mc-doubleyou
Goto Top

D-Link DIR-615 als AP mit eigenem DHCP (wegen MAC Filter)

Hallo zusammen,

wir möchten gerne einen D-Link DIR-615 als AP betreiben, klappt auch wenn er nicht selbst den DHCP Pool macht sondern der Router (ZyXEL) dahinter, allerdings schaffe ich es so nicht einen sinnvollen MAC Filter zu implantieren, weil ich nur das Webinterface sperren kann. Nicht jedoch den Netzzugang.

Kann ich, durch zB dd-wrt, den eigenen DHCP Pool erreichen?

Theoretisch müsst es doch gehen, sofern der DHCP Pool Teil des Netzes ist.

LAN: 192.168.1.0/24
DHCP Router: 192.168.1.1 - 192.168.1.100
DHCP AP: 192.168.1.101 - 192.168.1.200

Diese Anleitung lässt aber gegenteiliges vermuten: http://www.dd-wrt.com/wiki/index.php/Wireless_Access_Point#Simple_Versi ...


Ein alternativer Ansatz (gefällt mir aber nicht) wäre nicht den AP Mode zu nutzen sondern ein eigenes Netz aufzuziehen.

LAN: 192.168.1.0/24
WLAN: 192.168.2.0/24

Danke für eure Unterstützung!

LG mcdy

Content-ID: 234532

Url: https://administrator.de/forum/d-link-dir-615-als-ap-mit-eigenem-dhcp-wegen-mac-filter-234532.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
aqui 04.04.2014 um 10:07:18 Uhr
Goto Top
Dieses Forumstutorial erklärt dir in der Alternative 3 wie so ein AP Betrieb mit einem Router zu machen ist:
Kopplung von 2 Routern am DSL Port

Auf dem zum AP gemachten Router aktivierst du dann schlicht und einfach den Mac Adressfilter und trägst dort deine WLAN Client Mac Adressen ein die über den AP ins Netz dürfen.
Das ist mit 3 Mausklicks im DD-WRT erledigt ?!
Wo ist denn da jetzt dein Problem ??
mc-doubleyou
mc-doubleyou 04.04.2014 um 10:17:29 Uhr
Goto Top
Hey aqui,

erstmal danke für deine tolle Anleitung, allerdings steht auch hier ganz klar aktiviere keine zwei DHCP Server:

! Wichtig !: Dieser DHCP Server im Router-2 MUSS nun unbedingt ABGESCHALTET sein, damit es nicht mit dem DHCP Server, der ja auf dem ersten Internet DSL Router aktiv ist, zu sich überschneidenden IP Adressvergaben und somit zu Adress Chaos im Netz kommt !
In einem Netzwerk darf immer nur ein einziger DHCP Server aktiv sein !!
Also diesen DHCP Server am 2ten Router nun in den LAN/TCPIP Settings unbedingt deaktivieren !


So kann ich aber die Einstellung auf der ZyXEL (Pool nur nach größe der fixen Geräte usw.) nicht so fein treffen weil ja auch WLAN DHCP Adressen verfügbar sein müssen. Gut damit können wir leben.

Allerdings nutzt der MAC Filter auf der Standard D-Link Firmware nur, dass der Zugriff auf das Webinterface unterbunden wird, die DHCP Abfrage wird aber einfach durchgeschleift und der Internetzugriff klappt problemlos (in diesem Fall leider).

Danke!

LG mcdy
brammer
brammer 04.04.2014 um 10:41:35 Uhr
Goto Top
Hallo,

generell gilt aber aber das zwei DHCP Server in einem Netz nur Probleme nach sich ziehen!
Und was willst du mit einem MAC Filter?

Der ist in 10 sekunden ausgehebelt. MAC Adressen Spoofing

Dann solltest du lieber mit Zertifkaten arbeiten.

brammer
aqui
aqui 04.04.2014 aktualisiert um 11:07:05 Uhr
Goto Top
Hier verwechselst du wohl was, sorry. Einen Wireless Mac Filter hat jeder Baumarkt WLAN Router für 20 an Bord. Sowas ist mittlerweile simpler Standard. Ein DIR-300 mit original Firmware hier hat es jedenfalls ! DD-WRT Firmware so oder so.
Diese Einstellung findest du unter Wireless und hat mit dem System nichts zu tun.
Man darf auch bezweifeln das in einem Router ein Mac Adress Filter irgendwelche Zugriffsbeschränkungen des WebSetup steuert. Keiner der bekannten Consumer Router Hersteller macht sowas.
Kann das sein das du da irgendwas verwechselst ? Mixt du hier ggf. Mac basierte DHCP Adressvergabe mit einem Wireless Mac Filter wild durcheinander ?

Ein Mac Filter für den Wireless Zugang kann wie gesagt jeder popelige Router am Markt...sogar Billigheimer D-Link kann das auf allen Modellen.
Kollege brammer hat ja auch oben schon beschrieben wie sinnfrei ein wireless Mac Filter ist. Besser ist wie gesagt dann eine Radius basierte Authentisierung:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Funktioniert sogar mit einem RaspberryPi als Authentisierungs Server face-wink
mc-doubleyou
mc-doubleyou 04.04.2014 um 12:09:23 Uhr
Goto Top
Hallo ihr zwei,

klar ist es nicht DIE Sicherheit, allerdings glauben das zumindest unsere Vorgesetzen und daher wollen sie:

- SSID nicht sichtbar
- WPA2 Schlüssel
- MAC Filter

wenn ich nun den AP Mode des D-Links (keine Internetconfig, nur LAN Config OHNE DHCP) nutze und hier (http://imgur.com/iVmJV0M) den Filter setze (beim Screen Blacklist, sonst White) komme ich zwar nicht mehr auf das Webinterface des D-Link aber problemlos ins Internet.
Ziel wäre aber keinen Zugriff zu haben.

Die ZyXEL kann es aber auch nicht, weil kein WLAN und bietet nur statisches DHCP an.

Ich fürchte also es wird der alternative Ansatz werden müssen, so betreibe ich jedes Netz extra und kann natürlich auch 2x DHCP einsetzen.

Sollte noch was unklar sein, bitte fragen, Danke!

LG mcdy
aqui
Lösung aqui 04.04.2014, aktualisiert am 09.01.2015 um 11:44:09 Uhr
Goto Top
glauben das zumindest unsere Vorgesetzen
Ha ha ha ha....lass uns mal raten: Das sind bestimmt Kaufleute die das glauben und du musst den Unsinn umsetzen oder was ? DU bist doch der IT Verantwortliche ! Warum machst du denn nicht den Mund auf und erklärst ihnen mal warum das nicht so ist. Bist du nicht genau dafür auf den Posten eingestellt worden oder arbeitest du beim Bund nach dem Vorbild "Befehl und Gehorsam" ?? Komisches IT Verständnis...aber nundenn ?!
Zurück zur Fragestellung...

Du hast es immer noch nicht geschafft hier mal klarzustellen WAS für eine Mac Liste du denn nun final meinst ??
Du schwadronierst weiterhin immer was von DHCP und wireless Mac Listen. Das eine hat aber mit dem anderen nicht das geringste zu tun und sind völlig andere Baustellen !!

Die Wireless Mac Liste lässt nur solche WLAN Clients an den Accesspoint ran die in der Liste vertreten sind die du im Wireless Setup des APs definierst. DHCP hat hiermit NICHTS zu tun. Der AP filtert diese aus den Absender Paketen der WLAN Clients !!
Diese Funktion hat auch der billigste AP vom Blödmarkt Grabbeltisch an Bord, das ist heute Commodity auf allen Wireless Produkten. D-Link Gurken sind da keine Ausnahme.

Die DHCP Mac Liste kommt erst hinterher wenn die Client Assoziierung mit dem AP gemacht ist und das WLAN aufgebaut ist und IP Pakete transportiert werden. Sie bestimmt welche Mac Adresse dann welche IP aus einem DHCP Pool bekommt. Also gewissermassen eine IP Adressvergabe auf Basis der Mac Adresse.
Das ist ein Feature was nicht alle Produkte haben sondern nur wenige. Für die Funktion ist das auch nicht zwingend man kann so festlegen WER dann WELCHE IP bekommt. Die meisten APs vergeben das wahllos aus einem IP Pool. Normalerweise lässt man NIE den AP IPs vergeben in einem Netzwerk sondern lässt das immer zentral einen DHCP Server machen um das wie gesagt zentral zu verwalten und nicht x Mal an jedem AP, was so oder so nicht geht mit multiplen DHCP Servern.

Beide Mac Verfahren sind aber 2 vollkommen unterschiedliche Verfahren, die GAR NICHTS miteinander zu tun haben und unabhängig voneinenader funktionieren ! Hoffentlich ist das jetzt klar !
Eine Mac Filterliste auf der Wireless Seite hat jeder popelige Accesspoint auch die D-Link Gurken von dir ! Oder müssen wir dafür hier noch einen Screenshot posten damit du es glaubst ?!

Nochwas: Bitte keine externen Bilderlinks mit Zwangswerbung hier im Forum ! Bei der Erstellung deines Threads kann es dir nicht entgangen sein das das Forum hier eine wunderbare Bilder Upload Funktion hat:
Userlogo oben klicken, dann das gelbe "Fragen" Feld, Thread auswählen, Bearbeiten klicken, genau hinsehen oben ist die "Bilder hinzufügen" Funktion, klicken, Bild hochladen, Bilder URL mit einem Rechtsklick und cut and paste sichern.
Diesen URL kannst du hier in jeglichen Text bringen und... Tataaa...dann sieht man dein Bild im Text.
Schafft jeder Erstklässler wenn er die FAQs liest. OK, ächz heute ist Freitag... face-wink
mc-doubleyou
mc-doubleyou 04.04.2014 um 18:17:00 Uhr
Goto Top
Zitat von @aqui:

> glauben das zumindest unsere Vorgesetzen
Ha ha ha ha....lass uns mal raten: Das sind bestimmt Kaufleute die das glauben und du musst den Unsinn umsetzen oder was ? DU bist
doch der IT Verantwortliche ! Warum machst du denn nicht den Mund auf und erklärst ihnen mal warum das nicht so ist. Bist du
nicht genau dafür auf den Posten eingestellt worden ...

glaub mir ich habs versucht zu erklären, dass ein sicheres Passwort und verstecken für uns ausreichen werden, weil MAC Filter ist nur großer Aufwand ohne wirklich großartigem Effekt, aber irgendwann stagniert man.


Du hast es immer noch nicht geschafft hier mal klarzustellen WAS für eine Mac Liste du denn nun final meinst ??
Du schwadronierst weiterhin immer was von DHCP und wireless Mac Listen. Das eine hat aber mit dem anderen nicht das geringste zu
tun und sind völlig andere Baustellen !!

Die Wireless Mac Liste lässt nur solche WLAN Clients an den Accesspoint ran die in der Liste vertreten sind die du im
Wireless Setup des APs definierst. DHCP hat hiermit NICHTS zu tun. Der AP filtert diese aus den Absender Paketen der WLAN
Clients !!
Diese Funktion hat auch der billigste AP vom Blödmarkt Grabbeltisch an Bord, das ist heute Commodity auf allen Wireless
Produkten. D-Link Gurken sind da keine Ausnahme.

Die DHCP Mac Liste kommt erst hinterher wenn die Client Assoziierung mit dem AP gemacht ist und das WLAN aufgebaut ist und IP
Pakete transportiert werden. Sie bestimmt welche Mac Adresse dann welche IP aus einem DHCP Pool bekommt. Also gewissermassen eine
IP Adressvergabe auf Basis der Mac Adresse.
Das ist ein Feature was nicht alle Produkte haben sondern nur wenige. Für die Funktion ist das auch nicht zwingend man kann
so festlegen WER dann WELCHE IP bekommt. Die meisten APs vergeben das wahllos aus einem IP Pool. Normalerweise lässt man NIE
den AP IPs vergeben in einem Netzwerk sondern lässt das immer zentral einen DHCP Server machen um das wie gesagt zentral zu
verwalten und nicht x Mal an jedem AP, was so oder so nicht geht mit multiplen DHCP Servern.

Beide Mac Verfahren sind aber 2 vollkommen unterschiedliche Verfahren, die GAR NICHTS miteinander zu tun haben und unabhängig
voneinenader funktionieren ! Hoffentlich ist das jetzt klar !

War es auch zuvor ich würd nur eben gerne beides haben.

Eine Mac Filterliste auf der Wireless Seite hat jeder popelige Accesspoint auch die D-Link Gurken von dir ! Oder müssen wir
dafür hier noch einen Screenshot posten damit du es glaubst ?!

Ich habe den Mac Filter siehe Screenshot eingerichtet und wurde nicht etwa aus dem Netz geschmissen, sondern es war dann nur das Webinterface öffnen nicht möglich.

Nochwas: Bitte keine externen Bilderlinks mit Zwangswerbung hier im Forum ! Bei der Erstellung deines Threads kann es dir nicht
entgangen sein das das Forum hier eine wunderbare Bilder Upload Funktion hat:
Userlogo oben klicken, dann das gelbe "Fragen" Feld, Thread auswählen, Bearbeiten klicken, genau hinsehen oben ist
die "Bilder hinzufügen" Funktion, klicken, Bild hochladen, Bilder URL mit einem Rechtsklick und cut and paste
sichern.
Diesen URL kannst du hier in jeglichen Text bringen und... Tataaa...dann sieht man dein Bild im Text.

OK, das war mir nicht klar, ich wusste wie es am Anfang geht, aber im Dialog ist mir nichts besseres eingefallen.

Schafft jeder Erstklässler wenn er die FAQs liest. OK, ächz heute ist Freitag... face-wink

ohja -.-

Ich fasse nochmal zusammen:

Ich habe eine ZyXEL ZyWALL USG ohne WLAN und es soll WLAN nachgerüstet werden, meine Idee war einen billigen Router als AP zu missbrauchen. Wenn ich den AP nun selbst IP Adressen vergeben lasse komm ich nicht ins Internet, wenn das die ZyXEL macht klappt es.

Allerdings sperrt wie es scheint der MAC Filter am AP nur den Zugriff auf das Gerät und DHCP von der ZyXEL wird durchgeschliffen.
Ich konnte also Webinterface des AP nicht öffnen, allerdings normal google.at ansurfen.

Da die ZyXEL kein WLAN besitzt, finde ich aber dort überhaupt keine Möglichkeit MAC Adressen zu sperren, einziger Bereich welcher mit MAC Adressen zu tun hat, ist IP / MAC Binding, also statisches DHCP (wenn man die Haken für das Binding nicht extra setzt).

Danke nochmal und schönes WE.

LG mcdy
aqui
aqui 05.04.2014 aktualisiert um 17:12:46 Uhr
Goto Top
Ich habe eine ZyXEL ZyWALL USG ohne WLAN und es soll WLAN nachgerüstet werden, meine Idee war einen billigen Router als AP zu missbrauchen.
Ist zweifelsohne die richtige Vorgehensweise wenn es nur 1 oder 2 APs sind...
Wenn ich den AP nun selbst IP Adressen vergeben lasse komm ich nicht ins Internet
Das ist mehr oder weniger nicht verwunderlich aber kommt darauf an WIE du die zum Router gemachten APs an dein LAN anschliesst.
1.) Wenn du es so machst wie hier im Tutorial_Alternative-3 dargestellt also am LAN Port ins lokale LAN gehst und den WAN Port unbeschaltet und den Router so als simple WLAN Bridge also wie ein AP arbeiten lässt, dann ist das klar und für jeden Netzwerker logisch das es in die Hose geht !
Grund sind dann 2 parallele DHCP Server im Netz die um die Wette rennen.
Antwortet nach einem Client DHCP Broadcast der Zyxel zuerst, dann klappt es, da der Client so korrekte IPs bekommt.
Antwortet der zum AP gemachte Router zuerst bekommt der Client dessen IP als Gateway und das Internet ist tot !
Welcher DHCP Server für den Client "gewinnt" ist also reiner Zufall...first come..first serve.
Kann man auch wunderbar kontrollieren wenn man mal ipconfig auf dem Client eingibt und sieht WER dann WELCHE IPs vergeben hat.
Fazit: 2 oder mehr parallele solche DHCP Server im lokalen LAN sind des Client Tod ! Das ist technisch nicht supportet und sollte man niemals machen, den Grund und das Ergebnis hast du selber gesehen und gespürt !
2.) Wenn man es "umgedreht" macht, also den WAN Port an das lokale LAN anschliesst, dann kann man problemlos den DHCP Server laufen lassen, denn nun routet der WLAN Router ja !
Der interne AP ist über eine Bridge ja immer am lokalen LAN was nun nicht angeschlossen ist. Der WAN Port ist im lokalen LAN und dort ist der DHCP Server dann nicht mehr sichtbar.
Dieses Szenario funktioniert auch erzwingt aber das der WAN Port dann fest im Setup als DHCP Client eingerichtet werden muss damit er vom Zyxel entsprechende IPs bekommt oder eben ein statisches Setup also das IP Adressen dort manuell vergeben werden aus dem lokalen LAN die NICHT im DHCP Bereich des Zyxel sind und den den Zyxel dann als Gateway eingetragen haben.
Der Konfig Aufwand ist also etwas höher und das WLAN wird dann geroutet über die NAT Firewall des AP-Routers.
Nachteil ist dann das LAN Clients durch die NAT Firewall WLAN Clients nicht mehr erreichen können. Andersrum allerdings erreichen die WLAN Clients alles auch das Internet.
So ein Szenario ist hier am Beispiel des ICS Sharing erklärt !

Leider schreibst du mit keinem Wort für WELCHES dieser beiden Anschluss Szenarien du dich entschieden hast. Zusätzlich hast d vermutlich die typischen grundlegenden Fehler gemacht, die zur Fehlfunktion des ganzen führten !
sperrt wie es scheint der MAC Filter am AP nur den Zugriff auf das Gerät und DHCP
Wenn du hier den WLAN Filter meinst lautet die Antwort JA !
Der WLAN Mac Filter filtert die MAC Adresse noch VOR der Client Assoziierung mit dem WLAN. Ein solcher Client dessen Mac Adresse geblockt wird vom Filter kann also von vorn herein erst gar keine Verbindung zum AP aufnehmen und niemals mit diesem AP ein funktionierendes WLAN etablieren. Zum Senden von IP Paketen DHCP Requests usw. kommt es hier also gar nicht erst.
Da die ZyXEL kein WLAN besitzt, finde ich aber dort überhaupt keine Möglichkeit MAC Adressen zu sperren
Das wäre logisch gesehen ja auch völliger Unsinn, denn wenn der Zyxel diese Mac Adressen "sieht" ist es ja schon zu spät, denn der Client ist ja dann schon logischerweise im Netz ! Abgesehen davon hat der Zyxel vermutlich auch keine Layer 2 Filter Option von Mac Adressen am lokalen LAN Port, oder ?

Auch kann der Zyxel diese Mac Adresse nur einzig dann sehen, wenn der AP so angeschlossen ist wie oben unter 1.) beschrieben als als Bridge über den LAN Port ! (ohne WAN Port)
Ist er wie in 2.) als Router angeschlossen über den WAN Port macht der AP-Router NAT über den WAN Port. Alle WLAN Clients tauchen im lokalen LAN des Zyxels also immer mit der IP Adresse des WAN Ports des Routers dort auf und natürlich auch mit dessen Mac Adresse.
Sniffer das mit dem Wireshark, dann siehst du es selber !
In diesem Szenario wäre natürlich ein Client MAC Filter also völliger Blödsinn, da hier ja niemals Client Mac Adressen oder IP WLAN Adressen im lokalen Netz auftauchen sondern durchs NAT immer nur die WAN IP und WAN Mac des Routers...auch logisch !
Es leuchtet dann auch ein das IP / MAC Binding, also statisches DHCP am Zyxel damit dann auch unsinnig ist !

Und jetzt bitte nicht wieder alles zitieren hier...!
mc-doubleyou
mc-doubleyou 07.04.2014 aktualisiert um 15:39:58 Uhr
Goto Top
Hallo aqui,

zum Lösungsansatz 2 bin ich auch gekommen und habe nun folgenden Aufbau:

ZyXEL (Router):
LAN: 10.20.20.0/24 (GW: 10.20.20.254)

D-Link (AP):
WLAN: 10.40.20.0/24 (GW: 10.40.20.254)
WAN: 10.20.20.245 (GW: 10.20.20.254)

Habe somit nun für eine Betriebsstätte 3 Netze (LAN, WLAN und VPN)

Soweit ich weiß kann ich das nicht schöner lösen wenn die die WAN Seite des AP nutze.

Ich komm so auch aus dem WLAN ins LAN uns so ins Internet, allerdings komme ich trotz statischer Router am ZyXEL nicht vom LAN auf WLAN (wahrscheinlich Firewall oder so). Wobei was mich viel mehr stört ist, dass ich die Site 2 Site VPN Verbindung (Fernwartung) von der Zentrale nicht nutzen kann weil diese natürlich nur das Netz 10.20.x.x/24 kennt nicht jedoch 10.40.x.x/24 oder 10.30.x.x/24

Der Ansatz ist doch aber richtig oder?

Danke!

LG mcdy
mc-doubleyou
mc-doubleyou 08.04.2014 um 09:26:43 Uhr
Goto Top
Hallo zusammen,

ich habe ein weiteres Problem entdeckt, aus dem WLAN kann ich zwar alle Geräte im LAN pingen, allerdings lässt sich der SMB Share nicht öffnen, wahrscheinlich weil der D-Link DIR-615 (AP) WAN seitig die Antwort blockt.

Sollte ich doch besser auf dd-wrt umsteigen, oder lässt sich das auch mit der CFW lösen?

Als zusätzliche Info, Pingen aus dem LAN ins WLAN scheitert jedoch. Es geht also durch GW die Anfrage ins 10.20.x.x/24 Netz, nicht jedoch aus diesem hinaus.

Danke!

LG mcdy
aqui
Lösung aqui 08.04.2014, aktualisiert am 09.01.2015 um 11:43:50 Uhr
Goto Top
Soweit ich weiß kann ich das nicht schöner lösen wenn die die WAN Seite des AP nutze.
Nein, kann man nicht ! Wie sollte es auch schöner gehen, bzw. WAS meinst du denn mit "schöner" ???
allerdings komme ich trotz statischer Router am ZyXEL nicht vom LAN auf WLAN (wahrscheinlich Firewall oder so).
Deine Vermutung ist richtig und zeigt aber auch das du dir den Thread oben vermutlich NICHT oder wenigstens nicht richt durchgelesen hast ?!!
Am WAN Port des Routers werkelt doch immer ein NAT (IP Adress Translation) wie jeder Netzwerker weiss und was dir oben im Thread auch haarklein erzählt wurde !! Wie sollten sonst interne RFC 1918 IPs (Private IP Adressen) im Internet geroutet werden wenn das Internet diese RFC 1918 IP Adressen gar nicht kennt ?? Also die Grundfunktion des Routers wenn man ihn nicht als AP missbraucht.
http://de.wikipedia.org/wiki/Private_IP-Adresse
Ein simples Grundprinzip von Heimroutern...jeder Netzwerker kennt das !
Die NAT Firewall verhindert ein transparentes Routing, das ist also immer nur eine Einbahnstrasse.
Um transparent zu routen musst du das NAT deaktivieren !! Richtig vermutet.... Mit der D-Link Originalfirmware geht das aber nicht wie bei fast allen Billigroutern, da es fest eingebrannt ist.
Die Lösung ist aber kinderleicht wenn du dir ein DD-WRT auf den D-Link flashst !!
http://www.dd-wrt.com/site/support/router-database --> Eingabe "DIR 615" hier.
Damit kannst du das NAT dann deaktivieren und beide Seiten dann transparent erreichen wie du es möchtest.

Dieses Forumstutorial erklärt dir die Funktion im Kapitel "Wichtige Einstellungen des WAN Ports":
Mit einem WLAN zwei LAN IP Netzwerke verbinden

Alles also ganz easy wenn man hier mal die Suchfunktion benutzt !!
mc-doubleyou
mc-doubleyou 11.04.2014 um 19:34:04 Uhr
Goto Top
Hey aqui (ja, sry ich bins schon wieder -.-)

ich hab nun deine Links alle (hoff ich zumindest) mehrfach gelesen und bin doch so schlau wie schon zuvor. eigentlich bin ich mir ja sicher es richtig zu machen. Schließlich hatte ich meist schon vor euren Antworten vermutung wollte mich aber absichern. Jetzt allerdings stehe ich endgültig an.

Die Sache sieht wie folgt aus:

ZyXEL USG 200 mit vielen aktiven Tunnel

LAN: 10.20.20.254 mit DHCP Pool 10.20.20.200 Poolsize: 25
VPN Pool: 10.30.20.1 - 255
Statische Route: 10.40.20.0/24 via 10.20.20.245

D-Link DIR-615 mit dd-wrt

WAN: 10.20.20.245 (sogar per DHCP von der ZyXEL zugewiesen)
LAN/WLAN: 10.40.20.254 mit DHCP Pool 10.40.20.1 - 100
Router Modus

Da nun kein NAT existiert kann ich vom 10.20.20.0/24 Netz 10.20.20.245 pingen, ich komme aber nicht auf 10.40.20.254.
Aus dem 10.40.20.0/24 Netz kann ich 10.20.20.245 pingen aber 10.20.20.254 nicht. Internet ist auch nicht erreichbar.

Ich komme also nicht über den Router selbst weg, am eigenen Interface ist Schluss. Ich vermute irgendeine Firewall blockt entweder am D-Link WAN seitig oder am ZyXEL LAN seitig. Soweit mir möglich habe ich jedoch beides schon mehrfach kontroliert. So habe ich am D-Link die SPI Firewall testweise schon einmal deaktiviert und auf der ZyXEL kontrolliert:

LAN1 darf auf any (excluding ZyXEL) mit any
LAN1 darf auf ZyXEL mit any

Testweise werde ich den D-Link heute mal mit nachhause nehmen und versuchen, was passiert wenn ich ihn hinter einem Netgear mit dd-wrt betreibe.

Scheinbar neue Version von dd-wrt für den DIR-615 habe ich schon probiert dabei den Router aber getötet (nur durch Emergency Mode noch zu retten)

Ich hoffe auf eure Hilfe!

LG mcdy
aqui
aqui 11.04.2014 aktualisiert um 22:23:01 Uhr
Goto Top
ZyXEL USG 200 mit vielen aktiven Tunnel
LAN: 10.20.20.254
und dann schreibst du...
D-Link DIR-615 mit dd-wrt
WAN: 10.20.20.245 (sogar per DHCP von der ZyXEL zugewiesen)
Das ist entweder falsch gemacht, gelogen oder du hast einen Tippfehler gemacht:
  • Du darfst niemals 2mal die gleiche IP Adresse vergeben !! Hier hat der Zyxel und der DD-WRT die .254
  • Du schreibst das diese IP angeblich vom Zyxel kommen soll was aber niemals sein kann denn du sagst selber das dessen Pool von .200 bis .224 geht. Folglich kann der DD-WRT also niemals die .254 bekommen oder der Zyxel hat einen schweren Firmware Bug !
Hier stimmt also generell schon was nicht ?!
kann ich vom 10.20.20.0/24 Netz 10.20.20.245 pingen
Ääääh... das weiss ja jeder Dummie das das geht denn die IPs liegen ja in einem gemeinsamen IP Netz !
ich komme aber nicht auf 10.40.20.254
Hast du auf dem Zyxel eine statische Route ala
Zielnetz: 10.40.20.0 Maske: 255.255.255.0 Gateway: 10.20.20.<wan_dd-wrt>

(Siehe Tutorial hier !)
eingetragen ??
Vermutlich nicht, oder ? Wenn nein schlägt dein Routing damit fehl !
Wenn ja, was sagt ein Pathping oder Traceroute -n dahin ?
Checke in jedem Falle nochmal deine IP Adressierung. Was du oben geschrieben hast kann ja so nicht stimmen !
Nochwas:
Der DD-WRT arbeitet als Router !! Niemals solltest du dem Portadressen per DHCP geben sondern immer feste statische IP und die außerhalb der DHCP Pools !
Sollten sich IP durch DHCP mal ändern geht dein ganzes Routing ins Nirwana weil du auf dem Zyxel eine statische Route hast !
mc-doubleyou
mc-doubleyou 14.04.2014 aktualisiert um 09:29:17 Uhr
Goto Top
Hey aqui

Zitat von @aqui:

> ZyXEL USG 200 mit vielen aktiven Tunnel
> LAN: 10.20.20.254
und dann schreibst du...
> D-Link DIR-615 mit dd-wrt
> WAN: 10.20.20.245 (sogar per DHCP von der ZyXEL zugewiesen)
Das ist entweder falsch gemacht, gelogen oder du hast einen Tippfehler gemacht:
  • Du darfst niemals 2mal die gleiche IP Adresse vergeben !! Hier hat der Zyxel und der DD-WRT die .254
  • Du schreibst das diese IP angeblich vom Zyxel kommen soll was aber niemals sein kann denn du sagst selber das dessen Pool von
.200 bis .224 geht. Folglich kann der DD-WRT also niemals die .254 bekommen oder der Zyxel hat einen schweren Firmware Bug !
Hier stimmt also generell schon was nicht ?!

Erstmal danke für deine Unterstützung aber hier hast du dich dann doch verlesen, weil 245 ist nicht gleich 254 und somit geht das schon. Weiters kann ich der ZyXEL statisches DHCP anschaffen, also wenn diese MAC kommt gib ihr diese IP, auch außerhalb des Pools.

> kann ich vom 10.20.20.0/24 Netz 10.20.20.245 pingen
Ääääh... das weiss ja jeder Dummie das das geht denn die IPs liegen ja in einem gemeinsamen IP Netz !
> ich komme aber nicht auf 10.40.20.254
Hast du auf dem Zyxel eine statische Route ala
Zielnetz: 10.40.20.0 Maske: 255.255.255.0 Gateway: 10.20.20.<wan_dd-wrt>
eingetragen ??

Ja statische Route ist drinen

Wenn ja, was sagt ein Pathping oder Traceroute -n dahin ?

was ist bitte ein Pathping?


Ich habe im übrigen nun zuhause getestet und da klappt es schon weitaus besser, wenn auch nicht perfekt.
Ich komme vom D-Link ins Internet, kann allerdings LAN Devices nicht pingen.
Aus dem LAN ist alles erreichbar.

Ich vermute daher, dass die ZyXEL blockt weil sie das Netz nicht mag (obwohl sie es durch die statische Route kennen müsste).
Soll ich einen eigenen Thread betreffend ZyXEL machen oder verirrt sich ..sk.. zeitweise hier her?

Danke!

LG mcdy
aqui
aqui 14.04.2014 um 09:38:56 Uhr
Goto Top
was ist bitte ein Pathping?
Winblows, Eingabeaufforderung "pathping" eingeben. Ohne Parameter kommt ein Helpfile....
Ich komme vom D-Link ins Internet, kann allerdings LAN Devices nicht pingen.
Zu 98% fehtl da irgendwo ein Gateway Eintrag oder der D-Link sendet mit einer fremden Absender IP den die lokale Firewall blockt. Am besten hier den Wireshark Sniffer nehmen und sich das mal genau ansehen auf dem Draht !
Ich vermute daher, dass die ZyXEL blockt weil sie das Netz nicht mag
OK, nicht "mögen" ist natürlich Unsinn in der IT...weisst du selber. Theoretisch kann das aber sein wenn der Zyxel auch eine Firewall onboard hat. Die musst du natürlich dann anpassen das er all diese IP Netze passieren lässt.
Den Kollegen sk kannst du sicher mit einem Personal Mail auf den Thread aufmerksam machen.
mc-doubleyou
mc-doubleyou 15.04.2014 um 09:45:26 Uhr
Goto Top
Hallo zusammen,

..sk.. scheint nicht da zu sein, gibt es noch andere ZyXEL Spezialisten?

Habe zwar noch etwas recherchiert und dabei entdeckt, dass die statische Route mit eine Policy Route gepaart werden muss, leider bleibt der Erfolg trotzdem aus.

Danke!

LG mcdy
aqui
aqui 15.04.2014 um 10:26:19 Uhr
Goto Top
dass die statische Route mit eine Policy Route gepaart werden muss,
Wäre auch für Zyxel sehr sehr ungewöhnlich und unüblich und stimmt vermutlich nicht, denn das eine hat mit dem anderen nicht das Geringste zu tun.
Kollege sk wird dir das vermutlich bestätigen !
sk
sk 22.04.2014 um 13:33:24 Uhr
Goto Top
Zitat von @aqui:

> dass die statische Route mit eine Policy Route gepaart werden muss,
Wäre auch für Zyxel sehr sehr ungewöhnlich und unüblich und stimmt vermutlich nicht, denn das eine hat mit dem
anderen nicht das Geringste zu tun.
Kollege sk wird dir das vermutlich bestätigen !

In den Anfängen von Zyxels Linux-basierender Routerfirmware ZLD war das Design so, dass statische Routen ausschließlich als Information Base für das Device selbst und fürs dynamische Routing (OSPF, RIP) fungierten. Um diese IB auch für Traffic nutzen zu können, der durch das ZLD-Device hindurch geroutet wird, benötigte man in der Tat noch eine Policyroute, die darauf abstellte. Dieses Design ist aber bereits mit ZLD2.20 grundlegend geändert worden und heute obsolet! Momentan ist auf den Zywalls ZLD3.30 aktuell und ZLD4.10 ist bereits fertig.
Im aktuellen Design ist es aber noch immer so, dass eine Policyroute standardmäßig eine höhere Priorität hat, als eine statische Route. Man kann sich mit einer unbedacht gesetzten Policyroute also eine statische Route wirkungslos machen.

Gruß
sk
sk
Lösung sk 23.04.2014, aktualisiert am 09.01.2015 um 11:43:03 Uhr
Goto Top
Zitat von @mc-doubleyou:
Da die ZyXEL kein WLAN besitzt, finde ich aber dort überhaupt keine Möglichkeit MAC Adressen zu sperren

Der WLAN-Part der USGs unterstützt selbstverständlich auch MAC-Filtering. Die USG200 ließe sich sogar per PCMCIA mit WLAN nachrüsten, allerdings ist die einzig kompatible Karte (G-170S) neu nicht mehr erhältlich und entspricht auch nur dem g-Standard. Also keine wirkliche Option. In dem Bereich kommt auch nichts Neues mehr nach. Zyxel hat den Ansatz der Nachrüstbarkeit nicht weiter verfolgt. Macht ja auch zumindest bei den Rackmount-Varianten wenig Sinn. Die demnächst erscheinenden Desktop-Varianten USG40 und USG60 wird es wie schon die 20er als zusätzliche Ausführung mit integriertem WLAN geben. Darüber hinaus hält mit ZLD4.10 ein Teil der Funktionalität der NXC-Serie Einzug in die USG-Firmware. Künftig lassen sich also kompatible Zyxel-APs zentral auf der Firewall verwalten - dann sicherlich auch das MAC-Filtering. Für die alte USG200 wird die neue Firmware aber leider nicht mehr erscheinen.


Zitat von @mc-doubleyou:
einziger Bereich welcher mit MAC Adressen zu tun hat, ist IP / MAC Binding, also statisches DHCP (wenn man die
Haken für das Binding nicht extra setzt).

Die Funktionaliät des IP/MAC-Bindings hast Du glaube ich noch nicht richtig durchschaut. Diese hat für sich gesehen erstmal nichts mit statischem DHCP zu tun, kann jedoch damit in Kombination eventuell eine Option für Dich sein.
IP/MAC-Binding bewirkt, dass die Zywall (bei entsprechend zulassendem Firewallregelwerk) nur Traffic von den MAC-Adressen passieren lässt, die zuvor eine IP-Adresse von ihr per DHCP bezogen haben bzw. es kommt auf die richtige Paarung aus Source-MAC und verwendeter Source-IP an. Wenn Du also diese Funktion mit einem minimierten DHCP-Scope und statischer DHCP-Adresszuweisung kombinierst, kannst Du Dir die Verwendung des DLINK-APs im Router-Modus sparen. Betreibe die DLINKs im AP-Modus und sperre sie in eine separate Firewallzone (z.B. die vorderfinierte Zone "WLAN"). Durch die Kombination von IP/MAC-Binding und ausschließlich statischen DHCP kannst Du dann einen "MAC-Filter für Arme" realisieren, der zwar nicht für den Zutritt zum WLAN, sehrwohl aber für den Zugriff vom WLAN ins LAN, ins VPN und ins Internet wirkt.


Gruß
sk
mc-doubleyou
mc-doubleyou 25.04.2014 um 10:28:10 Uhr
Goto Top
Hallo sk,

danke erst mal für die Infos (neue Firmware etc.)

Da du mir das mit dem IP/MAC-Bindings schon mal erklärt hast habe ich das auch begriffen, einen MAC Filter habe ich aber trotzdem nicht gefunden.
Nachdem der Zeitdruck aber groß war haben wir einen anderen Ansatz verfolgt und der brachte endlich erfolg.

D-Link auf dd-wrt flashen und dann den D-Link im AP Modus betreiben, dann klappt nämlich auch der MAC Filter am D-Link so wie man sich das vorstelle. was leider bei der original Firmware nicht der Fall war.

Warum mir das Netz 10.40.20.0/24 vom Router (10.20.20.254) geblockt wurde verstehe ich aber immer noch nicht.

Danke und schönes Wochenende!

LG mcdy