Routing Firewall-WLAN AP mit VLAN
Hi,
ich möchte gern aus meinem LAN auf die WLAN AP zugreifen können
Zur Ausgangssituation: wir haben in 2 Gebäuden 2 WLAN APs (bintec W1002n) für Internetzugriff für Kunden. Diese 2 AP sind per VLAN angeschlossen und kommen über den Switch zu unserer Firewall/UTM (Funkwerkt UTM 2100) an ein eigenes Interface.
Somit habe ich das WLAN relativ sicher von unserem Firmennetz getrennt.
Jetzt möchte ich aber gerne von meinem PC im Firmennetz auf die APs kommen um deren Status zu sehen usw.
Ich habe mir jetzt meinen PC mit in das VLAN genommen, habe eine Route von meinem PC zu diesem WLAN Netz geschrieben (als Bypass Route), habe eine Firewallregel geschrieben die den Zugriff von meinem PC auf das WLAN Netz ermöglicht und habe eine Proxy-Regel in der Firewall von meinem PC auf das WLAN Netz erstellt.
Ich dachte damit komme ich auf die Website der APs, aber es klappt nicht.
Hat noch jemand von euch einen Einfall?
Wenn jemand generell Ahnung von der UTM hat, wäre ich auch grundsätzlich interessiert.
Vielen Dank.
MFG
Caddy0815
ich möchte gern aus meinem LAN auf die WLAN AP zugreifen können
Zur Ausgangssituation: wir haben in 2 Gebäuden 2 WLAN APs (bintec W1002n) für Internetzugriff für Kunden. Diese 2 AP sind per VLAN angeschlossen und kommen über den Switch zu unserer Firewall/UTM (Funkwerkt UTM 2100) an ein eigenes Interface.
Somit habe ich das WLAN relativ sicher von unserem Firmennetz getrennt.
Jetzt möchte ich aber gerne von meinem PC im Firmennetz auf die APs kommen um deren Status zu sehen usw.
Ich habe mir jetzt meinen PC mit in das VLAN genommen, habe eine Route von meinem PC zu diesem WLAN Netz geschrieben (als Bypass Route), habe eine Firewallregel geschrieben die den Zugriff von meinem PC auf das WLAN Netz ermöglicht und habe eine Proxy-Regel in der Firewall von meinem PC auf das WLAN Netz erstellt.
Ich dachte damit komme ich auf die Website der APs, aber es klappt nicht.
Hat noch jemand von euch einen Einfall?
Wenn jemand generell Ahnung von der UTM hat, wäre ich auch grundsätzlich interessiert.
Vielen Dank.
MFG
Caddy0815
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181170
Url: https://administrator.de/forum/routing-firewall-wlan-ap-mit-vlan-181170.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo Caddy,
wenn ich das richtig sehe, ist der AP in der Lage sowhl Mulit-SSID zu liefern alsauch mit VLAN-Tagging zu arbeiten. Somit ist es möglich den AP an einem getaggten Port zu betreiben, die SSID dem öffentlichen Internet(Router) zuzuweisen und mit einem zweiten VLAN eine Route zum PC des Admins zu realisieren. Damit ist der AP aus dem internen Netz erreichbar. Erweitern läßt sich dieses Konzept mit sogenannten Management VLANs auch.
Weniger elegant, aber machbar ist, dass der PC des Admins vorübergehend ins VLAN des AP (nicht ins SSID/WLAN) konfiguriert wird.
Gruß
Netman
wenn ich das richtig sehe, ist der AP in der Lage sowhl Mulit-SSID zu liefern alsauch mit VLAN-Tagging zu arbeiten. Somit ist es möglich den AP an einem getaggten Port zu betreiben, die SSID dem öffentlichen Internet(Router) zuzuweisen und mit einem zweiten VLAN eine Route zum PC des Admins zu realisieren. Damit ist der AP aus dem internen Netz erreichbar. Erweitern läßt sich dieses Konzept mit sogenannten Management VLANs auch.
Weniger elegant, aber machbar ist, dass der PC des Admins vorübergehend ins VLAN des AP (nicht ins SSID/WLAN) konfiguriert wird.
Gruß
Netman
Möglich ist auch das du schlicht und einfach die Rückroute bzw. Regel in der FW vergessen hast. Bedenke immer das die Pakete aus dem eine VLAN auch wieder zum PC zurück müssen. Stimmt die FW Regel für den Rückweg nicht klappts natürlich nicht mit dem Zugriff....logisch ! Mit einer Regel ist es also niemals getan, du brauchst immer 2 !!
Vielleicht solltest du dir erstmal genau durchlesen wie das Thema VLAN und APs generell funktioniert bevor wir hier weiterraten.
Routen am PC usw. ist eigentlich Unsinn wenn die VLAN bzw. das VLAN Routing sauber eingerichtet sind.
Lies dir also das folgende Tutorial durch was das alles erklärt, dann sehen wir mal weiter:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vielleicht solltest du dir erstmal genau durchlesen wie das Thema VLAN und APs generell funktioniert bevor wir hier weiterraten.
Routen am PC usw. ist eigentlich Unsinn wenn die VLAN bzw. das VLAN Routing sauber eingerichtet sind.
Lies dir also das folgende Tutorial durch was das alles erklärt, dann sehen wir mal weiter:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ja, das siehst du so richtig. Alle Switch Uplink Ports die die VLANs enthalten müssen tagged entweder auf die UTM gehen oder auf weitere Switches. Das ist alles so richtig und korrekt, damit die Switches und auch die UTM die Pakete anhand ihrer VLAN ID wieder den richtigen VLANs bzw. VLAN IP Interfaces zuordnen kann.
Bedenke aber das Endgeräte also deinen APs und auch dein Client Laptop natürlich immer logischerweise untagged an Ports in diesen VLANs hängen müssen. Das ist dir vermutlich aber klar.
Wenn du nun von deinem Client (192.168.12.x) auf das WebGUI der APs (10.0.0.x) willst dann musst du in der UTM eine FW Regel erstellen die TCP 80 vom Netzwerk 192.168.12.0 /24 ins Netzwerk 10.0.0.0 /24 erlaubt.
Damit kommen die HTTP Pakete von deinem Client dann schon mal beim AP an. Nun antwortet dir dein AP ja auch wenn du im WebGUI arbeitest !
Folglich MUSS die UTM also auch Pakte vom 10.0.0.0 /24 er AP Netzwerk wieder zurück ins 192.168.12.0 /24 er Client Netzwerk erlauben damit die Kommunikation bedseitig klappt...logisch !
Am APs Netzport der UTM muss also zwingend auch sowas stehen wie:
ACCEPT IN=eth2 OUT=eth1 MAC=xxx SRC=10.0.0.x DST=192.168.12.x
Folglich musst du also mindestens immer 2 Firewall Regeln erstellen ! Hoffentlich hast du das bedacht. Ansonsten hast du sonst immer eine Einbahnstrasse und das Ergebnis was du oben siehst !
Bedenke aber das Endgeräte also deinen APs und auch dein Client Laptop natürlich immer logischerweise untagged an Ports in diesen VLANs hängen müssen. Das ist dir vermutlich aber klar.
Wenn du nun von deinem Client (192.168.12.x) auf das WebGUI der APs (10.0.0.x) willst dann musst du in der UTM eine FW Regel erstellen die TCP 80 vom Netzwerk 192.168.12.0 /24 ins Netzwerk 10.0.0.0 /24 erlaubt.
Damit kommen die HTTP Pakete von deinem Client dann schon mal beim AP an. Nun antwortet dir dein AP ja auch wenn du im WebGUI arbeitest !
Folglich MUSS die UTM also auch Pakte vom 10.0.0.0 /24 er AP Netzwerk wieder zurück ins 192.168.12.0 /24 er Client Netzwerk erlauben damit die Kommunikation bedseitig klappt...logisch !
Am APs Netzport der UTM muss also zwingend auch sowas stehen wie:
ACCEPT IN=eth2 OUT=eth1 MAC=xxx SRC=10.0.0.x DST=192.168.12.x
Folglich musst du also mindestens immer 2 Firewall Regeln erstellen ! Hoffentlich hast du das bedacht. Ansonsten hast du sonst immer eine Einbahnstrasse und das Ergebnis was du oben siehst !
Uplinks zwischen Switches sind immer getagged mit den VLANs und das VLAN 2 liegt immer untagged an. Das ist normal und auch allgemeiner Standard nach IEEE 802.1q.
In der Beziehung ist das alles richtig.
Ein Punkt ist aber mit sicherheit falsch: "Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt" !
Das geht so mit keinem AP der am Markt erhältlich ist. Hier ist vermutlich ein Fehler.
Wir raten jetzt mal das du ein ESSID fähigen AP hast der also mehrere WLAN SSIDs aufspannen kann und die bestimmten VLAN Tags zuordnen kann wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch hier liegt am AP immer das VLAN 1 untagged mit an !! Die Management IP Adresse des APs ist immer im VLAN 1 und damit untagged zu erreichen. Dein Link zum AP darf also niemals nur VLAN 2 getagged sein , denn sonst erreichst du den AP nicht mehr.
Sie dir zu dem obigen beispiel im Tutorial die korrespondierenden Konfigurationen (Screenshots) der APs an und das dazu zugehörige Firewall oder Switchinterface.
Das erklärt das ganze Szenario recht genau.
Da musst du also drauf achten das das stimmt.
Im Zeifelsfall schliesst du dort immer mal ein Endgerät an und checkst mit Pings ob die VLANs durchgängig sind.
Vermutlich ist also deine VLAN Konfig am AP falsch. Oder du hast gar keinen Mulriple SSID AP (ESSID) dann scheitert das natürlich auch sofort mit dem VLAN 2 Tag !
Ohne das du mal deine Konfig postest oder näher beschreibst ist einen zielführende Hilfe aber nicht einfach !
In der Beziehung ist das alles richtig.
Ein Punkt ist aber mit sicherheit falsch: "Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt" !
Das geht so mit keinem AP der am Markt erhältlich ist. Hier ist vermutlich ein Fehler.
Wir raten jetzt mal das du ein ESSID fähigen AP hast der also mehrere WLAN SSIDs aufspannen kann und die bestimmten VLAN Tags zuordnen kann wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch hier liegt am AP immer das VLAN 1 untagged mit an !! Die Management IP Adresse des APs ist immer im VLAN 1 und damit untagged zu erreichen. Dein Link zum AP darf also niemals nur VLAN 2 getagged sein , denn sonst erreichst du den AP nicht mehr.
Sie dir zu dem obigen beispiel im Tutorial die korrespondierenden Konfigurationen (Screenshots) der APs an und das dazu zugehörige Firewall oder Switchinterface.
Das erklärt das ganze Szenario recht genau.
Da musst du also drauf achten das das stimmt.
Im Zeifelsfall schliesst du dort immer mal ein Endgerät an und checkst mit Pings ob die VLANs durchgängig sind.
Vermutlich ist also deine VLAN Konfig am AP falsch. Oder du hast gar keinen Mulriple SSID AP (ESSID) dann scheitert das natürlich auch sofort mit dem VLAN 2 Tag !
Ohne das du mal deine Konfig postest oder näher beschreibst ist einen zielführende Hilfe aber nicht einfach !