Am 10.05.2014 22:06, schrieb Carsten Neumann:
On 10/05/14 21:22, Norbert Zawodsky wrote:
Hallo Günther, Carsten, Tobias, ich habe eine Frage die thematisch hier bestens dazupassen würde. Soll ich einen eigenen Thread aufmachen oder diesen hier kidnapen ??? Hmmm ;-) Wäre sinnvoll gewesen. :-( O.k., überzeugt, getan ...
Bei mir geht es darum:
Habe ein "internes LAN", 192.168.1.xxx (wie einfallslos ;-) ), ca. 30 hosts daran (nicht alles PCs. Erstaunich was heute alles schon eine IP Adresse hat). Und 3 WLAN-access points. (Keller, EG, 1. Stock, ...) Auf einer Maschine läuft ein DHCP server, firewall, router, usw... "Natürlich" 192.168.1.1. Deine APs agieren wohl als WLAN<->Ethernet Bridges. Nein. Wieso glaubst Du ? Es ist 1 "physisches" LAN, wie ein Baum aufgebaut. Vom Server 1 Leitung zu einem switch. Von diesem switch je 1 Leitung in jedes Stockwerk wo wieder je 1 switch steht der es an die Endgeräte "verteilt". Eines der vielen "Endgeräte" pro Stockwerk ist ein AP (konkret D-Link DWL-2100AP)
Verbindet sich nun ein "bekanntes" (= MAC-Adresse ist in dhcpd.conf eingetragen) Gerät mit unserem WLAN, bekommt es eine 192.168.1.xxx Adresse und alle sind glücklich.
Nun möchte ich aber "befreundeten" Geräten (Laptops, Handys von guten Freunden) ebenfalls gestatten, das WLAN zu benützen. Aber bei aller Freundschaft, sie sollten vom DHCP server eine Adresse bekommen, die NICHT im 192.168.1.xxx Netz liegt. Du willst die Rechte-Vergabe über die Netz-Adresse machen... Nicht wirklich "Rechtevergabe". Es gibt nur 2 Möglichkeiten
* "bekannte" MAC Adresse: Client ist im 192.168.* Netz und hat Netzwerk-Zugriff "auf Alles" + Routing in die große weite Welt * "unbekannte" MAC Adresse: Client ist im 10.* Netz und hat nur routing hinaus. Das 192.* Netz ist für ihn "unsichtbar".
Wie beomme ich das am besten hin?
Das interne LAN hängt am - nennen wir ihn "Zentralserver" - an eth1, konfiguriert mit 192.168.1.0/255.255.255.0 Wäre der richtige Weg, zb ein Alias eth1:1 anzulegen, mit z.B. 10.0.0.0/255.255.255.0 und der dhcp-server gibt "unbekannten" MACs Adressen aus einem 10er-pool ?
Kann unsere suse-firewall mit netzwerk-aliasen umgehen? Ich bilde mir ein, da gabs mal irgend eine Einschränkung... Nun ja, ich stell mir das nicht trivial vor. Können denn Deine WLAN-APs in mehreren Netzen gleichzeitig arbeiten? Die müssten ja - nach Deiner Vorstellung - zum einen die vertrauenswürdigen Hosts im 192.168... Netz als auch die aus den 10.... Netz bedienen können.
Mach lieber _ein_ WLAN-Netz und setze einen DNS-Server auf, der die Hosts in unterschiedliche Domains "schickt", ihnen also Namen nach dem Schema hostabc.trusted.mydomain bzw. hostxyz.friend.mydomain gibt. Dann wird einfach unterschieden, ob der sich Host in trusted.mydomain oder in friend.mydomain befindet.
Vielleicht fällt jemandem etwas besseres ein.
Da durchschaue ich (noch) nicht was das bewirken soll. Der Client könnte ja trotzdem z.B. ein "ssh 192.168.x.y." probieren, egal welcher domain er angehört. Ich hatte gehofft, ein AP verhielte sich ähnlich einem Layer 2 switch, der einfach nur Pakete weiterschickt. Ist aber scheinbar nicht so. Meine APs können auch "multi-SSID" und "VLAN" VLAN ist aber gänzlich Neuland für mich.. Ich kann im AP einstellen, dass er 2 verschiedene SSIDs ausschickt und eine Verbindung zu diesen SSIDs jeweil einem anderen VLAN zuordnet. Ich frage mich jetzt, was ich auf der Server Seite tun muss um mit VLANs zu arbeiten. Das Paket vlan aus den OSS REpo ist installiert. Allerdings steht im HOWTO "Whatever your previous netconf was, you should move everything to vlans." und das schreckt mich etwas ab... Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org