holyone
Goto Top

2 WLANs mit 2 Lancom APs ohne WLC

Nach einigen quälenden Stunden voller Fehlversuche bin ich derart verunsichert, dass ich die folgende Frage hier stellen muss.

Hallo zusammen,
ich hoffe ihr könnt mir weiterhelfen.

Folgendes, ich habe hier 2 L-322agn (Im folgenden AP01 und AP02 genannt) mit LCOS 8.80.
Ziel ist es zwei W-LAN-Netze mit diesen APs aufzubauen (Intern + Gast).

Probleme habe ich bei der Kopplung der beiden APs, ich finde zwar einige Anleitungen von Lancom aber so wirklich weiterhelfen tun sie mir nicht. Im Moment hängen beide APs in einem Netz (LAN) und die WLANs sind über den Isolierten Modus (Routing Modus) getrennt.

Das Hauptproblem welches ich habe, ich bekomme es einfach nicht hin, dass sich die beiden APs im gleichen Netz befinden und sehen. Da ist nämlich das Routing-Problem. Denn AP01 bedient auch nach allen Bemühungen nur seine eigenen Netze und AP02 seine eigenen Netze. Die Lancom KB hilft mir da kein Stück weiter.

Ich habs bereits mit einer P2P-Verbindung probiert, diese wird auch Hergestellt und es werden Daten ausgetauscht jedoch ohne Effekt.

Ich stehe da irgendwie ziemlich auf dem Schlauch.

Vielleicht gehts ja ganz einfach....
deswegen nochmal mein simples Ziel:
AP01 und AP02 sollen Zusammen die Netze Intern und Gast austrahlen.

Ich danke euch schonmal im Voraus

Content-ID: 203027

Url: https://administrator.de/contentid/203027

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

MrNetman
MrNetman 08.03.2013 um 11:50:33 Uhr
Goto Top
Hi Heiliger,

nur zum Verständis:
Du isolierst deine beiden APs mit dem passenden Modus und wunderst dich später, dass sie nicht zusammenarbeiten.
Die beiden APs gehören in ein flaches Netz mit VLANs und müssen jeweils am Trunk hängen um die beiden SSIDs sauber weiter zu verteilen und zu routen.
Über den Router bestimmts du, dass das interne Netz mit der internen SSID kombiniert ud das Gast-Netz (Gast-SSID) nur ins Internet kommt.

Gruß
Netman
holyone
holyone 08.03.2013 um 12:07:02 Uhr
Goto Top
Hallo Netman,
erstmal Danke für deine Anregungen.
Das Problem ist im Prinzip folgendes aus unserem Router kommt genau 1 Netz Raus (die DMZ), es ist euch kein Platz für mehr Netze (von den Ports her). Das interne Netz ist hinter einer Sophos UTM. Deswegen der Isolierte Modus, damit ich im AP die Verwaltung der Netze steuern kann. Da ich das Gast-Netz in der DMZ hab und das Interne-WLAN-Netz durch die Sophos UTM routen möchte.
Die beiden WLANs haben jeweils ein eigenes Subnetz. Das wäre aber im Bridging-Modus so nicht umsetzbar. Die VLAN-Trennung ist mir da zu intransparent.

Was mir auf Anhieb einfällt, wäre ein Router vor den APs. Dann wär auch der Bridging Modus realisierbar mit 2 physisch getrennten Netzen. Die APs haben jeweils 2 LAN-Schnittstellen und 2 WLAN-Schnittstellen.

Ich würde es dennoc sehr begrüßen, wenn es ohne zusätzliche Hardware realisierbar wäre.

- holyone
MrNetman
MrNetman 08.03.2013 um 12:20:51 Uhr
Goto Top
Die Sophos UTM könnte theoretisch auch solche Aufgaben erfüllen. Leider sagst du ja nichts zu Version und Hardware aus.

Aber die beiden APS müssen im Layer2 miteinander kommunizieren können, sonst sind sie quasi isoliert und können keine Handover. Das gilt auch fürs Gast-WLAN, wobei das Handover dort nicht als kritisch anzusehen ist. Es gilt aber in jedem Falle eine konstante Trennung der internen und Gastnetze vorzunehmen. Dazu sind VLANs nötig. Und für den Internetzugang ist ein Router oder ein routing Device mit einem anderen IP-Netz (Bereich) nötig.

Aber du sagst nicht, dass du am Router ein komplettes öffentliches Netz betriebst (Aus dem Router kommt nur ein Netz raus - die DMZ)

Und bridging wird am AP gemacht. Dein Job für die Konfiguration ist Routing und das Verfolgen von Sicherheitsmechanismen.

Netman
aqui
aqui 08.03.2013 aktualisiert um 13:17:17 Uhr
Goto Top
Das ist das gängige Multi SSID Thema bei APs !
Wie bereits gesagt sind VLANs auf dem Switch dafür zwingend. Ein billiger Dummieswitch reicht dafür nicht !
Hier an diesem Tutorial kannst du die genaue Funktionsweise ersehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> Kapitel "Praxisbeispiel" !
holyone
holyone 08.03.2013 aktualisiert um 13:58:27 Uhr
Goto Top
Eine Layer 2 Verbidnung besteht ja durch das Point-to-Point.

Textdiagramm des Netzwerks. (Da ich hier irgendwie keine Bilder einfügen kann)

[WAN/INET]-----[Router]------[DMZ]-------[UTM]--------[Intern]

Router: Lancom 7100 VPN
UTM: Sophos UTM 110 Hardware Appliance mit BasicGuard

Da die APs wie bereits erwähnt 2 physische LAN und WLAN Schnittstellen haben, brauch man doch nicht zwingend VLAN oder? Ich kann die beiden Netze ja physisch trennen...
MrNetman
MrNetman 08.03.2013 um 14:23:38 Uhr
Goto Top
Als TO kannst du Bilder einfügen.

Du hast aber vergessen dein GAST-WLAN einzuzeichen. Spätestens am Internetzugang bist du auf einer Leitung und von da kommt der Gast dann auch ins interne Netz. Also schön sauber mit VLANS arbeiten. Auch dein AP verlangt dies zwingend. Oder warum glaubst du, dass du damit nirgendwo hin kommst?

Und du hast fürs Routing genügend UTM-Ports. Und sie bietet sogar ein vordefiniertes Szenario für den Hotspot. Muss nur sinnvoll angeschlossen werden. VErmutlich kannst du sie sogar mit getaggten VLAN-Ports anfahren. Dann brauchst du weiter nichts mehr als LEsen und konfigurieren.
holyone
holyone 08.03.2013 um 14:52:31 Uhr
Goto Top
Also zur UTM.
Ich würde jetzt vom Router zur UTM gehen.

Also [Router]-----[UTM]

Die UTM hat 4 Ethernet ports. LAN, WAN, DMZ, HA.
Dann würde ich mit tagged VLAN und Subnetzen die Netze Trennen.
[Router] --> [WAN-Port UTM][UTM]
[UTM][LAN Port UTM] --> Intern
[UTM][DMZ Port UTM] --> DMZ

Dann müsste ich ja dementsprechend die APs mit 1 Port ins DMZ und 1 Port ins interne hängen oder nicht ?
Baue ich damit nicht ne feine Backdoor ein?
Und vorallem hätte ich trotzdem gerne eigene IP-Adressbereiche für die WLANs. Dann haut aber das aber mit dem Router Modus nicht hin. Und nen Routing Problem in die WLANs habe ich ja auch, da die beiden APs sich nicht absprechen.

Das ist das was mir Kopfzerberechen bereitet...
MrNetman
MrNetman 08.03.2013 um 16:32:53 Uhr
Goto Top
Ich sehe drei genutzte Ports:
Router
DMZ
intern (getaggt)

Intern wird jetzt getaggt und mit dem VLAN intern und Gäste(WLAN) versehen. Dann wird dort bestimmt, dass die Pakete vom Gäste WLAN direkt zum Router gehen. Das WLAN intern kann, muss aber nicht mit einem eigenen IP-Range versehen werden und wird auf dem selben Port wieder raus ins interne Netz oder eben auch ins Internt geroutet.

Wenn du nur die WLANs ins VLAN sperren willst, dann kannst du auch einen zweiten internen Port fürs WLAN nutzen und nur den getaggt konfigurieren. Die UTM ist hier immer der Router und der Router wird praktisch nur mehr als eine art besseres Modem verwendet. Über Funktionen der UTM kannst du dann noch DHCP-Helper konfigurieren, die es den Clients erlauben zentral IPs vom DHCP Server zu bekommen.
Die APs werden nicht geroutet. Jede der SSIDs ist in einem eigenen VLAN (Layer2-Netz) und kann somit die Clients übergeben. Die APs werden also auch getaggt angebunden.

lg Netman
holyone
holyone 18.03.2013 aktualisiert um 13:56:01 Uhr
Goto Top
Hi,
sorry für die späte Rückmeldung.
Ich hatte mir jetzt folgendes Szenario gedacht.
Die APs hängen in einem eigenen Netz. Die VLANs sind auf den APs eingerichtet (noch nicht getestet).VID 2 und 3.
Ich hab den ETH-LAN so konfiguriert, dass ihm die VID wurst ist und die Pakete einfach ohne Aktion durchlässt.
Die Beiden APs hängen physisch an einem Switch. Welchem die VIDs auch egal sind und die getaggten Pakete so weiterleitet wie sie sind.
Jetzt kommen wir zur UTM. Die versuche ich gerade hinsichtlich VLAN zu konfigurieren und muss feststellen dass das nicht so das Gelbe vom Ei ist.
Da ich nur 1 VLAN pro Port hinbekomme. Mehrere VLANs pro Port würden nur mit unterschiedlichen IPs gehen.
Kurzum: Die Trennung durch VLANs zwischen dem Internen und dem Gast-Netz findet nur in den APs statt.

Jetzt zur Frage:
Reicht es nicht dann den Verkehr innerhalb der UTM nur mit FW-Regeln einzuschränken?

Gruß Holyone
MrNetman
MrNetman 18.03.2013 um 15:06:39 Uhr
Goto Top
Zitat von @holyone:
Ich hab den ETH-LAN so konfiguriert, dass ihm die VID wurst ist und die Pakete einfach ohne Aktion durchlässt.
Die Beiden APs hängen physisch an einem Switch. Welchem die VIDs auch egal sind und die getaggten Pakete so weiterleitet wie sie sind.
Wenn ich die beiden Sätze recht verstehe, klappt es nicht.

Am AP müssen die VLANS (korrespndierend mit den SSIDs) konfiguriert sein und getaggt an den Ethernet Port übergeben werden. Der Switchport muss diese beiden VLANs auch genau so konfiguriert haben und die Pakete getaggt entgegen nehmen. Sonst klappt das nicht.
Die UTM wird dann auch mit einem uplink angefahren, der getaggt ist oder teilweise getaggt ist.
Alles andere funktioniert entweder gar nicht oder die gedachte trennung wird so aufgehoben, dass alle Sicherheitsmechanismen ausgehebelt sind.

Und das VLAN-Konzept lebt davon, dass es unterschiedliche Netze hat. Also unterschiedliche IPs pro VLAN. Die UTM routet dann und hat die Kontrolle der Verbindungen.

GRuß
Netman
holyone
holyone 20.03.2013 um 15:54:56 Uhr
Goto Top
Ich habe jetzt ein Testszenario aufgebaut:

UTM (Port 4) - AP - 1 Notebook im Gast WLAN (VLAN 1) und 1 Notebook im internen WLAN (VLAN 2).

Port der UTM hat also 2 IPs (VLAN 1:10.10.10.10 und 2: 10.10.20.10).

Wenn ich jetzt von dem Gast-Notebook den Port der UTM im VLAN 2 anpinge (10.10.20.10), dann komme ich durch.
Wenn ich von dem Gast-Notebook das Intern-Notebook anpinge komme ich nicht durch. Warum kann ich den Port anpingen? Das bedeutet doch dann, dass ich theoretisch von VLAN 1 ins VLAN 2 komme oder ?

Vielleicht kann mir jemand verraten wie die UTM mit dem VLAN tagging arbeitet.

Dieser Umstand verwirrt mich im Moment.

Ich danke euch/dir für die bisherigen mühen.
MrNetman
MrNetman 20.03.2013 um 21:38:34 Uhr
Goto Top
VLAN1 kann je nach Gerät und Hersteller eine Sonderfunktion haben.
Erkenntlich oft daran, dass man es nicht deaktivieren kann.
das default VLAn ist dafür gedacht unkonfigurierte Geräte in das VLAN auf zunehmen. Danach kann man das entsprechende Gerät korrekt konfigurieren.

Also schau mal drauf. Usprünglich hast ja mal VLAN2 und 3 erwähnt. Du solltest dir das aufschreiben und nicht ständig wechseln.

Außerdem soll ein Router ja Verbindungen schaffen. Der Ping vom einen VLAN in das andere ist ja Sinn und Zweck der Sache. Hier kommt die Stärke der UTM. Sie ist eine Firewall und kann das auch verhindern oder eben nach Regeln verhindern. Was gehen soll oder nicht hast du nun in selbst der Hand.

Gruß
Netman
holyone
holyone 21.03.2013 um 08:37:04 Uhr
Goto Top
Ok, sorry. Sind VLAN 2 und 3.
Mit dem UTM-Regelwerk habe ich jetzt dem VLAN des Gast-WLANs (bzw. die IP) jeglichen Zugänge zu anderen Netzen verwehrt. Funktioniert auch soweit.

Ich warte jetzt noch auf den Switch für das Netz mit den APs. Dann kann ich eine Testumgebung aufbauen, die sehr nahe an der Endgültigen Lösung ist.

Ich bedanke mich schonmal sehr für deine Hilfe !

Gruß
holyone