Größere WLANs mit WDS-Repeatern
Reicht das Funknetz des Breitband-Routers nicht vom Flur bis in den Garten, dann stellt man einfach einen WLAN-Repeater dazwischen und erweitert so die Funkblase, ohne dafür extra Kabel legen zu müssen.
![Bild 2 [400 x 90 Pixel @ 10,8 KB]](/imgs/18/2/1/8/2/9/8/c13c45666ef304f4.jpeg)
Kaum hängt der vom Provider frisch gelieferte WLAN-Breitband-Router im ersten Stock neben dem DSL-Modem an der Telefonbuchse, lauert schon die erste Enttäuschung: Die Kids haben eine erstklassige Verbindung zum Zocken, und auch die Partnerin kann mit dem Notebook im Wohnzimmer drahtlos surfen. Doch im Garten ist die Funkverbindung schon zu schwach. Repeater versprechen schnelle Hilfe. Das sind WLAN-Basisstationen, die das schwache Funksignal empfangen und mit neuer Kraft wieder abstrahlen. Sie bilden so ein Wireless Distribution System (WDS).
Repeater kosten mit 60 bis 80 Euro nicht die Welt, doch ein blinder Kauf kann sich als nutzlos erweisen: Zwar ist WDS-Technik bereits im WLAN-Basisstandard IEEE 802.11 definiert, doch lässt dieser den Geräteherstellern große Freiheiten bei der Umsetzung. Der erste Rat lautet deshalb, möglichst einen Repeater vom Hersteller des WLAN-Routers zu beschaffen, damit man nur einen Ansprechpartner bei Problemen hat. Vorsichtige Naturen versuchen ferner, mit dem Verkäufer eine Rückgabemöglichkeit bei Nichtfunktion zu vereinbaren. Oder sie nutzen gleich die im Versandhandel gesetzlich gewährte 14-Tage-Rückgabe.
Der Begriff Repeater muss sich nicht auf ein konkret als solches verkauftes Gerät beziehen: Viele WLAN-Router arbeiten wahlweise auch als schlichte Access Points (APs, Basisstationen) oder eben als Funkverlängerung. Will man teure ADSL-WLAN-Router nicht als simple Repeater unterfordern, kann ein kleiner Umweg Geld sparen: Man deaktiviert das interne WLAN des vorhandenen Routers und rüstet zwei günstige APs nach. Einer steht beim Router, der andere dient als Repeater. Richtantennen helfen in solchen Fällen nicht immer weiter, denn sie funktionieren nur im Freien optimal. Innerhalb von Gebäuden beeinflussen metallische Elemente wie Türrahmen oder Schränke die Funkausbreitung, sodass die bestmögliche Ausrichtung der Antenne schlecht vorhersagbar ist. Außerdem können Repeater über ihren LAN-Anschluss auch stationäre PCs ins Funknetz holen, was einen WLAN-Adapter einspart.
Aufgesetzt
Aufgesetzt
Die Konfiguration einer WDS-WLAN-Installation ist schnell erledigt: Zunächst stellt man auf allen Access Points die gleiche SSID (Funknetzname) ein. Dann wählt man einen möglichst weit von allen Nachbar-WLANs entfernten Funkkanal. Beim Aufspüren eines freien Kanals hilft unter Windows ein Scan-Programm wie beispielsweise Netstumbler oder unter Linux sein Pendant Kismet. Dank der gleichen SSID können mobile Rechner automatisch auf die jeweils stärkere Funkzelle wechseln (Roaming).
Ferner nutzen alle APs die gleiche Verschlüsselungsmethode (WPA oder WPA2). In den meisten Fällen dürfte WPA(2)-PSK mit vorgegebenem Passwort (Pre-Shared Key) zum Einsatz kommen. Dabei vermeidet man Umlaute und Sonderzeichen, denn der zur Konfiguration verwendete Browser setzt sie möglicherweise anders um, als die in Windows XP integrierte Client-Software. Dann könnten zwar die Basisstationen miteinander verschlüsselt kommunizieren, aber der Laptop fände keinen Zugang. Wenn man sich für das WPA-Passwort auf Groß- und Kleinbuchstaben, Ziffern sowie Satzzeichen beschränkt und keinen trivialen, im Wörterbuch findbaren Begriff verwendet, steht dem sicheren WDS-Betrieb nichts im Weg.
Eventuell vorhandene WLAN-Beschleunigertechniken wie Packet Aggregation oder Frame Bursting kann man getrost aktivieren. Die mit 108 MBit/s beworbene Channel-Bonding-Technik Super-G des Chipherstellers Atheros arbeitet mit 40 MHz breiten Funkkanälen. Hier hängt es von der jeweiligen Implementierung ab, ob ein auf 40 MHz eingestellter Access Point auch Stationen erkennt, die mit normalem WLAN funken.
Auch mit Beschleunigern kommt man um ein prinzipielles Problem von Repeatern nicht herum: Die Geräte senden ein Datenpaket auf demselben Funkkanal wieder aus, auf dem sie es empfangen haben. Der Übertragungskanal ist zweimal belegt, die Datenrate geht auf mindestens die Hälfte zurück. Bei mehrstufigen Ketten kann der Durchsatz nach unseren Erfahrungen sogar noch stärker einbrechen.
![Bild 3 [800 x 302 Pixel @ 42,4 KB]](/imgs/18/2/1/8/2/9/8/b48d88f6d5625d0b.jpeg)
Doch umgekehrt kann auch eine höhere Geschwindigkeit herauskommen: In manchen Fällen würde eine direkte Verbindung zwischen zwei weit entfernten Stationen nur mit sehr niedriger Funkdatenrate von 1 MBit/s laufen. Mit einem in der Mitte aufgestellten Repeater könnten die beiden Seiten dagegen jeweils mit 12 MBit/s funken, sodass über die Kette doch etwa fünf bis sechs MBit/s fließen. Etwas Probieren kann sich also auszahlen.
Günstig platzieren
Günstig platzieren
Der klassische Fall für Funkverlängerungen ist die eingangs beschriebene Gartenversorgung. Dafür stellt man den Repeater in ein zum Garten zeigendes Fenster, günstigerweise dort, wo ein zu vernetzender PC steht. Damit verbessert sich die Verbindung zur Hängematte unterm Apfelbaum deutlich, solange das Fenster keine Wärmeschutzverglasung besitzt. Solche Scheiben sind metallbedampft, was nicht nur Wärme, sondern auch Funkwellen reflektiert.
Auch in länglich geschnittenen Wohnungen kann sich ein Repeater nützlich machen, wenn man keine Richtantenne einsetzen will: Sitzt der DSL-Anschluss in einer Randlage, deckt der WLAN-Router nur einen Teil der Wohnfläche ab. Dort stellt man die Funkverlängerung möglichst zentral auf, etwa im Flur. Wie die eigentliche Basisstation möchte der Repeater möglichst frei stehen, nicht etwa in einem Metallregal oder zwischen blechernen Buchstützen.
![Bild 4 [400 x 274 Pixel @ 34,4 KB]](/imgs/18/2/1/8/2/9/8/a037730c4a96d254.jpeg)
Zwischen WLAN-Router und Repeater sollten möglichst wenig Wände stehen, denn diese dämpfen das Funksignal, besonders stark, wenn der direkte Weg schräg hindurchführt. Das gilt umso mehr für dicke Geschossdecken. Oft ist es deshalb günstig, beide Geräte im selben Stockwerk aufzustellen. Dabei kann man durch Schrägstellen der Antennen die Versorgung in den anderen Etagen verbessern.
Einen günstigen Standort kann man mit dem Notebook ermitteln: Die Empfangsstärkeanzeige des eingebauten Adapters sollte für das vorhandene WLAN mindestens zwei bis drei der fünf Balken präsentieren. Wo das Notebook eine brauchbare Verbindung bekommt, hat auch der Repeater gute Chancen. Auch hier lohnt sich wieder etwas Experimentieren mit der Antennenausrichtung.
Bis hierhin sind WLAN-Router und Repeater übrigens völlig gleichberechtigt, beide agieren gegenüber den angeschlossenen Rechnern als Access Point. Das ändert sich, wenn man brauchbare Verschlüsselung auf der WDS-Verbindung zwischen ihnen verwenden will. Geräte, die nur WEP bieten, sollte man gleich im Laden lassen: Bei einem lediglich durch WEP geschützten WDS-Link nützt WPA zwischen Basisstation oder Repeater und Notebook nichts.
Sicher repeaten
Sicher repeaten
Leider hilft der Verschlüsselungsstandard 802.11i den WLAN-Entwicklern wenig, denn er macht keine konkreten Vorgaben zur Umsetzung von WPA auf WDS. So entstand ein Wildwuchs proprietärer Verfahren – wenn sich die WLAN-Gerätehersteller überhaupt an das Problem herantrauten. Zwar gibt es nach den Erfahrungen der c't-Redaktion schon ein recht breites Angebot an WPA-WDS-fähigen Basisstationen, etwa von Apple, D-Link, Lancom Systems oder Siemens. Jedoch kooperieren die Geräte in der Regel nur familienintern.
Das Kernproblem von WPA auf WDS steckt darin, dass WDS im Unterschied zu gewöhnlichen WLAN-Zellen einen symmetrischen Aufbau darstellt. Keiner der beteiligten Access Points ist der Chef, der bestimmt, wo es langgeht. Genau einen solchen braucht man aber bei der WPA-Schlüsselverhandlung, die den Seiten Rollen zuordnet: Der Access Point ist der Authenticator (Beglaubiger), der Client der Supplicant (Antragsteller). Dabei ist exakt festgelegt, welche Seite welches Paket zu welchem Zeitpunkt schickt und wie das Gegenüber darauf zu reagieren hat.
So müssen sich die Geräte erst mal darauf einigen, welche Art von Verschlüsselung sie nutzen wollen. WPA und WPA2 (802.11i) sehen verschiedene Algorithmen vor: zum einen das aus WEP weiterentwickelte TKIP, das auch auf älterer WLAN-Hardware funktioniert, und zum anderen das neuere AES, das sogar den Sicherheitsansprüchen von US-Behörden genügt. Für heimischen Einsatz reichen beide Verfahren nach heutigem Kenntnisstand völlig aus.
Ein Access Point meldet in seinen Beacons (Leuchtfeuer, Anwesenheitssignal) und Probe Responses (Antwort auf Anmeldewünsche von Clients) neben dem Funknetznamen (SSID) auch, welche Algorithmen er anbietet. Ein Client wählt einen aus und gibt dem AP bei der Anmeldung (Association) bekannt, welchen er nutzen möchte. Dabei können in einer Funkzelle je nach Fähigkeiten von Access Point und Clients auch verschiedene Verfahren parallel laufen: Viele Basisstationen bieten den WPA/WPA2-Mischbetrieb mit beiden Chiffren an. Der wesentliche Unterschied zwischen WPA und WPA2 (802.11i) ist, dass Ersteres standardmäßig TKIP verwendet und AES optional gestattet. Bei WPA2 ist dies umgekehrt. Obendrein lehnen ausschließlich auf WPA2 konfigurierte Basisstationen Anmeldewünsche von Clients ab, die nur WPA beherrschen.
Die oben beschriebene Anmeldung und Aushandlung gibt es nun bei WDS-Verbindungen aber gar nicht: Die MAC-Adressen der Mitspieler stellt man an den Access Points fest ein und setzt voraus, dass sie aktiv sind. Damit ist die Rollenverteilung bei der Schlüsselverhandlung zunächst offen. Eine beispielhafte Lösung schildert der Kasten WPA und WDS verknüpft.
Reste-Repeater
Reste-Repeater
Wer die Ausgabe für einen WDS-WPA-fähigen Router scheut, kommt schnell auf die Idee, einen Billig-Repeater aus einem gebrauchten WLAN-Client und einem übrigen Router als Access Point zusammenzusetzen. Doch das Koppeln der Geräte per LAN-Kabel endet häufig in einem Schiffbruch. Oft gelangt ein Paket nur bis zum zweiten AP. Das erlebten wir beispielsweise mit einem Taschen-AP in der Client-Rolle, der lediglich einen nachgeschalteten LAN-Teilnehmer versorgen kann.
Ersetzt man den Client durch eine WLAN-Bridge, die pro dahinterhängendem LAN-Teilnehmer eine eigene Association mit der Hauptbasisstation aufbaut, dann funktioniert die Konstruktion. Um etwas Probieren kommen Selbstbauer deshalb meist nicht herum. Dabei gibt es ein paar Besonderheiten zu beachten.
Zunächst konfiguriert man die Bridge passend für das vorhandene WLAN und hängt sie an den LAN-Anschluss der zweiten WLAN-Basisstation. Dieser gibt man eine eigene SSID und stellt sie auf einen möglichst weit entfernten Kanal ein, etwa 11, wenn das vorhandene WLAN auf Kanal 1 funkt. Die zweite SSID ist nötig, damit die Bridge nicht auf ihren direkt benachbarten AP einrastet und so eine Schleife statt der Verlängerung entsteht.
Nun kann man auf dem Notebook oder PC eine zweite WLAN-Verbindung mit den Daten der neuen Basisstation einrichten. Mit rund 5 MBit/s brachte unser Reste-Repeater einen noch brauchbaren Durchsatz. Allerdings ist kein automatisches Roaming mehr möglich: Man muss manuell die bessere Verbindung wählen.
WLAN für die Nachbarn
WLAN für die Nachbarn
Klappt die Verlängerung per Bridge und zweitem Router als AP nicht, bleibt als Ausweg nur, den Router als solchen zu betreiben. Dabei hängt man die Bridge an den Internet-Anschluss des Routers. So erscheint das vorhandene WLAN für die neue Funkzelle als Internet, man muss lediglich die WAN-Schnittstelle des zusätzlichen Routers passend konfigurieren. Dazu braucht sie eine IP-Adresse aus dem Bereich des angezapften Netzes. Läuft dort kein DHCP-Server, trägt man eine freie statische ein. Ferner muss man die Basisstation des vorhandenen WLANs als Default-Gateway und DNS-Server einstellen.
Da der zweite Router abermals Network Address Translation durchführt, entsteht eine logische Trennung der beiden Funkzellen in Richtung des angehängten WLANs. Zum Verlängern eines internen Netzes taugt diese Lösung folglich nicht, sehr gut aber dazu, einen Breitband-Zugang mit Nachbarn zu teilen. Zwar ist dessen internes Netz nun gegen das Quell-WLAN abgeschottet, doch umgekehrt gilt das nicht. Will der Besitzer des Internet-Anschlusses sein internes Netz ebenfalls schützen, muss er auch einen zusätzlichen WLAN-Router aufstellen.
Nachteilig an beiden Konstruktionen ist der erhöhte Stromverbrauch, denn nun nuckeln zwei Geräte statt eines WDS-fähigen Repeaters am Stromnetz. Will man das vermeiden, bleibt als Ausweg nur, den vorhandenen WLAN-Router durch ein WDS-fähiges Modell zu ersetzen. (rek)
WPA und WDS verknüpft
WPA und WDS verknüpft
Als Beispiel für die Implementierung von WPA über WDS sollen Lancom-APs dienen, die seit Längerem starke Verschlüsselung auf WDS-Links beherrschen. Zunächst führt man per Konfigurationsoption die Rollenverteilung ein: Der Administrator legt fest, ob das Gerät während der Schlüsselverhandlung Authenticator oder Supplicant spielt. Da die Firmware bereits eine Master/Slave-Einstellung für die dynamische Kanalwahl bei 5-GHz-Strecken enthält, stellt das keine übermäßige Einschränkung dar. Alternativ kann die Rollenwahl auch automatisch anhand der MAC-Adressen geschehen, beispielsweise indem der Access Point mit der niedrigeren Adresse die Master-Rolle einnimmt.
Sobald der Slave das Beacon des Masters empfängt, kann er die Verschlüsselungsaushandlung anstoßen, indem er die gewünschte Methode mit einem einzelnen Paket übermittelt, einem Äquivalent des Association Request, mit dem sich ein einfacher Client bei einem AP anmeldet. Dann beginnt der eigentliche WPA/802.11i-Handshake, der im Weiteren genau wie zwischen AP und Client abläuft und zu einem einmaligen, verbindungsindividuellen TKIP- oder AES-Schlüssel führt. Der zweite Teil der WPA-Verhandlung (Group Key Handshake) entfällt, denn WDS-Frames sind immer gerichtete Pakete (Unicast) von einem WDS-Partner an einen anderen. Broadcasts stecken verkapselt in den WLAN-Paketen.
Zu guter Letzt sind noch ein paar Automatiken nötig, damit die Verbindung nach einem Fehler – etwa einem Stromausfall auf einer Seite – wieder in Gang kommt. Problemlos ist ein Slave-Neustart, denn dieser kann schlicht eine Neuverhandlung anstoßen. Etwas komplizierter wird es, wenn der Master neu startet und der Slave nicht mitbekommen hat, dass sein Schlüssel jetzt ungültig ist. Empfängt der AP nun Daten vom Slave, reagiert er mit einem speziellen EAPOL-Paket, da er keinen gültigen Schlüssel für diese Verbindung hat. Daraufhin verwirft der Slave seinen Sitzungsschlüssel und startet die Neuverhandlung.
Ähnlich wie WLAN-Clients überwachen beide Access Points kontinuierlich, ob sie das Beacon-Signal der Gegenstelle noch empfangen. Fällt es für eine einstellbare Zeit aus, verwirft der AP den verhandelten Schlüssel und beginnt die Neuverhandlung, sobald die Verbindung wieder steht. Eine nennenswerte Unterbrechung stellt eine Schlüsselneuverhandlung übrigens nicht dar: Sie besteht lediglich aus vier Paketen, die binnen Millisekunden ausgetauscht sind.
Prinzipiell lässt sich das Verfahren ebenso auf WPA-Verbindungen anwenden, die mit einem fixen Passwort gesichert sind, als auch auf solche, die einen 802.1x/Radius-Server zur Authentifizierung verwenden. Doch momentan wird nur der PSK-Modus implementiert. Das stellt in der Praxis keine gravierende Einschränkung dar, weil die Anzahl der beteiligten Stationen recht klein ist und in der Regel nur der Administrator das Passwort für den WDS-Link kennt. (Dr. Alfred Arnold)
(rek)