AVM Repeater hinter Netgear Access Point - Keine IP von OPNsense

[guest15032]

Hi zusammen,

ich habe seit kurzem einen neuen Access Point von Netgear. Das Gerät läuft einwandfrei. Mein alter AVM Repeater (WLAN Repeater 300E) hatte vor paar Wochen das zeitliche gesegnet. Ich hatte mir dann ein neueres Modell zugelegt, den AVM WLAN Repeater 1750E.

Nun wollte ich den neuen Repeater einrichten, zur Erweiterung meines WLAN Netzwerks im hinteren Teil der Wohnung.

Ich habe mich mit dem Repeater, von meinem Notebook aus, per LAN verbunden. Dann auf das Webfrontend und von dort aus habe ich einfach das Setup laufen lassen, in dem man die WLAN Netze auswählt, die man erweitern möchte (das Ding funkt auf beiden Frequenzen, 2,4 und 5 GHz).  Ich musste dann nur den WLAN Schlüssel eingeben und der Repeater war verbunden.

Soweit einfach.

Ich habe die LAN Verbindung dann kurz aus und wieder an geschaltet und ich bekam vom Repeater auch korrekt die IP, die mein Notebook als statischen Lease von der OPNsense zugewiesen bekommt. Allerdings tauchte der Repeater nicht in den Leases der OPNsense auf. Ich vermutete zuerst, es liegt daran, dass ich ja auf dem Interface einen Haken bei "Unbekannte Clients abweisen" gesetzt hatte.

Ich habe dann einfach erst mal die beiden MAC des Repeaters (also jeweils eine pro Funkmodul) als festen Lease hinterlegt. Habe dann den Repater neu gestartet. Über die IP, die ich dem Repeater zugewiesen habe, kam ich aber nicht auf das Gerät. Die Adresse war nicht aufrufbar.

Also habe ich mal auf dem Netgear AP nachgeschaut. Dort war der Repeater, mit beiden Funkmodulen, als Gerät angemeldet, allerdings mit folgenden Auffälligkeiten:

• Das Gerät wurde nur als Fragezeichen angezeigt, also es konnte kein Hostname ermittelt werden (andere angemeldete Geräte werden problemlos erkannt)
• Beide Netzwerkkarten im Repeater hatten keine IP
• Die MAC der Netzwerkkarten war nicht die gleiche, wie auf dem Gehäuse angegeben

Die MAC der Netzwerkkarten unterschieden sich in den ersten beiden Zeichen, der Rest war gleich.

Mein erster Gedanke war also, dass evtl. die MAC Adressen falsch aufgedruckt sind auf dem Repeater Gehäuse. Also habe ich die MAC in den statischen OPNsene Leases angepasst. Kein Erfolg, es tat sich nichts.

Dann hatte ich die "unbekannte Clients abweisen" Funktion deaktiviert. Daraufhin hatte OPNsene einen dynamischen Lease vergeben (nur einen, nicht zwei, wie ich erwartet hätte). Hierbei unterschied sich die MAC aber wieder von den bisherigen MAC in den ersten beiden Zeichen!

Und auch mit diesem dynamischen Lease konnte ich nicht auf den Repeater zugreifen.

Meine Frage erst Mal: Hat jemand von euch ein ähnliches Setup bzw. kann jemand, anhand meiner Beschreibung, nachvollziehen, was das Problem sein könnte?

Was mich gerade stutzig macht, das sind die verschiedenen MAC Adressen sowie die Tatsache, dass das Gerät scheinbar das WLAN ja erweitert, da ich die korrekte IP, die als statischer Lease an der OPNsene hinterlegt ist, zugewiesen bekommen habe an meinem Notebook. Das dürfte dann doch garnicht der Fall sein, wenn der Repeater gar keine IP vom DHCP Server der OPNsene bekommt, oder? 

Auch die Anzeige im Backend des Netgear AP finde ich ungewöhnlich, da dort tatsächlich auch keine IP für die unbekannten Clients (also die beiden Netzwerkkarten) angezeigt wird.

Ich habe recherchiert und geprüft, ob mein Netgear irgendeine MAC Filterung vornimmt (das ist auch im Handbuch in der Doku zum Repeater aufgeführt, dass man das prüfen soll). Aber es ist keine MAC Filterung aktiv, zumal dann auch keines meiner Client Geräte funktionieren würde, was sie ja allesamt problemlos tun und auch werden alle Clients am Netgear erkannt.

Mein Ansatz ist jetzt erst mal, den Repeater auf Werkseinstellungen zurück zu setzen und den Einrichtungsassistent nicht zu nutzen, sondern im Backend des Gerätes zu schauen, wie ich die Verbindung einrichten kann.

Aber vielleicht hat ja hier schon jemand direkt eine Idee...?

Gruß
Chris

[Oxygen61]

Das Problem an einem Repeater ist halt, dass er das Netz eben NICHT erweitert. Zu mindestens nicht in dem Sinne, wie man es eigentlich verstehen würde. Das Problem in welches du gerade wahrscheinlich reinjagst ist folgender, dass du nun zwei WLAN Netzwerke hast anstatt einem. Der Repeater erweitert nämlich nicht das vorhandene Netz sondern spannt ein neues auf. Sprich: Er kommuniziert per Funk auf einer Frequenz zu deinem AP kreiert sein eigenes Netzwerk und bietet dieses (hoffentlich auf einer anderen Frequenz) den Clients an.
Das Problem hatte ich selber auch und warf den 5 euro Repeater dann weg.

Willst du das vorhandene WLAN Netzwerk erweitern, hättest du dir lieber einen zweiten Access Point gekauft (WLAN router o.ä.) und diesen mit deinem bisherigen AP per LAN Kabel verbunden.

Wie man den Repeater oder 2 AP miteinander jetzt mit der OPNsense verbindet? Keine Ahnung. Sorry! Bei mir steht nur ein AP, weil das ausreichte.

EDIT: Grade gelesen, dass das wohl nicht üblich sein soll (mit den zwei SSID) bei einem Repeater, so wie das bei mir der Fall war..
Jetzt bin ich baff... 

[guest15032]

Mhhh....

Jetzt bin ich etwas verwirrt.

Das vorherige Setup sah bei mir ja genau so aus, nur mit anderer Hardware.

Also statt dem Netgear AP, lief da ein Ubiquiti AP (blödes Teil  ). Und statt dem neuen Repeater lief da halt der alte Repeater, der auch nur 2,4GHz Frequenz beherrschte.

Da hatte ich nichts anderes gemacht, als mit dem Repeater eine Verbindung zu dem zu erweiternden Netzwerk hergestellt und ihm dann aber eine andere SSID gegeben, damit das Switching zwischen den Geräten, entgegen dem was viele möchten, nicht auf der selben SSID passiert, sondern damit sich die entsprechenden Geräte in ein anderes WLAN Netz verbinden müssen. Ich hatte mal damit getestet und später auch gemerkt, dass dieses SSID Hopping der Geräte ttotal problematisch war, weil die dann immer hin und her gehüpft sind und die Verbindungen dementsprechend schlecht waren.

Da war es auch kein Problem, den Repeater zu betreiben, der hat ne IP von der OPNsene bekommen und fertig und das entspricht auch deiner Aussage hier:

Sprich: Er kommuniziert per Funk auf einer Frequenz zu deinem AP kreiert sein eigenes Netzwerk und bietet dieses (hoffentlich auf einer anderen Frequenz) den Clients an.

Zumindest meinem Verständnis nach. ^^

Willst du das vorhandene WLAN Netzwerk erweitern, hättest du dir lieber einen zweiten Access Point gekauft (WLAN router o.ä.) und diesen mit deinem bisherigen AP per LAN Kabel verbunden.

Das macht aber bei mir keinen Sinn, weil ich die Erweiterung ja 10 Meter weiter mache, um den hinteren Teil der Wohnung mit WLAN zu versorgen.

Nur jetzt scheint es so, als wäre der Repeater ein eigener Client am AP, was Ok wäre, wenn er denn eine IP beziehen würde.

[Oxygen61]

Blöde Frage aber haste schonmal versucht eine statische Route einzutragen bei der OPNsense?
Das zweite Netz von dem Repeater ist ja hinter dem AP Router richtig?
In diesem Fall musst du bei der OPNsense eine statische Route eintragen und der Firewall sagen,
wie sie zu dem Subnetz des Repeaters HINTER dem AP kommen soll.
OPNsense Reiter sind folgende: System>Routes>All

Vielleicht klappts

[guest15032]

Blöde Frage aber haste schonmal versucht eine statische Route einzutragen bei der OPNsense?

Nein, noch nicht.

Das zweite Netz von dem Repeater ist ja hinter dem AP Router richtig?

Richtig.

In diesem Fall musst du bei der OPNsense eine statische Route eintragen und der Firewall sagen,
wie sie zu dem Subnetz des Repeaters HINTER dem AP kommen soll.

Die statische Route ist dann die IP, die ich dem AP von meiner Firewall aus vergebe (per Lease)?

OPNsense Reiter sind folgende: System>Routes>All

Danke, ich werde das so definitiv mal testen! Gute Idee.

Gruß
Chris

[Oxygen61]

Die statische Route ist dann die IP, die ich dem AP von meiner Firewall aus vergebe (per Lease)?

Nein. Du musst dir das vorstellen wie ne Art "Nebel". Bis zum AP kann die Firewall sehen, alles danach kennt die OPNsense überhaupt nicht. Die OPNsense kennt nur das, was direkt angeschlossen ist, also dein AP. Sobald weitere Router im Spiel sind muss man der Firewall (die ja auch nichts anderes is als en Router mit Paket Filter) sagen wie sie in das Netz kommen soll.
Einfaches Beispiel:

Folgender Aufbau:

[Wolke: 192.168.1.0/24]   
  |
  |
     [wireless repeater] --------    [>AP<]-[WLAN INT2: 192.168.2.2/30]
                                                                                              |
                                                                                              |
                                                                                  [OPNsenseWLAN INT: 192.168.2.1/30]-[>OPNsense<]

Wie lautet die statische Route:
Siehe Anhang.

Die "Wolke" oder das Subnetz dort musst du durch dein Repeater Netz auswechseln UND du musst den AP als Gateway in der OPNsense eintragen. Sobald dass gemacht wurde erreicht die OPNsense den Repeater und kann ihm die Hand geben

EDIT: Wenns dann darum geht dem Repeater und deren Geräte über DHCP von der OPNsense dynamisch IPs geben zu lassen wirste mit netgear Schwierigkeiten haben wahrscheinlich.
Soweit ich das sehen konnte durchs Googlen können diese Access Points kein DHCP Relay Agent sein, würde bedeuten, dass der AP die DHCP Fragen der Clients im Repeater Netz wegwerfen würde anstatt sie zur OPNsense weiter zu leiten.
Bei Cisco nennt sich das "ip helper-address". Der einzige Umweg wäre da statische IPs zu vergeben und das Netz was von der OPNsense verteilt wird einzuschränken um für statische Adressen luft zu lassen .

[guest15032]

Hi Oxy,

aaalso, vorab: vielen Dank! Das hat mir weiter geholfen!

Wobei ich noch nicht ganz weiß, ob das so ganz richtig ist, wie ich es jetzt aufgesetzt habe. Zumindest habe ich noch Fragen.

Hier jetzt erst Mal mein Setup:

Ich habe den Repeater zurückgesetzt und manuell konfiguriert.

Dazu habe ich auf der OPNsense folgendes konfiguriert...

Ein Gateway, mit der IP meines Netgear AP (siehe Anhang).

Dazu eine statische Route, bei der das Gateway der AP ist (hat bei mir die IP 192.168.1.112), auf dem WLAN Interface (siehe zweiter Anhang). Hier aber eine wichtige Frage:

Bei "Netzwerk" habe ich folgendes Subnetz eingetragen: 192.168.3.0/24. Ich habe dieses Subnetz gewählt, weil das 192.168.1.0 mein WLAN Netz ist und das 192.168.2.0 mein LAN. Und durch den Hinweis den Du ja auch rot eingeramt hast, musste ich ein neues Subnetz nehmen.

Aber: Was genau passiert jetzt mit dem eingetragenen Subnetz?  Oder anders formuliert: Wo bzw. wie kommt dieses Subnetz zum Einsatz? Denn was nun aktuell passiert und funktioniert, ist, dass der Repeater einwandfrei die IP aus dem statischen Lease bekommen hat und meine Clients (Laptop und Smartphone) verbinden sich mit dem Repeater und erhalten auch ihre statischen IPs von der Firewall!

Ich hoffe es ist verständlich was ich damit meine...

Es funktioniert also alles wie ich es erwartet hatte und ich bermerke gerade auch nicht, dass es Probleme gibt mit dem Weiterverteilen der DHCP IPs über den Netgear, von denen Du gesprochen hast.

Ist das eingetragene Subnetz in der Route einfach nur ein Platzhalter, damit die Config funktioniert? Bin da etwas verwirrt.

Also ich freue mich, dass alles geht. Aber bin doch etwas unsicher, ob das jetzt eher Zufall ist oder ob ich das auf Anhieb einfach richtig gemacht habe?! 

Gruß
Chris

[Oxygen61]

Hey hey,

Ein Gateway, mit der IP meines Netgear AP (siehe Anhang).

sieht gut aus.

Dazu eine statische Route, bei der das Gateway der AP ist (hat bei mir die IP 192.168.1.112), auf dem WLAN Interface (siehe zweiter Anhang).

Sieht auch gut aus, DENN du weißt ja das das Subnetz des Repeaters hinter dem AP irgendwo am WLAN Interface der Firewall steckt. Das Gateway ist das Interface (Next hop) des AP, also auch richtig.

Bei "Netzwerk" habe ich folgendes Subnetz eingetragen: 192.168.3.0/24. Ich habe dieses Subnetz gewählt, weil das 192.168.1.0 mein WLAN Netz ist und das 192.168.2.0 mein LAN. Und durch den Hinweis den Du ja auch rot eingeramt hast, musste ich ein neues Subnetz nehmen.

Genau. Du meintest ja selber, dass der Repeater hinter dem AP eigenständig ist und sein eigenes Subnetz hat.
Grundlegend muss jeder Netzbereich zwischen zwei Interfaces (Router zu Router o.ä.) ein eigenständiges Subnetz haben, ansonsten kommt es zu "IP Overlapping Address Pools", was im Endeffekt heißt, dass die Adressbereiche überlappen und sind nicht länger eindeutig zuordnen lassen --> kein Traffic mehr routebar durch die entstandene "Verwirrung".

Ich geh einfach mal stark davon aus, dass das 192.168.3.0/24 Subnetz das Netz ist was hinter deinem AP an deinem Repeater ist oder? Also kurz gesagt das hier:

[ 192 . 168 . 3 . 0 / 24 ]              [WLAN Netz]                                        [LAN Netz]
[Clients] ----> [Repeater] ----> [Access Point] ----> [OPNsense] <---- [Switch] <---- [Clients]

Was also bedeutet, dass die OPNsense durch die statische Route jetzt weiß wie sie zum "Repeater Subnetz" kommen soll hinter dem AP. Veränder doch mal spaßeshalber die IP zu irgendeinem Käse also anstatt 192.168.3.0/24 nimmst du 192.168.255.16/28

Klappt es dann immer noch?

Es funktioniert also alles wie ich es erwartet hatte und ich bermerke gerade auch nicht, dass es Probleme gibt mit dem Weiterverteilen der DHCP IPs über den Netgear, von denen Du gesprochen hast.

Das wundert mich echt... Dann muss der Netgear Router das standardmäßig aktiv haben, hätte ich nicht erwartet.
DHCP discovery Pakete vom Client sind ja UDP Broadcasts auf port 67 mit dem Quellport 68, welcher vom Router gedroppt wird, wenn dieser keinen DHCP Server am laufen hat, weil er mit dem Paket nichts anfangen kann. Deswegen "hilft" man mit dem "ip-helper address" Kommando die Pakete über die Router Schwellen hinweg, damit diese Pakete dann doch am DHCP Server ankommen und man nicht in jedem Subnetz einen DHCP Server nutzen muss. Im Unternehmen ist das z.B. gang und gebe, aber da nutzt man auch Cisco Router dafür. Hmm.. :/

Ist das eingetragene Subnetz in der Route einfach nur ein Platzhalter, damit die Config funktioniert? Bin da etwas verwirrt.

Nope ist es nicht hehe Die Firewall kuckt in seinen Routing Table rein und schaut "gibt es einen Weg/Routing Eintrag für das Netz 192.168.3.0/24??" Wenn nein wird das Paket gedroppt. Dadurch das du dieses Netz aber als statische Route eingetragen hast, weiß die Firewall, dass jedes Paket mit dem Zielnetz 192.168.3.0/24 nicht über das default upstream Gateway abhauen soll (Dein Modem) sondern das Interface des AP als Next Hop nutzen soll aus dem WLAN Interface der Firewall hinaus.
Würde mich stark wundern, wenn das ein Platzhalter gewesen wäre..
Bei mir war es zu mindestens keiner haha

Schöne Grüße
Oxy

[guest15032]

Hi Oxy,

Sorry, späte Antwort.

Genau. Du meintest ja selber, dass der Repeater hinter dem AP eigenständig ist und sein eigenes Subnetz hat.
Grundlegend muss jeder Netzbereich zwischen zwei Interfaces (Router zu Router o.ä.) ein eigenständiges Subnetz haben, ansonsten kommt es zu "IP Overlapping Address Pools", was im Endeffekt heißt, dass die Adressbereiche überlappen und sind nicht länger eindeutig zuordnen lassen --> kein Traffic mehr routebar durch die entstandene "Verwirrung".

Ja, verständlich und technisch logisch.

Ich geh einfach mal stark davon aus, dass das 192.168.3.0/24 Subnetz das Netz ist was hinter deinem AP an deinem Repeater ist oder? Also kurz gesagt das hier:

[ 192 . 168 . 3 . 0 / 24 ]              [WLAN Netz]                                        [LAN Netz]
[Clients] ----> [Repeater] ----> [Access Point] ----> [OPNsense] <---- [Switch] <---- [Clients]

Was also bedeutet, dass die OPNsense durch die statische Route jetzt weiß wie sie zum "Repeater Subnetz" kommen soll hinter dem AP. Veränder doch mal spaßeshalber die IP zu irgendeinem Käse also anstatt 192.168.3.0/24 nimmst du 192.168.255.16/28

Klappt es dann immer noch?

Also, die kurze Antwort: Nein, wenn ich das Subnetz auf irgendeinen Mist ändere (auf z.B. das Subnetz aus deinem Beispiel), dann erhalten meine Clients keine IP mehr. Soweit Ok.

Aber mein Verständnis hängt sich gerade an etwas anderem auf.

Der Repeater hat in der statischen Route das Subnetz 192.168.3.0/24 bekommen. Ok. Der Repeater bekommt aber nun ja selbst die IP aus dem statischen Lease zugewiesen, den ich in der Firewall, genauer im DHCP am WLAN interface, vergeben habe (bei mir jetzt z.B. 192.168.1.113). Und auch meine Clients, mit denen ich mich am Repeater verbinde, erhalten die IP ihres festen Leases aus der Firewall.

Das ist natürlich sehr gut, genau das wollte ich ja! Aber ich frage mich jetzt eben, wann genau hat das 192.168.3.0/24 Subnetz dann seinen Einsatz?

Wenn ich es richtig verstanden habe, dann wird gerade durch diese "IP-helper" Funktion des Netgear AP, die jeweilige IP aus den statischen Leases meiner Firewall "durchgereicht" bis an den Repeater. Darum erhalten meine Clients immer ihre feste IP. Und darum erhält ja auch der Repeater selbst seine feste IP. Das muss ja zwangsläufig gerade so funktionieren, da ich das nachweislich geprüft habe und immer meine festen Leases erhalte.

Was würde passieren, wenn ich mich jetzt mit einem Client an den Repeater verbinde, der keinen festen Lease hat (ich habe es jetzt nicht ausprobiert)? Bekomme ich dann einen dynamischen Lease vom DHCP des WLAN Interfaces (sofern unbekannte Clients nicht geblockt werden, das müsste ich natürlich immer deaktivieren)? 

Oder: Bekomme ich dann einen Lease vom Repeater mit einer IP aus dem 192.168.3.0/24 Subnetz? Aber das kann doch gerade überhaupt nicht sein, meinem Verständnis nach. Ich habe am Repeater doch gar keine Einstellung dafür. Darum verstehe ich auch nicht, was dieses Subnetz an der statischen Route für einen Sinn hat, wenn das am Repeater niemals konfiguriert wurde? Der Repeater schleift doch gerade einfach alles durch, was ihm der Netgear anreicht, mehr nicht. Oder hab ich hier irgendwo einen kompletten Dreher drin?

....Ah Moment, ich merke gerade, ich glaube, ich habe mich auch ein wenig ungenau ausgedrückt, in einem meiner vorherigen Postings. Sorry. ^^ Du hattest gefragt, ob der Repeater ein eigenes Subnetz hat. Ich meinte damit zwar, ja, das hat er. Aber nicht durch mich konfiguriert. 

Im Werkszustand verteilt der Repeater, auf seinem eigenen DHCP, Adressen aus einem Subnetz wie 192.168.178.0/24 (oder was ähnlichem, weiß ich gerade nicht mehr exakt welches Subnetz es genau war). Nach der Konfiguration, also nach der Erweiterung des Netzwerkes mit der "Standardfunktionalität", die der Repeater dafür zur Verfügung stellt, habe ich nie einen eigenen DHCP Server/DHCP Pool definiert am Repeater.

Darum kann ich ja in der statischen Route im Grunde auch einfach irgendein x-beliebiges Subnetz eintragen, es müsste einfach nur ein gültiges Subnetz sein, das dann eh nie genutzt wird. Verstehe ich das richtig? 

Das wundert mich echt... Dann muss der Netgear Router das standardmäßig aktiv haben, hätte ich nicht erwartet.
DHCP discovery Pakete vom Client sind ja UDP Broadcasts auf port 67 mit dem Quellport 68, welcher vom Router gedroppt wird, wenn dieser keinen DHCP Server am laufen hat, weil er mit dem Paket nichts anfangen kann. Deswegen "hilft" man mit dem "ip-helper address" Kommando die Pakete über die Router Schwellen hinweg, damit diese Pakete dann doch am DHCP Server ankommen und man nicht in jedem Subnetz einen DHCP Server nutzen muss. Im Unternehmen ist das z.B. gang und gebe, aber da nutzt man auch Cisco Router dafür. Hmm.. :/

Nope ist es nicht hehe Die Firewall kuckt in seinen Routing Table rein und schaut "gibt es einen Weg/Routing Eintrag für das Netz 192.168.3.0/24??" Wenn nein wird das Paket gedroppt. Dadurch das du dieses Netz aber als statische Route eingetragen hast, weiß die Firewall, dass jedes Paket mit dem Zielnetz 192.168.3.0/24 nicht über das default upstream Gateway abhauen soll (Dein Modem) sondern das Interface des AP als Next Hop nutzen soll aus dem WLAN Interface der Firewall hinaus.
Würde mich stark wundern, wenn das ein Platzhalter gewesen wäre..
Bei mir war es zu mindestens keiner haha

Verstehe ich beides technisch. Aber siehe oben, das hängt ja direkt mit dem zusammen, was ich gerade geschrieben hatte. Der Netgear AP scheint ja mit dem Repeater kommunizieren zu können und das so, dass alles durchgereicht wird. Ich würde nun gerne im Detail wissen, wie das da alles zusammen spielt.  Da werde ich wohl auch nicht drum herum kommen, Theorie zu wälzen...

Gruß und schönen Abend

Chris