Wireless Access Point

The journey of a thousand miles begins with the first step.

Can you get to the AP using CAT5 and a PC?
What are the network settings on the PC and the AP when the firewall is out of the equation??

I took your advice and hooked the AP directly into another computer and I got the 3COM admin screen.  For some reason after this things started working and all of my old setting were still in the WAP.

The WAP is recognized and is getting an IP address and the media server works all over the house, which is good. 

Now the next question.  I currently have the WAP hooked into a switch on the internal interface.  I have read in other posts that for the highest security the WAP should be connected into another NIC card by itself like a DMZ.

I have other NICs already in ASL5 that are available.  Should I take the WAP off of the switch and configure another interface?  If I do it this way what changes to ASL do I need to make other that adding another interface card?  I am going to take a WAG at this but should I 1)  Add another interface for the NIC card 2) add a rule to the packet filter to allow connection for the interface card.

Also, how is the security higher for the WAP if it is connected to its own NIC as the only device as apposed to just being added to the network switch along with all of the other devices?

Thanks in advance

I setup a Windows 98 machine and gave it a static IP of 192.168.30.10, the same as the AP, with a subnet of 255.255.255.0

I got the same results as before including the destination host unreachable.

Before I did the test I deleted the LAN-to-WAN masq rule and restarted ASL.

From within ASL, with the same ICMP settings all enabled, I could ping 192.168.20.1 and 192.168.30.1 but not 192.168.30.10.

I then went to the internal LAN music server computer and could ping 192.168.20.1 and 192.168.30.1 but not 192.168.30.10.

An no I have not set any routing rules.

The only other item that is set is the DNS Proxy which has been there all along.  It was set to listen to the internal network checked and I added in the two DNS IPs for my provider.

I will post another screen shot of the current settings.  The family needs to use the network tonight so after I post the screen shot that is all that I can do for tonight.  

Thanks for all the help.  I would think that with the AP being so popular that Astaro would have a "How to Guide" for just this problem as there are many more external AP's available then the ASL hardware compatability list PCMCIA cards for wireless.

Anyway I will keep trying to get the problem resolved.

Here is the first screen shot of my current configuration.

I'm not fully following this thread, but I'd like to point out that most wireless APs can be treated as a (wireless) hub.

So, configure the thing on a single network, and then it should work when you plug it in to the other NIC.

Have you tested the other ASL NIC's network with an ethernet connection?

Also, you shouldn't need NAT to get to the AP from another internal net, simple packetfilter rules are enough.

Barry

OK, some progress (I think!).
I will presume you plugged in that Windows box with the same cable that was connected to the AP.

IT DOESN"T WORK WITH THE WINDOWS MACHINE EITHER. That is what that test confirms, right?

Unless I misunderstood you, it's beginning to sound like your crossover cable. Do another ping of the Windows box from Astaro's console when you get this simplified test configuration all hooked up again (delete the masquerade rule; reboot the box to make sure it gets the proper MAC for the newly connected PC)

Do you have VPN connections going on?
(if a remote connection also needed to use that address, that could mess things up)
What version of Astaro is this? (including patch#).

The DNS proxy does not come into play because we are pinging by IP addresses and not names (right??!).

So it's not the AP, it's the Astaro config; why can't we ping the Windows box on a different NIC with a crossover cable??

I will take a look later; anybody else feel free to look at his last config he uploaded and spot the problem...

OK: "Network Unreachable"

Go to the Routing tab next time you have the simple configuration set up (don't forget to set the AP simulator PC's gateway to Astaro); even though you didn't define Routes, the Routing Kernel's routes for the interfaces should all be there. I want you to post that info here (as screen shot or text, your choice...)

I think that will be game set and match...

Greg, I looked at the screen shots; I think you need to add a rule to allow the wireless network to access other networks.

I think that's why you can't ping the other internal network from the wireless.

Barry

Unless they changed the behavior in 5, if you enable all ICMP options, ping should work without a rule.

And he allowed from Internal to Any, Service Any.

So I doubt that is it; we'll see though...

I setup a Windows 98 machine with a static IP of 192.168.30.10 and a netmask of 255.255.255.0 and a gateway of 192.168.20.1.  I also tested this with a gateway of 192.168.30.1.

The cross over cables that I have tested are of two types.  One is a female to female device which connects two straight thru cables and does the cross over internaly.  The other is one that I made as I have all the tools to crimp etc.  I am having our IT department make me another cable to test my sanity just in case the other two are incorrect.

I have added a ZIP file with two files that contain the most relevant information.

Let me know if there are any other thoughts.

Thanks,
Greg

Having had more time to think about it, it probably is not the wire. Well, maybe it could be, if it caused the entire NIC to be down; then you would get a network unreachable error such as you got. But then the pinging of the NIC itself would most probably also have failed.

So I really need to see those routes on the routing tab (I know you haven't defined any; but it shows the interface routes from the kernel on the text of that page...)

By the way; that Zip is not opening with WinZip Version 9 SR1; I had no problem looking at the Zips you posted earlier.

Maybe Copy the text of the route info?

By the way; that Zip is not opening with WinZip Version 9 SR1; I had no problem looking at the Zips you posted earlier.

Maybe Copy the text of the route info?

I have mine setup like this:

INTERNET-ASL-WAP

The internal interface of the ASL is a NIC with IP 192.168.2.1
The WAP's connected to ASL on it's WAN port which I assigned 192.168.2.2

My WAP is also a 4-5 port wired hub, these ports on the LAN side (and the wireless) are assigned 10.0.0.X IP's

So my workstations which are either wired or wireless are 10.0.0.10 or similar.  (Hint, setup DHCP on the WAP if possible).

My WAP also has a virtual DMZ and you can turn its firewall OFF so its basically acting as a wireless bridge/router.

All works brilliantly.

Suggest you sketch out on paper what you are trying to do and then work from that.  Sometimes that simplifies everything.

Here is the routing table in a notepad file.

Here is the text file that was also in the ZIP file which contains the ping results to the interfaces.

The routing checks out.

Looking at your notes, you seem to suggest that replacing the AP with a test PC with the same address works? Does it??

If a substituted PC works, then it is not the Astaro config, it's the routing programmed on the AP.

IF that is the case, the problem is probably the AP is programmed to also rule over a network like 192.168.20.0 -but Astaro is also programmed to be managing that network on its eth0 interface. The network unreachable is being generated by the AP, since it is refusing to interoperate with what Astaro has in mind for routing.

I think you have to think more closely about how the AP is programmed. Is the wireless interface on the "far" side of the AP programmed to govern a network unrelated to anything Astaro is governing on its interfaces? Can it talk to private network numbers?

No, the same results are obtained. I still cannot ping 192.168.30.10 but can ping 192.168.20.1 and 192.168.30.1.

 If I put the AP on my internal network, 192.168.20.1  what is the risk of doing this?  It does work correctly in this configuration.  I would only acccept MAC addresses that are in the AP list and not broadcase my SSID

Also, if I had a PCMCIA wireless card in the ASL approved this would this problem go away?

Thanks,

By having it on the LAN, you simply have no firewalling between the WAP and Internal, something many people like to do.

(approved) Wireless card =--> yes, that will work without problems.

I dunno; if you say a PC doesn't work either, and the PC's gateway was set to Astaro, that's pretty damn screwed up Astaro behavior. The interface routes look good. Did you temporarily delete that masquerade rule before doing the ping of the PC?

I would be unsettled as to why your interface-to-interface routing is not working, as opposed to looking to sweep it under the rug; this is functionality that thousands of people use every day. What update level of Astaro is this?

Ok, that is a good answer for the reason not to have the AP just on a switch in the LAN side.

I am not ready to give up yet.  I have logged onto the AP using a cross over cable and I cannot find anything that I can set that I could change.  Ok, I lied , the only thing that I have not tried is to turn on DHCP for the DMZ interface card from within Astaro and turn off the DHCP server on the AP.  Maybe I will try this just for kicks as I am out of things to try.

I am using Version 5.100 of Astaro which I believe is the latest as I have received no update packages.

Yes I deleted the masq rule when I did the tests.

Just ruling something out: on the 20 and 30 interfaces, in the web admin; you set their gateways to nothing, right?? (as opposed to setting it to the NIC itself...) Your screen shots from earlier showed that to be the case...

Yes that is correct, no gateways entered.

Ok, I put the DMZ on a switch and moved the AP and the music server over to this DMZ NIC card.  Now the wireless media server can find the music server computer.  However,  what effect does this have on security now that the AP and the music server computer areon the same switch if any.  Now my test is to see if I can see the music server computer from the internal network.