7
Routing Firewall-WLAN AP mit VLAN
Hi,
ich möchte gern aus meinem LAN auf die WLAN AP zugreifen können
Zur Ausgangssituation: wir haben in 2 Gebäuden 2 WLAN APs (bintec W1002n) für Internetzugriff für Kunden. Diese 2 AP sind per VLAN angeschlossen und kommen über den Switch zu unserer Firewall/UTM (Funkwerkt UTM 2100) an ein eigenes Interface.
Somit habe ich das WLAN relativ sicher von unserem Firmennetz getrennt.
Jetzt möchte ich aber gerne von meinem PC im Firmennetz auf die APs kommen um deren Status zu sehen usw.
Ich habe mir jetzt meinen PC mit in das VLAN genommen, habe eine Route von meinem PC zu diesem WLAN Netz geschrieben (als Bypass Route), habe eine Firewallregel geschrieben die den Zugriff von meinem PC auf das WLAN Netz ermöglicht und habe eine Proxy-Regel in der Firewall von meinem PC auf das WLAN Netz erstellt.
Ich dachte damit komme ich auf die Website der APs, aber es klappt nicht.
Hat noch jemand von euch einen Einfall?
Wenn jemand generell Ahnung von der UTM hat, wäre ich auch grundsätzlich interessiert.
Vielen Dank.
MFG
Caddy0815
Somit habe ich das WLAN relativ sicher von unserem Firmennetz getrennt.
Jetzt möchte ich aber gerne von meinem PC im Firmennetz auf die APs kommen um deren Status zu sehen usw.
Ich habe mir jetzt meinen PC mit in das VLAN genommen, habe eine Route von meinem PC zu diesem WLAN Netz geschrieben (als Bypass Route), habe eine Firewallregel geschrieben die den Zugriff von meinem PC auf das WLAN Netz ermöglicht und habe eine Proxy-Regel in der Firewall von meinem PC auf das WLAN Netz erstellt.
Ich dachte damit komme ich auf die Website der APs, aber es klappt nicht.
Hat noch jemand von euch einen Einfall?
Wenn jemand generell Ahnung von der UTM hat, wäre ich auch grundsätzlich interessiert.
Vielen Dank.
MFG
Caddy0815
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181170
Url: https://administrator.de/contentid/181170
Printed on: April 20, 2024 at 02:04 o'clock
7 Comments
Latest comment
Hallo Caddy,
wenn ich das richtig sehe, ist der AP in der Lage sowhl Mulit-SSID zu liefern alsauch mit VLAN-Tagging zu arbeiten. Somit ist es möglich den AP an einem getaggten Port zu betreiben, die SSID dem öffentlichen Internet(Router) zuzuweisen und mit einem zweiten VLAN eine Route zum PC des Admins zu realisieren. Damit ist der AP aus dem internen Netz erreichbar. Erweitern läßt sich dieses Konzept mit sogenannten Management VLANs auch.
Weniger elegant, aber machbar ist, dass der PC des Admins vorübergehend ins VLAN des AP (nicht ins SSID/WLAN) konfiguriert wird.
Gruß
Netman
wenn ich das richtig sehe, ist der AP in der Lage sowhl Mulit-SSID zu liefern alsauch mit VLAN-Tagging zu arbeiten. Somit ist es möglich den AP an einem getaggten Port zu betreiben, die SSID dem öffentlichen Internet(Router) zuzuweisen und mit einem zweiten VLAN eine Route zum PC des Admins zu realisieren. Damit ist der AP aus dem internen Netz erreichbar. Erweitern läßt sich dieses Konzept mit sogenannten Management VLANs auch.
Weniger elegant, aber machbar ist, dass der PC des Admins vorübergehend ins VLAN des AP (nicht ins SSID/WLAN) konfiguriert wird.
Gruß
Netman
Hi Netman,
Danke dir für die Antwort.
Da das VLAN der APs direkt an einem anderen Port der UTM hängt, wäre es mir eigentlich lieber, ich könnte mit meinem PC auf die APs.
Mir genügt es, wenn nur mein PC die APs erreichen kann.
Jetzt dachte ich, ich schreibe eine Route von meinem PC (feste IP) in das Netz der APs. Die UTM verwaltet ja beide Netze.
Ich habe mit Netzwerken nicht die tiefen Kenntnisse. Brauche ich vielleicht noch NAT oder so?
Mein LAN ist im Bereich 192.168.12.x, die APs sind im Bereich 10.0.0.x und vergeben ihrerseits IPs im Bereich 192.168.2.x
Meine Route geht also vom LAN Interface und dem PC 192.168.12.xxx an das WLAN Interface in den Bereich 10.0.0.x
Die Regeln sind so konfiguriert, dass ich von 192.168.12.xxx mit allen Diensten auf 10.0.0.x zugreifen können soll.
Meine APs haben VLAN ID 2, die Ports der Switche (Netgear) auch die 2. Das Interface der UTM hat natürlich auch die 2.
Meine Uplinkports (Glasfaser) haben genau wie mein PC die ID 1 fürs LAN untagged und die 2 fürs WLAN getagged.
Ist das mit dem Tagging so richtig?
Ich bin der Meinung meine Variante birgt weniger Gefahren und erfordert weniger Eingriffe.
Aber wie muss ich es umsetzen?
Oder ist meine Variante doch nicht die günstigere?
Danke.
Caddy
Danke dir für die Antwort.
Da das VLAN der APs direkt an einem anderen Port der UTM hängt, wäre es mir eigentlich lieber, ich könnte mit meinem PC auf die APs.
Mir genügt es, wenn nur mein PC die APs erreichen kann.
Jetzt dachte ich, ich schreibe eine Route von meinem PC (feste IP) in das Netz der APs. Die UTM verwaltet ja beide Netze.
Ich habe mit Netzwerken nicht die tiefen Kenntnisse. Brauche ich vielleicht noch NAT oder so?
Mein LAN ist im Bereich 192.168.12.x, die APs sind im Bereich 10.0.0.x und vergeben ihrerseits IPs im Bereich 192.168.2.x
Meine Route geht also vom LAN Interface und dem PC 192.168.12.xxx an das WLAN Interface in den Bereich 10.0.0.x
Die Regeln sind so konfiguriert, dass ich von 192.168.12.xxx mit allen Diensten auf 10.0.0.x zugreifen können soll.
Meine APs haben VLAN ID 2, die Ports der Switche (Netgear) auch die 2. Das Interface der UTM hat natürlich auch die 2.
Meine Uplinkports (Glasfaser) haben genau wie mein PC die ID 1 fürs LAN untagged und die 2 fürs WLAN getagged.
Ist das mit dem Tagging so richtig?
Ich bin der Meinung meine Variante birgt weniger Gefahren und erfordert weniger Eingriffe.
Aber wie muss ich es umsetzen?
Oder ist meine Variante doch nicht die günstigere?
Danke.
Caddy
Möglich ist auch das du schlicht und einfach die Rückroute bzw. Regel in der FW vergessen hast. Bedenke immer das die Pakete aus dem eine VLAN auch wieder zum PC zurück müssen. Stimmt die FW Regel für den Rückweg nicht klappts natürlich nicht mit dem Zugriff....logisch ! Mit einer Regel ist es also niemals getan, du brauchst immer 2 !!
Vielleicht solltest du dir erstmal genau durchlesen wie das Thema VLAN und APs generell funktioniert bevor wir hier weiterraten.
Routen am PC usw. ist eigentlich Unsinn wenn die VLAN bzw. das VLAN Routing sauber eingerichtet sind.
Lies dir also das folgende Tutorial durch was das alles erklärt, dann sehen wir mal weiter:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vielleicht solltest du dir erstmal genau durchlesen wie das Thema VLAN und APs generell funktioniert bevor wir hier weiterraten.
Routen am PC usw. ist eigentlich Unsinn wenn die VLAN bzw. das VLAN Routing sauber eingerichtet sind.
Lies dir also das folgende Tutorial durch was das alles erklärt, dann sehen wir mal weiter:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hi aqui,
Den Link habe ich mir angeschaut. Sehr interessant. Bisher haben wir ja nur ein Besucher WLAN. Also die APs haben nur ein WLAN Netz welches mit dem einen definierten VLAN (ID 2) arbeitet. Wenn wir mal ein Firmen WLAN nutzen wollen, ist deine Anleitung aber eine sehr gute Hilfe.
Ich habe jetzt nochmal meine aktuelle Konfiguration angeschaut. Wir haben noch einen Server (192.168.4.x) der auch an einem eigenen Interface der UTM hängt. Allerdings benötige ich hier kein VLAN, da der Server ohne Switch an der UTM hängt.
Einige PCs unseres Lan (192.168.12.x) (anderes Interface) können laut Regel auf diesen Server zugreifen. Dafür gibt es eine Regel in beide Richtungen. Routing oder Nat gibt es dafür nicht. Wozu auch.
Für meinen Wunsch mit dem Zugriff auf die APs muss das doch genau so funktionieren, oder? Nur hier ist noch VLAN im Spiel.
Meine APs haben VLAN ID2. Alle Ports die die APs bis zur UTM bringen sind auf ID2 getaggt. Einige, wie die Uplinkports sind aber auch auf ID1, weil ja das normale LAN auch noch darüber läuft.
Wenn jetzt der Port, an dem ich hänge auch mit der ID1 und 2 kommt und die Regeln, dass ich mit meiner IP (192.168.12.x) auf das Netz der APs (10.0.0.x) darf und umgekehrt, aktiv sind muss es doch klappen.
Wenn ich einen Ping mache auf die APs kommt "Zielhost nicht erreichbar". Deaktiviere ich die Regeln kommt eine Zeitüberschreitung, weil er ja gar nicht auf dieses Netz kommt.
Wenn ich die Regeln mitloggen lasse kommt auch ein accept von der Firewall:
ACCEPT IN=eth1 OUT=eth2.2 MAC=xxx SRC=192.168.12.xx DST=10.0.0.xxx LEN=40 TOS=00 PREC=0x00 TTL=127 ID=520 DF PROTO=TCP SPT=62556 DPT=80 SEQ=2682069433 ACK=2682069433 WINDOW=0 RST URGP=0
Die Regel in die andere Richtung gibt es auch.
Was aber fehlt noch?
Die UTM ist auch transparenter HTTP Proxy. Auch für den Proxy habe ich eine Regle erzeugt.
Muss mein Rechner auch die VLAN ID haben? Wo geht das einzustellen? In der Netzwerkkarte finde ich nix.
Reicht es, nur die für das WLAN nötigen Ports inkl. Uplinks mit der ID 2 zu taggen und die anderen Ports unverändert zu lassen? Da nicht alle Switche im Unternehmen VLAN fähig sind, wäre es nicht möglich alle Ports auf die ID 1 zu taggen, die im LAN arbeiten.
Habt ihr noch Hilfen für mich.
Den Link habe ich mir angeschaut. Sehr interessant. Bisher haben wir ja nur ein Besucher WLAN. Also die APs haben nur ein WLAN Netz welches mit dem einen definierten VLAN (ID 2) arbeitet. Wenn wir mal ein Firmen WLAN nutzen wollen, ist deine Anleitung aber eine sehr gute Hilfe.
Ich habe jetzt nochmal meine aktuelle Konfiguration angeschaut. Wir haben noch einen Server (192.168.4.x) der auch an einem eigenen Interface der UTM hängt. Allerdings benötige ich hier kein VLAN, da der Server ohne Switch an der UTM hängt.
Einige PCs unseres Lan (192.168.12.x) (anderes Interface) können laut Regel auf diesen Server zugreifen. Dafür gibt es eine Regel in beide Richtungen. Routing oder Nat gibt es dafür nicht. Wozu auch.
Für meinen Wunsch mit dem Zugriff auf die APs muss das doch genau so funktionieren, oder? Nur hier ist noch VLAN im Spiel.
Meine APs haben VLAN ID2. Alle Ports die die APs bis zur UTM bringen sind auf ID2 getaggt. Einige, wie die Uplinkports sind aber auch auf ID1, weil ja das normale LAN auch noch darüber läuft.
Wenn jetzt der Port, an dem ich hänge auch mit der ID1 und 2 kommt und die Regeln, dass ich mit meiner IP (192.168.12.x) auf das Netz der APs (10.0.0.x) darf und umgekehrt, aktiv sind muss es doch klappen.
Wenn ich einen Ping mache auf die APs kommt "Zielhost nicht erreichbar". Deaktiviere ich die Regeln kommt eine Zeitüberschreitung, weil er ja gar nicht auf dieses Netz kommt.
Wenn ich die Regeln mitloggen lasse kommt auch ein accept von der Firewall:
ACCEPT IN=eth1 OUT=eth2.2 MAC=xxx SRC=192.168.12.xx DST=10.0.0.xxx LEN=40 TOS=00 PREC=0x00 TTL=127 ID=520 DF PROTO=TCP SPT=62556 DPT=80 SEQ=2682069433 ACK=2682069433 WINDOW=0 RST URGP=0
Die Regel in die andere Richtung gibt es auch.
Was aber fehlt noch?
Die UTM ist auch transparenter HTTP Proxy. Auch für den Proxy habe ich eine Regle erzeugt.
Muss mein Rechner auch die VLAN ID haben? Wo geht das einzustellen? In der Netzwerkkarte finde ich nix.
Reicht es, nur die für das WLAN nötigen Ports inkl. Uplinks mit der ID 2 zu taggen und die anderen Ports unverändert zu lassen? Da nicht alle Switche im Unternehmen VLAN fähig sind, wäre es nicht möglich alle Ports auf die ID 1 zu taggen, die im LAN arbeiten.
Habt ihr noch Hilfen für mich.
Ja, das siehst du so richtig. Alle Switch Uplink Ports die die VLANs enthalten müssen tagged entweder auf die UTM gehen oder auf weitere Switches. Das ist alles so richtig und korrekt, damit die Switches und auch die UTM die Pakete anhand ihrer VLAN ID wieder den richtigen VLANs bzw. VLAN IP Interfaces zuordnen kann.
Bedenke aber das Endgeräte also deinen APs und auch dein Client Laptop natürlich immer logischerweise untagged an Ports in diesen VLANs hängen müssen. Das ist dir vermutlich aber klar.
Wenn du nun von deinem Client (192.168.12.x) auf das WebGUI der APs (10.0.0.x) willst dann musst du in der UTM eine FW Regel erstellen die TCP 80 vom Netzwerk 192.168.12.0 /24 ins Netzwerk 10.0.0.0 /24 erlaubt.
Damit kommen die HTTP Pakete von deinem Client dann schon mal beim AP an. Nun antwortet dir dein AP ja auch wenn du im WebGUI arbeitest !
Folglich MUSS die UTM also auch Pakte vom 10.0.0.0 /24 er AP Netzwerk wieder zurück ins 192.168.12.0 /24 er Client Netzwerk erlauben damit die Kommunikation bedseitig klappt...logisch !
Am APs Netzport der UTM muss also zwingend auch sowas stehen wie:
ACCEPT IN=eth2 OUT=eth1 MAC=xxx SRC=10.0.0.x DST=192.168.12.x
Folglich musst du also mindestens immer 2 Firewall Regeln erstellen ! Hoffentlich hast du das bedacht. Ansonsten hast du sonst immer eine Einbahnstrasse und das Ergebnis was du oben siehst !
Bedenke aber das Endgeräte also deinen APs und auch dein Client Laptop natürlich immer logischerweise untagged an Ports in diesen VLANs hängen müssen. Das ist dir vermutlich aber klar.
Wenn du nun von deinem Client (192.168.12.x) auf das WebGUI der APs (10.0.0.x) willst dann musst du in der UTM eine FW Regel erstellen die TCP 80 vom Netzwerk 192.168.12.0 /24 ins Netzwerk 10.0.0.0 /24 erlaubt.
Damit kommen die HTTP Pakete von deinem Client dann schon mal beim AP an. Nun antwortet dir dein AP ja auch wenn du im WebGUI arbeitest !
Folglich MUSS die UTM also auch Pakte vom 10.0.0.0 /24 er AP Netzwerk wieder zurück ins 192.168.12.0 /24 er Client Netzwerk erlauben damit die Kommunikation bedseitig klappt...logisch !
Am APs Netzport der UTM muss also zwingend auch sowas stehen wie:
ACCEPT IN=eth2 OUT=eth1 MAC=xxx SRC=10.0.0.x DST=192.168.12.x
Folglich musst du also mindestens immer 2 Firewall Regeln erstellen ! Hoffentlich hast du das bedacht. Ansonsten hast du sonst immer eine Einbahnstrasse und das Ergebnis was du oben siehst !
Hi,
die Regel in beide Richtungen ist drin.
Mit dem VLAN habe ich vielleicht noch Verständnisprobleme.
Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt. Der Port von meinem client (anderer Switch in anderem Gebäude mit Glasfaser verbunden) ist mit ID 2 getagged und mit der ID 1 untagged.
Auch die UTM hat auf dem Interface für das WLAN-Netz ID2 getagged.
Ist das falsch?
Ich habe mal versucht, einen Laptop mit einer IP 10.0.0.x zu versehen und an einen mit ID2 getaggedden Port zu hängen. Auch damit klappt es nicht.
Müssen die Endgeräte (CLient, AP, UTM) ohne getaggedde ID ankommen?
Danke dir aber schon mal für deine Erklärungen.
Irgendwann will ich es mal einrichten, dass wir 1 Besucher WLAN und ein Firmen WLAN haben, die voneinander getrennt sind. Das muss ich mir aber nochmal genau anschauen. Der AP hat irgendwas mit Hotspot in der Konfig. Das wäre mir ganz recht, wenn es ein offenes WLAN wäre, jedoch mit Anmeldung über eine Seite. Vielleicht bietet das der AP schon an. Da muss ich mich nochmal belesen.
Aktuelle gehen unsere Mitarbeiter, wenn sie WLAN nutzen müssen per SSL VPN ins Firmennetz. Das birgt aber auch ein paar Probleme.
Dafür möchte ich aber erst mal den Zugriff aus meinem LAN klären.
die Regel in beide Richtungen ist drin.
Mit dem VLAN habe ich vielleicht noch Verständnisprobleme.
Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt. Der Port von meinem client (anderer Switch in anderem Gebäude mit Glasfaser verbunden) ist mit ID 2 getagged und mit der ID 1 untagged.
Auch die UTM hat auf dem Interface für das WLAN-Netz ID2 getagged.
Ist das falsch?
Ich habe mal versucht, einen Laptop mit einer IP 10.0.0.x zu versehen und an einen mit ID2 getaggedden Port zu hängen. Auch damit klappt es nicht.
Müssen die Endgeräte (CLient, AP, UTM) ohne getaggedde ID ankommen?
Danke dir aber schon mal für deine Erklärungen.
Irgendwann will ich es mal einrichten, dass wir 1 Besucher WLAN und ein Firmen WLAN haben, die voneinander getrennt sind. Das muss ich mir aber nochmal genau anschauen. Der AP hat irgendwas mit Hotspot in der Konfig. Das wäre mir ganz recht, wenn es ein offenes WLAN wäre, jedoch mit Anmeldung über eine Seite. Vielleicht bietet das der AP schon an. Da muss ich mich nochmal belesen.
Aktuelle gehen unsere Mitarbeiter, wenn sie WLAN nutzen müssen per SSL VPN ins Firmennetz. Das birgt aber auch ein paar Probleme.
Dafür möchte ich aber erst mal den Zugriff aus meinem LAN klären.
Uplinks zwischen Switches sind immer getagged mit den VLANs und das VLAN 2 liegt immer untagged an. Das ist normal und auch allgemeiner Standard nach IEEE 802.1q.
In der Beziehung ist das alles richtig.
Ein Punkt ist aber mit sicherheit falsch: "Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt" !
Das geht so mit keinem AP der am Markt erhältlich ist. Hier ist vermutlich ein Fehler.
Wir raten jetzt mal das du ein ESSID fähigen AP hast der also mehrere WLAN SSIDs aufspannen kann und die bestimmten VLAN Tags zuordnen kann wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch hier liegt am AP immer das VLAN 1 untagged mit an !! Die Management IP Adresse des APs ist immer im VLAN 1 und damit untagged zu erreichen. Dein Link zum AP darf also niemals nur VLAN 2 getagged sein , denn sonst erreichst du den AP nicht mehr.
Sie dir zu dem obigen beispiel im Tutorial die korrespondierenden Konfigurationen (Screenshots) der APs an und das dazu zugehörige Firewall oder Switchinterface.
Das erklärt das ganze Szenario recht genau.
Da musst du also drauf achten das das stimmt.
Im Zeifelsfall schliesst du dort immer mal ein Endgerät an und checkst mit Pings ob die VLANs durchgängig sind.
Vermutlich ist also deine VLAN Konfig am AP falsch. Oder du hast gar keinen Mulriple SSID AP (ESSID) dann scheitert das natürlich auch sofort mit dem VLAN 2 Tag !
Ohne das du mal deine Konfig postest oder näher beschreibst ist einen zielführende Hilfe aber nicht einfach !
In der Beziehung ist das alles richtig.
Ein Punkt ist aber mit sicherheit falsch: "Der AP ist mit der ID 2 getagged, genau wie der Port an dem er hängt" !
Das geht so mit keinem AP der am Markt erhältlich ist. Hier ist vermutlich ein Fehler.
Wir raten jetzt mal das du ein ESSID fähigen AP hast der also mehrere WLAN SSIDs aufspannen kann und die bestimmten VLAN Tags zuordnen kann wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auch hier liegt am AP immer das VLAN 1 untagged mit an !! Die Management IP Adresse des APs ist immer im VLAN 1 und damit untagged zu erreichen. Dein Link zum AP darf also niemals nur VLAN 2 getagged sein , denn sonst erreichst du den AP nicht mehr.
Sie dir zu dem obigen beispiel im Tutorial die korrespondierenden Konfigurationen (Screenshots) der APs an und das dazu zugehörige Firewall oder Switchinterface.
Das erklärt das ganze Szenario recht genau.
Da musst du also drauf achten das das stimmt.
Im Zeifelsfall schliesst du dort immer mal ein Endgerät an und checkst mit Pings ob die VLANs durchgängig sind.
Vermutlich ist also deine VLAN Konfig am AP falsch. Oder du hast gar keinen Mulriple SSID AP (ESSID) dann scheitert das natürlich auch sofort mit dem VLAN 2 Tag !
Ohne das du mal deine Konfig postest oder näher beschreibst ist einen zielführende Hilfe aber nicht einfach !
