WLAN-LAN Bridge

Question

Hallo, 
 ich habe ein kleines Verst&auml;ndnisproblem was den Modus WLAN to LAN Bridge betrifft, wenn man 2 seperate LANs betreibt. 
 Ich habe folgende LAN 
 A = Verwaltung 
 B= Produktion 
 In beiden LAN sollen jeweils auch beide WLAN funktionieren. 
 Wenn ich nun ein AP in der Produktion installiere und dem Accespoint das WLAN Verwaltung zuweise(welches zum AP-LAN gebridget ist), dann bekommt doch das WLAN Verwaltung eine IP aus dem Produktionsnetz, richtig? 
 Ich denke der AP-Bridge Mode f&auml;llt ganz weg bei diesem Szenario. Da ja im Produktionsbereich das WLAN Verwaltung auch an verschiedenen APs zur Verf&uuml;gung stehen soll, kann ich es ja nicht in das LAN "bridgen" da es ja dann eine andere IP hat. 
 Ich denke ich muss extra WLAN Netze anlegen und den Traffic mit Firewallregeln regeln, oder habe ich ein Denkfehler? 
 
 Gru&szlig; Martin

jprusch · Answer

Hallo Martin, 
 das hatten wir doch neulich schon einmal, oder? Den Nachteil des "Bridge-to-AP" Modus hast du ja jetzt klar erkannt. 
 Ich w&uuml;rde es daher mit "Separate Zone" realisieren. indem du zum Beispiel eine Zone "WLAN_Produktion" und eine Zone "WLAN_Verwaltung" anlegst. 
 Du erh&auml;lst dann virtuelle Schnittstellen f&uuml;r diese WLANs in der Form wlan0, wlan1 usw. Diese WLAN-Schnittstellen sind dann dem jeweiligen logischen Netzwerk zugeordnet. 
 Mit den physischen Netzwerken, an die die Access Points angeschlossen sind, hat das nicht mehr direkt zu tun. Eigentlich ist das ein tolles Prinzip, da dadurch die Netzwerkadressen der WLANs von den physischen (Transport-) Netzwerken entkoppelt werden. 
 Also nochmal zusammengefasst: 
 Physisch schliesst du die APs an ein LAN an, das dort vorhanden ist, wo die APs angebracht werden. Das k&ouml;nnen auch beide LANs sein, vollkommen egal. Du musst die Schnittstelle zu diesem Netzwerk (oder Schnittstellen zu diesen Netzwerken) dann unter "Wireless Protection/Global Settings/Allowed Interfaces" zulassen. Die APs holen sich per DHCP eine IP aus dem "Transport-Netzwerk". Damit ist die Physik erledigt, keine Firewallregeln notwendig bis hierher. 
 Logisch erh&auml;lst du jetzt pro WLAN-Definition eine logische Schnittstelle wlan0", "wlan1" usw. An diese Schnittstelle bindest du einen DHCP-Service, der an die WLAN Clients IP- Adressen vergibt. Diesen Netzen gibt du per Firewallregeln Zugriff auf die Ressourcen, wie es bei euch notwendig ist. 
 Abschliessend ordnest du den AP die WLANs zu, die sie "&uuml;ber die Antenne" verteilen sollen, den Rest erledigen die APs und die SG schon selbst.