FB7170: WDS und gleichzeitig getrennte Netze für WLAN/LAN bei FW 9163 nicht möglich

[Eleichstetten]

Hallo.

Ich habe eine Fritzbox 7170 und einen Speedport W501V als Repeater.
Bislang habe ich beide in getrennten Netzen betrieben, das heißt, daß
das LAN-Netz in einem anderen IP-Bereich wie das WLAN lag.
Das war mir ganz recht so und hat auch problemlos funktioniert.
Dadurch konnte ich die Geräte in meinem Festnetz und das WLAN von-
einander trennen.
Nun wollte ich die Fritzbox auf die aktuelle Beta 9163 updaten.
Dabei stellte sich heraus, daß bei dieser Firmware eine gleichzeitige
Aktivierung der Optionen "WDS" und "getrennte Netze" nicht möglich ist.
(Es wird eine dementsprechende Meldung ausgegeben)
Kennt jemand einen Grund dafür? Gibt es einen Workaround?

Beste Grüße

Eleichstetten

 

[frank_m24]

Hallo,

Dadurch konnte ich die Geräte in meinem Festnetz und das WLAN voneinander trennen.

Nein, konntest du nicht. Die Box verfrachtet die Geräte zwar in unterschiedliche IP-Netze, aber sie routet zwischen den Netzen. D.h., es war jederzeit eine Kommunikation zwischen den Geräten möglich.
Willst du die Kommunikation zwischen den Geräten im WLAN und am LAN trennen, musst du die Option "WLAN Geräte dürfen untereinander kommunizieren" deaktivieren, was aber dazu führt, das auch die WLAN Rechner untereinander nicht mehr miteinander reden können, nicht nur die Verbindung Richtung LAN wird getrennt.
Um dein beschriebenes Verhalten zu erreichen, musst du mit Modifikationen, wie z.B. iptables oder dem ds-mod, arbeiten.

Viele Grüße

Frank

 

[Eleichstetten]

Vielen Dank für die prompte Rückmeldung.

Tatsächlich hatte ich "WLAN Geräte dürfen untereinander kommunizieren" deaktiviert.
Mir war zwar nicht ganz klar, was ich da tat, aber es hat meinen Ansprüchen genügt ;-)

Nun ja, die ganze Sache mag zwar nicht wasserdicht sein, aber ein Zugriff auf meinen
Netzwerkserver war nicht so offenkundig möglich. Das fand ich ganz sympathisch.

Mir ist allerdings nicht klar, weshalb ein aktives WDS die Aufteilung von WLAN und LAN
in 2 unterschiedliche Adressräume verhindern soll.

Beste Grüsse

Eleichstetten

 

[frank_m24]

Hallo,

Nun ja, die ganze Sache mag zwar nicht wasserdicht sein, aber ein Zugriff auf meinen Netzwerkserver war nicht so offenkundig möglich. Das fand ich ganz sympathisch.

Klar, wenn du die Option "WLAN Geräte dürfen untereinander kommunizieren" deaktiviert hattest, dann konnten die WLAN Geräte nicht auf deinen Server zugreifen - unabhängig vom IP-Adressraum.

Mir ist allerdings nicht klar, weshalb ein aktives WDS die Aufteilung von WLAN und LAN in 2 unterschiedliche Adressräume verhindern soll.

Mir auch nicht, aber was willst du damit erreichen? Trotz dieser Aufteilung ist Kommunikation zwischen den Geräten möglich. Zum Trennen der Kommunikation hast du die Option "WLAN Geräte dürfen untereinander kommunizieren". Das geht auch, wenn sich die Geräte nicht in unterschiedlichen IP-Netzen befinden.

Viele Grüße

Frank

 

[Eleichstetten]

Hallo.

Das stimmt schon.
Allerdings ist die Situation etwas komplexer, als ich das eingangs beschrieben habe.
Das ganze Netz besteht aus einer Fritzbox als Router und einem, damit verbundenen,
Speedport W501V als Repeater-Slave. Verschärfend kommt eine zweite Fritzbox hinzu,
die drahtgebunden als Access-Point und ATA fungiert.
Das Ganze ist einfach durch die Topologie und die Unmöglichkeit, an manche Stellen Kabel
zu ziehen, bedingt.

Nun, Router-Fritzbox und Repeater-Slave-Speedport decken Wohnraum und
Kinderbereich ab (rein WLAN).
Die Access-Point-Fritzbox ist für mein Büro mit dem Netzwerkserver zuständig.
Letzterer soll nicht vom Wohnzimmer und den Kinderzimmern erreichbar sein.

Deshalb habe ich einen IP-Bereich für WLAN und LAN im Büro und einen davon
abgesetzten IP-Bereich für´s WLAN in Wohnzimmer und Kinderzimmern eingerichtet.

Nun ja, das funktioniert bislang auch Alles prima.
Nun hatte ich einfach vor, die neue Beta-Firmware von AVM (9163) zu probieren und bin
darüber gestolpert, daß diese keinen WDS-Betrieb in getrennten Netzen unterstützt.
Bislang ist das nicht tragisch. Ich bin einfach wieder auf die alte Firmware zurück
gegangen.
Nur ist mir halt einfach nicht klar: Ist das ein Fehler, den man AVM melden sollte
oder ein Feature?


Beste Grüsse

Eleichstetten

 

[frank_m24]

Hallo,

Deshalb habe ich einen IP-Bereich für WLAN und LAN im Büro und einen davon
abgesetzten IP-Bereich für´s WLAN in Wohnzimmer und Kinderzimmern eingerichtet.

Nun ja, das funktioniert bislang auch Alles prima.

Ok, weil du in den PCs bzw. in den Fritzboxen im Wohn- und Kinderzimmer keine statische Route auf das IP-Subnetz des Büros eingerichtet hast. Das ist aber auch der einzige Grund, warum die PCs im Büro (scheinbar) von denen im Wohn- oder Kinderzimmer nicht erreichbar waren, denn noch mal ganz deutlich: Die Fritzbox lässt die Kommunikation zwischen ihren PCs auch dann zu, wenn sie sich in unterschiedlichen IP-Subnetzen befinden. Anders ausgedrückt: Einer der weiß, wonach er suchen muss, hat auch aus dem Wohn- und Kinderzimmern innerhalb von Sekunden Zugriff auf deine PCs im Büro. Die Box tut nichts dagegen.

Du kannst das Problem aber folgendermaßen lösen: Richte die ATA Box im Büro als NAT-Router über IP ein. Dann ist sofort Schluss mit Zugriffen aus den anderen Netzen auf die Rechner an dieser Box. Über einen NAT Router kommt man auch nicht mit einer statischen Route weg. Und du brauchst dich nicht mehr mit unterschiedlichen Subnetzen im WDS herumzuschlagen.

Viele Grüße

Frank

 

[Eleichstetten]

Hallo Frank.

Vielen Dank für deine Mühe.
Ich werde das mal am nächsten Wochenende probieren.
Als Dummie-Schutz war die bisherige Lösung absolut tauglich.
Sie sollte ja keinen Einbruch, sondern nur ein Versehen verhindern.
Nichts desto Trotz werde ich mal probieren ob ich es so hinkriege,
wie du´s vorgeschlagen hast.

Vielen Dank nochmal

Eleichstetten