Wireless Access Point

The journey of a thousand miles begins with the first step.

Can you get to the AP using CAT5 and a PC?
What are the network settings on the PC and the AP when the firewall is out of the equation??

I took your advice and hooked the AP directly into another computer and I got the 3COM admin screen.  For some reason after this things started working and all of my old setting were still in the WAP.

The WAP is recognized and is getting an IP address and the media server works all over the house, which is good. 

Now the next question.  I currently have the WAP hooked into a switch on the internal interface.  I have read in other posts that for the highest security the WAP should be connected into another NIC card by itself like a DMZ.

I have other NICs already in ASL5 that are available.  Should I take the WAP off of the switch and configure another interface?  If I do it this way what changes to ASL do I need to make other that adding another interface card?  I am going to take a WAG at this but should I 1)  Add another interface for the NIC card 2) add a rule to the packet filter to allow connection for the interface card.

Also, how is the security higher for the WAP if it is connected to its own NIC as the only device as apposed to just being added to the network switch along with all of the other devices?

Thanks in advance

You're right; it should have its own interface.

I don't know what grief adding a NIC to 5 is; I know in 4 it was always safest to reinstall after the NIC was added (a backup and restore of the config is trivial; patching may not be...).

Now that you're talking to the AP, you will configure it with its desired network numbering; obviously the NIC on Astaro to be connected to the AP will be on the same network number (i.e., within the same netmask range) as the AP.

Use a "crossover cable" to go straight from the dedicated AP NIC to the AP.

And yes, you will need explicit rules for the browser to get to the AP, if you are going through Astaro (unless you are using the HTTP proxy -see below). HTTP? HTTPS? Sometimes some browsers even use "NT LANMAN" authentication (i.e., a Microsoft specific protocol using other peculiar TCP ports); most times that is not the case.

If you are also using the HTTP proxy, you will probably want to designate that accesses to the AP address are not to be handled by the proxy (well you can still use the proxy, but it is unnecessary for a device like that which you are in control of).

Don't forget to set the AP's gateway to the IP address of the Astaro NIC...

I tried to add the interface and somehow locked myself out of ASL 5.  I reloaded the software and restored by backup and all is working again.

Below are the current setting that I am using for the Internal and External NIC cards.  I already have the extra NIC cards installed so I just need to add another interface from those available.

External NIC
Type: Standard ethernet interface
Address: Assign by DHCP
Netmask: Assign by DHCP
Default Gateway: Assign by DHCP

Internal
Type:  Standard ethernet interface
Address Static 192.168.2.100
Netmask:  Static 255.255.25.0
Default Gateway: None

Based on these what would the newly added interface be?  I will give it a shot and correct me if this is incorrect.  I don't want to be reinstall again if possible.

Name: WAP (name I gave the interface for the access point)
Type:  Standard ethernet interface
Address:  Static:  192.168.2.135 (I picked this)
Netmask:  Static 255.255.255.0
Default Gateway:  None

Should the Access point have a static or get the IP from Astaro using DHCP.  Currently the AP has a static IP address.


Thanks in advance

Presuming you made a typo on the netmask 255.255.25.0 (255.255.255.0?), one NIC should be address 192.168.2 and the other, say, 192.168.3; this way the firewall can easily differentiate the packets for routing purposes.

In general, the network numbers of Astaro's NICs should be mutually exclusive (the network number is the netmask range; so for 192.168.2.x/255.255.255.0 (or 192.168.2/24, where 24=8 X 3 255 tuples, or 24 high-order one bits all on), this is 192.168.2.1-255, or we frequently use a shorthand of network number 192.168.2.0; 192.168.3.x/24=192.168.3.1-255 or network number 192.168.3.0. Notice the IP ranges will not overlap, so the routing kernel in Astaro will have only one NIC to choose for transmitting packets...

Yes, I made a mistake in the subnet which should be as you stated.

I added in another interface with the following:
Type: Standard ethernet interface
Address:  Static 192.168.3.100
Netmask:  Static 255.255.255.0
Default GateWay: None

The interface is up and running and the WAP indicated a LAN Connection via the cross over cable.

Now do I need to add another DHCP for the WAP to indicate 
Interface:  WAN
Range Start: 192.168.3.100
Range End:  192.168.3.254
DNS Server 1 IP:  192.168.3.100
Gateway IP:  192.168.3.100 (not sure of this)

Also, do I need to add another NAT rule  like my current LAN-to-WAN and add in a DNS Proxie to listen to the WAP like on my internal lan.

When I start up my media server it basically says that it finds the wireless AP and says that it gets an IP address which is 192.168.2.130.  Is this correct since the WAP is on 192.168.3?  After the media server gets an IP address it says that it cannot find the music server which has an IP address of 192.168.2.120.  If I switch the media server to a wired connection all works ok.

I also cannot connect anymore to the AP via a web browser and get to the admin screen.  I can however connect via another computer from the NIC directly into the WAP and can log on as admin and do whatever.  The log in the WAP says that the media server is connected.

Any help would be appreciated at this point as I am beginning to think that I am way off base on adding the WAP to another interface card.  What basically is the problem with just hooking up the WAP to a switch on the internal interface card?

Thanks,

Since the gateway for the AP cannot be a moving target (unless your AP supported DNS lookups and you were managing your DNS; but that is not secure unless you're doing DNSSEC), you will not use DHCP for the Astaro NIC; usually the AP will have a range for DHCP addresses, so that range will not include the Astaro NIC; instead it will be a statically designated address. Many APs let you specify a decimal range, but you can even do it using binary subnet masks.

Have you tried pinging the AP? (ICMP settings must be enabled...)

I logged onto the 3COM AP and changed the IP address to a static IP address of 192.168.3.110.  I then enabled the DHCP on the 3COM AP and the information was automatically filled in by the 3COM application and used 192.168.3.111 - 192.168.3.254 as the DHCP address range and used 192.168.3.100 as the gateway address.  The primary and secondary DNS were also filled in.

In the 3COM AP screens I can see where the media server connected and received an IP address of 192.168.3.217 and the 3COM event logged also confirmed this.  I can see on the media server that it confirmed the receipt of the IP address from the 3COM AP.

Now the problem is that the media server says that it cannot find the music server computer which has a static IP address of 192.168.2.120.  What do I need to change in ASL 5 to allow this computer to be accessed.  This is where my music is being served from and needs to be found by the media server.

I can ping the AP from within ASL but not using the cmd prompt in Windows XP.  I get a request timed out/Destination host unreachable.

Thanks

Did you set the gateway on the Windows machine to Astaro?

I am not exactly sure of what you are asking.

 The only place I know of to set the gateway is in the TCP/IP settings for a NIC card when setting a static IP address.  Is this what you are talking about?  I was using DHCP on the Windows XP machines.

192.168.2.120; is its gateway set to the Astaro NIC that it is connected to?

When I do an IPCONFIG /all on the 192.168.2.120 music server computer the following is shown:

IP: 192.168.2.120 - 255.255.255.0
Gateway: 192.168.2.100
DHCP Server 192.168.2.100
DNS -( both entries shown are valid)

When I enable all of the items in the Ping Settings section  of ICMP I can ping 192.168.2.100 and I can ping 192.168.3.100 when pinging from the 192.168.2.120 machine.

My default setting for the ICMP section are:
all disabled

Traceroute
All disabled

Ping Settings
Firewall is ping visable - disabled
Firewall forwards pings - disabled
Ping from firewall - enabled

When I do an IPCONFIG /all on the 192.168.2.120 music server computer the following is shown:

IP: 192.168.2.120 - 255.255.255.0
Gateway: 192.168.2.100
DHCP Server 192.168.2.100
DNS -( both entries shown are valid)

When I enable all of the items in the Ping Settings section  of ICMP I can ping 192.168.2.100 and I can ping 192.168.3.100 when pinging from the 192.168.2.120 machine.

My default setting for the ICMP section are:
all disabled

Traceroute
All disabled

Ping Settings
Firewall is ping visable - disabled
Firewall forwards pings - disabled
Ping from firewall - enabled

And (from 192.168.2.120) can you ping the AP, and a DHCP client of the AP?

No I cannot ping the AP 192.168.3.101 or the media server 192.168.3.217 from the 192.168.2.120 machine.


Are there some other rules that need to be set in order for the 193.168.3 talk to the 192.168.2 network

If all the ICMP settings are enabled on Astaro, it is sounding like the AP might have some firewall of its own?

The 192.168.2 machine can ping Astaro; you can ping the AP from Astaro; if the ICMP settings are enabled on Astaro, the ping from the 192.168.2 machine to the AP should transitively work...

The access point does not have a built in firewall.

 I think that a NAT/Masquerading and/or Packet filter rules needs to be created to allow 192.168.2 and 192.168.3 to talk to each other but I am not sure how to compose the rule/NAT/Masq.

Do you know if your AP will not accept initial incoming packets whose source is from 192.168.2? If that is the case (which would be lame), you're right. You will want a DNAT rule for a target of the AP; change source to the Astaro NIC address on 192.168.3.

I am skeptical that is the problem, but it's easy enough to try and rule out.