xDSL.at

Hallo TG585v7-Experten,

Ich würde gerne die WLAN-Cients via AccessPoint (AP) an einen eigenen LAN-Port der Firewall (FW/VPN) "anschließen", um sie somit
1. vom übrigen Netzwerk zu separieren/isolieren und
2. die WLAN-Kommunikation zusätzlich per VPN-Tunnel (zwischen WLAN-Clients und Firewall) abzusichern.

Prinzipiell würde ich nach diesem Schema vorgehen:

Code: Alles auswählen

+--+                 +--+                +------+                 +------+
|PC|(wlan)<--->(wlan)|AP|(lan)<--->(lan1)|FW/VPN|("wan")<--->(lan)|Router|(wan)<--->Internet
+--+                 +--+                +------+                 +------+

Nun zur eigentlichen Frage: Da mir ein TG585v7 (Router/Modem und AP in einem Gerät) zur Verfügung steht, würde ich gerne wissen, ob es möglich ist, dieses Gerät so zu konfigurieren, dass die beiden Komponenten - Router und AP - völlig unabhängig voneinander fungieren?

Zum Beispiel so, dass der (WLAN-)Traffic ausschließlich zwischen WLAN-Modul und LAN-Port1 läuft und somit komplett von den anderen WAN- und LAN-Ports separiert ist:

Code: Alles auswählen

+--+                 +-----+                  +------+
|PC|(wlan)<--->(wlan)|<--->|(lan1)<---->(lan1)|      |(lan2)
+--+                 |TG858|                  |FW/VPN|(lan3)
   Internet<--->(wan)|<--->|(lan2)<--->("wan")|      |(lan4)
                     +-----+                  +------+

Wäre das über VLANs realisierbar? Wie sehe eine konkrete Konfiguration fürs TG585v7 aus? Vielen Dank an Euch!

Hi,

Das TG585v7 beherrscht vlans und du kannst einzelne Ports (wlan, ethx) von der default bridge runternehmen und auf eine andere rauflegen... wie das in der Praxis als konfiguration aussieht kann ich dir leider ned sagen, dafür fehlt mir die masochistische Ader Ist bei den Teilen wirklich ned schön...

Wenn du einen Anhaltspunkt brauchst, schau dir in der AON_MU_IPTV config an wie die aontv ports von den internet ports getrennt werden (nämlich auch über vlans)

das, was du haben willst, nennt man "guest zone" und es ist tatsächlich ein "höchst kompexer" vorgang , wenn du z.b. etwas in der preisklasse machst:

du schaust zuerst nach, ob es ein vlan "guest" mit vid=5 schon gibt, sollte bei tg im default der fall sein:
=>eth vlan list
wenn es nicht vorhanden ist, dann fügst du es hinzu und legst wlan u. eth2 in das guest vlan (eth1 würd ich in ruhe lassen, ist der wartungsport):
=>eth vlan add name guest vid 5
=>eth bridge vlan ifadd name guest intf ethport2
=>eth bridge vlan ifadd name=guest intf=WLAN
=>eth bridge vlan ifadd name guest intf OBC
=>eth bridge vlan ifdelete name default intf ethport2
=>eth bridge vlan ifdelete name=default intf=WLAN

damit hast du die gäste schon einmal abgetrennt. sie können untereinander kommunizieren (s. die bem. von Stefan), aber nicht ins internet. willst du ihnen grundsätzlich d. interntzugang gewähren (die "feinheiten" werden später über die firewall geregelt), dann mußt du eine ip-schnittstelle auf das guest vlan draufsetzen, sodaß du zur schnittstelle INTERNET routen kannst:
=>eth ifadd intf eth_guest
=>eth ifconfig intf eth_guest dest bridge vlan guest
=>eth ifattach intf eth_guest
=>ip ifadd intf GUEST dest eth_guest
=>ip ifconfig intf GUEST group guest
=>ip ipadd intf GUEST addr 10.0.1.138/24 addroute enabled
=>ip ifattach intf GUEST

jetzt brauchst nur noch die firewall, am besten macht man da ein neues level "Standard_GUEST", dann kann man in aller gemütlichkeit den internetzugang für die gäste auf und zu machen (die folgenden zeilen sind alles einzeiler! vorsicht):
=>firewall level add name Standard_GUEST index 3 udptrackmode loose service
enabled proxy enabled policy drop text "Level Standard mit Internetzugang fuer
GUEST-Zone"
=>firewall rule add chain forward_level_Standard_GUEST name FromLAN srcintf lan
action accept state enabled
=>firewall rule add chain forward_level_Standard_GUEST name FromGUEST2WAN
srcintf guest dstintf wan action accept log enabled state enabled

ich laß die gäste jetzt einmal ins internet und setze:
=>firewall level set name Standard_GUEST

wenn du die gäste nicht ins internet lassen willst, dann gehst du auf level "Standard" (webgui). auf beiden levels können die gäste nicht nach LocalNetwork und auf das tg selbst, das wär ja wirklich witzlos.

hth

Danke für eure Tipps - auf einen Beitrag von zid habe ich ja insgeheim gehofft

@zid:
Ich habe jetzt mit deiner "TG585v7R7432_mu_aon_clean.zip" von "<http://www.dieschmids.at/TG585v7/>" experimentiert - so weit, so gut!
Wie ich im dortigen Forum lesen konnte, dürfte die ganze WLAN-G'schicht mit dem TG585v7 eher instabil sein - ich werde daher meine (und auch eure) Nerven sparen, das WLAN-Modul des TG585v7 komplett deaktivieren und einen eigenen AccessPoint (AP) installieren...

Vielen Dank nochmals!

es gitb ein update auf v8 fpr das tg modem zu finden auf www.aon.at -> service und hilfe - links auf internet und dann auf software

Habt ihr auch einen Changelog welche Bugs mit der 8.2.1.5 er Version behoben sind oder ist das zum Kunden Zeit schinden um sich nicht gleich mit ihrem Problem befassen zu müssen?

wlan problem und das nicht selber einloggen problem ist behoben worden und noch vereinzelte probleme welche genau das sind wissen wir nicht

Also nichts das verhindert das man das Gerät zum reboot zwingt.

Was anderes - wem ist das schon passiert --> Konfiguration angepasst und dann ohne die Reset Taste setzt sich das Ding selbstständig auf Factory Default. Hat jemand sowas schon beobachtet? Gerät hängt an einer Schukosteckerleiste mit Wippschalter und wird mit diesem im Grunde ein und ausgeschaltet.

doch der reboot is behoben

ich habe grad gesehen, dass man die software und die anleitung direkt verlinken kann: http://www.aon.at/StaticFiles/telekom/P ... Wizard.pdf
http://www2.aon.at/content/updatedateie ... pgrade.exe
die uebersichtsseite leider nicht (dabei waere der relaunch der website so eine gute moeglichkeit gewesen, das in ordnung zu bringen ... )

Frage zum Firmware-Update:

Gibt es eine Betriebssystem-unabhängige Möglichkeit - z.B. per (t)ftp -, so ein Firmware-Update durchzuführen?
[ironie]Nicht jeder kann sich den "Luxus" eines Windows leisten...[/ironie]

wine

es gibt nur *eine* methode um ein fw.-upgrade durchzuführen: bootp/tftp.
vergiß den wizard. hab mir die 8.2er grad raufgezogen, erste eindrücke gibts hier:
http://www.dieschmids.at/Speedtouch-Fir ... .html#1214

jjknw hat geschrieben:Gibt es eine Betriebssystem-unabhängige Möglichkeit - z.B. per (t)ftp -, so ein Firmware-Update durchzuführen?

Hier hast du ein Bootloader Image für bootp/tftp zum flashen:
http://www.dieschmids.at/View-details/F ... A.zip.html

Thx an zid

lg
bully

wicked_one hat geschrieben:Was anderes - wem ist das schon passiert --> Konfiguration angepasst und dann ohne die Reset Taste setzt sich das Ding selbstständig auf Factory Default. Hat jemand sowas schon beobachtet? Gerät hängt an einer Schukosteckerleiste mit Wippschalter und wird mit diesem im Grunde ein und ausgeschaltet.

Nicht ganz so, aber so ähnlich: Problem 8 ganz unten......
http://www.dieschmids.at/Hardware/Speed ... glist.html

lg
bully