Synology RT6600ax als W-Lan Zugang ins Maschinennetzwerk

[Yvonne H.]

Hallo liebe Synology Community,

ich versuche für einen Bekannten ein RT6600ax in ein vorhandenes Maschinennetzwerk zu integrieren. Der soll hier einen W-Lan zugang ermöglichen und auf lange Sicht gesehen, den Zugriff auf Instandhaltungsunterlagen auf einem NAS im selben Netzwerk.
Da ich selbst leider nur Bastler bin und kein Netzwerkspezialist stoße ich hier gerade an meine Grenzen.

Zur Situation:
- bestehendes Netzwerk aus 3 Steuerungen
- NAS soll ins Netzwerk zur Sicherung von Plänen, Zeichnungen, etc und Software der Steuerungen
- Router soll W-Lan zur verfügung stellen, um auf einem Endgerät die Pläne abrufen zu können
- Router wird nie mit dem Internet verbunden! Rein lokales Netzwerk.
- Die Fläche ist sehr ausgedehnt, weshalb noch diverse APs geplant sind, um an den wichtigen Punkten Zugriff zu haben
- Der Adressbereich des Maschinennetzes ist auf 149.250.016.x festgelegt (255.255.255.0). das lässt sich nicht ändern.

Die erste Idee war, das Maschinennetz am WAN anzuschließen und eine entsprechende IP-Adresse zu vergeben. Der Router baut dann sein Netz in einem privaten IP-Bereich auf und erlaub das aufrufen von Adressen im Maschinennetz. Hier stoße ich leider an meine Grenzen, da ich das nicht konfiguriert bekomme. Der Router motzt bei der Eingabe (manuelle konfig) der für ihn vorgesehenen IP-Adresse.
Die anderen Lan-Ports wollten wir eigentlich nutzen, um die APs anzubinden.

Ist die Konfiguration, wie oben beschrieben, überhaupt umsetzbar, mit der Nutzung des WAN-Ports?

Für Input wäre ich sehr dankbar!
Direkt vorweg, das Gerät ist vorhanden und soll benutzt werden, wenn irgend möglich

Beste Grüße,
Yvonne

 

[Heimi75]

Hallo Yvonne,

Versuch mal bei der Grundeinrichtung des Routers die Option DHCP zu wählen, dann zieht er automatisch eine IP aus dem Netzwerk.
Netzwerk-Center => Internet => Verbindungstyp „Automatisch“.
Ich würde dann im DHCP-Server Deines Netzwerkes über die MAC-Adresse des Routers eine statische IP-Adresse zuweisen, dann musst Du das nicht konfigurieren im Router.
Er wird bei der Einrichtung reklamieren, dass er kein Internet hat, aber das kannst Du ignorieren.
Aus Deiner Beschreibung geht nicht hervor, ob das NAS auch ins Netzwerk des Maschinenparks soll, aber ich gehe mal davon aus. In dem Falle empfehle ich Dir, unter Netwerk-Center => Beetriebsmodi die Option „WLAN-AP“ auszuwählen. Dadurch „verliert“ der Syno-Router die eigentliche Router-Funktion und verschiedene Netzwerk-Einstellungen sind nicht mehr möglich, was ich aber bei Deiner Konfiguration als Vorteil erachte. So entfällt nämlich Konfigurations-Aufwand und auch mögliche Fehlerquellen. Der 6600 orientiert sich dann rein am eigentlichen Router des Maschinen-Netzwerkes.
Zu den Access-Points: Du siehst in meiner Signatur meine Konfiguration. Ich bin sehr zufrieden damit und empfehle Dir, ebenfalls andere Syno-Router als AP‘s zu nutzen. Mit anderen Marken habe ich keine Erfahrung. Direkt mit LAN angeschlossen, funktionieren sie bei mir hervorragend und sind über das WLAN-Paket im Synorouter problemlos einbindbar; keinerlei Konfiguration auf den APs nötig. Kabellos geht auch, aber da habe ich von der Performance her nicht so gute Erfahrungen gemacht. Der Nachteil der 560 und 220-er ist, dass man eine extra Abstellfläche braucht, da man sie nicht direkt an der Wand montieren kann. Falls das ein Killerkriterum ist, würde ich im Netz Ausschau halten, nach RT2600-Routern, die gibt es noch, und die montieren. Falls das Budget dafür vorhanden ist, kann man auch weitere 6600-er einbinden. Der Vorteil ist, die haben die größte Reichweite. Wäre je nach Standorten vielleicht schon interessant, weil es dann nicht so viele davon braucht. Aber das müsste man natürlich dann testen.
Der Router ist dann unter Umständen natürlich im Netz, aber dafür könnte man dann auch das VPNPlus-Paket nutzen. Das wäre ev. auch interessant für Deine Umgebung.

 

[JudgeDredd]

- bestehendes Netzwerk aus 3 Steuerungen

Was soll das sein "3 Steuerungen" ?

- Router soll W-Lan zur verfügung stellen, um auf einem Endgerät die Pläne abrufen zu können
- Die Fläche ist sehr ausgedehnt, weshalb noch diverse APs geplant sind, um an den wichtigen Punkten Zugriff zu haben

Also wenn ich schon dedizierte APs verwende, dann würde ich nicht ein Konsumerrouter auch als solchen misbrauchen. Möglich ist es natürlich, aber gibt es dazu einen Grund ?

- Router wird nie mit dem Internet verbunden! Rein lokales Netzwerk.
- Der Adressbereich des Maschinennetzes ist auf 149.250.016.x festgelegt (255.255.255.0). das lässt sich nicht ändern.

lt. RIPE gehört der Adressbereich 149.250.0.0/16 zur EntServ Deutschland GmbH
Was ist mit "lokalem Netzwerk" gemeint ? Gibt es eine Route ins Internet, oder soll der Router ins 149.250.16.0/24 Netz NATen und selbst ein RFC1918 Netz verwalten ?

Da sind einige Frage die vorab geklärt werden sollten

 

[Yvonne H.]

Hallo,

vielen Dank für die Rückmeldungen schonmal!
Ich versuche mal die Fragen abzuarbeiten und keine zu vergessen

Also, es gibt in diesem Netzwerk keine DHCP Stelle. Alle anderen Teilnehmer sind Industriesteuerungen (Siemens-SPS), die nur mit festgelegten IP-Adressen arbeiten.
Deswegen wollte ich den Service beim Router auch erhalten, mit eingeschränkten IP-Bereich, damit es keine Kollisionen mit den bereits vergebenen gibt. Sonst wird es schwierig mit einem Gerät, wie Handy oder Tablet sich mit dem Netzwerk zu verbinden, weil nicht jeder die Kenntnis besitzt, da eine IP-Adresse vorher einzustellen.

Es gab in anderen Netzwerken acuh schon vorfälle, da ist das NEtzwerk ausgefallen, weil plötzlich 2 Devices mit der gleichen IP-Adresse da waren

Es wird nie eine verbindung zum Internet geben. Wieso man genau diese Adresse für das Netzwerk ausgewählt hat, ist mir nicht bekannt.

Die APs sollen meines Wissens nach WRX560er werden.
Man ist hier auf Konsumerprodukte ausgewichen, weil man für eine "Arbeitserleichterung" der Programmierer und Elektriker (W-Lan und Dokumentenserver) keine Geschäftslösung mit Lizenzgebühr einsetzen wollte

Ich hoffe, ich habe nichts übersehen.
Beste Grüße

 

[JudgeDredd]

Vielleicht wäre es nicht schlecht, mal die bestehende/geplante Netzwerktopologie hier zu posten.
Angenommen der RT6600 hängt im 149.250.16.0/24 und macht NAT in ein RFC1918er (zB. 172.16.1.0/24) dann braucht es, damit alle miteinander kommunizieren können:
- 172.16.1.0/24 alle Clients als Gateway den RT6600
- 149.250.16.0/24 eine statische route ins 172.16.1.0/24
Dann kann auch das schon bestehende WLAN benutzt werden.
Aber bevor man da ins Detail geht, kläre erstmal die Fragen und die Netztopo.

 

[Heimi75]

@JudgeDredd: stimme absolut mit Dir überein! Oder man macht auf dem RT6600 VLANS mit definierten Adressebereichen und konfiguriert den DHCP des 149-er Netzes so, dass keine IP-Adressen vergeben werden in dem Bereich, in dem die Steuerungen sind. Dann über entsprechende Firewallregeln im Router die Zugriffe zwischen den Netzwerken konfigurieren. Das kann man mit dem RT6600 sehr gut, habe ich zu Hause auch so gemacht.

 

[JudgeDredd]

was die Konfiguration des RT6600 angeht, kennst Du Dich mit Sicherheit besser aus als ich, da ich nämlich keinen habe
Mir ging es mehr darum, die Vorgaben zu klären und erstmal zu verstehen wie die Netzstruktur ist. Bevor man im Businessbereich einfach was "dranstöpselt" .
Von Sicherheit will ich erstmal gar nicht sprechen, da ich nicht weiß, was da noch alles kommt (VLANs, Port authentication 802.1X, switche, etc...)

 

[Heimi75]

Danke für die Blumen. Die Synology-Router sind meiner Meinung nach unterschätzt; sie bitten viel für im Verhältnis wenig Geld und insbesondere ohne Abokosten. In der Firewall sind viele Einstellmöglichkeiten vorhanden, die ev. auch für Yvonnes Szenario interessant wären. Aber wie Du geschrieben hast: da müssten wir die Topologie genauer kennen.

 

[tproko]

Bekannten ein RT6600ax in ein vorhandenes Maschinennetzwerk

Nicht böse gemeint, aber dein Bekannter scheint ja eine Firma zu haben.
Und wenn du nicht der Netzwerkspezialist bist, sag ihm doch einfach, dass er sich den Suchen soll und auf lange Frist hat er dann hoffentlich Ruhe und kann dich dann nicht dauernd belästigen, wenn in seiner Firma was nicht geht.

 

[Yvonne H.]

Hallo
ich hab mal eine Topologie gemalt.
Wie gesagt, ursprünglich war mal gedacht, das Maschinennetz und das Routernetz zu trennen und nur Zugriff von Router auf Maschinennetz zuzulassen.

Wenn das nicht funktioniert oder zu kompliziert ist (später muss das von den Betriebselektrikern verwaltet werden), würde ich die Netze wohl doch zusammenhängen und den DHCP bereich entsprechend einschränken.

Könnte ich in diesem Fall den Wan-Port umkonfigurieren, dass man den als normalen LAN-Port nutzen kann?

Zu dem anderen Thema, da es ja nur "nice to have" ist steht dafür leider kein Budget zur verfügung und das ist auch nichts, was er entscheiden könnte

 

[JudgeDredd]

Wie gesagt, ursprünglich war mal gedacht, das Maschinennetz und das Routernetz zu trennen

Nach Deiner Topologie IST doch das Maschinennetz vom Routernetz getrennt.

Grundsätzlich kann man das so machen, aber wer routet denn das 149.250.016.0/24 Netz ?Ich würde das eher dort in VLANs aufteilen abstatt wegen ein paar APs ein extra Router hinzustellen, wenn das Budget eh knapp ist.
Falls Du planst auf den APs mehrere Netze (Maschine, Gast, Produktion, ...) zu senden, kommst Du eh nicht drumherum.

könnte ich in diesem Fall den Wan-Port umkonfigurieren, dass man den als normalen LAN-Port nutzen kann ?

Einem "normalen" Router ist es prinzipiell völlig egal wie Du die Netze auf die Ports konfigurierst. Das kannst Du nach freiem belieben jederzeit ändern. Zu Rundumglückboxen mit evtl. integrietem Modem, gilt das möglicherweise aber nicht.

 

[Heimi75]

Ich würde das eher dort in VLANs aufteilen abstatt wegen ein paar APs ein extra Router hinzustellen, wenn das Budget eh knapp ist.

Die Frage ist, ob das so geht, weil ja die IPs vorgegeben sind. Außer, ich habe Dich falsch verstanden.
Der SynoRouter ist ja bereits vorhanden, also die Investition muss nicht gemacht werden.
Dann würde ich vorschlagen, den Router als Hauptrouter zu konfigurieren. Das Hauptnetz kann frei definiert werden, den 6600ax kann man auch ans Netz hängen. Dann ein neues VLAN-Netz mit den 149-er Adressen konfigurieren (der 6600 kann insgesamt fünf Netzwerke machen).
Die Firewall im Router kann so konfiguriert werden, dass der Zugriff aufs 149-er Netz nur vom Hauptnetz aus möglich ist, sonst von keinem anderen. Auch der Zugriff aus dem Internet kann problemlos unterbunden werden. Sicherheitstechnisch könnte man noch einen Schritt weitergehen und nur den Geräten, welche Zugriff aufs Maschinennetz haben müssen, den Zugriff gewähren. Denen kann man fixe IPs vergeben. Nochmals eine zusätzliche Sicherheit: WLAN im Enterprise-Zugriff konfigurieren. Dann können nur die User und Geräte darauf zugreifen, die dafür bestimmt sind. Ein WLAN-Passwort, das in falsche Hände geraten kann, ist dann überflüssig. Und es muss auch nicht mehr gewechselt werden. Ein User verlässt die Firma, sein Account wird gelöscht. Fall erledigt.
Was man noch diskutieren könnte, ist, ob das NAS nicht sogar ein eigenes Netzwerk hat. Dann könnte man auch hier mit Firewall-Regeln arbeiten. Da gibts verschiedene Möglichkeiten. Der 6600-er kann das alles von Haus aus.

 

[Hagen2000]

ich hab mal eine Topologie gemalt.

Folgender Vorschlag sollte funktionieren:

Du hängst den WAN-Port des Routers in das Maschinennetz (149.250.16.0/24) und gibst ihm dort eine freie, feste IP-Adresse des Maschinennetzes.
Das LAN konfigurierst Du wie vorgeschlagen auf 192.168.178.0/24 und aktivierst DHCP.

• Du musst dafür sorgen, dass der Router sich als Default-Gateway per DHCP bekannt macht. Dann schicken alle Clients automatisch sämtlichen Traffic, der nicht im Routernetz selbst liegt, an den Router zur weiteren Verarbeitung. Eventuell kommen dann aber diese Geräte nicht mehr ins Internet, während sie in deinem (W)LAN sind.
• Alternativ muss der Router so konfiguriert werden, dass er nur eine einzelne Route per RIP bekannt macht, also etwa Adresse 149.250.16.0, Maske 255.255.255.0, Gateway 192.168.178.1 (wenn die 192.168.178.1 seine eigene Adresse ist).

Der Router muss zum Maschinennetz ein NAT verwenden. Dann ist auch der Rückweg von den angesprochenen Maschinen klar definiert, da die Maschinen aus ihrem Netz angesprochen werden (eben vom Router) und somit selbst keine weitere Routing-Information benötigen.

P.S.: Bei Netzwerkadressen werden keine führenden Nullen notiert und die Netzwerkadresse endet immer mit Null. Zusätzlich gibt man die Netzwerkmaske an, also hier beispielsweise 255.255.255.0 oder eben in der CIDR-Notatation als 149.250.16.0/24.

 

[Yvonne H.]

Hey

Dann ein neues VLAN-Netz mit den 149-er Adressen konfigurieren (der 6600 kann insgesamt fünf Netzwerke machen).

Ja, das klingt nach einer guten Idee.

Du hängst den WAN-Port des Routers in das Maschinennetz (149.250.16.0/24) und gibst ihm dort eine freie, feste IP-Adresse des Maschinennetzes.

Das habe ich probiert, aber bei Eingabe seiner IP-Adresse bekomme ich eine Fehlermeldung mit "ungültige IP-Adresse" (oder so ähnlich)

 

[Heimi75]

Das habe ich probiert, aber bei Eingabe seiner IP-Adresse bekomme ich eine Fehlermeldung mit "ungültige IP-Adresse" (oder so ähnlich)

Der WAN-Port beim 6600 wird eine RFC1918-Adresse wollen, also 192.168.xx.xx bzw eben eine andere aus dem Segment. Der WAN-Port des 6600-er ist diesbezüglich nicht veränderbar, sprich als LAN zu gebrauchen, das habe ich vorhin vergessen zu erwähnen. Man kann LAN-Anschluss 1 als zusätzlichen WAN definieren, wenn man zB eine Ausfallsicherheit haben will. Der hat auch als einziger Port 2.5 GB. Aber anders wird es nicht gehen. Ich würde, wie erwähnt, wenn der 6600-er verwendet werden soll, das 149-er Netz als separates VLAN konfigurieren. Jedes VLAN auf dem 6600-er kann so konfiguriert werden, wie es @Hagen2000 vorgeschlagen hat. Die Einrichtung eines VLANS ist im 6600-er sehr simpel. Auch die Firewall ist, im Vergleich zu einer Opnsense sehr einfach zu konfigurieren.

 

[Yvonne H.]

Ok. Das heißt für meine Konfiguration ist der WAN port gar nicht zu gebrauchen?

DAs hilft mir schon weiter, dann kann ich in die Richtung aufhören zu probieren

 

[Hagen2000]

Leider habe ich selbst so ein Gerät nicht zur Hand und daher sind mir diese Einschränkungen nicht bekannt. Da kann ich wohl nicht weiter helfen.

 

[JudgeDredd]

Das habe ich probiert, aber bei Eingabe seiner IP-Adresse bekomme ich eine Fehlermeldung mit "ungültige IP-Adresse" (oder so ähnlich)

ich möchte mich nicht zu weit aus dem Fenster lehnen, da ich das Gerät nicht kenne, aber aus Netzwerksicht ergibt das doch überhaupt keinen Sinn.Wenn Du bei Deinem ISP ein öffentlcihes Subnetz gebucht hast, dann könntest Du den Router doch gar nicht verwenden.Vielleicht solltest Du mal zeigen, was Du wo genau eingegeben hast.

 

[Heimi75]

Wobei wenn ich das richtig verstanden habe, dann hat Yvonne versucht, dem Router eine 149-er Adresse zu geben. Wenn es aber in dem Netz keinen DHCP-Server gibt, dann könnte die Meldung ev. Auch von da kommen? Denn da braucht er ja auch einen Gateway. Aber das reime ich mir im Moment mal so zusammen.

 

[Yvonne H.]

Hallo,
so...nachdem ich mit dem Router gekämpft habe, was in einem Reset geendet ist, weil er für mich nicht mehr erreichbar war....konnte ich endlich mal einen Screenshot machen:

Sowohl bei der IP-Adresse würde er die nicht akzeptieren, als auch beim Gateway.
Beide haben die gleiche Fehlermeldung.

Ich würde denke ich auf die Lösung mit der VLan ausweichen.
@Heimi75 Würdest du dann eher die Steuerungen in eine Vlan setzen oder die WLan-Geräte?