Auf WLAN Accesspoint anderen IP Bereich einrichten und in das andere Netz Routen

[Azubine_Fachinf]

Hallo

Ich muss folgendes einrichten:

Wir haben einen Accesspoint für WLAN. Dieser hat die IP Adresse 192.168.193.100

Jetzt ist es so, dass dieser in unser "normales" Netz geht und dem DHCP-Server die IP Adressen ausgehen, da hier noch
andere Geräte angeschlossen sind.

Ich möchte für das WLAN (auf dem Accesspoint) einen anderen IP Adressbereich einrichten, sodass andere IP Adressen für WLAN zur Verfügung stehen
und sie nicht aus dem normalen Netz entnommen werden.

Gleichzeitig möchte ich den DHCP auf dem Accesspoint aktivieren und die WLAN Geräte sollen alle
eine IP bekommen (aus dem DHCP Bereich des WLAN) und der Accesspoint soll diese alle in das normale Netz routen.

Hat da jemand vielleicht eine Idee?

Ich hoffe ich hab mich verständlich ausgedrückt...

 

[chrigu]

den AP an wan-port des routers hängen, so kannst du den ip-bereich selber wählen, nur standardgateway und dns-server auf die "internet-box" stellen...

zwei dhcp-server im selben, ungetrennten netzwerk zu stellen kann probleme verusachen... möglich das einer der dhcp-server plötzlich alle geräte zu sich nimmt..

so wie du schreibst (dhcp-server ip ausgehen), handelt es sich eher um eine firma, und keiner hat wirklich ahnung von netzwerk... das ist grundsätzlich zum scheitern verurteilt

 

[Revolution]

Na ja man könnte Sich auch erst mal selbst Gedanken machen und dinge einfach ausprobieren ist zwar verrückt ich weiß aber wäre ein Anfang...

Sich hier die Hausaufgaben machen zu lassen ist bedeutend einfacher...

 

[Xippe]

Ein AP als NAT konfigurieren ist absolut kein Problem. Einfach in den einstellungen des AP schauen, dort gibt es entsprechende Konfigurationsmöglichkeiten.
Voraussetzung ist jedoch, dass der DHCP nicht in das geroutete Netz eingreift, das gibt massiv Probleme

 

[Azubine_Fachinf]

Danke für die Antworten.
An den WAN Port darf ich leider nichts anschließen.

Das mit dem NAT könnte ich mal ausprobieren. Ich würde das mal vorerst so einrichten

Oder bin ich da komplett auf der falschen Spur?

 

[Creati]

Wäre wohl schon mal nicht verkehrt. Frage wäre nur, was BRIDGE_BR0 abdeckt. Die Schnittstelle muss halt so ausgewählt werden, dass an der Schnittstelle kein Endgerät aus dem ursprünglichen Netz hängt. Ansonsten hauen sich die beiden DHCP-Server die Schädel ein. Zusätzlich muss im normalen Router/Gateway noch eine statische Route hinterlegt werden, dass sich das Netz 192.168.0.0 hinter der teilnehmer-IP des APs im ursprünglichen Netz befindet.

 

[chrigu]

was meinst du mit wan port nicht anschliessen? ist dort das modem?
wenn du zwei dhcp-server im selben netzwerk hast, wirst du ein dhcp-kompott erhalten..

 

[brainDotExe]

Bitte nicht mit NAT rumpfuschen, wenn das nicht nötig ist.
Simple statische Routen reichen hier aus.
Um welche Router bzw. Access Points handelt es sich?

Schon Mal darüber nachgedacht den DHCP Bereich des Routers zu vergrößern?

 

[Xippe]

@brainDotExe: Die meisten Router können nur den letzten 255er Bereich zuteilen. Wenn es möglich ist, wäre die Erhöhung des DHCP-Bereichs einfacher, da verständlicher.

@TE: Wieso darf der Wan-Port des AP nicht angeschlossen werden? Normal ist, dass dort mindestens ein WAN-Port vorhanden ist und keine/mehrere normale Switch-Ports vorhanden sind.

DHCP-Netz vor dem AP -> WAN-Port des AP
-----NAT-----
DHCP-Netz nach dem AP = WLAN und Switch-Ports des AP

Das ist normalerweise die Funktionsweise mit dem aktiven DHCP am AP, ohne aktivierten DHCP kann man das ganze als reinen AP betrachten, bei dem die dhcp-Funktion der Server des vorigen Routers übernimmt.

 

[Azubine_Fachinf]

Vielen Dank erstmal für die Antworten.

@ chrigu: Ja. An WAN1 ist das DSL Modem angeschlossen.

@Xippe: es handelt sich um einen Funkwerk/ Bintec W2002 AP. Der DHCP Bereich ist schon ziemlich ausgereizt. Der ist schon auf Maximum.
Wenn ich es jetzt richtig interpretiere ist Dein 2. Hinweis (DHCP-Netz nach dem AP = WLAN und Switch-Ports des AP) das was ich suche.
Den DHCP aus dem "normalen Netz" kann ich nicht nehmen, da ausgelastet.

Ich stelle mir das so vor:
1. Der AP bekommt eine feste IP aus dem vorgelagerten Netz (192.168.193.100) damit er in das normale Netz kommt
2. Die Benutzer aber loggen sich (anhand der SSID) auf dem AP ein. Sie bekommen hier aber eine IP Adresse aus dem
Bereich 192.168.0.1 bis 192.168.1.254 (510 IP Adressen möglich).
3. Durch die statische Route auf dem Gateway des normalen Netzes kommen die WLAN Geräte nach draußen (trotz anderer IP)

Nur in der Praxis hapert das etwas, da die Meldung erscheint: Ungültiger Wertebereich. Geben Sie die Start/ Endadresse eines Bereiches an, der 1 bis 254 IP Adressen beinhaltet. Der angegebene Pool (192.168.0.1 bis 192.168.1.254) passt zu keiner Schnittstelle und zu keinem Routingeintrag.

Der AP hat 2 Schnittstellen (ETH1 und ETH2). ETH1 hängt an einem Switch der in das normale Netz routet (hier ist auch die 192.168.193.100 aktiv). An ETH2 ist nichts angeschlossen.

Meine Vermutung:
1. Auf ETH2 eine Adresse definieren, die aus dem Pool (192.168.0.1 bis 192.168.1.254) kommt. Z.B: 192.168.0.5
2. Den DHCP Bereich (Z.B.: 192.168.0.6 bis 192.168.1.254) einrichten und auf die Schnittstelle ETH2 legen

Oder lieg ich da falsch?

 

[Xippe]

Also, NAT ist standardmäßig aktiv (lt. Handbuch).

Zum DHCP-Bereich: 1-254 = 254 Adressen, bei einem /24er Subnet (255.255.255.0) ist das auch richtig! Die Frage ist, ob er auch mehr kann(!!) Für einen weiteren Bereich musst du die Subnetmask anpassen.

192.168.0.1 - 1.254 = 508 Adressen (reserviert und nicht zuteilbar: 0 = Netzadresse, 255 = Broadcast) mit einem /23 Subnetz -> 255.255.254.0.

Mich wundert aber etwas, wieso man über 200 Clients in ein WLAN einbinden möchte, da das ganze ein HUB darstellt und jeder zu gleichen Teilen die Bandbreite abzwackt, das wird sehr langsam.

 

[Azubine_Fachinf]

OK. ICh geb Dir Recht mit den Clients. Ich hab nur einen Bereich gewählt, der nicht im Bereich des DHCP liegt. Soviele werden es aber nicht.

Ich hab den zwar eingerichtet über SSH, aber jetzt fehlt wie gesagt der Einstieg. Könnte das so wie in dem Diagramm funktionieren (grob)?

Ich lad mal das Menü von dem AP hoch. Vielleicht versteht Ihr dann, dass es am Anfang ein paar Fragen zum Ansatz gibt

 

[Bambaataa22]

Sollen denn die WLAN-Clients später Zugriff auf das 192.168.193.0/24 Netz haben oder brauchen die bloß Internet?

LG Bam

 

[Azubine_Fachinf]

Die Clients sollten in das Heimnetz (192.168.193.0/24)+Internet.

LG AZ

 

[U-L-T-R-A]

Die clients am AP laufen doch eh im Endeffeckt über desen IP im LAN - oder hab ich da n Denkfehler?
Wenn man da ne anderes Subnetz aufzieht läuft der Ap halt auch als gateway.

 

[Xippe]

@Bambaataa22: tun sie das nicht immer bei solch einer Konfiguration, wenn man nicht explizit den any traffic outgoing sperrt? Ausnahme stellt jedoch Geräte scans von win dar, da die nicht über das subnet hinaus reichen.

@Ultra: Tun sie so oder so, da ein NAT einen eigenen Standardgateway aufbaut und die Clients das auch so benutzen. Im NAT selbst wird dann der Gateway und die Quelladresse ersetzt. So die Funktion.

@Azubine: ja tut es. Normalerweise ist .0.1 die Gateway-IP, seperat gibts nochmal eine interface-ip (in deinem fall die .0.5) und eine virtuelle für die Web-oberfläche, entsprechend fängt der DHCP auch erst bei .0.2 an. Die statische Route wird auch weiterhin benötigt um vom .193 ins .0 Netz zu kommen (client - client gesehen). Traffic von .0->.193->www und zurück wird das nichtmehr benötigt).

 

[brainDotExe]

Bitte bedenkt NAT/PAT ist in diesem Fall doch überhaupt nicht notwendig.

Die clients am AP laufen doch eh im Endeffeckt über desen IP im LAN - oder hab ich da n Denkfehler?

Wenn man NAT/PAT verwendet: ja.
In solchen Situationen sollte man aber NAT/PAT nicht verwenden, da man dann nicht mehr mit Firewallregeln zentral am Router arbeiten kann und auch nicht mehr bestimmen kann von welchem Gerät Traffic kommt.

 

[Xippe]

@brainDotExe - Wenn der dhcp-Bereich sich vergrößern lässt, ja. Aber ansonsten: wieso ist nat nicht notwendig?

 

[Azubine_Fachinf]

Danke für das Feedback...

Das rudimentäre Prinzip hab ich (denke ich) verstanden. Ich würde es folgendermassen (grob) einrichten:

1. Komplettes Zurücksetzen des Accesspoints (auf Werkauslieferung).
2. Da das Interface des AP auf dem Modus "Bridging" läuft werde ich den Modus beider Interfaces auf Routing umstellen
3. Beide Interfaces neu definieren (ETH1: 192.168.193.100; ETH2: 192.168.0.5)
4. Statische Route eintragen (die würde ich auf das Interface ETH2 legen-wenn möglich)
5. DHCP wie erwähnt einrichten (lässt sich im "normalen Netz" leider nicht erweitern)
6. NAT einrichten

Mal schauen was passiert

Ich denke, dass ich es über SSH einrichte, da das (die Oberfläche) irgendwie klarer ist finde ich (sollte aber keine Rolle spielen ob über Menü oder SSH).

 

[brainDotExe]

Aber ansonsten: wieso ist nat nicht notwendig?

Wenn auf dem AP NAT/PAT aktiv ist maskiert der sämtliche ausgehenden Verbindungen aus dem 192.168.0.0/23 Netz mit seiner IP Adresse 192.168.193.100.
Für das Gateway existiert das 192.168.0.0/23 Netz also gar nicht, es sieht nur die IP Adresse 192.168.193.100.

Wenn NAT/PAT auf dem AP ausgeschaltet ist, kommen die Pakete unverändert am Gateway an, dank statischer (Rück-)Route weis das Gateway wo sich das 192.168.0.0/23 Netz befindet und routet die Antworten zu 192.168.193.100 welcher sie wiederum zu den Endgeräten im 192.168.0.0/23 Netz weiterleitet.

Bei NAT/PAT ist keine Ende-zu-Ende Kommunikation auf Layer 3 gegeben.