Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 3122 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Komisches Verhalten bei Bridge WLAN mit LAN

Christian Sommer1

Hallo,

ich habe ein komisches Verhalten bei einer Bridge eines Remote WLAN (AP30; WLAN0) das über eth2 (reines Transfernetz für mehrere AP's und WLAN's dient) an die UTM gebunden ist. Ich möchte gerne eine Bridge des WLAN0 an das "normale LAN" an eth7 haben. Ich bin daher "https://community.sophos.com/kb/en-us/122080" gefolgt, was für mich logisch klingt und für eth7 auch funktioniert.

Leider geht bei WLAN0 der DHCP-Server nicht richtig, denn er holt sich die IP aus dem Transfernetz an eth2. Wenn ich das WLAN0 als seperate Zone konfiguriere, geht gar nichts an WLAN0. eth7 allerdings rennt die ganze Zeit einwandfrei (DHCP, Firewall-Regeln, Routing,...).

Grundsätzlich habe ich an der Kiste noch zwei weitere WLAN's aufgespannt, die allerdings saubere Einzelnetze sind und bleiben sollen. Mit denen klappt auch alles einwandfrei, also die AP's müßen in Ordnung sein.

Mir fällt auf, das ich beim Bau des Ethernet-Bridge-Devices gar nicht WLAN0 auswählen kann. Ich muß WLAN0 als reguläre Schnittstelle konfigurieren und sie dann konvertieren. Dann kann ich nachträglich eth7 einbinden, was dann auch klappt. Nur den WLAN-Teil der Bridge krieg ich nicht zum Laufen. :-(

Ich habe mit diese Konstellation jetzt schon echt viele Stunden und zwei Nachtschichten verheizt und komme nicht mehr weiter. Googlen bringt mir auch mittlerweile keine neuen Seiten mehr, soweit ich es hier sehe und verstehe mache ich alles richtig. Leider ist halt WLAN0 "bockig". :-(
Kann mir bitte einer nen Tip geben?



This thread was automatically locked due to age.
Parents
  • 0

    Also meines Wissens nach ist der Aufbau von einer Separate Zone mit einer Ethernet Bridge nicht offiziell unterstützt. Es wäre ein Workaround, das Interface zu definieren und dann in eine Bridge zu Konvertieren. 

     

    Meine erste Frage ist, warum man das überhaupt machen möchte? Wäre eine Bridge to AP LAN nicht ausreichend? 

     

    PS: der KBA bezieht sich auf die SG100 Serie mit WLAN integriert. 

     

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ich möchte gerne ein Netz zu Testzwecken haben, wo WLAN-Geräte und kabelgebundene ganz transparent in einem Netz sind. So wie es bei den billigen 18 Euro-WLAN-Routern funktioniert. Nur möchte ich eben nicht das Transfernetz dafür nutzen, sondern ein anderes.

    Wenn das nicht unterstützt wird, dann ist das halt so, muß ich mir was anderes ausdenken, nur dachte ich, die Probleme liegen an meinem gefährlichen Halbwissen, und nicht an der UTM selber.

    Deshalb wollte ich einfach mal fragen...

  • 0 in reply to Christian Sommer1

    Also technisch gesehen sollte es funktionieren. Zumindest habe ich solche Setups schon öfters gesehen. 

     

    Zeig mal alle Screenshots von dem Setup, ggf. sehe ich einen Fehler dort. 

     

    Du könntest auch Debugging auf der Shell starten. Tcpdumps etc. um zu verstehen, wie der Packetflow aktuell bei dir ist. 

     

    PS: Die billigen WLAN Router haben eine Option, die dieses Setup ermöglicht, bedeutet da funktioniert es, da es Works as Designed ist. Bei der UTM wird dieses Setup durch einen Workaround ermöglicht, der nicht so vorgesehen ist. 

    Dieses Setup sollte man via VLAN Splitting und Bridge to AP VLAN lösen. 

    __________________________________________________________________________________________________________________

Reply
  • 0 in reply to Christian Sommer1

    Also technisch gesehen sollte es funktionieren. Zumindest habe ich solche Setups schon öfters gesehen. 

     

    Zeig mal alle Screenshots von dem Setup, ggf. sehe ich einen Fehler dort. 

     

    Du könntest auch Debugging auf der Shell starten. Tcpdumps etc. um zu verstehen, wie der Packetflow aktuell bei dir ist. 

     

    PS: Die billigen WLAN Router haben eine Option, die dieses Setup ermöglicht, bedeutet da funktioniert es, da es Works as Designed ist. Bei der UTM wird dieses Setup durch einen Workaround ermöglicht, der nicht so vorgesehen ist. 

    Dieses Setup sollte man via VLAN Splitting und Bridge to AP VLAN lösen. 

    __________________________________________________________________________________________________________________

Children
  • 0 in reply to LuCar Toni

    Danke fürs schnelle Antworten.

    Mit den Screenshots probier ich das mal:

    Das WLAN ansich ist so konfiguriert:

    Device WLAN0 ist dann so:

    Wenn ich es jetzt in die Bridge wandele, sieht es so aus:

    Der DHCP sieht so aus:

    Was möchtest Du noch sehen?

    Wenn ich ein tcpdump auf wlan0 mache und dann ein Tablet damit verbinden möchten, passiert das hier:
    lagertha:/home/login # tcpdump -ni wlan0
    tcpdump: WARNING: wlan0: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on wlan0, link-type EN10MB (Ethernet), capture size 65535 bytes
    10:25:02.343706 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 9a:7b:17:1c:d7:b4, length 300
    10:25:27.117100 IP 0.0.0.0 > 224.0.0.1: igmp query v2
    10:25:29.207038 IP 0.0.0.0 > 224.0.0.1: igmp query v2
    ...

    An br0 sieht das dann so aus (bzw. es passiert einfach nichts):
    lagertha:/home/login # tcpdump -ni br0
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on br0, link-type EN10MB (Ethernet), capture size 65535 bytes

    Schließe ich dann ein Debian am eth7 an, passiert das:
    lagertha:/home/login # tcpdump -ni eth7
    tcpdump: WARNING: eth7: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth7, link-type EN10MB (Ethernet), capture size 65535 bytes
    10:27:21.441340 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 4a:fd:71:4b:07:c3, length 300
    10:27:21.441768 IP 172.22.13.2 > 172.22.13.100: ICMP echo request, id 61497, seq 0, length 28
    10:27:21.443484 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
    10:27:21.595539 IP6 :: > ff02::1:ff4b:e7c3: ICMP6, neighbor solicitation, who has 4a80::4afd:7aff:714b:07c3, length 24
    10:27:21.879463 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
    ...

    Schaue ich mit br0 an, wenn die Debian-Schachtel sich verbindet, sieht das so aus:
    lagertha:/home/login # tcpdump -ni br0
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on br0, link-type EN10MB (Ethernet), capture size 65535 bytes
    10:28:46.956126 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 4a:fd:71:4b:07:c3, length 300
    10:28:46.956673 IP 172.22.13.2 > 172.22.13.100: ICMP echo request, id 61497, seq 0, length 28
    10:28:47.957734 IP 172.22.13.2.67 > 172.22.13.100.68: BOOTP/DHCP, Reply, length 300
    10:28:47.958678 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 4a:fd:71:4b:07:c3, length 300
    10:28:47.960017 IP 172.22.13.2.67 > 172.22.13.100.68: BOOTP/DHCP, Reply, length 300
    10:28:47.975578 IP 172.22.13.100 > 224.0.0.22: igmp v3 report, 1 group record(s)
    ...

     

    Was Deinen Ansatz mit den VLAN's angeht, den würde ich gerne umgehen, da ich dann mir in meinem Netz bzw. mit den Switchen sehr wahrscheinlich ein Problem einhandele.
    Wenn es gar nicht anders geht, würde ich den Weg mal probieren, aber nur sehr ungerne. (Hab das schon mal probiert und bei der Thematik Management-VLAN und neue AP's anlernen, dann aufgegeben.)

    **************************
    Nachtrag:

    Ich habe testweise eine fixe IP einem WLAN-Gerät gegeben, das hat dann Internetzugang bekommen. Es scheint sich also um ein Problem des DHCP-Servers zu handeln.

  • 0 in reply to LuCar Toni

    Hallo ihr beide,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Toni, when the SG 105w first came out, I had to use this technique: Workaround: How to bridge Internal and 1x5w wireless.  I don't think he should have to do all that with an external AP, but he might???

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Danke, Bob.

    Ich habe mir jetzt mehrfach den Artikel durchgelesen und ich verstehe ihn irgendwie nicht recht.

    Kann durchaus sein, daß das an meinem begrenzten Englisch liegt. :-(

    Ich werde weiter daran bleiben.

    Gruß,
    Christian

Unfiltered HTML