Zugriff auf WLAN-Subnetz

Hi Leute,

kleine Netzwerkaufgabe für Profi´s, zu der mir leider noch keine Lösung eingefallen ist.
Ich betreibe ein kleines LAN mit einem Router (Netgear FVS318G) im Adressbereich 192.168.155.x, statische IP´s.
Mehrere Linux-Clients und ein Printserver sind im LAN verbunden, der Zugriff ins Internet erfolgt per ADSL-Modem.
Vor kurzem habe ich einen WLAN-Router (Netgear WGR614 V7) zum Accesspoint degradiert und Ihn per LAN-Port in oben genanntes LAN integriert, um auch mal einem Laptop den Zugriff per WLAN auf das LAN zu ermöglichen.
Alles problemlos funktioniert, nur im Hinterkopf immer die Frage der Sicherheit. WLAN zwar mit sämtlichen heute verfügbaren Mitteln abgesichert, aber ein fader Nachgeschmack bleibt und die Firewall des WLAN-Routers ist ohne Funktion.
Vorn Hochsicherheitstrakt und die Hintertür ist nur angelehnt. :???:
Also wieder gegoogelt, Tips und freundliche Hilfe erhalten.
Den WLAN-Accesspoint mit dem WAN-Anschluss ans LAN angestöpselt, Gateway und DNS-Server eingetragen, LAN-IP des WLAN-AP`s (Subnetz 192.168.55.x) geändert und DHCP aktiviert.
Jetzt habe ich vom Laptop über WLAN-LAN per DHCP Verbindung ins Internet und ins LAN.
WLAN-AP-Firewall tut Ihren Dienst.
Nun meine selbstgebauten Problemchen.
-Eine Konfiguration des WLAN-GUI´s ist nur noch per Laptop unter WLAN möglich, bzw. LAN-Verbindung am WLAN-Router
herstellen. (noch das geringste Problem, wobei ersteres, eigentlich auch ein Sicherheitsproblem darstellt)
-Wie stelle ich die Verbindung von den Clients des LAN ins Subnetz her. Vom Wlan ins LAN habe ich Verbindung.
Die Firewall des Netgear WLAN bietet mir zwar Portforwarding an, irgendwie funzt das aber nicht so richtig.
Vielleicht hat einer von Euch einen Tip dazu.



Gruss orcape

Also laut deiner Grafik hängt der Laptop am Router und nicht am AP. Ein AP vergibt i.d.R. keine Adressen aus einem anderen Subnetz an die Clients, weil er dazu dient, weiter entfernte Clients in das Subnetz einzubinden, ohne die Clients an eine Netzwerkdose anzuschließen (sprich: er reduziert die Verkabelung und ist quasi eine WLAN- Antenne des Routers. (Du kannst dir den AP- Betrieb ähnlich eines Switches vorstellen)
Ein AP hat i.d.R. keinen DNS- Server bzw. DNS- Resolver wie ein Router.

Du solltest auf jeden Fall am Router die IP- Vergabe per DHCP verwenden. Du kannst per DHCP dem Server eine feste bzw. statische IP zuweisen. Der AP sollte keinen eigenen DHCP- Server verwenden, weil zwei DHCP- Server im selben Subnetz Chaos verursachen. (kurz gesagt zwei DHCP- Server im selben Subnetz "prügeln" sich)

Portforwarding ist in deinem Fall unnötig und du würdest es nur benötigen wenn Anfragen von aussen an deinen Server weitergeleitet werden sollen.

Wenn ich das richtig sehe sind ja beide DHCP-Server in unterschiedlichen Subnetzen. Spontan würde ich sagen, du solltest im WLAN-Router NAT ausschalten.

@spoensche,

Also laut deiner Grafik hängt der Laptop am Router und nicht am AP.

Zum Vergrößern anklicken....

...sorry, der gezeichnete Laptop hängt am LAN-Router per Lan-Kabel und ist eigentlich wie ein normaler PC zu sehen. Sind noch Läppi´s im Subnetz gezeichnet, steht nur nicht dran....

Das mit dem Accesspoint ist mir schon klar und das 2 DHCP-Server nicht funktionieren auch. Ich will aber den DHCP-Server dort haben, wo die Rechner wechseln, das LAN ist eingerichtet und da gibt es keine Veränderungen. Deshalb dort die statischen IP´s. Ausserdem funktioniert der IP-Verweis vom AP, was DNS und Gateway betrifft, auf den LAN-Router problemlos, sonst würde ich ja vom Subnetz nicht ins Internet und ins LAN kommen.

@Tooltime

Wenn ich das richtig sehe sind ja beide DHCP-Server in unterschiedlichen Subnetzen. Spontan würde ich sagen, du solltest im WLAN-Router NAT ausschalten.

Zum Vergrößern anklicken....

..ist nur 1 DHCP-Server, der AP im Subnetz. NAT abschalten, muss ich mal checken ob´s der AP überhaupt macht.

Gruss orcape

Du kommst vom LAN nicht in dein WLAN, weil der AP keine Routing funktion hat, die aber nötig ist, wenn du von einem Subnetz in ein anderes Subnetz gelangen willst.

Was verwendest du den für einen AP?

Wenn du einen alten Rechner hast, könntest du dir einen einen WLAN- Router bauen, der mit einem Netzwerkinterface an den Router angeschlossen ist und als zweite Schnittstelle einen WLAN- Stick oder WLAN- Karte hat, mit der sich die WLAN- Clients verbinden.

Hi spoensche,

der AP ist ein Netgear WGR614 V7 -Router und hat eine Routing-Funktion.

Habe gerade den Tip bekommen Portforwarding im LAN-Router zu aktivieren. Auf dem WLAN funktioniert das nicht, weil ich da automatisch den Subnetz-IP Bereich für Portforwarding angezeigt bekomme.
Den Zugriff vom LAN auf das Webinterface habe ich schon hinbekommen, der Router hat eine Fernsteuerungsfunktion über WAN Port: 8080
Übrigens NAT lässt sich nicht abschalten, hat wohl auch nix damit zu tun.

Gruss orcape

Hi orcape

Genau zu dem von dir geschilderten Szenario gab es einen Artikel in der c't Nr.6 (das ist die Ausgabe vor der aktuellen).

http://www.heise.de/ct/inhalt/2010/06/148/

orcape schrieb:

Hi spoensche,

der AP ist ein Netgear WGR614 V7 -Router und hat eine Routing-Funktion.

Habe gerade den Tip bekommen Portforwarding im LAN-Router zu aktivieren. Auf dem WLAN funktioniert das nicht, weil ich da automatisch den Subnetz-IP Bereich für Portforwarding angezeigt bekomme.
Den Zugriff vom LAN auf das Webinterface habe ich schon hinbekommen, der Router hat eine Fernsteuerungsfunktion über WAN Port: 8080
Übrigens NAT lässt sich nicht abschalten, hat wohl auch nix damit zu tun.

Zum Vergrößern anklicken....

Die Internet- Schnittstelle des WGR614v7 verbindest du mit dem ersten Router. NAT wird u.A. von Masquerading verwendet und ist für die Routingfunktion unerlässlich.

Aus welchen Gründen sollen die Clients aus dem LAN den Zugriff auf die Clients des WLAN' s haben? (Serverdienste sollten sie eigentlich nicht anbieten, die ein Portforwarding rechtfertigen würden.)

spoensche schrieb:

Die Internet- Schnittstelle des WGR614v7 verbindest du mit dem ersten Router. NAT wird u.A. von Masquerading verwendet und ist für die Routingfunktion unerlässlich.

Zum Vergrößern anklicken....

Dem möchte ich mal wiedersprechen. NAT braucht nur der Router, der die Verbindung zum Internet hält. Der Sinn von NAT liegt ja darin, die Adressen der internen Subnete auf die eine offizielle IP der Internetschnittstelle (WAN-Port) abzubilden. Dabei wird die Adresse des Absenders durch IP des WAN-Ports ersetzt und der Router muss entsprechende Tabellen pflegen um die Antworten aus dem Internet wieder an den ursprünglichen Absender weiterleiten zu können. Schaltet man NAT ab, werden die Pakete ohne irgendeine Modifikation gemäß den Routingtabellen weitergeleitet. So wie ich es verstanden habe ist genau das das eigentliche Ziel, freier Datenverkehr zwischen den beiden internen Subnetzen.

Und wenn man oben erwähnten ct-Artikel mal liest, dort wird explizit erwähnt das die NAT-Funktion des zweiten Routers dazu benutzt wird, um das eine Subnetz von dem anderen zu verbergen aber nicht umgekehrt. Und genau dieser Effekt tritt hier ein, rückwärts durch den WLAN-Router wird kein Rechner erreicht.

@Tooltime:

Das sollte die Funktion von NAT verdeutlichen und nicht heißen, dass er es intern zwingend benötigt. Ich habe mich da leider etwas undeutlich und unverständlich ausgedrückt. :roll:

Mir ging es ja nur darum, noch einmal zu zeigen warum er rückwärts ( WAN-Port nach LAN Port) keine Verindung kriegen kann. Missverständlich ist ja auch, das er seinen WLAN-Router immer WLAN-AP nennt, da übersieht man leicht die Routingfunktion, könnte sich ja auch um eine WLAN-Bridge handeln.