Willkommen in der Business Community

pläuschken · ‎15.08.2017

Liebe Community,

guten Abend. Ich will folgendes machen: bei einer Digitalisierungsbox Premium mit drei w1001n Access Points soll auf einem der Access Points ein Gäste-WLAN laufen, in dem die Gäste untereinander kommunizieren können.

Das Problem ist: standardmäßig ist in Gäste-WLANs "Intra-cell repeating" schon aktiviert, führt jedoch nicht dazu, dass die Gäste einander anpingen und ARP- und DNS-auflösen können. Ich habe in der Firewall testweise auch schon alles für Quelle Br0-2 und Ziel Br0-2 (das betreffende WLAN) freigegeben, ohne Erfolg. Auch wenn es eigentlich unsinnig ist, da nur die Standardregel umgekehrt wird, habe ich die Schnittstelle auch testweise auf "vertrauenswürdig" gesetzt und einfach den Zugriff auf die anderen internen Netze verboten. Das funktionierte natürlich auch nicht.

Der Hintergrund ist folgender: das Firmennetz soll abgeschottet sein. Es gibt ein reguläres Gäste-WLAN, das auch hervorragend abschottend funktioniert.

Wir haben nur leider drei öffentliche Rechner, die frei zugänglich sind, die ein WLAN brauchen und auf einem WLAN-Drucker drucken können sollen.

Die kann ich unmöglich ins richtige Netz mit dem Domänencontroller nehmen.

Ich dachte, "Intra-cell repeating" wäre dafür da, weil der Traffic zum Drucker ja eigentlich nicht die Firewall der Digibox Premium passiert, aber an der Firewall rumzuschrauben bringt ja auch nicht den gewünschten Effekt.

Ich bin für Hilfe jedenfalls sehr dankbar und könnte mich erkenntlich mit Hilfe zu Entertain TV mit der Digibox zeigen, denn das habe ich zu Fuß und im Lendenschurz eingerichtet, ohne dass das gesamte Netzwerk vom Multicast geflutet wird.

Viele Grüße und vielen Dank im Voraus, schlaft mal alle schön.

christian

Jörg D. · ‎17.08.2017

@pläuschken eventuell kommunizieren die Endgeräte per Multicast mit dem Drucker.
Demnach sollte die Option "IGMP-Snooping" im SSID-Profil des Gästenetzwerkes ausgeschaltet sein.
Ansonsten werden Multicast Pakete der Clients aus dem LAN nicht an das WLAN weitergereicht.

Ich hoffe die Nacht wird nicht so lang für Sie und der Fehler ist schnell gefunden. Ich bin auf jeden Fall gespannt auf Ihre Rückmeldung.

Gruß Jörg D.

Lösung in ursprünglichem Beitrag anzeigen

Jörg D. · ‎15.08.2017

Hallo @pläuschken,

Intra-cell repeating ist schon dafür da, dass die Geräte miteinander kommunizieren können. Das Gästenetzwerk wird durch eine VLAN-ID vom übrigen Netzwerk getrennt. Eventuell liegt da das Problem.

Eine Lösung ist einen LAN-Port aus der Bridge Gruppe zu trennen und diesem einen extra DHCP-Bereich zuzuweisen. An diesen Port dann einen Access Point anschließen, dieser ist dann zwar nicht mehr über den Controller der Digitalisierungsbox steuerbar, aber das Gästenetzwerk wäre ohne VLAN von dem restlichen Netzwerk getrennt.

Gruß Jörg D.

pläuschken · ‎16.08.2017

Hallo, vielen Dank für die schnelle Antwort.

Leider kann ich das nicht so machen, da der fragliche Access Point ebenfalls das Haupt-WLAN und das reguläre Gäste-WLAN bereitstellen soll und ich es darüber hinaus einfach so toll finde, dass ich alle Komponenten zentral warten kann.

Der Access Point ist also nicht nur für die öffentlichen Rechner, sondern auch in ernsthafter Benutzung.

Viele Grüße

christian

Jörg D. · ‎17.08.2017

Hallo @pläuschken,

ich habe bei Bintec nachgefragt. Wenn das Gästenetzwerk über den Assistenten eingerichtet ist und die Clients eine IP-Adresse über die VLAN-getaggte Schnittstelle beziehen können, reicht es Intra-cell repeating zu aktivieren. Die Geräte sollten dann miteinander kommunizieren können.

Ist der Drucker im gleichen Gästenetzwerk? Da Sie von der virtuellen br0-2 schreiben, gibt es anscheinend noch ein zweites Gästenetzwerk mit der Schnittstelle br0-1. Alle Geräte müssen im gleichen Gästenetzwerk sein da die Schnittstelle nur Pakete mit dem gleichen VLAN Tag verarbeiten kann.

Gruß Jörg D.

pläuschken · ‎17.08.2017

Vielen lieben Dank für die ausdauernde Hilfe.

Ja, der Drucker ist im gleichen Gäste-WLAN.

Es gibt nur ein Problem: Wenn man ein Gäste-WLAN mit dem Assistenten anlegt, ist "Intra-Cell Repeating" standardmäßig bereits aktiviert, die Clients können jedoch nicht miteinander sprechen (keine DNS-Auflösung anderer Clients, ARP-Tabelle des betreffenden Clients enthält nur den Client selbst und die Digibox).

Ich werde heute nacht einmal versuchen, ein solches Gästenetzwerk von Hand aufzubauen und eine Schnittstelle selbst anzulegen und dann ein WLAN, das dieselbe VLAN-ID hat.

Es scheint tatsächlich so zu sein, dass der Assistent Kommunikation von Clients untereinander unmöglich macht, weil ja "Intra-Cell Repeating" immer aktiviert ist, jedoch keine Funktion hat.

Unser eigentliches Gästenetz, wo dieses Verhalten erwünscht ist, zeigt also ebenfalls dieses Verhalten.

Morgen kann ich mehr sagen. Nochmals vielen Dank für die bisherige Hilfe.

Viele Grüße

christian

Jörg D. · ‎17.08.2017

@pläuschken eventuell kommunizieren die Endgeräte per Multicast mit dem Drucker.
Demnach sollte die Option "IGMP-Snooping" im SSID-Profil des Gästenetzwerkes ausgeschaltet sein.
Ansonsten werden Multicast Pakete der Clients aus dem LAN nicht an das WLAN weitergereicht.

Ich hoffe die Nacht wird nicht so lang für Sie und der Fehler ist schnell gefunden. Ich bin auf jeden Fall gespannt auf Ihre Rückmeldung.

Gruß Jörg D.

pläuschken · ‎05.09.2017

Liebe Helfer,

bitte entschuldigen Sie die verspätete Rückmeldung. Ich war immer völlig erschöpft von der Arbeit und dann musste ich auch noch meine Paarungsinsuffizienz beheben und allgemein war Strähäääss.

Es funktioniert jetzt. Ich habe das Gäste-WLAN von Hand Schritt für Schritt aufgebaut und das IGMP-Snooping für dieses WLAN ausgeschaltet.

Alles wurde also gut.

Vielen lieben Dank für die geduldige Hilfe.

Viele Grüße!

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Digibox Premium Gäste-WLAN, in dem die Gäste untereinander kommunizieren können