Netzwerk mit zwei WLAN-Access-Points

Folgende Aufgabe: Der DSL-Router steht im Hausanschlussraum. Dieser könnte zwar Wireless LAN (WLAN), aber durch die Betondecke ergibt das keinen Sinn. Aus dem Hausanschlussraum geht es per Sternverkabelung CAT7-Twisted-Pair-Kabel in alle Räume. Für eine vernünftige Abdeckung sollten es nun zwei Wireless-Access-Points sein, die natürlich das selbe Netz funken. Ach ja ein Gast-WLAN wäre natürlich auch schön. Zwei mit Kabel verbundene WLAN-Access-Points sind so ziemlich die einfachste Lösung ein großes WLAN aufzuspannen, deshalb gibt es dafür vermutlich keine Anleitung im Netz. Diese Anleitung enthält:

• Wie konfiguriere ich zwei Router so, dass sie sich nicht gegenseitig stören?
• Wie bringe ich DD-WRT auf einen TP-Link TL-WR1043ND?
• Welche Einstellungen sollten zwei “gleiche ” Access Points haben?

Das Schaltbild ist folgendes:

Hinweis

Auf dieser Seite findet Ihr einen persönlichen Erfahrungsbericht. Konfigurieren an Netzwerkgeräten ist nichts für Anfänger. Diese Warnung ist wirklich ernst gemeint, ihr könnt die Geräte dabei unbrauchbar machen. Macht das bitte nur, wenn Ihr Euch damit auskennt. Lasst Euch sonst lieber von Eurem Händler oder Bekannten helfen. Ich übernehme keinerlei Garantie für die Angaben und es gilt der rechtliche Hinweis. Die hier angegebenen IP-Adressen und -Ranges müssen an Euer Heimnetz angepasst werden. Bitte schaut in das Handbuch Eurer Hardware, mit welchen Werkseinstellungen die arbeiten.

Überblick DSL-Router und ein zweiter Router in einem Netz

DSL- oder WLAN-Router sind Marketingbegriffe, eigentlich sind das multifunktionale Netzwerkgeräte. Deshalb bitte ich eventuelle Begriffsverwirrungen zu entschuldigen. Der DSL-Router im Keller deckt typischerweise bereits folgende Funktionen ab:

• Stellt den Internetzugang per integriertem Modem bereit
• Vergibt per DHCP allen angeschlossenen Geräten eine IP-Adresse hier 198.168.2.2 bis 198.168.2.254
• Sorgt für die Namensauflösung (DNS) im Heimnetz
• Stellt als Switch vier oder mehr LAN-Ports zur Verfügung

Ein zweiter Wireless-Router wie der TP-Link TL-WR1043ND oder jeder andere WLAN-Router kommt mit ähnlichen Funktionen daher:

• WAN-Port (hier blau) zur Verbindung in das Internet z.B. via DSL-Modem
• DHCP-Server
• Switch und WLAN Access Point

In diesem Fall soll der Wireless-Router nur als Access Point (AP) bzw. Switch arbeiten, deshalb ist der blaue WAN-Port (erstmal) tabu. Auch den DHCP-Server können wir nicht gebrauchen, denn alle Netzwerkgeräte egal ob direkt mit dem DSL-Router oder Access Point #1 oder #2 verbunden sollen in dem selben Netz sein und sich gegenseitig sehen. Insbesondere wenn beide Wireless-AP das selbe WLAN aufspannen sollen. Nehmen wir einmal an die beiden WLAN-Router würden einfach so in das Netz gehangen, dann entsteht folgendes Bild:

Somit ergeben sich 3 Subnetze 192.168.2.x (türkis), 192.168.1.x (magenta) und 192.168.1.x (gelb). Der PC Berta erhält seine IP-Adresse (192.168.1.2) vom WLAN-Router #1. Der PC Agathe 192.168.2.2 (wie gehabt) vom DSL-Router. PC Berta kann nun PC Agathe sehen, jedoch nicht PC Carmen. Wollen wir so nicht, sondern der DSL-Router soll alleinig für die Vergabe der IP-Adressen (DHCP) und DNS zuständig sein. Etwa so:

 

Teil 1 – DSL-Router konfigurieren

Vom DSL-Router wollen wir gar nicht viel. Der eingebaute DHCP-Server soll nur einen IP-Bereich freilassen. In meinem Beispiel darf der DHCP-Server für PCs, Drucker und andere Clients die IPs von 192.168.2.2 bis 192.168.2.250 vergeben. Es wird ein freier Bereich benötigt egal ob am Anfang oder am Ende des IP-Adressraums. Dazu muss der DSL-Router konfiguriert werden. Das Handbuch verrät wie. Das Einschränken der DHCP-Adressen sollte eigentlich kein problematischer Eingriff sein. Trotzdem immer vorher ein Backup der Konfiguration des Routers machen und das Handbuch (.PDF aus dem Internet?) bereitliegen haben. Falls Ihr Euch dabei wirklich den Router zerschießt, müsst Ihr ihn vermutlich auf Werkseinstellungen zurücksetzen und das Backup einspielen.

Nach speichern der Einstellungen muss der DSL-Router eventuell neu gestartet werden. Fertig mit Teil 1.

Teil 2 – WLAN-Router konfigurieren

Erstmal nur eine allgemeine Anleitung, wieder unten kommt das Ganze detailliert für DD-WRT. Folgendes ist so allgemein, dass würde auch mit der original Firmware oder anderen Routern funktionieren.

Den WLAN-Router aus der Packung nehmen (oder auf Werkseinstellungen zurücksetzen) und mit einem Netzwerkkabel (nicht den blauen WAN-Port nehmen) an einen Computer anschließen. Noch nicht ins Heimnetz nehmen. Nun die Konfiguration auf der Seite http://192.168.1.1 (siehe Handbuch) vornehmen. Dazu:

• Den DHCP-Server abstellen (disable)
• Die feste IP 192.168.2.251 vergeben (Menüpunkt LAN)
• Als Gateway und DNS-Server den DSL-Router angeben 192.168.1.1
• WAN-Verbindungen abstellen
• Gegebenenfalls Firewalls abstellen
• WLAN nach Wunsch einrichten

Einstellungen speichern und den Router per Menüpunkt neu starten. Nun sollte der Router vom Computer aus nicht mehr erreichbar sein, denn Beide sind in verschiedenen Netzen. Nun den WLAN-Router und den Computer in das Heimnetz verbinden (immer noch Finger weg von dem blauen WAN-Port). Nun sollte die Administrationskonsole des Router via http://192.168.2.251 wieder erreichbar sein. Falls nicht, bitte prüfen ob der Computer im Heimnetz ist oder noch irgendwo im 192.168.1.x herumlungert. Dazu bei Linux KDE oder Windows rechts unten im System Tray die Netzwerkverbindung anklicken und gegebenenfalls die Netzwerkverbindung erneuern. Falls immer noch erreichbar könnte man via Nmap nach dem Gerät im Netz suchen und sich so dem Fehler nähern. Oder einfach den Router auf Werkseinstellungen zurücksetzen und das Ganze mit mehr Sorgfalt von vorn.

Wenn alles geklappt hat ist das ein perfekter Zeitpunkt ein Backup der Router-Konfiguration zu erstellen und einen Aufkleber mit der IP 192.168.2.251 auf dem Gerät anzubringen. Obiges funktioniert prima mit der Original-Firmware des TP-Link TL-WR1043ND. Wer mehr Abenteuer haben will, pfeift auf die Garantie und liest weiter.

Teil 2 – Nun ausführlich mit DD-WRT auf dem TL-WR1043ND

Bei folgenden Aktionen könnt Ihr Euren Router wirklich schrotten, einfach mal in den Foren lesen ggf. in den englischen Foren nach “bricked” schauen. Also warum sollte man das machen? Entweder, weil man Funktionen benötigt, die nur DD-WRT bietet z.B. Wireless Repeater Bridge oder mehrere WLANs (Haupt und Gast-Netz). Oder auch weil es Spaß macht einen Shell-Zugang zu seinem Router zu haben

Erstes Problem, eine aktuelle Version von DD-WRT finden. In der Router-Database findet sich nur Versionen aus 2010 und davor. Dieser Artikel im Forum beschreibt, wie Ihr an eine aktuelle Version kommt. Also begibt man sich auf die Suche nach einem möglichst neuem Verzeichnis. Übrigens ist der Verzeichnisname des einzelnen Releases mit amerikanischem Datum versehen MM-TT-YY-rNNNNN. In diesen Verzeichnissen sucht man nun nach “tplink_tl-wr1043nd” und findet zwei Dateien “factory-to-ddwrt.bin” sowie “tl-wr1043nd-webflash.bin”.

Die Datei “factory-to-ddwrt.bin” benötigt Ihr wenn Ihr von der Original TP-Link Firmware auf DD-WRT wechselt. “tl-wr1043nd-webflash.bin” falls Ihr von einer alten DD-WRT-Version auf eine neuere Version wechseln wollt. Aber erstmal langsam. Bitte unbedingt in den deutschen Foren und in den englischen Foren suchen, ob die von Euch gewählte Version auch schon erfolgreich getestet wurde. Einfach so runter-laden und aufspielen ist dumm, Ihr könnt Eure Hardware wirklich dabei schrotten. Also Ihr seit gewarnt.

Los geht’s Firmware wechseln

Alle Daten insbesondere “factory-to-ddwrt.bin”, das Originalhandbuch, die DD-WRT-Anleitung und “Recover from a Bad Flash” auf den Computer runter-laden, am besten natürlich mit einem Computer im Internet bleiben und mit dem zweiten Computer den Router flash-en. Falls der Router nicht ohnehin neu ist, sollte er auf Werkseinstellungen zurückgesetzt werden. Dazu den Router an Strom anschließen und 8-10 sec mit einer Büroklammer die Reset-Taste drücken. Nun an einen Computer anschließen (eine der vier gelben LAN-Ports) und auf http://192.168.1.1 die Administrationskonsole (admin/admin) aufrufen. Mit der Administrationskonsole nun die Firmware “factory-to-ddwrt.bin” updaten. Bitte Ruhe bewahren, es dauert bis zu 2 Minuten. Auf keinen Fall den Strom abschalten.

Nach zwei Minuten sollte die Administrationskonsole von DD-WRT unter http://192.168.1.1 erscheinen. Die Installationsanleitung möchte nun, dass Ihr den Router unmittelbar nach der Installation auf Werkseinstellung (von DD-WRT) zurücksetzt. Firefox-Nutzern rate ich unbedingt den Browser zwischenzeitlich zu beenden, denn sonst erscheint nach Anwendung von Einstellungen http://192.168.178.1/apply.cgi als eine leere Seite und die Einstellungen werden nicht angewandt. Eine Cache-Leerung von Firefox war bei mir nicht notwendig.

Weiter mit der Konfiguration als Wireless Access Point

Auf der ersten Seite von DD-WRT müsst Ihr nun einen Namen für den Administrator und ein Passwort vergeben (Wird nicht benötigt: Aber der Vollständigkeit halber, der initiale Administrator heißt “root” und das Passwort “admin”). Nun gehen wir mal alle Einstellungen dem Menu-Untermenu nach.

Setup|Basic Setup

Übrigens könnt Ihr die Sprache unter Administration|Management auch auf Deutsch umstellen. Englisch hat den Vorteil, dass so leichter passende Artikel via Internet-Suche gefunden werden können.

• WAN auf “Disabled” der Access Point ist kein Gateway zum Internet
• Router- und Host-Name bei Bedarf
• Lokale IP-Adresse wie oben beschrieben. Die feste Adresse für den Router in diesem Beispiel ist die 192.168.2.251
• Gateway und DNS ist der zentrale DSL-Router 192.168.2.1
• “Save”-Schaltfläche drücken
• Der blaue WAN-Port kann falls gewünscht als 5-ter LAN-Port genutzt werden
• DHCP-Server auf “Disabled”
• Ein Zeitserver (NTP) kann genutzt werden. In Deutschland empfiehlt sich “de.pool.ntp.org” (ist übrigens nicht mehr auf dem Screenshot zu sehen)

Nun Final die “Save”-Schaltfläche drücken. Über den Reiter Administration|Management über die “Reboot Router”-Schaltfläche den Router neu starten und per Netzwerkkabel in das Heimnetz einbinden. Die Netzwerkverbindung zum Computer muss nun erneuert werden, denn wir wechseln von 192.168.1.x in 192.168.2.x. Nun sollte der Router unter http://192.168.2.251 erreichbar sein.

Natürlich kann der WLAN-Router auch zu Ende konfiguriert werden und erst dann in das Ziel-Netzwerk angeschlossen werden. Wenn an dieser Stelle schon Fehler gemacht wurden, so verliert man nur wenig Konfigurationsarbeit.

Setup|Advanced Routing

Weiter geht es im Menu “Setup” Untermenü “Advanced Routing”:

• Operating mode: Router
• Dynamic Routing auf “LAN&WAN”

“Save”-Schaltfläche nicht vergessen, schreibe ich in den nächsten Abschnitten nicht mehr.

Wireless|Basic Settings

• Wireless mode auf “AP” lassen
• Wireless Network Mode auf “Mixed” lassen
• Channel Width auf “Full (20 MHz)” lassen
• Wireless Channel auf “Auto” lassen (ggf. später via Status|Wireless|Site Survey optimieren)
• Wireless Network Name (SSID): DeinFunkNetzName bitte unbedingt ändern
• Wireless SSID Broadcast auf “Enabled” lassen
• Unter “Advanced Settings” die “Regulatory Domain” auf “Germany” ändern

Hier könnt Ihr unter Virtual Interfaces auch ein zweites WLAN etwa für ein Gastnetz einrichten. Übrigens die SSID zu verstecken, erzeugt viel Ärger beim konfigurieren der Clients und bringt Sicherheitstechnisch nicht viel. Ändert die SSID am besten auf etwas mit wenig Bezug zu Euch, also nicht “FamilieMueller”

Wireless|Security

• Security Mode: “WPA2 Personal”
• WPA Algorithm: “AES”
• WPA Shared Key: 8 bis 63 Zeichen

Mit der Länge des “Shared Key” nicht geizen. Wenn Ihr noch Geräte im Einsatz habt, die nur “WPA” oder noch schwächere Security Modes unterstützen, sollte der erste Gedanke sein, diese zu ersetzen. Falls das wirklich nicht in Frage kommt, sollten diese dann im Gastnetz oder im eigenen Netzsegment betrieben werden.

Services|Services

Es kann alles abgestellt werden, was im LAN nicht benötigt wird, insbesondere DNSMasq, WAN traffic counter “ttraff Daemon” aber auch der “telnet”-Zugang. Dann könnt Ihr den Router zwar nur noch per Web-Interface konfigurieren. Wenn Ihr es aber nicht benötigt ist das eine gute Entscheidung, denn jeder nicht laufende Service ist ein Angriffspunkt weniger.

Security|Firewall

Die “SPI firewall” wird im LAN nicht benötigt, also per “Disable” abstellen.

Administration|Management

Folgende und weitere Einstellungen nach Wunsch.

• Info Site Password Protection einschalten “Enable”
• Sprache vielleicht doch auf Deutsch?

Wie immer “Save” und nun “Reboot Router”. Punkt, fertig ist der Access Point. Wenn alles funktioniert, bitte unter Administration|Backup die Einstellungen sichern.

Zweiter Access Point

Ein letzter Bastelvorschlag: Falls Ihr zwei oder mehr Access Points ins Netz hängen wollt, um eine höhere WLAN-Abdeckung zu haben, so müsst Ihr obige Einstellungen (bis auf die IP) auf den zweiten Router bringen. Ein Client meldet sich automatisch bei dem stärkeren AP an und “roamed” auch beim Bewegen innerhalb des Hauses. Dazu muss die SSID und die WLAN Security identisch sein.

Durch das Backup erzeugt Ihr eine Datei mit allen Einstellungen “nvrambak.bin”. Nun ändert Ihr bei dem schon laufenden Router die IP (Setup|Basic Setup|Local IP Address) von 192.168.2.251 auf 192.168.2.252, speichert die Einstellungen und startet den Router neu. Auf den zweiten Router (mit der gleichen DD-WRT-Version!) spielt Ihr nun das Backup (via Administration|Backup|Restore Settings) ein. Fertig ist der zweite Router mit der IP 192.168.2.251.

Das Subnetz “192.168.2.x” ist nur ein Beispiel. Macht das einfach so wie Ihr wollt oder wie es Eurer DSL-Router vorgibt. Fehlt noch was? Hinterlasst einfach einen Kommentar.

Wenn Ihr Euren Router kaputtgebastelt habt, sucht in den Foren und “Recover from a Bad Flash”, ich hab da keine Ahnung von.

Teil 3 – WLAN-Advanced Settings

Mit Hilfe der Anleitung Atheros/ath wireless settings und suche in den Foren habe ich meinen Router wie auf unten-stehender Abbildung konfiguriert. Bitte die Werte nicht einfach so übernehmen, Ihr müsst wirklich der Anleitung folgen und das ganze auf Euer Heimnetz abstimmen. Noch zwei Hinweise:

• Antenna Gain “3dBi” findet sich auf den TP-Link-Seiten
• TX Antenna Chains “1+3″ in den Foren