7
Thema m0n0wall, Netzwerktopologie, logische Fehler
DrBulla ist kein Doktor, nur engagierter Hobby IT'ler
Bis jetzt habe ich noch "fast" alles ans Laufen gebracht - aber echtes Wissen ist leider nicht vorhanden.
Ich finde "echtes" Fachwissen in allen Bereichen zu besitzen ist eh unmöglich. Aber warum dann die Finger von den Dingen lassen 
Hallo zusammen!
Als stiller Leser endlich angemeldet!
Danke für euren vielen tollen Beiträgen und meinen schlaflosen Nächten (Lesestoff).
Habe für ein Hotel eine Captive Portal Lösung gesucht und die m0n0wall gefunden. Gekauft - verkabelt - mal eben ein Blick auf die Konsole, gestartet, WebGUI aufgerufen, alles durchgeklickt und eingestellt, mit dem Lappi durch die Gegend gerannt und geschaut, ob die Verbindungen funktionierten.
Was soll ich sagen, es lief ;) Installationsaufwand unter 1 Stunde. Captive Portal danach eingerichtet - auch dies alles prima.
Syslog Server eingerichtet, irgendwie hinbekommen, dass der PC die Daten von der m0n0wall erhält - prima.
Nun zu den Fragen:
1. Manch Gast erhält eine IP, verliert diese wieder (ca. 30 Sek), bekommt eine, verliert ... etc.
Die DHCP Log Datei der m0n0wall hat entsprechende Einträge.
Mein Ansatz (hier im Forum gelesen) Vista Rechner mit den Problem nicht Broadcastfähiger DHCP Server keine IP zu erhalten ...
Mein eigener Laptop (zu meiner Schande) ist selber ein Vista BS und hat dieses Problem nicht.
Für mich stellt sich die Frage, hat das Problem nicht zwangsläufig JEDES Vista BS sondern nur bestimmte builds?
2. Habe die Netzwerktopologie (wie heisst das eigentlich? Diagramm?) gemahlt. Puh, war lustig.
Hier im Forum habe ich schon viele dieser Bilder gesehen, mit welchen Programm wird da immer gearbeitet? Ist das MS Visio?
Das erste Programm mit 30 Tage Trial hatte die Möglichkeit, das Netzwerk zu scannen und die Geräte grafisch darzustellen. Naja, mein PC und die m0n0wall wurde gefunden, alles hinter der m0n0wall nicht mehr. Muss ich tatsächlich druch eine Firewallregel erlauben, dass die Kommunikation des Programmes (über Ping?) erlaubt werden darf?
im einem anderen Programm habe ich heute morgen versucht aus dem Kopf das ganze mal darzustellen:
Ich hoffe keiner bricht jetzt zusammen, weil die Art das darzustellen vollkommen daneben ist - immerhin hat es eine Menge Spaß gemacht.
Beziehungsweise es bricht jemand zusammen, weil die Konfig des Netzes völlig daneben ist.
Auch wenn es funkioniert - heißt ja nichts.
Also würde ich gerne wissen: Ist mir hier und da ein Fauxpass passiert? Kann/muss man irgendetwas völlig anders machen, weil a) unsicher b) unlogisch c) verrückt d) ???
Wie erwähnt, ich bin Hobby-IT'ler und weiß was eine IP - Adresse ist und auch eine SubNet Maske und ein Gateway, was aber in Richtung Netzwerktechnik fast alles ist.
Ich würde mich freuen, wenn jemand auf meine Fragen eingehen würde - wenn noch weitere Informationen fehlen, versuche ich diese nachzuliefern!
drbulla
EDIT:
Nachtrag und Zusammenfassung:
Ich habe vergessen, etwas zur Konfiguration der Switches zu sagen.
Der 24 Port ist ein Cisco Small Business SLM224G Smart 24xFE 2xGB,
der 8 Port ein Cisco Small Business SRW208P mgd 8xFE+2xGB/SFP PoE
Beide hatten einen DHCP Server wenn ich mich recht erinnere.
Ausgeschaltet, feste IP vergeben, die Subnetmask und als Gateway die IP der MW eingetragen.
Ist dies richtig so? Ebenso bin ich bei den AP's vorgegangen.
Ich habe die Vorstellung, dass als Gateway die IP-Adresse des davor geschalteten Gerät eingestellt werden könnte, oder ist es richtig (wie geschehen), dass alle Geräte als Gateway/DNS die IP der MW bekommen?
Frage zu den AP's:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
Kann man alle gleich benennen?
Kann ich dann nicht gleich alle als Repeater laufen lassen?
Zusammenfassung:
1. Vista Patch Problem
2. MS Visio für die Schaubilder hier im Forum und Firewall Regel notwendig
3. Hat mein Netzwerk grobe Schnitzer
4. Switch und AP richtig konfiguriert
5. Gleiche SSID oder gleich Repeater?
Als stiller Leser endlich angemeldet!
Danke für euren vielen tollen Beiträgen und meinen schlaflosen Nächten (Lesestoff).
Habe für ein Hotel eine Captive Portal Lösung gesucht und die m0n0wall gefunden. Gekauft - verkabelt - mal eben ein Blick auf die Konsole, gestartet, WebGUI aufgerufen, alles durchgeklickt und eingestellt, mit dem Lappi durch die Gegend gerannt und geschaut, ob die Verbindungen funktionierten.
Was soll ich sagen, es lief ;) Installationsaufwand unter 1 Stunde. Captive Portal danach eingerichtet - auch dies alles prima.
Syslog Server eingerichtet, irgendwie hinbekommen, dass der PC die Daten von der m0n0wall erhält - prima.
Nun zu den Fragen:
1. Manch Gast erhält eine IP, verliert diese wieder (ca. 30 Sek), bekommt eine, verliert ... etc.
Die DHCP Log Datei der m0n0wall hat entsprechende Einträge.
Mein Ansatz (hier im Forum gelesen) Vista Rechner mit den Problem nicht Broadcastfähiger DHCP Server keine IP zu erhalten ...
Mein eigener Laptop (zu meiner Schande) ist selber ein Vista BS und hat dieses Problem nicht.
Für mich stellt sich die Frage, hat das Problem nicht zwangsläufig JEDES Vista BS sondern nur bestimmte builds?
2. Habe die Netzwerktopologie (wie heisst das eigentlich? Diagramm?) gemahlt. Puh, war lustig.
Hier im Forum habe ich schon viele dieser Bilder gesehen, mit welchen Programm wird da immer gearbeitet? Ist das MS Visio?
Das erste Programm mit 30 Tage Trial hatte die Möglichkeit, das Netzwerk zu scannen und die Geräte grafisch darzustellen. Naja, mein PC und die m0n0wall wurde gefunden, alles hinter der m0n0wall nicht mehr. Muss ich tatsächlich druch eine Firewallregel erlauben, dass die Kommunikation des Programmes (über Ping?) erlaubt werden darf?
im einem anderen Programm habe ich heute morgen versucht aus dem Kopf das ganze mal darzustellen:
Ich hoffe keiner bricht jetzt zusammen, weil die Art das darzustellen vollkommen daneben ist - immerhin hat es eine Menge Spaß gemacht.
Beziehungsweise es bricht jemand zusammen, weil die Konfig des Netzes völlig daneben ist.
Auch wenn es funkioniert - heißt ja nichts.
Also würde ich gerne wissen: Ist mir hier und da ein Fauxpass passiert? Kann/muss man irgendetwas völlig anders machen, weil a) unsicher b) unlogisch c) verrückt d) ???
Wie erwähnt, ich bin Hobby-IT'ler und weiß was eine IP - Adresse ist und auch eine SubNet Maske und ein Gateway, was aber in Richtung Netzwerktechnik fast alles ist.
Ich würde mich freuen, wenn jemand auf meine Fragen eingehen würde - wenn noch weitere Informationen fehlen, versuche ich diese nachzuliefern!
drbulla
EDIT:
Nachtrag und Zusammenfassung:
Ich habe vergessen, etwas zur Konfiguration der Switches zu sagen.
Der 24 Port ist ein Cisco Small Business SLM224G Smart 24xFE 2xGB,
der 8 Port ein Cisco Small Business SRW208P mgd 8xFE+2xGB/SFP PoE
Beide hatten einen DHCP Server wenn ich mich recht erinnere.
Ausgeschaltet, feste IP vergeben, die Subnetmask und als Gateway die IP der MW eingetragen.
Ist dies richtig so? Ebenso bin ich bei den AP's vorgegangen.
Ich habe die Vorstellung, dass als Gateway die IP-Adresse des davor geschalteten Gerät eingestellt werden könnte, oder ist es richtig (wie geschehen), dass alle Geräte als Gateway/DNS die IP der MW bekommen?
Frage zu den AP's:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
Kann man alle gleich benennen?
Kann ich dann nicht gleich alle als Repeater laufen lassen?
Zusammenfassung:
1. Vista Patch Problem
2. MS Visio für die Schaubilder hier im Forum und Firewall Regel notwendig
3. Hat mein Netzwerk grobe Schnitzer
4. Switch und AP richtig konfiguriert
5. Gleiche SSID oder gleich Repeater?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 144717
Url: https://administrator.de/contentid/144717
Printed on: April 16, 2024 at 19:04 o'clock
7 Comments
Latest comment
Für einen Hobby ITler ein gutes Design...kann man nichts sagen und wünscht es sich für den einen oder anderen Thread Owner hier ebenfalls. Man sieht da aber ganz klar deinen Lesestoff in den schlaflosen Nächten ! 
Zu deinen Fragen:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
A.: Das ist falsch ! Die SSID sollte überall immer gleich sein z.B. Hotel-Sonnenschein. Ist ja auch sinnvoll damit man sich im WLAN SSID Namen wiederfindet und der überall gleich ist. Wenn du Hotel-Sonnenschein-1, Hotel-Sonnenschein-2 usw. als SSID hast sieht das ja übel aus und das muss (und sollte...) auch nicht so sein ! Eiine gemeinsame SSID ist also sinnvoll und technisch besser !
Relevant für einen Client ist so oder niemals die SSID sondern immer die BSSID (Mac Adresse des APs). Allso das solltest du besser ändern. Wichtig ist eben das die Funkzellen in ihren Kanälen NICHT überlappen sondern immer mindestens 4 oder 5 Kanäle Abstand haben (Siehe hier ). Messen tust du das mit Tools wie WLANINFO oder inSSIDer.
Kann man alle gleich benennen?
A.: Ja, man sollte es sogar ! (Siehe oben)
Kann ich dann nicht gleich alle als Repeater laufen lassen?
A.: Nein niemals, denn Repeating ist ein Krücke. Das ist was für Home Netzwerke niemals aber für ein strukturiertes WLAN wie deins. Repeating halbiert dir per se die Bandbreite und kann durch Hidden Station Problematiken dein WLAN ganz zum Stillstand bringen...vergiss das ganz schnell !
Wenn du mal wieder nicht schlafen kannst (..oder willst) lies dir das dazu durch, dann verstehst du das warum sofort:
http://www.heise.de/netze/artikel/83757/0
3. Hat mein Netzwerk grobe Schnitzer
A.: Nein
4. Switch und AP richtig konfiguriert
A.: Ja, mit den Möglichkeiten. Verbesserungen gibt es immer. Man könnte die Kabelage z.B. mit VLANs bzw. VLAN Switch erheblich vereinfachen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was die APs anbetrifft siehe Antwort 5.
5. Gleiche SSID oder gleich Repeater?
A.: Gleiche SSID...in jedem Fall. Siehe Erklärung oben !
Zu deinen Fragen:
Ich habe allen AP's eine eigen SSID gegeben. Je einen eigenen Kanal.
A.: Das ist falsch ! Die SSID sollte überall immer gleich sein z.B. Hotel-Sonnenschein. Ist ja auch sinnvoll damit man sich im WLAN SSID Namen wiederfindet und der überall gleich ist. Wenn du Hotel-Sonnenschein-1, Hotel-Sonnenschein-2 usw. als SSID hast sieht das ja übel aus und das muss (und sollte...) auch nicht so sein ! Eiine gemeinsame SSID ist also sinnvoll und technisch besser !
Relevant für einen Client ist so oder niemals die SSID sondern immer die BSSID (Mac Adresse des APs). Allso das solltest du besser ändern. Wichtig ist eben das die Funkzellen in ihren Kanälen NICHT überlappen sondern immer mindestens 4 oder 5 Kanäle Abstand haben (Siehe hier ). Messen tust du das mit Tools wie WLANINFO oder inSSIDer.
Kann man alle gleich benennen?
A.: Ja, man sollte es sogar ! (Siehe oben)
Kann ich dann nicht gleich alle als Repeater laufen lassen?
A.: Nein niemals, denn Repeating ist ein Krücke. Das ist was für Home Netzwerke niemals aber für ein strukturiertes WLAN wie deins. Repeating halbiert dir per se die Bandbreite und kann durch Hidden Station Problematiken dein WLAN ganz zum Stillstand bringen...vergiss das ganz schnell !
Wenn du mal wieder nicht schlafen kannst (..oder willst) lies dir das dazu durch, dann verstehst du das warum sofort:
http://www.heise.de/netze/artikel/83757/0
3. Hat mein Netzwerk grobe Schnitzer
A.: Nein
4. Switch und AP richtig konfiguriert
A.: Ja, mit den Möglichkeiten. Verbesserungen gibt es immer. Man könnte die Kabelage z.B. mit VLANs bzw. VLAN Switch erheblich vereinfachen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Was die APs anbetrifft siehe Antwort 5.
5. Gleiche SSID oder gleich Repeater?
A.: Gleiche SSID...in jedem Fall. Siehe Erklärung oben !
Gracias señor aqui!
Hab das ganze Wochenende auf eine Antwort (von dir) gewartet, wurde nahezu ungelduldig ... wollte auch schon per PN nachfragen und betteln uns so ;) Aber letztendlich dachte ich mir - Du bist Administrator, bist also erst am Montag wieder auf der Arbeit, folglich kannst du dich gar nicht eher melden)
Hast du noch einen Tip zu Frage 2 - Visio, ja oder nein & Firewallregel
Hab das ganze Wochenende auf eine Antwort (von dir) gewartet, wurde nahezu ungelduldig ... wollte auch schon per PN nachfragen und betteln uns so ;) Aber letztendlich dachte ich mir - Du bist Administrator, bist also erst am Montag wieder auf der Arbeit, folglich kannst du dich gar nicht eher melden
)Hast du noch einen Tip zu Frage 2 - Visio, ja oder nein & Firewallregel
Die Frage hab ich ehrlich gesagt nicht verstanden ?? Ob du Visio oder Omni Graffle oder oder...nimmst ist eine kosmetische Frage so wie ob du lieber mit Open Office oder MS Office oder... arbeitest.
Was genau meinst du mit einer FW Regel ??
Ja, FW Regeln machen durchaus Sinn wenn du Traffic restriktiv handhaben willst (gerade beim Firmennetz) aber dann musst du auch schreiben was, welchen usw. Das wird aus deiner Beschreibung oben nicht so ganz klar
Was genau meinst du mit einer FW Regel ??
Ja, FW Regeln machen durchaus Sinn wenn du Traffic restriktiv handhaben willst (gerade beim Firmennetz) aber dann musst du auch schreiben was, welchen usw. Das wird aus deiner Beschreibung oben nicht so ganz klar
Ich meine Bilder wie diese hier:
Womit wurden die erstellt? Denn fast alle hier im Forum haben diese Form.
Und die Fragen hinsichtlich der FW-Regel war im Bezug auf das Programm, mit dem die Grafiken über die Netzwerktopologie erstellt wird.
Meine Shareware konnte das Netz scannen aber ging nicht über die m0n0wall hinaus. Sprich, sah keinen Switch/AP/angeschlossenen Client.
Womit wurden die erstellt? Denn fast alle hier im Forum haben diese Form.
Und die Fragen hinsichtlich der FW-Regel war im Bezug auf das Programm, mit dem die Grafiken über die Netzwerktopologie erstellt wird.
Meine Shareware konnte das Netz scannen aber ging nicht über die m0n0wall hinaus. Sprich, sah keinen Switch/AP/angeschlossenen Client.
Das ist Visio oder Omni Graffle (Mac) mit ein paar ausgeliehenen Symbolen von Cisco bzw. Graffletopia:
http://www.cisco.com/web/about/ac50/ac47/2.html
http://graffletopia.com/
Das Scanner SW nicht über die Monowall kommt ist normal ! Dafür ist es ja eine Firewall und macht genau das was sie soll !!
Wenn du rausbekommst mit WAS deine Shareware das Netzwerk abfragt SNMP, ICMP usw. dann kannst du das auf der M0n0wall freigeben und dann gehts auch über die Monowall
Der freie Ethernet Sniffer Wireshark zeigt dir im Handumdrehen was deine Shareware macht im Netz um an diese Informationen zu kommen !!
http://www.cisco.com/web/about/ac50/ac47/2.html
http://graffletopia.com/
Das Scanner SW nicht über die Monowall kommt ist normal ! Dafür ist es ja eine Firewall und macht genau das was sie soll !!
Wenn du rausbekommst mit WAS deine Shareware das Netzwerk abfragt SNMP, ICMP usw. dann kannst du das auf der M0n0wall freigeben und dann gehts auch über die Monowall
Der freie Ethernet Sniffer Wireshark zeigt dir im Handumdrehen was deine Shareware macht im Netz um an diese Informationen zu kommen !!
Wireshark ist installiert, puh, ist da Traffic auf der Leitung. So den Wald vor Bäumen nicht sehen können ;)
Vielen Dank - ich denke Thema ist gelöst.
Vielen Dank - ich denke Thema ist gelöst.
Dafür hat Wireshark ja auch einen Capture Filter !! Den setzt du so wie du es willst und siehst dann auch nur den Traffic den du sehen willst
