WLAN mit DHCP konfigurieren

    Ein Albtraum wird wahr.
    Auf Arbeit muss ich ein WLAN konfigurieren, das bei Veranstaltungen den Gästen den vorhandenen Internetzugang zur Verfügung stellen soll. Das WLAN muss soweit möglich vom firmeninternen LAN getrennt bleiben. Der fli4l-basierte DSL-Router hat daher eine weitere Ethernetkarte bekommen, an die der WLAN-AP angeschlossen werden soll. Damit laufen LAN und WLAN schon mal in zwei getrennten Subnetzen, der Berührungspunkt liegt in Hardware im DSL-Router und in Software in der fli4l-Software, die momentan noch von schreibgeschützter Diskette, demnächst von CD-RW (in einem DVD-ROM-Laufwerk einliegend) gestartet wird. Es gibt auch ein Timemanagement. Der erste, der morgens Internet braucht, schaltet den DSL-Router ein und der letzte, der geht, wieder aus. Das WLAN wird nur während Veranstaltungen laufen. Als WLAN-AP liegt ein D-link DAP-2310 bereit. Wegen der geplanten WLAN-Nutzung kommt nur DHCP in Frage.

    Beim WLAN-AP können IP-Adressen für Gateway und DNS-Server angegeben werden. Wird ein DNS-Server überhaupt gebraucht? Unter Windows & Linux reicht die Angabe eines "Default Gateway", damit die Kisten über das LAN und den DSL-Router ins Internet kommen, wobei im LAN aber mit statischen IP-Adressen gearbeitet wird.

    Soweit ich das im Internet gefunden habe, müssen die via DHCP vergebenen IP-Adressen und die IP-Adresse des Gateways im selben Subnetz liegen. Beim WLAN-AP kann neben der Subnetzmaske auch noch ein IP-Adressbereich angegeben werden, aus dem DHCP die zu verteilenden IP-Adressen entnimmt. Muss die IP-Adresse des Gateways innerhalb dieses IP-Adressbereichs liegen, darf sie nicht darin liegen oder ist es einfach egal?

    Was ist hinsichtlich der "Sicherheit" die richtige Einstellung? AES/WPA2? Oder ist das noch zu unsicher, oder schon zu restriktiv für viele Geräte (wohl überwiegend Laptops & Smartphones)?

    Was ist eigentlich mit der IP-Adresse, die im WLAN-AP für dessen Konfiguration eingestellt ist? Muss die auch im DHCP-Subnetz liegen oder ist die davon völlig losgelöst und das ethernet device im WLAN-AP arbeitet im Betrieb nur als Switch-Port?

    Anm.: Für mich war, ist und bleibt WLAN Teufelswerk! :<
    Aber deswegen die Festanstellung zu schmeißen erscheint als Lösung auch irgendwie deutlich suboptimal.

    Ersetz das Fli4L-Geraffel durch was modernes wie pfSense. Da läßt sich dann mit einem Klick ein separates Gastnetz setzen und der Router kümmert sich um alles.

    Heutzutage kann jedes Gerät WPA2.

    Das einzige Problem könnte höchstens die Last sein, die durch viele gleichzeitige Clients auftreten kann. WPA2 nutzt AES, AES ist jedoch selten hw-seitig auf den Plaste-AP-Routern implementiert. Da kann es also durch aus passieren, dass ab 10-20+ Clients mit gleichzeitigem Datendurchsatz die AP ausknocken.

    Der Einfachheit halber sollte der Gateway im gleichen Subnet liegen wie das private Subnet, was intern benutzt wird. Das Web-Interface des AP sollte nur irgendwo erreichbar liegen. Der muss nicht zwangsläufig im gleichen Subnet liegen, würde sich auch der Einfachheit halber aber anbieten. Das Wifi-Netz ersetzt ja nur das Kabel.

    EDIT: Wie viele Gäste/Geräte werden denn erwartet? Eventuell wäre es auch schlau mehrere APs über die 2,4-Kanäle 1, 6 und 11 verteilt zu deployen. Ggf 802.11 A/AC mit N.

    Einmal editiert, zuletzt von CHRiSNEW (1. September 2015 um 22:48)

    Zitat von mrshadowtux


    Ersetz das Fli4L-Geraffel durch was modernes wie pfSense. Da läßt sich dann mit einem Klick ein separates Gastnetz setzen und der Router kümmert sich um alles.

    Was ist an fli4l jetzt so unmodern? Die aktuelle Version 3.10.3 stammt vom 26.07.2015. Nur weil es etwas schon lange gibt, ist es nicht automatisch veraltet. Die beiden dran hängenden Netze hängen an zwei unterschiedlichen Ethernetkarten und das DSL-Endgerät an einer Dritten. Die vorhandene fli4l-Konfiguration hält im Übrigen die am LAN hängenden Messrechner mit Windows XP drauf davon ab, sich mit dem Internet zu verbinden. Außerdem kommt fli4l ohne im Router beschreibbare Massespeicher aus.

    Zitat von CHRiSNEW


    Heutzutage kann jedes Gerät WPA2.

    Gut, also AES/WPA2.

    Zitat von CHRiSNEW


    Das einzige Problem könnte höchstens die Last sein, die durch viele gleichzeitige Clients auftreten kann. WPA2 nutzt AES, AES ist jedoch selten hw-seitig auf den Plaste-AP-Routern implementiert. Da kann es also durch aus passieren, dass ab 10-20+ Clients mit gleichzeitigem Datendurchsatz die AP ausknocken.

    Was passiert beim "Ausknocken" genau? Im Übrigen werde ich es darauf erst mal ankommen lassen. Wenn das dann knallt, muss der Chef entscheiden, ob ihm die Lösung dieses Problems weitere Hardware wert ist.

    Zitat von CHRiSNEW


    Der Einfachheit halber sollte der Gateway im gleichen Subnet liegen wie das private Subnet, was intern benutzt wird.

    Gut, also wie im LAN zu konfigurieren.

    Zitat von CHRiSNEW


    Das Web-Interface des AP sollte nur irgendwo erreichbar liegen. Der muss nicht zwangsläufig im gleichen Subnet liegen, würde sich auch der Einfachheit halber aber anbieten. Das Wifi-Netz ersetzt ja nur das Kabel.

    Kommt dann auch nicht ins selbe Subnetz, damit die Gäste gar nicht erst auf dumme Gedanken kommen. Zum Konfigurieren kann ich da dann auch mit 'nem Messtechnik-Laptop via LAN-Kabel dran. Das wird schließlich kein WLAN für 24/7/365-Betrieb.

    Zitat von CHRiSNEW


    EDIT: Wie viele Gäste/Geräte werden denn erwartet? Eventuell wäre es auch schlau mehrere APs über die 2,4-Kanäle 1, 6 und 11 verteilt zu deployen. Ggf 802.11 A/AC mit N.

    s.o., erst mal laufen lassen. Bei Arbeitstreffen sind es meist eh nur so 5…10 mit Laptops, bei Vortragsveranstaltungen auch mehr, aber da sollen die eigentlich den Vorträgen lauschen und nicht mit ihren Mobilgeräten im Internet daddeln, was bei der ADSL2000-Leitung, die in absehbarer Zeit dort auch nicht "aufgebohrt" werden wird (ja, mausert sich in dem Gewerbegebiet allmählich zum Standortnachteil für die Betriebe), auch nicht sonderlich attraktiv sein dürfte. Das Ganze ist schon eher dafür gedacht, dass die Gäste mal ihre E-Mails abrufen und ggf. beantworten können oder mal schnell gucken können, ob und wann ihr Zug fährt.

    Zitat von CHRiSNEW


    Heutzutage kann jedes Gerät WPA2.

    Das einzige Problem könnte höchstens die Last sein, die durch viele gleichzeitige Clients auftreten kann. WPA2 nutzt AES, AES ist jedoch selten hw-seitig auf den Plaste-AP-Routern implementiert. Da kann es also durch aus passieren, dass ab 10-20+ Clients mit gleichzeitigem Datendurchsatz die AP ausknocken.

    Der Einfachheit halber sollte der Gateway im gleichen Subnet liegen wie das private Subnet, was intern benutzt wird. Das Web-Interface des AP sollte nur irgendwo erreichbar liegen. Der muss nicht zwangsläufig im gleichen Subnet liegen, würde sich auch der Einfachheit halber aber anbieten. Das Wifi-Netz ersetzt ja nur das Kabel.

    EDIT: Wie viele Gäste/Geräte werden denn erwartet? Eventuell wäre es auch schlau mehrere APs über die 2,4-Kanäle 1, 6 und 11 verteilt zu deployen. Ggf 802.11 A/AC mit N.

    Eigentlich wurde AES auch so entwickelt das es Softwareseitig schnell laufen soll.
    Ich glaube es braucht da mehr als 20 Clients.
    Also im Vorlesungssaal bricht das WLAN bei vollen Vorlesungen ab. Und das sind mehr als 20 Clients :D

    Es ist besser nicht zu moderieren als falsch zu moderieren

    Zitat von Arnulf zu Linden

    Wird ein DNS-Server überhaupt gebraucht? Unter Windows & Linux reicht die Angabe eines "Default Gateway", damit die Kisten über das LAN und den DSL-Router ins Internet kommen, wobei im LAN aber mit statischen IP-Adressen gearbeitet wird.

    Wenn du ohnehin dein internes Netz nicht den WLAN-Besuchern über hübsch auflösende Hostnamen freigeben willst, kannst du auch gleich einen externen DNS-Server (z. B. den automatisch vom Internetanbieter konfigurierten, Google [8.8.8.8/8.8.4.4] oder FoeBud gestellten) nutzen, der nur Internetadressen auflöst.

    Zitat von Arnulf zu Linden

    Muss die IP-Adresse des Gateways innerhalb dieses IP-Adressbereichs liegen, darf sie nicht darin liegen oder ist es einfach egal?

    Das "Gateway" ist in dieser Hinsicht gleichbedeutend mit dem Standard-Gateway. Es ist der Anlaufpunkt für sämtliche Netzwerk-Pakete, die nicht direkt im lokalen Netz (oder über definierte statische Routen) zugestellt werden können. Während an die IP-Adresse des Gateways direkt keine Pakete gestellt werden, braucht dieses trotzdem eine im lokalen Netz, damit darüber dessen MAC-Adresse per ARP (oder bei IPv6, NDP) ermittelt werden kann, die im Übrigen bei Wireless Ethernet genauso wie bei seinem verkabelten Pendant als Quell- und Zieladresse für Frames, die Netzwerkpakete wie IP für den Transport im LAN kapseln, funktioniert.

    Zitat von Arnulf zu Linden

    Was ist hinsichtlich der "Sicherheit" die richtige Einstellung? AES/WPA2? Oder ist das noch zu unsicher, oder schon zu restriktiv für viele Geräte (wohl überwiegend Laptops & Smartphones)?

    Mobile Geräte können heutzutage durchgehend WPA2-PSK mit AES-Verschlüsselung, Laptops spätestens seit XP SP3 (oder SP2 mit WPA2-Hotfix) ebenfalls. Der einzig sinnvolle Angriff von außen ist über Wörterbuchattacken (erschwert durch entsprechend unregelmäßige und ausreichend lange Passwörter) und selbst Teilnehmer im Besitz des Passworts können den gegenseitigen Verkehr nicht entschlüsseln, ohne den Schlüsselaustausch-Vorgang vollständig mitzuschneiden (was mir bisher selbst aus der Mitte eines Schulungsraums heraus mit künstlich herbeigeführten Verbindungsabbrüchen nicht gelungen ist).

    Zitat von Arnulf zu Linden

    Was ist eigentlich mit der IP-Adresse, die im WLAN-AP für dessen Konfiguration eingestellt ist? Muss die auch im DHCP-Subnetz liegen oder ist die davon völlig losgelöst und das ethernet device im WLAN-AP arbeitet im Betrieb nur als Switch-Port?

    Da du vermutlich ohnehin keine unterschiedlichen Subnetze für Ethernet und WLAN im AP konfigurieren kannst (da dann der AP selber routen müsste), müssen der Router (über seine neue Schnittstelle), das Web-Interface des APs und die WLAN-Clients wohl alle im selben Subnetz hängen. Theoretisch (falls dies dir überhaupt erlaubt wird) könntest du diese herausnehmen, um sie unerreichbar für WLAN-Clients zu machen, aber dann müsstest du deinen Router ebenfalls dafür konfigurieren, diese eine IP über diese Schnittstelle zu routen.
    Ja, ein WLAN-AP funktioniert stark vereinfacht als ein drahtloser Switch.

    Der Albtraum ist wahr geworden, das WLAN funktioniert (Sicherheit: AES / WPA2). Natürlich hat der WLAN-AP einen Steckdosen-Zwischenschalter bekommen für das manuelle Timemanagement.

    Noch zu testen sind Reichweite im Gebäude und Verbindungsqualität in den für Gäste in Frage kommenden Räumen und damit einhergehend der entgültige Standort des WLAN-AP. Außerdem muss ich noch genauer testen, ob das LAN nicht doch mit verhältnismäßig einfachen Mittlen vom WLAN aus ereichbar ist. Der erste Eindruck sagt dazu aber "Nein".

    Das Gebäude wird auch von einigen Nachbargrundstücken mit WLANs verstrahlt. Hoffentlich stören die sich nicht gegenseitig. Ein Nachbar hatte sogar mal ein "offenes" WLAN in Betrieb. :depp:

    Alle IP-Adressen "im" WLAN-AP (Adressen, die via DHCP verteilt werden, der WLAN-AP stellt dafür einen DHCP-Server bereit) sowie (logischerweise) die Gateway-IP-Adresse müssen laut Handbuch innerhalb eines Subnetzes liegen, also auch die IP-Adressen für das Webinterface zur Konfiguration des WLAN-AP und den LAN-Port im WLAN-AP.

    Der DHCP-Server im WLAN-AP braucht neben einer IP-Adresse für das Gateway auch eine IP-Adresse für einen DNS-Server. Hier wurde die gleiche IP-Adresse wie für das Gateway eingetragen (im LAN ist das auf den Clients genauso zu konfigurieren, der DNS-Server läuft auf dem fli4l-router).

    Das Passwort für das WLAN entspricht der BSI-Empfehlung für WLAN-Passwörter, womit eine Wörterbuchattacke keine allzu großen Chancen auf Erfolg haben dürfte. Ich denke, es ist von den Gästen nicht zuviel verlangt, einmal am Tag eine wirre Zeichenfolge in ihr Gerät einzutippen, um ein kostenfrei bereit gestelltes WLAN mit Internetzugang zu nutzen.
    Anm.: Diesbezüglich sah ich bei der Velotour durch die Schweizer Alpen in einigen Hotels gruselig leicht zu knackende WLAN-Passwörter. Andere Hotels hingegen hatten die Problematik erkannt und reagiert. Mangels mobilem Gerät blieb mir das Eintippen wirren Zeichenfolgen erspart. ;)

    Zitat von Benjamin92


    WLAN konfigurieren und Netze trennen ist ja jetzt wahrlich nicht so kompliziert, das machen wir eigentlich täglich in der Firma :rolleyes:

    Das will ich als FiSi schwer hoffen.

    sumi - R9 5950X - 128 GB RAM ECC - 2x 1TB NVMe - 4 TB SATA SSD - 4TB SATA HDD RAID-0 - Radeon RX 7800 XT 16 GB - SoundBlaster Z - Steinberg UR22 mkII Interface - Chieftec Dragon CS-601 - Arch/Win 10 Pro
    ThinkPad P14s Gen2 AMD - R7 5850U - 48 GB RAM - 1 TB NVMe SSD - UHD 3840x2160 HDR - Vega 8 - RTL8255AE AX - EM120R-GL LTE-A - Arch/Win 10 Edu
    Apple Mac Mini (Late 2020) - Apple M1 - 16 GB RAM - 256 GB SSD - WiFi 6 - macOS
    HPE Microserver Gen 8 - Xeon E3-1220 v2 - 16 GB RAM - 12 TB HDD - Debian

    </> Do you know who ate all the doughnuts?

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden