drbulla
Goto Top

Thema m0n0wall, Netzwerktopologie, logische Fehler

DrBulla ist kein Doktor, nur engagierter Hobby IT'ler
Bis jetzt habe ich noch "fast" alles ans Laufen gebracht - aber echtes Wissen ist leider nicht vorhanden.
Ich finde "echtes" Fachwissen in allen Bereichen zu besitzen ist eh unmöglich. Aber warum dann die Finger von den Dingen lassen face-smile

Hallo zusammen!

Als stiller Leser endlich angemeldet!
Danke für euren vielen tollen Beiträgen und meinen schlaflosen Nächten (Lesestoff).

Habe für ein Hotel eine Captive Portal Lösung gesucht und die m0n0wall gefunden. Gekauft - verkabelt - mal eben ein Blick auf die Konsole, gestartet, WebGUI aufgerufen, alles durchgeklickt und eingestellt, mit dem Lappi durch die Gegend gerannt und geschaut, ob die Verbindungen funktionierten.

Was soll ich sagen, es lief ;) Installationsaufwand unter 1 Stunde. Captive Portal danach eingerichtet - auch dies alles prima.
Syslog Server eingerichtet, irgendwie hinbekommen, dass der PC die Daten von der m0n0wall erhält - prima.

Nun zu den Fragen:

1. Manch Gast erhält eine IP, verliert diese wieder (ca. 30 Sek), bekommt eine, verliert ... etc.
Die DHCP Log Datei der m0n0wall hat entsprechende Einträge.

Mein Ansatz (hier im Forum gelesen) Vista Rechner mit den Problem nicht Broadcastfähiger DHCP Server keine IP zu erhalten ...
Mein eigener Laptop (zu meiner Schande) ist selber ein Vista BS und hat dieses Problem nicht.
Für mich stellt sich die Frage, hat das Problem nicht zwangsläufig JEDES Vista BS sondern nur bestimmte builds?

2. Habe die Netzwerktopologie (wie heisst das eigentlich? Diagramm?) gemahlt. Puh, war lustig.
Hier im Forum habe ich schon viele dieser Bilder gesehen, mit welchen Programm wird da immer gearbeitet? Ist das MS Visio?

Das erste Programm mit 30 Tage Trial hatte die Möglichkeit, das Netzwerk zu scannen und die Geräte grafisch darzustellen. Naja, mein PC und die m0n0wall wurde gefunden, alles hinter der m0n0wall nicht mehr. Muss ich tatsächlich druch eine Firewallregel erlauben, dass die Kommunikation des Programmes (über Ping?) erlaubt werden darf?

im einem anderen Programm habe ich heute morgen versucht aus dem Kopf das ganze mal darzustellen:

18a24426bda412c766c13ea6e5838212

Ich hoffe keiner bricht jetzt zusammen, weil die Art das darzustellen vollkommen daneben ist - immerhin hat es eine Menge Spaß gemacht.

Beziehungsweise es bricht jemand zusammen, weil die Konfig des Netzes völlig daneben ist.
Auch wenn es funkioniert - heißt ja nichts.

Also würde ich gerne wissen: Ist mir hier und da ein Fauxpass passiert? Kann/muss man irgendetwas völlig anders machen, weil a) unsicher b) unlogisch c) verrückt d) ???
Wie erwähnt, ich bin Hobby-IT'ler und weiß was eine IP - Adresse ist und auch eine SubNet Maske und ein Gateway, was aber in Richtung Netzwerktechnik fast alles ist.


Ich würde mich freuen, wenn jemand auf meine Fragen eingehen würde - wenn noch weitere Informationen fehlen, versuche ich diese nachzuliefern!

drbulla


EDIT:

Nachtrag und Zusammenfassung:

Ich habe vergessen, etwas zur Konfiguration der Switches zu sagen.
Der 24 Port ist ein Cisco Small Business SLM224G Smart 24xFE 2xGB,
der 8 Port ein Cisco Small Business SRW208P mgd 8xFE+2xGB/SFP PoE

Beide hatten einen DHCP Server wenn ich mich recht erinnere.
Ausgeschaltet, feste IP vergeben, die Subnetmask und als Gateway die IP der MW eingetragen.

Ist dies richtig so? Ebenso bin ich bei den AP's vorgegangen.
Ich habe die Vorstellung, dass als Gateway die IP-Adresse des davor geschalteten Gerät eingestellt werden könnte, oder ist es richtig (wie geschehen), dass alle Geräte als Gateway/DNS die IP der MW bekommen?

Frage zu den AP's:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
Kann man alle gleich benennen?
Kann ich dann nicht gleich alle als Repeater laufen lassen?

Zusammenfassung:
1. Vista Patch Problem
2. MS Visio für die Schaubilder hier im Forum und Firewall Regel notwendig
3. Hat mein Netzwerk grobe Schnitzer
4. Switch und AP richtig konfiguriert
5. Gleiche SSID oder gleich Repeater?

Content-ID: 144717

Url: https://administrator.de/forum/thema-m0n0wall-netzwerktopologie-logische-fehler-144717.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

aqui
aqui 14.06.2010, aktualisiert am 18.10.2012 um 18:42:31 Uhr
Goto Top
Für einen Hobby ITler ein gutes Design...kann man nichts sagen und wünscht es sich für den einen oder anderen Thread Owner hier ebenfalls. Man sieht da aber ganz klar deinen Lesestoff in den schlaflosen Nächten ! face-wink
Zu deinen Fragen:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
A.: Das ist falsch ! Die SSID sollte überall immer gleich sein z.B. Hotel-Sonnenschein. Ist ja auch sinnvoll damit man sich im WLAN SSID Namen wiederfindet und der überall gleich ist. Wenn du Hotel-Sonnenschein-1, Hotel-Sonnenschein-2 usw. als SSID hast sieht das ja übel aus und das muss (und sollte...) auch nicht so sein ! Eiine gemeinsame SSID ist also sinnvoll und technisch besser !
Relevant für einen Client ist so oder niemals die SSID sondern immer die BSSID (Mac Adresse des APs). Allso das solltest du besser ändern. Wichtig ist eben das die Funkzellen in ihren Kanälen NICHT überlappen sondern immer mindestens 4 oder 5 Kanäle Abstand haben (Siehe hier ). Messen tust du das mit Tools wie WLANINFO oder inSSIDer.
Kann man alle gleich benennen?
A.: Ja, man sollte es sogar ! (Siehe oben)
Kann ich dann nicht gleich alle als Repeater laufen lassen?
A.: Nein niemals, denn Repeating ist ein Krücke. Das ist was für Home Netzwerke niemals aber für ein strukturiertes WLAN wie deins. Repeating halbiert dir per se die Bandbreite und kann durch Hidden Station Problematiken dein WLAN ganz zum Stillstand bringen...vergiss das ganz schnell !
Wenn du mal wieder nicht schlafen kannst (..oder willst) lies dir das dazu durch, dann verstehst du das warum sofort:
http://www.heise.de/netze/artikel/83757/0

3. Hat mein Netzwerk grobe Schnitzer
A.: Nein
4. Switch und AP richtig konfiguriert
A.: Ja, mit den Möglichkeiten. Verbesserungen gibt es immer. Man könnte die Kabelage z.B. mit VLANs bzw. VLAN Switch erheblich vereinfachen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was die APs anbetrifft siehe Antwort 5.
5. Gleiche SSID oder gleich Repeater?
A.: Gleiche SSID...in jedem Fall. Siehe Erklärung oben !
DrBulla
DrBulla 14.06.2010 um 17:16:15 Uhr
Goto Top
Gracias señor aqui!

Hab das ganze Wochenende auf eine Antwort (von dir) gewartet, wurde nahezu ungelduldig ... wollte auch schon per PN nachfragen und betteln uns so ;) Aber letztendlich dachte ich mir - Du bist Administrator, bist also erst am Montag wieder auf der Arbeit, folglich kannst du dich gar nicht eher melden face-smile)

Hast du noch einen Tip zu Frage 2 - Visio, ja oder nein & Firewallregel
aqui
aqui 15.06.2010 um 10:15:31 Uhr
Goto Top
Die Frage hab ich ehrlich gesagt nicht verstanden ?? Ob du Visio oder Omni Graffle oder oder...nimmst ist eine kosmetische Frage so wie ob du lieber mit Open Office oder MS Office oder... arbeitest.

Was genau meinst du mit einer FW Regel ??
Ja, FW Regeln machen durchaus Sinn wenn du Traffic restriktiv handhaben willst (gerade beim Firmennetz) aber dann musst du auch schreiben was, welchen usw. Das wird aus deiner Beschreibung oben nicht so ganz klar face-sad
DrBulla
DrBulla 15.06.2010 um 11:55:16 Uhr
Goto Top
Ich meine Bilder wie diese hier:

6d8723b8e294c37337c8ff6c4c3653d4

Womit wurden die erstellt? Denn fast alle hier im Forum haben diese Form.

Und die Fragen hinsichtlich der FW-Regel war im Bezug auf das Programm, mit dem die Grafiken über die Netzwerktopologie erstellt wird.
Meine Shareware konnte das Netz scannen aber ging nicht über die m0n0wall hinaus. Sprich, sah keinen Switch/AP/angeschlossenen Client.
aqui
aqui 15.06.2010 um 15:43:22 Uhr
Goto Top
Das ist Visio oder Omni Graffle (Mac) mit ein paar ausgeliehenen Symbolen von Cisco bzw. Graffletopia:
http://www.cisco.com/web/about/ac50/ac47/2.html
http://graffletopia.com/

Das Scanner SW nicht über die Monowall kommt ist normal ! Dafür ist es ja eine Firewall und macht genau das was sie soll !!
Wenn du rausbekommst mit WAS deine Shareware das Netzwerk abfragt SNMP, ICMP usw. dann kannst du das auf der M0n0wall freigeben und dann gehts auch über die Monowall face-wink
Der freie Ethernet Sniffer Wireshark zeigt dir im Handumdrehen was deine Shareware macht im Netz um an diese Informationen zu kommen !!
DrBulla
DrBulla 15.06.2010 um 18:00:41 Uhr
Goto Top
Wireshark ist installiert, puh, ist da Traffic auf der Leitung. So den Wald vor Bäumen nicht sehen können ;)

Vielen Dank - ich denke Thema ist gelöst.
aqui
aqui 17.06.2010 um 09:40:50 Uhr
Goto Top
Dafür hat Wireshark ja auch einen Capture Filter !! Den setzt du so wie du es willst und siehst dann auch nur den Traffic den du sehen willst face-wink