP Netze routen musst als du physische Ports hast.
Dann musst du ja zwangsweise aufs Tagging gehen und das über einen Tagged Link bedienen weil du physisch nicht so viele Ports hast...logisch.
Aus Performance Sicht sind dedizierte Links natürlich immer besser. In einem tagged Link teilen sich ja alle anderen gerouteten Netze die physische bandbreite eines einzelnen Links.
Bei moderatem Traffic Volumen in kleinen Netzen macht aber solche Überbuchung nichts.
Kommt man aber auch von selber drauf wenn man mal in Ruhe drüber nachdenkt
Der OpenWRT Router hat 4 LAN Anschlüsse.
Dann mach es direkt ohne VLAN. Bei deinen 3 Netzen ist das dann das Einfachste und verringert deinen Setup Aufwand ! Oben hast du ja nun die Designs auch vom Kollegen jodel32 wie es richtig gemacht wird !also das Produktivnetz über das Gastnetz, aber das ist Zukunft.
Keine gute Idee !!! Dann können die Gaste prima mitsniffern was im Produktivnetz so alles rennt. Kein verantwortungsvoller Netzwerker macht sowas. Weist du vermutlich auch selber....!!Du musst so ein Unsinn ja auch gar nicht machen ! Zentraler Router ist ja nacher dann dein OpenWRT. Da hast du 4 Ports und musst nichts über andere Netze routen.
Ein Port ist dein Transfernetz zur Fritte
Mit den 3 anderen Ports fackelst du Produktivnetz, Gäste und z.B. DMZ ab....Fertisch ! Klassisches Banalszenario !
Wenn die VLAN Variante wirklich dann wenig Sinn macht, werde ich Variante 1 nehmen
Richtig ! Du hast ja genügend Ports zur Verfügung. Außerdem ists wie gesagt von den ToDos einfacher.Im Switch exisitiert, wie schon gesagt, eine VLAN 1, alle Ports untagged.
Das ist wie immer die Standard Default Konfiguration bei allen VLAN Switches Laut Zeichnung muss da auch der Port zum OpenWRT Router bei VLAN 1 tagged. Stimmt das oder ist das egal
Nein, das ist natürlich Unsinn und stimmt nicht. VLAN 1 ist immer untagged auf tagged Links. VLAN 1 als Default VLAN kannst du nicht tagged setzen.Du musst ja auch nirgendwo mehr taggen wenn du die NICHT VLAN Variante mit dem Open WRT umsetzt !
Du definierst einfach deine VLANs auf dem Switch und hängst da untagged die OpenWRT Ports rein, fertig !
Ein Port des OpenWRT verbindest du direkt mit dem Internet Router (Fritte).
VLAN 1 kannst du also ruhig weiter behalten. Mach dir so wenig Umstand wie möglich ! Ist immer einfacher
Und wie konfiguriere ich jetzt die Port Weiterleitung für VPN Etc?
Ahem, diese Frage meinst du nicht im Ernst, oder ??Das ist so einfach das kann mittlerweile jeder. Sieh dazu ins Handbuch !
Ein paar wichtige Dinge gilt es da zu beachten:
- WELCHES VPN Protokoll verwendest du ??? Das ist essentiell wichtg denn davon hängt ab WELCHE Ports du forwarden musst !
- Die Regel ist immer einfach: Eingehender TCP oder UDP Port auf lokale IP des OpenWRT Routers
http://avm.de/service/vpn/uebersicht/
Wo ist also dein Problem mit Portforwarding ? Brauchst du gar nicht bei VPN ?!
Also wie gesagt, ich habe mich zu 100% an eure Grafik gehalten
Theorie und Praxis sind halt immer zwei paar Stiefel.Und mit der zweiten SSID bekam ich nie Internet.
Tracert, Wireshark & CO sind deine Freunde !!Ab und an ist auch einfach die Weboberfläche abgestürzt bzw. der Ping war verschwunden.
Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.RB750GL
Das was du hier machst grenzt an Trial & Error. Wenn du die Grundlagen nicht verstehst kommst du mit einem OpenWRT nicht weit, vor allem wenn dieser auch noch Buggy sein sollte bzw. nicht vollkommen supported wird.
Schwere Geburt, mal wieder...
Soll ich euch was sagen ... ich habe heute von 7 Uhr bis 11:30 versucht und es schließlich aufgegeben.
Schade eigentlich.... Ein simples Design aber dann bist du an deiner eigenen Inkompetenz gescheitert. Aber mit der zweiten IP (Gastnetz) bekam ich nie Internet.
Warum nicht ??- Hast du ein Traceroute gemacht ?
- Hast du die IP Adressierung der Endgeräte überprüft ? Gateway, DNS etc.
- Hast du erstmal einen nackte IP wie 8.8.8.8 im Internet versucht zu pingen um möglichen DNS Problemen aus dem weg zu gehen ?
- ifconfig Output des OpenWRT hier zu posten wäre mal sinnvoll gewesen ?!
ch habe auch eine Menge Bugs in OpenWRT gesehen, vor allem bei der VLAN Config
VLAN hast du ja versprochen NICHT zu nutzen oben !! Warum also jetzt doch wieder VLAN Konfig ??ch lösche das Interface wieder und es geht immer noch nicht.
Vielleicht solltest du wirklich mal ein paar Screenshots hier posten sofern du das Web GUI benutzt zum Konfigurieren oder wenns das CLI ist dann ein paar Terminal Outputs WAS du da eigentlich wirklich machst ?Wie gesagt ein ifconfig wäre hilfreich, ebenso ein netstat -r
Dann habe ich am Ende noch mal die VLAN Variante versucht aber da bin ich noch zu unerfahren, das umzusetzen.
Hatten wir ja auch so besprochen...Habe für den ersten Test 2 SSID angelegt und auf VLAN verzichtet.
Das geht technsich gar nicht und hier hat das Unglück vermutlich seinen Lauf geniommen !!!Bei Multi SSID APs kannst du NICHT ohne VLANs arbeiten !!! Wie sollte das gehen die SSIDs werden immer statisch auf VLAN IDs gemappt. Multi SSID bedingt zwangsläufig IMMER Vlans !!!
Der AP mappt immer feste jede SSID fest einem VLAN zu. Bei 2 SSIDs hast du also IMMER schon 2 VLANs ! Ohne geht das doch gar nicht technisch. Siehe auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
wo du das VLAN Mapping auf den APs je sehen kannst.
Was du also minimal machen musst ist
- ein zusätzliches VLAN auf dem Switch anlegen !
- Einen tagged Uplink Port definieren mit diesem VLAN ! Auf diesem Port ist dann das Default VLAN 1 untagged drauf und dein neues VLAN
- Eine SSID mappst du in das Default VLAN und eine in das neue VLAN.
- Im neuen VLAN legst du zusätzlich einen untagged Port für den OpenWRT an
- OpenWRT dann mit einem Port ins neue VLAN, ein Port ins Default VLAN und ein Port geht auf die Fritzbox
- Default Route auf dem OpenWRT zur Fritzbox IP
- Zwei statische Routen auf der Fritzbox auf das VLAN 1 IP Netz und das neue VLAN IP Netz auf die OpenWRT IP an der FB
- Fertisch
Du machst immer und immer wieder schon Fehler bei den simpelsten Grundlagen, sorry.
Zitat von @113726:
Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
Aber der funktioniert wenigstens 200% !! Auch mit OpenWRT geht das, nur hast du eben noch zu wenig Erfahrung im Umgang damit. Und für diesen Umgang benötigt es eben mehr als nur Fragen in einem Forum zu stellen.Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
Zitat von @113726:
> Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> RB750GL
Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
> Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> RB750GL
Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.
Da kannst Du wunderbar VLANs aufspannen (oder auch nicht) und mußt keine krücken wie transfernetz, Gast und Produktivnetz über gemiensame Infratruktur Routen o.ä. verwenden.
Wenn ich sehe Wieviel Arbeitszeit Du investierst, würde so ein Cisco deutlich billiger kommen, es sei denn Du arbeitest "kostenlos"..
lks
PS. Übrigens hat aqui auch zu den Ciscos eine gute Anleitung gschrieben.
D.h. mit den Cisco habe ich Modem und Router in einem
Single Point of Failure, aber das musst du selber wissen. Die Fritte lässt sich auch ganz einfach als Nur-Modem umpatchen ...http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ...
Der Cisco ist sicherlich einfacher einzurichten
dann kauf dir sowas.PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt nicht in den Schrank
hahaha Quatsch mit Soße (113x89x28mm)http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Also wenn du sowas noch nicht mal findest bist du im falschen Metier ....mal ehrlich.
Zitat von @113726:
Mit einfacher meine ich, dass die Weboberfläche stabil läuft und man sich nicht auf einmal nicht mehr in die Weboberfläche einloggen kann. usw
Das haben die Mikrotiks in keinster Weise !Mit einfacher meine ich, dass die Weboberfläche stabil läuft und man sich nicht auf einmal nicht mehr in die Weboberfläche einloggen kann. usw
Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.
Du suchst falsch, das sind geniale Systeme !Zitat von @Lochkartenstanzer:
mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit höher.
nicht wenn ich zwei Zugänge nutze und zwei Mikrotiks mit VRRP mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit höher.
Zitat von @113726:
> > > Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> > > RB750GL
> > Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
>
>
> Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.
Ok und wo finde ich den? Was kostet der?
> > > Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> > > RB750GL
> > Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
>
>
> Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.
Ok und wo finde ich den? Was kostet der?
Bei
D.h. mit den Cisco habe ich Modem und Router in einem. Mit dem RB 750GL bräuchte ich meine Fritte weiterhin?
Ja.
Der Cisco ist sicherlich einfacher einzurichten.
Ansichstsache. Für erfahrene netzwerker sind sowohl RB750 als auch Cisco einafch einzurichten. Für den Rookie ist beides ein Buch mit sieben Siegeln.
PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt
nicht in den Schrank
nicht in den Schrank
Das Ding paßt in jeden handelsüblichen 19"-Schrank.
lks
Zitat von @113726:
Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.
Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.
Und was ist mit bei Cisco direkt schauen z.B. hier?
lks
Zitat von @114757:
> Zitat von @Lochkartenstanzer:
> mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit
höher.
>
nicht wenn ich zwei Zugänge nutze und zwei Mikrotiks mit VRRP
> Zitat von @Lochkartenstanzer:
> mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit
höher.
>
nicht wenn ich zwei Zugänge nutze und zwei Mikrotiks mit VRRP
Das ist aber ein anderes Setup. Außerdem können Ciscos sowas auch. (wobei ich da natürlich auch Modem und Router trennen würde.)
lks
Zitat von @113726:
Ich finde da nur die offizielle Cisco Seite, keine Preise, kein nichts.
Du suchst falsch, das sind geniale Systeme !
Nein mach ich nicht, denn das war wieder auf den Cisco bezogen! Ich finde da nur die offizielle Cisco Seite, keine Preise, kein nichts.
Sagte doch. einfach mal beim Heise preisvergleich oder bei Amazon die passenden Stichworte eintippen.
lks
Zitat von @113726:
Ja ein paar deutsche Informationen wären schon cool bzw. mal eine nShop etc, der die vertreibt.
Oder verkaufen die nur an IT Unternehmen?
Ja ein paar deutsche Informationen wären schon cool bzw. mal eine nShop etc, der die vertreibt.
Oder verkaufen die nur an IT Unternehmen?
Nein, Aber Endkunden finden das ganz leicht, indem sie z.B. heise fragen. Da sind über 10 Händler aufgeführt und es gibt garantiert noch Dutzende wetere, wenn man direkt google fragt udn das Stichwort kaufen oder preis mit angibt
lks
...never ending Story ..., setzt dich mal hin und lerne richtig anstatt dir dein Wissen nur in Foren zusammen zu klauben !!!
Wenn du die Zeit die du hier verprasst, in Lesen investiert hättest würde das schon fliegen ...
Wenn du die Zeit die du hier verprasst, in Lesen investiert hättest würde das schon fliegen ...
- http://www.tecchannel.de/netzwerk/lan/434734/grundlagen_zu_routing_und_ ...
- http://openbook.rheinwerk-verlag.de/linux/linux_kap15_003.html
- http://www.netzmafia.de/skripten/netze/netz7.html
- http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
- http://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen
- http://wiki.openwrt.org/start
- http://wiki.openwrt.org/de/doc/uci
Zitat von @113726:
Ein paar Dinge dazu habe ich ja schon gefragt weiter oben und andere auch schon gemacht.
Die Fritzbox muss aber wieder in einem anderen Netz sein richtig? Also habe ich dann wieder meine 3 Netze..?
Ein paar Dinge dazu habe ich ja schon gefragt weiter oben und andere auch schon gemacht.
Die Fritzbox muss aber wieder in einem anderen Netz sein richtig? Also habe ich dann wieder meine 3 Netze..?
Wie schonwiederholt gesagt: Weder soltle das produktivnetz über das Gastnetz noch das Gastnetz über das Produktivnetz geroutet werden. Du benötigst also zwangsweise 3 netze, wenn Du nicht diese auftrennung in gastnetz und Produktivnez schon im Zugangsrouter machst.
Du brauchst also auch 3 VLANS, bzw wenn der WRT direkt an der fritzbox hängt 2 VLANs auf Deinem switch.
Aber das haben wir ja schon alles durchgekaut.
Das Einfachste wäre wohl, Du machst zwei VLAns auf Deinem switch, aktivierst den gastzugang auf deiner Fritzbox udn hängtst diesen gastzugang auf des zusätzliche VLAn zu den APs.
Von der Sicherheit wäre das auch nciht schlimmer, als das gastnetz üebr das Produktivnetz oder das produktivnetz üebr das gastnetz zu routen.
lks
PS: 400€ hört sich zwar vielleicht teuer an, aber ein Mitarbeiter der einen ganzen Tag erfolglos an einem WRT-Router schraubt ist teuerer.
Der 750GL ist ja sicherlich nicht gerade einfacher oder?
Doch er ist erheblich einfacher weil er ein Klicki Bunti Interface hat das auch für Laien einen sofortige Erfolgsgarantie verspricht.Nochmal zu deinem OpenWRT:
Dir sollte klar sein das du bei OpenWRT wenn du ein Comodity Router benutzt wie TP-Link usw. den VORHER über einen Shell Zugang entsprechend customizen musst mit den Interfaces ?!
Hast du das bedacht ?
Wie die Interfaces logisch zuzuordnene sind erklärt das OpenWRT Wiki:
http://wiki.openwrt.org/doc/networking/network.interfaces
In der Default Konfig hängen z.B. die 4 LAN Ethernet Interfaces eines Commodity Routers immer in einer Bridge zusammen. Für deine Anwendung mit 3 Einzelports und davon noch ggf. einen getaggt erfordert das ein manuells Customizing.
Vermutlich hast du auch das nicht gemacht, denn in diesem Mammutthread fehlt jeglicher Hinweis darauf.
Besser ist es wirklich du investierst 30 Euro Taschengeld und beschaffst dir einen Mikrotik 750. Da hast du ein garantiertes Erfolgserlebnis !
Und wir natürlich weniger graue Haare
dass ich immer ein Netz über das andere route. Wie kann man das verhindern? Braucht man dafür unbedingt neue / mehr Hardware?.
Wenn du keine weitere HW hast ja ! Nur mit der FB ist das nicht zu machen.Der Mikrotik hat auch ein Hotspot Feature mit an Bord ! Der fackelt das auch für die 30 Euronen mit ab.
http://www.hotspotsystem.com/de/installation-guide-mikrotik
Wenn du es mit einer Firewall haben willst was etwas sicherer und komfortabler ist nimmst du einen pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ja schon recht aber da macht mein Chef nicht mit.
Na ja bei 30 Euronen wird er ja sicher mitmachen, oder ??http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Das kannst du machen wenn du WLAN benötigst. Der GL hat auch Gigabit Ethernet Ports der ohne GL hat 100 Mbit.
Ich werde die VLAN Konfig nochmal an einem TP-Link 841n mit OpenWRT durchspielen in der Hoffnung das dessen Switch Controller VLAN fähig ist und dir hier eine fix und fertige Konfig posten, sofern diese HW es dann auch supportet ?!
Ich werde die VLAN Konfig nochmal an einem TP-Link 841n mit OpenWRT durchspielen in der Hoffnung das dessen Switch Controller VLAN fähig ist und dir hier eine fix und fertige Konfig posten, sofern diese HW es dann auch supportet ?!
Zitat von @113726:
Edit: Achso ich dachte der GL hat WLAN integriert, aber dem ist doch nicht so,
Die Variante mit WLAN gibt's natürlich auch:Edit: Achso ich dachte der GL hat WLAN integriert, aber dem ist doch nicht so,
MikroTik RouterBOARD RB951G-2HnD Level 4 600MHz
OK ohne externe Antennen kann man die Leistung bestimmt vergessen.
Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss Der Empfang ist hier damit exzellent durch 3 dicke Stahlbetondecken. Besser als TP-Links und Fritten zusammen allemal ...
Mit externen Antennen gibts ebenfalls :
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
Aber die solltest du ja jetzt eigentlich selber finden können !
Zitat von @113726:
Ohh jetzt mach ich mir doch wieder Gedanken, hätte ich nicht das WLAN Gerät nehmen sollen. Ich habe gern so viel
Geräte wie möglich. So spare ich mir einen AP.
hä? Das wiederspricht sich ....Ohh jetzt mach ich mir doch wieder Gedanken, hätte ich nicht das WLAN Gerät nehmen sollen. Ich habe gern so viel
Geräte wie möglich. So spare ich mir einen AP.
Bingo ich hab den Century-Kommentar
Der Thread ist auf dem besten Weg den Rekord dieses Jahr zu knacken ;-P
Hi,
Und zu deinem Century, ich denke dieser thread kann noch eine 10 Potenz vertragen, ich fang mal an ...
Gruß,
Peter
Zitat von @114757:
Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss
Dir ist schon klar das unser TE das Wörtlich nimmt und sich seine Endstufe brät bzw. die HF Transistoren (eh nur einer) sich in ewiger Ruhestellung begeben? Eine Sendestufe ohne Antennen zu betreiben ist wie Bungeespringen nur halt eben ohne Bungeeseil Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss
Der Empfang ist hier damit exzellent
Wenn denn dort noch Antennen dran wären würde er auch die Gespräche (VOIP over WLAN) vom Nordpol auffangen und den Weihnachtsmann belauschen Aber die solltest du ja jetzt eigentlich selber finden können !
Zumindest wenn unser TE sich endlich mal festlegen würde was er denn will und nicht immer alle bestellten Geräte zurückschicken.Und zu deinem Century, ich denke dieser thread kann noch eine 10 Potenz vertragen, ich fang mal an ...
Gruß,
Peter
@Pjordorf das Gerät hat Antennen, nur sind die eben im Gehäuse als Leiterbahnen ausgeführt!
Hi,
Gruß,
Peter
Zitat von @114757:
@Pjordorf das Gerät hat Antennen, nur sind die eben im Gehäuse als Leiterbahnen ausgeführt!
Ah, OK. Ich hatte diese MT noch nicht in meinen Händen. Danke, aber einen HF Sender ohne Antennen zu betreiben ist trotzdem etwas was vermieden werden sollte ...immer....@Pjordorf das Gerät hat Antennen, nur sind die eben im Gehäuse als Leiterbahnen ausgeführt!
Gruß,
Peter
Zitat von @Pjordorf:
aber einen HF Sender ohne Antennen zu betreiben ist trotzdem etwas was vermieden werden sollte ...immer....
aber einen HF Sender ohne Antennen zu betreiben ist trotzdem etwas was vermieden werden sollte ...immer....
Oder mit den falschen Antennen.
lks
So, mal ein kurzes Feedback zu den OpenWRT Forschungen:
Getestet an einem Standard Allerwelts Wlanrouter TP-Link 841N.
Ums gleich vorweg zu nehmen, die Konfig ist sehr irreführend und sicher nichts für Anfänger ! Der Router besitzt einen internen Atheros AR934X built-in switch Chip den man entsprechend ZUERST über einen Shell SSH Zugang customizen muss damit das ganze überhaupt funktioniert.
Sehr erschwerend kommt hier dazu das die physische Port Bezeichnung NICHT mit der späteren im WebGUI übereinstimmt.
Zudem ist das eigentlich sinnvolle Konzept über VLAN Interfaces zu arbeiten damit aber bei direm Model extrem unübersichtlich und man muss genau aufpassen nicht die Interface Indexierung zu verwürfeln.
All das macht die Sache sehr aufwendig in der Konfiguration. Keine Ahnung ob das bei anderen OpenWRT Plattformen auch so ist aber beim TP-Link 8841N muss man da schon etwas Arbeit reinstecken damit es rennt.
Testweise hab ich außer dem VLAN 1 (Default) ein VLAN 10 eingerichtet was tagged über den Port 4 am Router (Physisch ist das Interface eth1 am internen Switchchip) ausgibt.
Für weitere VLANs muss man die Datei etc/config/network dann entsprechend erweitern.
Zum Neukonfigurieren ist ein Shell Zugang zwingend erforderlich mit PuTTY oder TeraTerm und es ist etwas Umgang mit den vi Editor erforderlich um die Konfig Dateien anzupassen.
Los gehts....
Zuerst erweitert man die Datei /etc/config/network das sie so aussieht:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth1.1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
config interface 'lan2'
option ifname 'eth1.10'
option type 'bridge'
option proto 'static'
option ipaddr '10.1.1.1'
option netmask '255.255.255.0'
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
config switch
option name 'eth1'
option reset '1'
option enable_vlan '1'
config switch_vlan 'vlan1'
option device 'eth1'
option vlan '1'
option vid '1'
option ports '0t 2 3'
config switch_vlan 'vlan10'
option device 'eth1'
option vlan '10'
option vid '10'
option ports '0t 1 4'
Wer automatisch IP Adressen mit DHCP verteilen lassen möchte auf diesem Interface konfiguriert noch einen zusätzlichen Eintrag in der Datei: etc/config/dhcp:
config dhcp 'lan2'
option start '100'
option leasetime '12h'
option limit '150'
option interface 'lan2'
Dies ist aber optional und kann entfallen wenn man auf dem Segment statische IPs vergeben will !
Im Web GUI taucht dieses VLAN dann als "LAN2" Adapter auf. In der Benennung ist man aber frei.
Als nächstes wird in der Firewall Datei einen neue Zone für dieses Interfae zugefügt in der Datei etc/config/firewall:
config zone
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option name 'lan2'
option network 'lan2'
Nach all diesen Änderungen MUSS das Netzwerk auf dem OpenWRT Router neu gestartet werden damit die Einstellungen aktiviert werden:
root@OpenWrt:/etc/config# ./network restart
Nun kann man hier am Port 4 einen tagged Uplink anschliessen der VLAN 10 dort tagged überträgt.
Getestet mit einem Cisco Catalyst 2960 mit folgendr Konfig:
interface fastEthernet 0/1
description Client im VLAN 1
switchport mode access
switchport access vlan 1
!
interface fastEthernet 0/2
description Client im VLAN 10
switchport mode access
switchport access vlan 10
!
interface fastEthernet 0/3
description Tagged Uplink auf den OpenWRT Router
switchport mode trunk
switchport trunk allow vlan all
!
Der Client dort in VLAN 10 kann die OpenWRT Router IP 10.1.1.1 im VLAN 10 fehlerfrei pingen über den tagged Uplink. Im Default VLAN funktioniert es ebenso.
Grundlagen dazu findet man auch auf dieser Internet Seite: http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...
Vermutlich hat der TO all diese Anpassungen NICHT gemacht oder falsch gemacht und somit Schiffbruch erlitten.
Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.
Getestet an einem Standard Allerwelts Wlanrouter TP-Link 841N.
Ums gleich vorweg zu nehmen, die Konfig ist sehr irreführend und sicher nichts für Anfänger ! Der Router besitzt einen internen Atheros AR934X built-in switch Chip den man entsprechend ZUERST über einen Shell SSH Zugang customizen muss damit das ganze überhaupt funktioniert.
Sehr erschwerend kommt hier dazu das die physische Port Bezeichnung NICHT mit der späteren im WebGUI übereinstimmt.
Zudem ist das eigentlich sinnvolle Konzept über VLAN Interfaces zu arbeiten damit aber bei direm Model extrem unübersichtlich und man muss genau aufpassen nicht die Interface Indexierung zu verwürfeln.
All das macht die Sache sehr aufwendig in der Konfiguration. Keine Ahnung ob das bei anderen OpenWRT Plattformen auch so ist aber beim TP-Link 8841N muss man da schon etwas Arbeit reinstecken damit es rennt.
Testweise hab ich außer dem VLAN 1 (Default) ein VLAN 10 eingerichtet was tagged über den Port 4 am Router (Physisch ist das Interface eth1 am internen Switchchip) ausgibt.
Für weitere VLANs muss man die Datei etc/config/network dann entsprechend erweitern.
Zum Neukonfigurieren ist ein Shell Zugang zwingend erforderlich mit PuTTY oder TeraTerm und es ist etwas Umgang mit den vi Editor erforderlich um die Konfig Dateien anzupassen.
Los gehts....
Zuerst erweitert man die Datei /etc/config/network das sie so aussieht:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth1.1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
config interface 'lan2'
option ifname 'eth1.10'
option type 'bridge'
option proto 'static'
option ipaddr '10.1.1.1'
option netmask '255.255.255.0'
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
config switch
option name 'eth1'
option reset '1'
option enable_vlan '1'
config switch_vlan 'vlan1'
option device 'eth1'
option vlan '1'
option vid '1'
option ports '0t 2 3'
config switch_vlan 'vlan10'
option device 'eth1'
option vlan '10'
option vid '10'
option ports '0t 1 4'
Wer automatisch IP Adressen mit DHCP verteilen lassen möchte auf diesem Interface konfiguriert noch einen zusätzlichen Eintrag in der Datei: etc/config/dhcp:
config dhcp 'lan2'
option start '100'
option leasetime '12h'
option limit '150'
option interface 'lan2'
Dies ist aber optional und kann entfallen wenn man auf dem Segment statische IPs vergeben will !
Im Web GUI taucht dieses VLAN dann als "LAN2" Adapter auf. In der Benennung ist man aber frei.
Als nächstes wird in der Firewall Datei einen neue Zone für dieses Interfae zugefügt in der Datei etc/config/firewall:
config zone
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option name 'lan2'
option network 'lan2'
Nach all diesen Änderungen MUSS das Netzwerk auf dem OpenWRT Router neu gestartet werden damit die Einstellungen aktiviert werden:
root@OpenWrt:/etc/config# ./network restart
Nun kann man hier am Port 4 einen tagged Uplink anschliessen der VLAN 10 dort tagged überträgt.
Getestet mit einem Cisco Catalyst 2960 mit folgendr Konfig:
interface fastEthernet 0/1
description Client im VLAN 1
switchport mode access
switchport access vlan 1
!
interface fastEthernet 0/2
description Client im VLAN 10
switchport mode access
switchport access vlan 10
!
interface fastEthernet 0/3
description Tagged Uplink auf den OpenWRT Router
switchport mode trunk
switchport trunk allow vlan all
!
Der Client dort in VLAN 10 kann die OpenWRT Router IP 10.1.1.1 im VLAN 10 fehlerfrei pingen über den tagged Uplink. Im Default VLAN funktioniert es ebenso.
Grundlagen dazu findet man auch auf dieser Internet Seite: http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...
Vermutlich hat der TO all diese Anpassungen NICHT gemacht oder falsch gemacht und somit Schiffbruch erlitten.
Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.
Zitat von @aqui:
Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für
Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich
daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum
Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.
Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für
Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich
daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum
Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.
ich sagte doch schon, 400€ für einen ordentlichen Cisco (oder 80€ für einen Mikrotik) sind deutlich billiger als einen Mitarbeiter 1-2 Tage (oder mehr) für vergeudete Arbeitszeit zu bezahlen, es sei denn der Mitarbeiter kostet den Arbeitgeber nichts (praktikant, Azubi, o.ä.) oder das soll der Ausbildung des Mitarbeiters dienen.
Wie man sieht arbeiten viele Firmen immer noch nach dem EHDO-Prinzip.
lks
PS: Auch ich verbeiße mich manchmal in Probleme, wo ich der Meinung bin, das "muss" doch funktionieren und kann daher zumindest die Motivation nachvollziehen. Das dient dann aber eher meiner "Fortbildung" als irgendwelchen minimalen Ersparnissen meiner Kunden. Denen kann ich die Arbeitszeit nämlich nicht imerm in Rechnung stellen.
oder 80€ für einen Mikrotik
Für die Anforderungen des TOs reicht ja auch schon ein 40 Euro Mikrotik 750 GL Besser wäre der 2011 in seinem Falle.
Es ist aber jetzt noch so, dass die Fritzbox einen eigenen IP Bereich bekommt.
Und der OPENWRT Router wird "seperat" an den Switch angeschlossen und nicht in Reihe, richtig?
Das ist für die OpenWRT Konfig ja irrelevant WIE du es anschliesst ! Es ging ja nur um die Konfig der Interfaces !Und der OPENWRT Router wird "seperat" an den Switch angeschlossen und nicht in Reihe, richtig?
ACHTUNG: Die Konfig oben beschreibt einen sog. "one armed" Konfig über einen VLAN tagged Uplink an den Switch wie im oben zitierten VLAN Tutorial hier im Forum beschrieben.
Bei dedizierten Interfaces auf dem OpenWRT sieht die /etc/config/networks Datei etwas anders aus !!
Vergiss das nicht !
Aber du hast jetzt zwei seperate Kabel für beide VLANs gezogen, ist das korrekt so?
Nein das ist FALSCH !Das war bei der o.a. Konfig genau nicht die Intention sndern das sog. "one armed" Konzept über einen gemeinsamen tagged Uplink für alle VLANs. Am OpenWRT ist das Port 4 (intern physisch port eth1) über den der tagged Anschluss zentral auf den Switch terminiert.
Die anderen Ports sind nicht benutzt, bzw. man kann sie benutzen um den Router über SSH und WebGUI zu erreichen.
Also ziehe ich beide Kabel zum Switch und im Switch bekommt jeweils das eine und das andere Kabel die passende VLAN zugewisen.
Nein ! Genau nicht !Lies dir bitte das obige Stament nochmal genau durch und sieh dir die dazu gepostete Testkonfig des Cisco Switches an !!
Dort kannst du doch ganz klar sehen das der Uplink auf den Router (Cisco Port fa 0/3) die einzige Verbindung ist. Da tagged transportiert sie alle VLANs.
Im Test ist das jetzt so eingestellt. Du kannst aber die /etc/config/network auch so customizen das jeder der 4 Port NON teagged in einem separtem VLAN ist. Dann musst du natürlich 4 einzelne Strippen ziehen...aber wer will das schon ?!
VI Editor- und Linux-Kenntnisse habe ich.
Sehr gut !! Dann bekommst du das auch hin. Halte dich parallel an den zitierten URL. Ganz wichtig ist das swconfig Kommando auf dem Router !! Damit kontrollierst du genau die Zuweisung der einzelnen Switchports !!Beispiel:
root@OpenWrt:/etc/config# swconfig dev switch0 show
Global attributes:
enable_vlan: 1
Port 0:
pvid: 1
link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
Port 1:
pvid: 10
link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
pvid: 1
link: port:2 link:up speed:100baseT full-duplex auto
Port 3:
pvid: 1
link: port:3 link:down
Port 4:
pvid: 10
link: port:4 link:down
VLAN 1:
vid: 1
ports: 0t 2 3
VLAN 10:
vid: 10
ports: 0t 1 4
Problem wird sein, wenn man mal was verstellen möchte oder noch eine VLAN dazu kommt, dann darf man keinen Fehler machen.
Yepp...ganz genau !Deshalb auch der wohlgemeinte Rat einen Mikrotik zu verwenden dafü Da ist das Risiko erheblich geringer wen nicht gänzlich weg !
wegen dem WLAN überhaupt nicht sicher was da sinn macht. Einen einfachen 750 nehmen und lieber neben dem Server noch einen weiteren AP hinstellen oder gleich einen Mikrotik nehmen mit WLAN integriert.
Wegen des WLANs kann dir das kein Frum der Welt beantworten was du brauchst oder was nicht, das kannst nur du selbst. Die Mehrkosten eines Mikrotiks mit WLAN sind aber minimalst und du kannst das WLAN deaktivieren im Setup und erstmal nur Kabel basierend arbeiten.Solltest du ein WLAN brauchen aktivierst du es. Mit der Option bist du also sicherer.
Nur wenn du eben sagen kannst: WLAN brauch ich NIE...dann solltest du einen Kabel only Version nehmen !
Wie würde denn das Konzept mit einem Mikrotik aussehen?
Das kannst du hier nachlesen:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Beachte dazu unbedingt auch die weiterführenden Links am Ende des Tutorials ! Die erklären (fast) alle Fragen !
Ansonsten hast du ja weiter oben beide möglichen Konzept Grafiken bereits vorliegen !!!
Aufjedenfall Danke für deine Mühe, echt super
Immer gerne wieder... wenn du was dabei lernst umso besser
Hallo,
Gruß,
Peter
Zitat von @113726:
Gibt es unterschiede vom Jahr her?
Das sind eher Produktbezeichnungen und haben mit Jahreszahlen so viel zu tun wie die Lottozahlen vom letzten Samstag....Gibt es unterschiede vom Jahr her?
Ok es hätte ja sein können, dass es da unterschiede gibt
Ja, es gibt verschiedene Modelle, je nach Geldbeutel und Funktionen....das Teil ohne Antennen betreiben?
Nein, die Antennen sind doch Integriert (in dein Thread auch nochmals explicit dargestellt). Antennen sind auf jeden fall dran, und einen AP ohne Antennen zu betreiben ist unsinnig, sowohl Empfangs- wie auch Sendemäßig.Er muss ja max 3-4 Räume ausstrahlen.
Aha, und bei nur ein Zimmer dann noch weniger Antennen?Gruß,
Peter
Zitat von @113726:
Ich könnte also auch den mit WLAN nehmen und das Teil ohne Antennen betreiben? Er muss ja max 3-4 Räume ausstrahlen.
Ich könnte also auch den mit WLAN nehmen und das Teil ohne Antennen betreiben? Er muss ja max 3-4 Räume ausstrahlen.
ohne externe Antennen, wie schon wiederholt in diesem Thread ausgeführt.
Und für die Sendestärke oder Anzahl notwendiger APs ist nicht die Anzahl der Räume maßgeblich, sondern welche "Hindernisse" überwunden werden müssen. Es ist schon ein Unterschied, ob Du Papp-Bürowände "druchleuchten" mußt oder dicke Stahlbetonwände von einem WK2-Bunker.
lks
Gibt es unterschiede vom Jahr her?
Bahnhof ??!!Was meinst du mit "Jahr" ??
Port als tagged kennzeichnen müssen, die sind aber alle untagged.
Sorry aber da hast du nicht richtig hingesehen !! Sieh dir den Output von swconfig an: VLAN 10:
vid: 10
ports: 0t 1 4
Das "t" steht für Tagged !!
Ok es hätte ja sein können, dass es da unterschiede gibt und der "mit" WLAN nicht so toll ist usw.
Nein, das wäre Unsinn. Das ist die gleiche HW nur ein WLAN Chip mit zusätzlich drin !OK, also muss ich doch in Reihe schalten?
Nein, nicht wenn du mit einem "one armed" Szenario arbeitets. Oder meinst du jetzt die Anbindung an das Internet ??Wenn ja ist das richtig.
Also muss ich doch mit der WAN Schnittstelle arbeiten?
Wie gesagt nur mit Internet. Wenn du rein nur zw. den VLANs routen willst nicht unbedingt.Sorry mein Fehler, dachte weil du 2011 gesagt hast gibt es vielleicht unterschiede im Baujahr des Mikropik.
Nein, das ist ein Modellname. Hättest du nur einmal nachgesehen wäre es dir sofort aufgefallen:http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
oder wenn du ihn mit einem schönen farbigen Touch Display und Glasfaser SFP Port haben möchtest:
http://varia-store.com/Hardware/MikroTik-Routers/MikroTik-RouterBoard/R ...
Nunja das t steht inter der 0 und die 0 ist laut Webinterface die CPU.
Ja das ist ja die Crux bei dem System das die physische Nummerierung nichts mit der Port Nummerierung im Webinterface zu tun hat. Ist im Text oben bereits mehrfach erwähnt.Das scheint beim Atheros Chipset bei OpenWRT so üblich zu sein. Pauschla kann ich das aber nicht sagen weil ich das nur bei einem TP-Link 841N gesehen habe aber Angaben im Internet lassen darauf schliessen das das bei allen Modellen so ist die einen AR934X built-in switch Chipsatz verwenden mit 4 Ethernet Ports.
Siehe dazu auch die Ausführungen bei http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...
Die CPU ist quasi der Systemport.
Was die Grafik und das Design anbetrifft: Halte dich an Jodels Grafik die ist richtig und entspricht 1:1 meiner zweiten Grafik oben.
Beide beschreiben das design was du umsetzen solltest und sind auch konform zum VLAN_Tutorial hier im Forum.
Gibt es eine Möglichkeit, dass jemand für einen Mikrotik sowas für mich nochmal erstellt um die Schritte nachvollziehen?
Ja die Möglichkeit gibt es natürlich !! Mit der Suchfunktion hier hättest du nicht danach fragen müssen:Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
oder
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
oder
VLAN mit MicroTik 750G einrichten
Alles einfach zum Aptippen oder Abklicken
Und wie gesagt, beide VLANs sollen ins Internet gehen und sich nicht gegenseitig sehen dürfen bzw. auch die Geräte nicht gegenseitig sehen
Das musst du später mit einer IP Accessregel oder Firewall Regel sperren. Aber erst dann wenn das funktionsfähig rennt bei dir. Bitte NICHT vorher...!Ok also sind die Ports in der Config nur "Show" und die 0 ist der wichtige Port.
Na ja, nicht ganz. Man muss sie immer über einen VLAN Switch Definition mit dem CPU Port koppeln. Das sieht umstaändlich und kompliziert aus bietet aber im Einsatz die größte Flexipilität in allen möglichen Designs.Macht auf der anderen seite die Konfig nicht gerade trivial wie du ja siehst
Und ich verbinde dann einen Lan Port als tagged line mit dem Switch (egal welchen?) und den WAN Port mit der Fritzbox.
Ja, richtig !Egal welchen... Ja, aber natürlich nur wenn dieser natürlich für das VLAN tagged konfiguriert ist !! Welchen Port du damit konfigurierst ist freie Wahl. Nur konfiguriert muss er sein !!
Ah Ok also dann doch wieder das Prinzip in Reihe.
Ja !Du kannst das auch alles über einen Trunk schicken indem du auf dem Switch dann das WAN Port VLAN isolierst, also da nur den Router WAN Port reinlegst und die Fritte.
Ziehst du das aber logisch auseinander hast du ja auch wieder ein Reihendesign.
Besser ist aber du machst das dann mit dedizierten Ports ganz genau wie Kollege jodel32 das oben schon aufgemalt hat.
Ich habe gerade die einfachste Variante gemacht und einfach einen TP Link Router (mit OEM Firmware) mit alternativen Ip Bereich angesteckt
Hilft dir nicht, denn in der Regel ist die NAT Firewall mit der originalen Firmware nicht abschlatbar.Fazit: Kein transparentes Routing sondern Einbahnstrasse... Das hilft dir nicht weiter.
So ein Design ist hier in der Alternative 2 (Routerkaskade) beschrieben:
Kopplung von 2 Routern am DSL Port
Dann aber sollte doch mit VLAn (wegen Multi SSID) und Variante 2 wurde angestrebt. Also der OpenWRT extra an den Switch.
So nun nochmals....Die LAN Seite des Open WRTs, also die die mit den VLANs des Switches korrespondiert MUSS am Switch angeschlossen werden !
Die Seite die Rinchtung Internet geht ist ein dedizierter Port, hat nichts mit den VLANs zu tun, wird geroutet und ist auch am Router ein anderer Port von den 4 vorhandenen.
Ganz genau so wie es auch die Zeichnung vom Kollegen jodel32 oben zeigt !
Nur nochmal um das klarzumachen....
Ich muss ja später dann auch noch die den HTTPS und VPN Port zum Server durchschleifen wollen.
Besser wäre es du würdest das auf dem Router direkt abfackeln..jedenfalls das VPN.Aber das ist erstmal alles zukünftige ToDos.... Bring doch bitte erstmal das Grundgerüst sicher zum Laufen !!
Ich lade also die Konfiguration wie vorgeschlagen in den OpenWRT.
Nee, die kannst du nicht laden !Du gehst mit PuTTY auf die SSH Shell des OpenWRT und passt mit dem vi_Editor die oben aufgezeigten Dateien im Verzeichnis /etc/config/ an !
Ziehe dann ein Kabel von der Fritte in den OpenWRT (WAN).
Jau, genau richtig. Fritte LAN Port an OpenWRT WAN oder was als WAN deklariert ist. Denk aber dran das du NAT am OWRT WAN Port abschaltest und einen statische Route auf der Fritte definierst !Ziehe dann ein Kabel vom OpenWRT (LAN) zum Switch.
Jaaa, genau richtig. Der Switchport muss natürlich tagged für die Vlans eingerichtet sein.Setze eine Route auf dem OpenWRT zur Fritzbox(?)
Ja eine, nämlich die Default Route reicht !Ok also setze ich dann hinter dem passenden Port einfach noch ein t in der Config oder mach es über das Webinterface?
Das geht nicht auf dem Webinterface, nur über die Shell. Der interne Switch ist übers WebGUI nicht customizebar.Jedenfalls bei meinem TP-Link 841N. Leider hab ich keine andere Vergleichsmöglichkeit wie das bei anderer HW gelöst ist und obs da geht
Über die Shell gehts aber immer. Versuch macht klug
Ich kann aber jetzt kein VLAn nutzen, ergo kein Multi-SSID.
Wie meinst du das ?? Aktuelle kannst du es nicht weil du es noch nicht eingerichtet hast, oder wie ??Wenn du einen VLAN Switch hast und einen Multi SSID AP kannst du ja wenigstens schon mal 80% einrichten, VLANs auf dem Switch, Ports zuweisen, AP mit Multi SSID konfigurieren und SSID zu VLAN mappen usw.
Dann kannst du die einzelnen VLANs und die dazu korrespondierenden WLAN SSIDs schon mal zu Fuß austesten ob das sicher funktioniert.
So kannst du wenigstens aussschliessen das du da Fehler im Layer 2 Setup gemacht hast.
Das würde deinen Test erheblich erleichtern, denn so musst du dich ausschliesslich nur auf den OpenWRT (oder den Mikrotik) konzentrieren !
Ich habe in der Grundinstallation von OpenWRT keine einzige statische Route hinterlegt.
Kardinalsfehler !!!Der OpenWRT muss doch zwnagsweise eine Default Route auf die Fritte haben !! Für alle Endgeröte in den VLANs ist der OpenWRT ja der Router den sie sehen als Default Gateway.
Hat der keinen Route zur Fritte also damit keine Route ins Internet ist Schicht im Schacht, denn WOHER soll er wissen wo er Pakete ins Internet hinschicken soll ohne diese Route.
Logisch ! und kommt man auch von selbst drauf wenn man mal ein klein wenig nachdenkt wie die IP Pakete sich im Netzwerk bewegen !
Also ganz einfach:
- Default Route im Open WRT auf die IP der Fritte die am WAN Port des OpenWRT angeschlossen ist
- Wenn du auf dem OpenWRT mit Masquerading (NAT) arbeitest brauchst du keine Route dort. Nur wenn du kein NAT machst.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und danch die NAT Variante !
Die erklärt ganz genau den Untersched zw. NAT und nicht NAT !
Also ich kann im Webinterface bei Switch die Ports jeweils konfigurieren.
Ja, die Ports des Routers aber nicht die des internen Switch Chips. Auf den kannst du nur über die Shell zugreifen.Wie gesagt das musst du testen. Bei dem OpenWRT Router hier auf Basis der TP-Link 841N Hardware ist das im WebGUI nicht möglich, da muss man die Shell bemühen.
Das kann bei anderer Hardware anders sein !! Versuch macht klug !
Ich meine aktuell mit der Variante TP-Link Router im extra IP Bereich ohne OpenWRT etc..
OK, wenn der keine VLANs supportet (Tagging) dann ist das klar, dann kannst du das natürlich nicht !Könntest du das noch mal kurz erklären? Was ist mit Mappen gemeint?
Mapping ist Englisch und bedeutet soviel wie "Zuweisung". Ein Mapping ist also die statische Zuweisung einer SSID auf eine VLAN ID.Sorry für das Denglisch wenn das dir nicht geläufig ist.
Es klang immer so, als wäre eine Default Route schon vorkonfiguriert, aber ich habe nie eine Route gesehen.
Nein, das ist natürlich Unsinn. Wo soll die Route denn herkommen ?Normal wird die dynamisch per PPPoE vom Provider übertragen ! Da du ja kein PPPoE machst musst du sie wohl oder übel statisch definieren !
netstat -r zeigt dir immer die aktuelle Routing Tabelle des Routers an.
Also besser ist wohl immer ohne NAT.
Ja, denn NAT bedeutet immer ein einseitiges Routing, da andersrum Traffic die NAT Firewall nicht überwinden kann.Manchmal kann man es aber nicht vermeiden wenn die Router HW das NAT nicht deaktivieren kann im Setup.
Es ist also so, dass ich ohne NAT auch ggf. Geräte von einem auf den anderen IP Bereich freigeben kann.
Du musst gar nichts freigeben. Ohne NAT kann jeder mit jedem routen.Mit aktivem NAT geht das nicht, da Einbahnstraße, richtig?
Ja, das geht dann nicht !Eigentlich muss ich nichts freigeben, die Option zu haben wäre aber nicht verkehrt.
OK, wenn du nur Traffic in Richtung Internet hast dann lass NAT erstmal an, das stört dann nicht !Erstmal so wenig Veränderung wie möglich, denn das bringt dich bloss wieder aus dem Tritt !
Kannst du das bitte noch mal für Dumme erklären
Beisse dich bitte nicht so fest daran. Das kann einzig nur auf dem TP-Link 841N so sein mit dem internen Atheros AX95xx Chipset. Das MUSS auf anderer HW nicht so sein !!!Du kannst das auf dem 841 auch sofort sehen. Die Linkanzeige der Ports im Switch auf der Rückseite korrespondiert NICHT mit der Portbezeichnung des internen Chipsets. Dort entspricht z.B. Port 1 im Routergehäuse dem logischen Port 4 des Chipsets was die ganze Sache nicht eben einfacher macht.
Den Chipset kann man aber nur mit dem swconfig Befehl einstellen nicht über das GUI.
Wie gesagt: Das mag eine Besonderheit rein des 841N sein und MUSS nicht für andere HW Plattformen gelten !! Ich habe keinerlei Vergleichsmöglichkeiten, da ich nur den 841 zum Testen habe hier.
Das Beispiel oben mit einem VLAN lässt 2 Switchports des Switches im VLAN 1 laufen und 2 im VLAN 10 einer liefert VLAN 10 tagged aus (Port 4 im Gehäuse)
Das kannst du aber in deinem Setup vollkommen frei gestalten wo du was ausgeben willst.
Durch das tagged Signal vom AP erkennt der OpenWRT automatisch, welche VLAN es ist.
Nein, nicht ganz. Der VLAN Tag am Paket hat ja die VLAN ID in sich. Der OpenWRT hat ja auch ein tagged Interface (sonst könnte er das VLAN Tag gar nicht lesen) dadurch liest er den Tag weiss für welches Interface das ist und gut ist.Wichtig ist das beide Seiten Tagging machen !
Aber durch den AP erkennt er automatisch die VLAN.
Nein, durch das VLAN Tagging erkennt der Switch automatisch das VLAN ! Steht in der ID eine 10 weiss der Switch das er dieses Paket in VLAN 10 forwarden muss...so einfach ist das ! Die VLAN ID zeigt dem Empfänger sofern er tagged Frames lesen kann für welches VLAN das empfangene Paket ist !Der AP tagged ja die Pakete je nach SSID und so weiss der Switch für welches VLAN es ist.
Auf dem Uplink zum OpenWRT tagged der Switch dann die Pakete je nach VLAN und der OpenWRT erkennt an der VLAN ID wieder für welches Segment das Paket ist...das ist die ganze Magie dahinter... !
Ok also sehen sich MIT NAt die Geräte sowieso nicht
Doch die sehen sich aber eben nur in eine Richtung ! Bitte lies die Grundlagen dazu:http://de.wikipedia.org/wiki/Network_Address_Translation
OHNE NAT können sich die Geräte sehen (also gegenseitig pingen), es lässt sich also auch mal ein Drucker freigeben. Dafür kann ich dann selbstständig über die Firewall sperren was ich möchte. Richtig?
Das ist so richtig, ja !bei mir ist die LAN Seite nicht eth1 sondern eth0, also habe ich auch eth0.1 und eth0.10 angelegt. Hoffe das war richtig.
Das mag so sein, wie gesagt jede HW ist da etwas anders. Wichtig ist erstmal nur das das unterschiedlich ist !bei mir ist der switch mit "switch0" benannt
Das ist auch richtig so und ist oben beim 841N ja auch so wie du unschwer erkennen kannst. Dürfte generell so sein beim OpenWRT.Ich werde dann einen AP erst mal mit dem Switch verbinden und dort testen.
Genau ! Das ist erstmal der richtige Weg und Schritt !!Das wasserdicht testen das die SSID zu VLAN Zuordnung klappt und dann weitermachen....
Da aber noch kein OpenWRT etc angeschlossen ist, dürfte da noch nicht viel passieren.
Das ist ja erstmal egal !Du kannst jedenfalls wasserdicht testen das die SSID VLAN Zuordnung klappt und das die Pakete in die richtigen VLANs übertragen werden. Das ist essentiell wichtig für die spätere Routing Funktion zw. den VLANs.
Theoretisch müsste ich ja mit der derzeigien internen IP ins Internet können dann über dem AP. Mit der Gast IP dürfte das dann noch nicht gehen.
Ja, ganz genau ! Das Gast VLAN kannst du aber auch austesten wenn du einem Testgerät dort mal ne statische IP gibst und checkst ob du dann via WLAN pingen kannst.Warum port 4?
Das hab ich gewürfelt Das ist vollkommen Latte welchen Port du nimmst. Der Übersicht hab ich einen genommen der "ganz am Rand" ist.Das ist aber völlig frei wählbar !
Erklärt mich für dumm aber da blicke ich noch nicht durch.
Nein, das liegt auch nicht an dir sondern an dem etwas kranken Konzept vom OpenWRT was man erstmal durchschauen muss. Zusätzlich dann die limitierten Optienen dieser billigen Switch Chipsets. Alles zusammen nicht trivial.Deshalb hier nochmals der Appell es besser mit einem Mikrotik zu versuchen !!!
Dort hast du ein garantiertes Erfolgserlebnis mal abgesehen von der erheblich besseren logischen Konfig Übersicht ! Dort passt wenigstens Port zu Konfig !!!
Ok also wenn ich doch von vornherein sage, dass ich später einen netzwerkdrucker für das Gastnetz freigeben möchte, muss ich NAT deaktivieren?
Nicht wenn der Drucker in einem der VLANs hängt, denn dort routet der Router ja ohne NAT. NAT macht er ja nur auf dem Port Richtung Fritte.Solange du dort nichts erreichen musst befindest du dich in einen NAT freien Zone
du hast oben bei "config switch" unter name den Namen umbenannt zu eth1
Nein, nur den Port. switch0 ist ein Device Name den man nicht so ohne weiteres ändern kann. Kannst du auch am Output von: swconfig dev switch0 show sehen. Dort steht ja wieder switch0.Naja aber ich bekomem ja auch noch keine IP gestellt.
Na ja nur zum Testen kannst du dir ja eine erstmal frei ausdenken und statisch auf den Testsystemen einrichten wie 10.0.0.1 /24 und 10.0.0.2 /24 z.B. Dient ja erstmal nur dazu die Layer 2 Connectivity und das VLAN Tagging des APs sicher zu testen !Was du später im Live Betrieb IP mässig darauf machts ist ja erstmal völlig egal.
Dieser blöde Netgear Switch und die doppelte PVID Zuordnung
Ja, das ist megakrank bei NetGear ! Ist auch der einzige Hersteller der es so kompliziert macht und ein triftiger Grund bei VLANs kein NetGear Geraffel zu kaufen...niemals !Halt dich aber an das VLAN_Tutorial ! Dort steht genau wie man das NetGear VLAN Mysterium löst !
AP ist am Switch dran und die VLAn zuordnung klappt.
Röchel....endlich !Ich kann sowohl im internen WLAn als auch im gäste WLAN jeweils Geräte des eigenen Netzes pingen.
Ächz.. Heureka !! Ein Etappensieg !Gegenseitig pingen, also von einem WLAN auf ein Gerät des anderen Netzes, kann ich nicht. Das ist ja normal, da ich noch keinen Router angeschlossen habe.
Genau richtig !Wenn ich jetzt einen Drucker habe (später mit dem openWRT dann) der im Produktivnetz steht. Dann hat dieser ja am Switch einen untagged Port, VLAN1. Vom Produktivnetz könnte ich dann ja ohne Probleme pingen, vom Gästenetz natürlich nicht.
Das ist korrekt und genau richtig ! VLANs sind vollkommen getrennte L2 Domains. Ohne L3 Switch, Router oder FW dazwischen is da nix.Ich müsste also dann mittels Firewall das eine Gerät freigeben für das andere Netz?
Nein ! Es reicht schon wenn Routing aktiviert ist dann können sich alle erstmal erreichen.Wenn du nicht willst das jeder mit jedem können soll sondern nur mit dem Router, dann setzt du einen IP Accessliste oder eine Firewall Regel auf.
Wie läuft das dann mit DHCP? Ich kann ja nicht allen Gästen eine statische IP geben.
Das kannst du machen und steht dir frei nur dann kommen die Gäste alle naslang bei dir rum und fragen nach IPs. Das wird dir nach kurzer Zeit auf den Sack gehen und da ist es dann besser du aktivierst DHCP im Gastnetz.Das sich nicht "gegenseitig sehen" ist immer eine Funktion des AP und nennt sich "WLAN isolation" ! Ist ein Häkchen im Setup des APs, das unterbindet dann any zu any Kommunikation im WLAN.
Hallo,
Fritte und manch ein anderer Router wird eben durch Portweiterleitung von TCPIP 1723 dann das GRE automatisch hinzugefügt. Deinen OpenWRT wirst du es wohl noch sagen müssen das GRE weitergereicht werden soll ....
Gruß,
Peter
Zitat von @113726:
Getrennte IP Bereiche. Jedes Gerät kann die anderen Geräte (egal welcher IP Bereich) pingen.
Sollte dein Gast Netz eben nicht auf dein Produktiv Netz zugreifen dürfen?Getrennte IP Bereiche. Jedes Gerät kann die anderen Geräte (egal welcher IP Bereich) pingen.
Leider komme ich mit dem Gastnetz nicht ins Internet
Darf dort denn http bzw. https gemacht werden? Bedenke, Firewall ist erst mal alles verboten was du nicht explicit erlaubst....die Fritte gingen kann, aber kein Internet bekomme.
Ping macht ICMP, Surfen ist aber TCPIP mit Port 80 bzw. 443. Nur weil ICMP geht, bedeutet diese nicht das auch http oder https geht - Firewall.Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server.
Nun, du hast ja jetzt auch eine Routerkaskade, da ist das dann eben so...deshalb wohnte
Wohnte? ich es erstmal mit Port 1723 machen, wie vorher)
VPN Server ist dann dein SBS? Und du nutzt dann PPTP als VPN? Dann hast du das GRE Protokoll (nein, nicht TCP/IP Port) vergessen. PPTP benötigt zwingend Port 1723 und das GRE Protokoll. Bei Gruß,
Peter
Statische Routen am OpenWRT habe ich nicht, da ich NAT aktiv habe am WAN interface.
Das ist schlicht FALSCH und oben schon mehrfach besprochen worden !Du benötigst zwingend eine statische Default Router auf dem Open WRT zur FB, egal ob NAT oder nicht !
Komisch ist eben, dass ich die Fritte gingen kann, aber kein Internet bekomme.
Also wenn du von beiden VLANs die Fritte pingen kannst, dann wäre es sehr wichtig zu wissen WIE bzw. mit welchen IP Absenderadressen diese Ping Pakete an der Fritzbox ankommen.Es wäre also essentiell wichtig und sehr hilfreiche wenn du das mit dem Wireshark mal checken könntest.
Klink den also in das Transfernetz vom OpenWRT zur Fritte ein und sniffer das mit.
Das sagt dann nämlich ganz genau mit welchen IP Adressen du dort auftauchst bzw. ob der OpenWRT wirklich NAT macht und auch die Pakete der beiden VLANs auch wirklich routet zur Fritte.
Hier bleibt still und einfach der Verdacht das die VLAN Trennung nicht wirklich da ist und das Pakete aus dem normalen netzeinfach direkt auf die Fritte gehen und gar nicht mit dem OpenWRT geroutet werden ?!
Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server. Aufjedenfall funktioniert das schon mal.
Das ist richtig und auch gut das das funktioniert. Zeigt das alles richtig konfiguriert ist.Aber auch hier ist Kontrolle besser !!! Schliess wieder den Wireshark an und checke ob diese Pakete auch wirklich mit den richtigen IPs geworwardet werden ans Ziel !
Das gleiche habe ich mit dem VPN Port gemacht, aber da bekomme ich keine VPN Verbindung zustande.
Die Aussage ist mal wieder laienhaft und oberflächlich, sorry ! WELCHES VPN Protokoll nutzt du denn ???PPTP z.B. ist TCP 1723 und GRE Protokoll mit der IP Nummer 47
IPsec ist UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50
OpenVPN ist UDP 1194
usw. usw. Etwas mehr Details würden uns hier sehr helfen zielgerichtet zu Troubleshooten !
Oben pack ich euch dazu noch mal ein paar Bilder rein zu meiner Konfig.
Wieso "oben" ???Du kannst den beim Bilder hochladen per Rechtsklick copy and pasted Bilder URL auch hier in eine Antwort bringen (wie in JEDEN Text hier) um das Bild anzuzeigen !!!
Das erspart uns bei dem Monsterthread hier das lästige Scrollen !! Bitte mache das ums nicht noch unübersichtlicher zu gestalten hier !
P.S.: Das kann man übrigens auch immer noch nachträglich machen !!
WLAN des OPENWRT einloggen und dann mit dem Programm Wireshark pingen, richtig?
Ja !Alternative einen Mirrorport auf dem Switch und dann sniffern.
und bei den Screenshots seh ich jetzt auch keinen Fehler.
Vertrauen ist gut...(Wireshark) Kontrolle ist besser Um das zu kontrollieren schließe ich den Laptop also an die Fritte an und pinge den OpenWRT? Oder pinge den Server?
Nein du brauchst eine Probe oder ein Bridge Device oder einen simplen Hub den du zwischen FB Port und LAN klemmst und wo der Wireshark dran ist.Am allereinfachsten ist ein alter Netzwerk Hub oder ein Switch der Mirrorports supportet. Dann mirrorst (spiegelst) du den FB Port einfach an den Port wo dein Wireshark hängt.
So kannst du alles mitlesen was der Router bekommt !
Hier:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
http://www.heise.de/netze/artikel/Fehler-erschnueffeln-221587.html
findest du alle Details.
Derzeit wird PPTP benutzt, den TCP Port 1723 habe ich weitergeleitet, geht nicht.
Ist ja auch logisch das das nicht geht, denn PPTP besteht wie jeder weiss aus TCP 1723 UND dem GRE Protokoll 47Siehe auch hier:
VPNs einrichten mit PPTP
OK wusste ich nicht
FAQs lesen Ein möglicher Fehler ist noch in der Switchport Konfig des Routers. Normal ist das Switches auf tagged Uplinks das Default VLAN immer untagged zu den tagged Paketen der anderen VLANs übertragen. 99% aller Hersteller machen das so.
Checke ob das an deinem Switch auch der Fall ist !
Wenn du den Uplink Port vom OpenWRT dann beidesmal tagged einstellst, also das Def. VLAN dort taggest, der Switch es aber untagged am Port erwartet bekommst du ein Problem.
Aber du sagtest ja du kannst die OpenWRT IP im Default VLAN pingen, oder ?
Wenn das der Fall ist ist nur die Anzeige auf dem OpenWRT im GUI falsch !
Hallo,
.
Gruß,
Peter
Zitat von @113726:
das ist ja ein komplettes durcheinander.
das ist ja ein komplettes durcheinander.
sekündlich
eher in 0,00001 Sekunden. Je mehr Pakete je mehr hat dein Netz zu tun //Edit: ah OK "Echo (ping)" in rosa sind die pingversuche.
Filter diese schon beim Erfassen mittels eines Capture Filters, dann wird's erst mal verständlicher. Wichtig, auf jede Anforderung sollte auch eine Antwort kommen. Schau dir auch die MAC des Senders als auch des Empfängers genau an (L2 arbeitet halt so).
Ich schließe dafür den Laptop direkt an den OpenWRT an
und machst ein Mirror Port der alle Pakete von einen deiner Ports (VLAN 1 oder VLAN 10) an diesen (Laptop Port) spiegelt, sonst siehst du nur das was für dein Laptop bestimmt ist (aufgrund der MAC, L2 = MAC)Gruß,
Peter
Wenn ich den Netzwerkverkehr überwache dann laufen ja sekündlich Informationen ein, wie soll ich da die richtigen Zeilen finden, wenn ich die Fritzbox anpinge?
Indem du einen Capture Filter einrichtest und nur das mitsnifferst was dich interessiert.Alternativ kannst du es auch nachher aus dem gesifferten Daten rausfiltern.
Ich habe keine Ahnung, was ein Mirror Port ist bzw. wie ich einen mache.
Uhhh "machen" kannst du auch keinen sondern nru konfigurieren !Jeder managebare Switch hat einen sog. Port Mirroring Funktion, wo du dich quasi auf einem Port raufschalten kannst ! Ein Switch separiert den Traffic ja nach Mac Adressen, folglich würdes du auf einem Switch OHNE Mirrorport nur immer den Traffic sehen der zum Sniffer geht aber nichts anderes !
Du willst ja aber den Routerport überwachen. Mit Port Mirroring "spiegelst" du, wie der Name schon selber sagt, den Router Port z.B. auf deinen Port wo dein Sinffer angeschlossen ist.... Nun verstanden ???
Suche im Manual des Switches also nach Port Mirroring. Häufig ist das im Menü "Diagnostic" zu finden.
Wie mache ich das mit OpenWRT?
OpenWRT ist ein Router und der interne Switch Chipset supportet sowas nicht. Wenn musst du das also an deinem LAN Switch machen !Die Antwort von der Fritzbox (192.168.1.1) kam jedesmal an die AbsenderIP zurück.
Das ist uns allen klar, und sollte auch so sein !Die Kardinalsfrage hast du aber wieder mal nicht beantwortet: WIE bzw. mit welcher Absender IP kommen diese Pakete an der Fritzbox an ??
Ist die Absender IP beider Pings die OpenWRT IP im Transfernetz (das bedeutet dann dein OWRT Router macht NAT zur Fritte !) oder...
ist die Absender IP jeweils die Ursprungs IP der Endgeräte die Pingen ?? (Bedeutet das der OWRT dann kein NAT macht und transparent routet !)
Messen musst du also mit dem Kabelhai, wenn dann, schon am Fritten Port direkt !
Ich habe aber jetzt jeden Port es GRE Protokolls geöffnet.
Das ist technischer Blödsinn, denn das GRE Protokoll ist ein eigenes IP Protokoll und hat keinerlei Ports oder sowas wie TCP oder UDP !! "Komplett" gibts da nicht !http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol
Der DHCP unseres SBS beendet sich automatisch, da er warscheinlich am OPENWRT einen erkennt.
Ja, das wird der Fall sein ! Das macht MS aus Sicherheit so damit es zu keinem Adress Chaos kommt.Schalte einfach den OWRT DHCP Server komplett ab indem du das Setting für das Segment in der /etc/config/dhcp komplett entfernst.
Dann ist der MS wieder der Adress "Herrscher".
Interface ist "WAN", Host-IP or Network ist "192.168.1.0/24" und Gateway ist "192.168.1.1" (fritzbox).
Ist natürlich auch wieder Schwachsinn, sorry denn was so eine Route in ddas Netzwerk 192.168.1.0 /24 mit der .1 im GLEICHEN Netzwerk als Next Hop. Diese Router zeigt auf sich selber und ist damit natürlich Blödsinn.Das .1.0er netz ist ja am OWRT direkt dran, folglich kennt er es also und einen Route dahin ist überflüssiger Unsinn !
Wenn dann brauchst du eine Default Route:
Network: 0.0.0.0 /0 Gateway: 192.168.1.1
Gästewlan kann trotzdem nicht ins Internet.
Von da mal einen Traceroute oder Pathping gemacht und gesehen wo der hängenbleibt ??Kommt der bis zur FB ?? (Sniffertrace)
Wird am OWRT NAT gemacht oder nicht wie oben beschrieben für das Gastnetz ?
Alles weiter offene Fragen..
Also Source ist die "eigene" Client IP und Destination ist die Fritzbox. Also z.B. 192.168.2.28 auf 192.168.1.1
Sicher ???Hast du das direkt am Routerport der Fritte !! gesniffert ???
Du darfst es logischerweise NICHT am Client sniffern, denn dann kann man NICHT sehen oder der OWRT dazwischen NAT macht !!
Relevant ist hier WIE diese Pakete an der Fritte ankommen, nicht wie sie abgesendet werden !
Wenn dann musst du dir mit dem Kabelhai das ZIEL ansehen !!
Kann ich ja nicht einfach
Warum nicht ??Du musst nur den DHCP für das Produktivsegment entfernen (löschen). Fertig. Dann schweigt der OWRT.
Davon ist das Gastnetz ja nicht betroffen. Das ist ein separates IP Netz am Router und wird auch durch einen sepoaraten DHCP Server bedient.
Wo ist dein Problem ?? Das ist ein gängiges Design.
Klar könnte man DHCP zentralisiert auf dem Server machen. Das wäre das sinnigste aber dafür müsste der Router ein DHCP Relay (IP Helper Adressen) supporten was er nicht kann. (Der Mikrotik kann das übrigens )
So musst du dann mit den Segment bezogenen DHCPs leben wenn du am OWRT festhälst....?!
Ok oben klang es noch so, als müsste ich da eine Route anlegen, nun wieder nicht.
Sorry aber bitte tu uns den Gefallen und denke mal ein klein wenig nach und benutze den normalen IT Verstand. Ein Route auf ein lokal angeschlossenes IP Segment ist doch Blödsinn...das weiss auch ein Laie.Das ist so als wenn du in Köln einen Wegweise aufstellst wo drauf steht "Nach Köln 0 km" Macht auch kein normaler Mensch...
Ich pinge die Fritzbox mi der ClientIP an
Und ??? Was passiert ??Kommt ein ICMP echo mit den richtigen IP Adressen raus aus dem Client ??
Kommt es am OWRT Router an ?? (tcpdump Outpust)
Kommt es an der FB an ??
Wieder keinen Antwort auf die wichtigste Frage überhaupt
Derzeit haben LAN und LAN2 NAT ausgeschalten
Das sagst du !!! Wir glauben aber nur dem Wireshark !!
Hallo,
http://fritz.box/html/capture.html oder http://fritz.box/capture.lua
Gruß,
Peter
Zitat von @113726:
?
An deiner Fritzbox kannst du auch den Paketmitschnitt selbst nutzen und die Pakete dort "Schnüffeln"?
http://fritz.box/html/capture.html oder http://fritz.box/capture.lua
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @113726:
Kabelhai?
Wireshark...Kabelhai?
Aber so habe ich es ja.
Nein, sonst würde der DHCP auf dein SBS nicht herunterfahren. Das ist ein 100% sicheres Zeichen das ein anderer DHCP Server sich im gleichen Broadcastnetz befindet. Dein SBS DHCP ist ausschließlich für dein Produktivnetz und du musst zwingend verhindern das andere DHCP Server auf dieses Netz zugreifen können. deshalb hast du doch unter anderem deine Netze trennen wollen, hier mit VLAN.Gruß,
Peter
Ja aber ich habe definitiv keinen anderen DHCP.
Sicher...?? Hast du den Kabelhai mal in das Netz gehängt und gesehen WER auf einen DHCP Broadcast Request antwortet ?Hast du da 2 DHCP Server am laufen (und das ist ganz sicher der Fall, da der SBS sich wegschaltet !) siehst du auch 2 Antworten (DHCP Replys) je einen von jedem Server !! Kannst du am Client mitsniffern.
Anhand der Mac Adressen kannst du ganz einfach rausbekommen WER das ist.
Es ist vermutlich wirklich so das der OWRT auf dem 1.0er Segment parallel noch DHCP ist !
Den Eintrag config dhcp 'lan' und die eingerückten Subparameter dazu musst du vollständig in der /etc/config/dhcp entfernen !
Dann gibt der OpenWRT auch Ruhe auf dem LAN Segment.
Hacken
???http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder doch
http://de.wikipedia.org/wiki/Ferse
Nein, das ist richtig ! Wenn du siehst wie die Fritte auf einen ICMP echo request (Ping) mit einem echo reply antowrtet ist alles gut.
Wenn die Absender IP auch die direkte Client IP aus dem VLAN 1 machst du auch kein NAT und alles ist gut, dann routet der OWRT sauber und korrekt und alles kommt richtig zur FB.
Wenn du am Frittenport weiter snifferst schick mal ein Ping an 8.8.8.8 und der Kabelhai sollte dir dann auch den durchgehenden reply vom Google DNS Server zeigen, was dann zeigt das mit der Internet Verbindung alles sauber ist !
Genau das solltest du jetzt auch nochmal mit deinem Gast VLAN wiederholen....
Einmal die Fritte pingen
Einmal 8.8.8.8 pingen
Auch wieder mit dem Wireshark am Fritten LAN Port. Dann hier auch wieder die Absender IP cjecken ist die original ist das NAT sicher aus und alles gut. Auch hier solltest du dann einen Reply sehen von der Fritte (Source IP) an den Gast VLAN Client (Destination IP)
Aber wie gesagt immer mit einem Mirrorport am LAN Port der FB sniffern, denn wir wollen sehen was HIER passiert und nicht am Client.
Spannend ist dann der Ping aus dem Gastnetz an die 8.8.8.8 !
Der sollte am FB Port ankommen und eigentlich solltest du dort dann auch den Reply sehen !
Wenn die Absender IP auch die direkte Client IP aus dem VLAN 1 machst du auch kein NAT und alles ist gut, dann routet der OWRT sauber und korrekt und alles kommt richtig zur FB.
Wenn du am Frittenport weiter snifferst schick mal ein Ping an 8.8.8.8 und der Kabelhai sollte dir dann auch den durchgehenden reply vom Google DNS Server zeigen, was dann zeigt das mit der Internet Verbindung alles sauber ist !
Genau das solltest du jetzt auch nochmal mit deinem Gast VLAN wiederholen....
Einmal die Fritte pingen
Einmal 8.8.8.8 pingen
Auch wieder mit dem Wireshark am Fritten LAN Port. Dann hier auch wieder die Absender IP cjecken ist die original ist das NAT sicher aus und alles gut. Auch hier solltest du dann einen Reply sehen von der Fritte (Source IP) an den Gast VLAN Client (Destination IP)
Aber wie gesagt immer mit einem Mirrorport am LAN Port der FB sniffern, denn wir wollen sehen was HIER passiert und nicht am Client.
Spannend ist dann der Ping aus dem Gastnetz an die 8.8.8.8 !
Der sollte am FB Port ankommen und eigentlich solltest du dort dann auch den Reply sehen !
Wunderbar !!! Alles richtig !
Dann funktioniert ja nun endlich mal alles ! Jedenfalls am Router Port der Fritte !!
Letztlich bedeutet das das der OWRT Router das eingehende ICMP Reply Paket (Im Sniffer Trace Nr. 69) von der Fritte mit der Source IP 8.8.8.8 und der Destination IP 102.168.3.106 NICHT auf den Client wiederleitet !
Der Buhmann ist also hier der OWRT Router !!
Klick mal auf diese Paket Nr. 69 und sieh dir mal die Destination Mac Adresse an im Mittelfenster des Wireshark an (Paketinhalt) ! Das müsste die Mac Adresse des OWRT WAN Ports sein (ifconfig) ?! Richtig ?
Source Mac müsste die Mac Adresse der Fritte sein.
Wenn die Destination Mac die des OWRT ist dann ist alles richtig und dann können wir davon ausgehen das das Paket Nr.69 auch am OWRT ankommt am WAN Port.
Der OWRT es dann aber nicht weiterroutet ins Gast Segment an den Client .3.106.
Der Grund dürfte vermutlich sein das der OWRT irgendwie noch iptables (Firewall) aktiv hat auf dem WAN Port und dort dieses Paket blockiert.
Das ist jetzt noch deine allerletzte Hürde vor einem funktionierenden Router !!!
Dann funktioniert ja nun endlich mal alles ! Jedenfalls am Router Port der Fritte !!
Letztlich bedeutet das das der OWRT Router das eingehende ICMP Reply Paket (Im Sniffer Trace Nr. 69) von der Fritte mit der Source IP 8.8.8.8 und der Destination IP 102.168.3.106 NICHT auf den Client wiederleitet !
Der Buhmann ist also hier der OWRT Router !!
Klick mal auf diese Paket Nr. 69 und sieh dir mal die Destination Mac Adresse an im Mittelfenster des Wireshark an (Paketinhalt) ! Das müsste die Mac Adresse des OWRT WAN Ports sein (ifconfig) ?! Richtig ?
Source Mac müsste die Mac Adresse der Fritte sein.
Wenn die Destination Mac die des OWRT ist dann ist alles richtig und dann können wir davon ausgehen das das Paket Nr.69 auch am OWRT ankommt am WAN Port.
Der OWRT es dann aber nicht weiterroutet ins Gast Segment an den Client .3.106.
Der Grund dürfte vermutlich sein das der OWRT irgendwie noch iptables (Firewall) aktiv hat auf dem WAN Port und dort dieses Paket blockiert.
Das ist jetzt noch deine allerletzte Hürde vor einem funktionierenden Router !!!
Problem ist nur, dass ich den Firewall auch schon komplett deaktiviert habe und selbst da geht es nicht.
Mmmhhh...entweder scheinbar nicht oder was anderes hintert den OWRT dieses Paket richtig forzuwarden.Rennt auf dem OWRT ein tcpdump ?? Wenn nicht kannst du das als Pacjake installieren.
Du kannst dann mal mit tcpdump -i >wan_int> sehen ob das Paket reinkommt und was damit geschieht.
Der Router hat irgendwein Problem das auf das 3er netz forzuwarden was auch immer... Meist ist das ne Firewall.
Oh man, das ist ja ein echter Akt und schwere Geburt. Ich hätt längst 30 Euro investiert und einen Mikrotik gekauft. Dann würde das Ganze seit 2 Wochen fehlerfrei rennen
Zitat von @aqui:
Oh man, das ist ja ein echter Akt und schwere Geburt. Ich hätt längst 30 Euro investiert und einen Mikrotik gekauft.
Dann würde das Ganze seit 2 Wochen fehlerfrei rennen
Oh man, das ist ja ein echter Akt und schwere Geburt. Ich hätt längst 30 Euro investiert und einen Mikrotik gekauft.
Dann würde das Ganze seit 2 Wochen fehlerfrei rennen
Ich bewundere Deine Geduld.
lks
Recht hast du aber na ja... bei OWRT ist ja ein gewisser Forscher- und Entdeckerdrang immer dabei
Hier ists aber jetzt auch 5 vor Knopf...
Die OpenWRT Konfig ist speziell auf der TP-Link Hardware wirklich eine Strafe auch für einen Vollblut Netzwerker und nix für Klicki Bunti GUI Weicheier soviel ist sicher.
Ich habs jetzt auf meiner 841N Gurke hier am laufen...die Kiste routet wie sie soll mit dem Design des TO.
Ich würde aber trotzdem immer einen Mikrotik nehmen weil man sich das was Verlässlichkeit der Funktion anbetrifft einfach viel sicherer fühlt.
Vor allen Dingen wenns mal ne Änderung gibt, neues VLAN oder so geht das Drama auf dem OWRT ja wieder los. Und wenn der TO mal nicht da ist wird wohl keiner Ahnung von ner Linux Shell haben.
Beim Mikrotik ist das ein Mausklick und gut iss....
Hier ists aber jetzt auch 5 vor Knopf...
Die OpenWRT Konfig ist speziell auf der TP-Link Hardware wirklich eine Strafe auch für einen Vollblut Netzwerker und nix für Klicki Bunti GUI Weicheier soviel ist sicher.
Ich habs jetzt auf meiner 841N Gurke hier am laufen...die Kiste routet wie sie soll mit dem Design des TO.
Ich würde aber trotzdem immer einen Mikrotik nehmen weil man sich das was Verlässlichkeit der Funktion anbetrifft einfach viel sicherer fühlt.
Vor allen Dingen wenns mal ne Änderung gibt, neues VLAN oder so geht das Drama auf dem OWRT ja wieder los. Und wenn der TO mal nicht da ist wird wohl keiner Ahnung von ner Linux Shell haben.
Beim Mikrotik ist das ein Mausklick und gut iss....
Zitat von @113726:
Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte
Zuverlässigkeit kaufen oder sich später Jahrelang mit deinem Mist rumschlagen müssen , was ist da wohl besser und im Endeffekt vor allem billiger hmm. Vor allem wenn das Teil mal verreckt oder du ein Security-Update machen musst... dann ist die Kacke mit OpenWRT aber richtig am Dampfen .... Vor allem wenn die Zeit drängt ...Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte
Sorry aber wer keinen Fuffy für vernünftige Hardware ausgeben will ist selber schuld.
Nen Fuffy hab ich hier in zwei Sekunden mit meinem CFD-Robot wieder reingeholt, und Montag geht's mal wieder in Urlaub das hat nur 10 Minuten gedauert ...
Meine Güte ist das hier eine Kleinkrämerkacke ...
Also, ein wlan mikrotik kaufen mich wieder einarbeiten oder mit dem wrt weiter probieren?
Mikrotik kaufen. Punkt. Ende. Aus.
Ahhhhhhhhhhhhhh hoffentlich hat ers jetzt endlich geschnallt ....
Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte
Na ja dann sinds halt eben popelige 42 Euronen !http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
Dann muss ich mich dort natürlich auch einarbeiten.
Dafür brauchts 15 Minuten. Das GUI ist intuitiv außerdem hast du hier abtippfertige Konfigs.Grundkonzept bleibt, du tauschst nur den OWRT aus.
Haben es mit dem OWR versucht, aber hat nicht geklappt
Hier hats geklappt ! Meine 841N Testkiste macht was sie soll, trotzdem ists aber ein Drama und mit der Mikrotik Lösung fährst du auf lange Sicht erheblich besser und verlässlicher !Wenn du dazu aber wieder Fragen hast mache bitte einen neuen Thread auf nicht das dieser hier noch monströser wird !
Zeit hier für Wie kann ich einen Beitrag als gelöst markieren?