10
Probleme mit Monowall bei VMWare?
Hallo Community, aus aktuellem Anlass hab ich ein Problem, in dem es um Monowall in Verbindung mit VMWare geht.
Also, nun zur Ausgangssituation: Ich möchte in einem kleinen Unternehmen ein Gäste WLAN einrichten, dass eine Benutzeranmeldung hat.
Da bin ich hier auf den Seiten auf Monowall gestoßen. Ich hab also einen virtuellen PC mit WinXP und eine mit Monowall aufgesetzt.
Die VM mit Monowall hat 2 NICs, wovon eine im "VMNet3" mit der IP 192.168.0.3/24 ist. Im gleichen Netzt ist der XP-PC mit der IP 192.168.0.2/24
Der zweite Netzweradapter der Monowall ist als "Bridget" mit der IP 192.168.168.205/24 eingerichtet und hängt so in einem Netzt mit dem örtlichen Router, mit der IP 192.168.168.230
Bei Monowall hab ich die WAN-Einstellungen folgendermaßen vorgenommen: IP: 192.168.168.205/24 und Gateway 192.168.168.230...also der Router und es werden auch LANs zugelassen, habe also das Häkchen aus der Option ganz unten entfernt, diese zu blocken.
Bei dem XP-PC ist als Standardgateway die IP 192.168.0.3/24 von Monowall angegeben.
Nun zum Problem:
1x hat das bisher schon mit der Passwortabfrage über Captive Portal funktioniert, mit genau diesen Einstellunge. 3 Minuten später ging's nicht mehr???!!!
Der Router und die 2. NIC von Monowall sind dann auch vom XP-PC nicht mehr per PING erreichbar?
Danke schonmal im vorraus
Christian
Da bin ich hier auf den Seiten auf Monowall gestoßen. Ich hab also einen virtuellen PC mit WinXP und eine mit Monowall aufgesetzt.
Die VM mit Monowall hat 2 NICs, wovon eine im "VMNet3" mit der IP 192.168.0.3/24 ist. Im gleichen Netzt ist der XP-PC mit der IP 192.168.0.2/24
Der zweite Netzweradapter der Monowall ist als "Bridget" mit der IP 192.168.168.205/24 eingerichtet und hängt so in einem Netzt mit dem örtlichen Router, mit der IP 192.168.168.230
Bei Monowall hab ich die WAN-Einstellungen folgendermaßen vorgenommen: IP: 192.168.168.205/24 und Gateway 192.168.168.230...also der Router und es werden auch LANs zugelassen, habe also das Häkchen aus der Option ganz unten entfernt, diese zu blocken.
Bei dem XP-PC ist als Standardgateway die IP 192.168.0.3/24 von Monowall angegeben.
Nun zum Problem:
1x hat das bisher schon mit der Passwortabfrage über Captive Portal funktioniert, mit genau diesen Einstellunge. 3 Minuten später ging's nicht mehr???!!!
Der Router und die 2. NIC von Monowall sind dann auch vom XP-PC nicht mehr per PING erreichbar?
Danke schonmal im vorraus
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171286
Url: https://administrator.de/contentid/171286
Printed on: April 19, 2024 at 17:04 o'clock
10 Comments
Latest comment
Dir ist klar das der Host PC auch 2 physische NICs haben muss ?? Ist das bei dir der Fall ??
Mit nur einer physischen NIC ist eine Installation von Monowall in einer VM nicht möglich !! (Keine physische Trennung der LAN / WAN Ports möglich !)
Logisch gesehen ist die Verbindung dann so:
(Internet)===Router----192.168.168.0----NIC-1===Bridged----WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)----Bridged===NIC-2---lokales LAN 192.168.0.0 /24--PC
Generell sollte man immer von der Installation einer Firewall in einer VM aus Sicherheitsgründen absehen !
Besser (und preiswerter in Bezug auf Stromkosten bei Dauerbetrieb) ist ein dediziertes Gerät wie hier beschrieben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit nur einer physischen NIC ist eine Installation von Monowall in einer VM nicht möglich !! (Keine physische Trennung der LAN / WAN Ports möglich !)
Logisch gesehen ist die Verbindung dann so:
(Internet)===Router----192.168.168.0----NIC-1===Bridged----WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)----Bridged===NIC-2---lokales LAN 192.168.0.0 /24--PC
Generell sollte man immer von der Installation einer Firewall in einer VM aus Sicherheitsgründen absehen !
Besser (und preiswerter in Bezug auf Stromkosten bei Dauerbetrieb) ist ein dediziertes Gerät wie hier beschrieben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bei mir gestaltet es sich aber so, dass nur 1 NIC bridged ist und der LAN-NIC von Monowall und der des PC im virtuellen VMNet 2 sind.
In etwa so:
(Internet)===Router---192.168.168.0---NIC-1===Bridged---WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)---VmNet2===NIC-2---lokales LAN 192.168.0.0--PC
...und eben diese Konfiguration hat 1x funktioniert, ich hab danach nichts verändert, aber der WAN-Port war dann nicht mehr zu erreichen???
In etwa so:
(Internet)===Router---192.168.168.0---NIC-1===Bridged---WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)---VmNet2===NIC-2---lokales LAN 192.168.0.0--PC
...und eben diese Konfiguration hat 1x funktioniert, ich hab danach nichts verändert, aber der WAN-Port war dann nicht mehr zu erreichen???
OK, du hast also das LAN Interface der Monowall mit in der VM an einem separaten VM Adapter so wie hier in der Alternative mit dem virtualisierten Rechner dargestellt:
und den "PC" auch virtualisiert und dessen virtuelle NIC per Bridge Mode an eben diesen VM Adapter gehängt.
Wichtig ist dabei zu prüfen das es keinerlei interne Verbindung zwischen den beiden VM Adaptern gibt, andernfalls kann es zu solchen Effekten kommen.
Ferner solltest du ganz sicher prüfen das die VM Adapter auch den richtigen LAN bzw. WAN Interfaces der Monowall zugewiesen sind.
Das kannst du in der Monowall GUI machen in den Adapter Einstellunge und dir dort die Mac Adressen notieren.
Diese vergleichst du mit den VM Adaptern im Host und prüfst ob die korrespondieren zu den entsprechenden IP Netzen.
Bedenke zusätzlich das der WAN Port aus dem 192.168.168.0 /24 Netz nicht zu erreichen ist, denn die Firewall blockt alle Zugriffe auf den WAN Port so wie es für einen Firewall üblich ist.
Wenn du den WAN Port pingen willst oder was auch immer musst du zwingend in den Firewall Regeln dieses auch erlauben ! Der WAN Port blockiert per Default alle Zugriffe wie es sein soll bei einer FW !!
Ferner solltest du in den Monowall Settings am WAN Port das Blocking von RFC 1918 IP Netzen abschalten. (Haken setzen). Da du ein RFC 1918 IP Netz auf dem WAN Port benutzt ist das essentiell wichtig !
Wenn man diese Punkte bedenkt sollte alles problemlos funktionieren.
und den "PC" auch virtualisiert und dessen virtuelle NIC per Bridge Mode an eben diesen VM Adapter gehängt.
Wichtig ist dabei zu prüfen das es keinerlei interne Verbindung zwischen den beiden VM Adaptern gibt, andernfalls kann es zu solchen Effekten kommen.
Ferner solltest du ganz sicher prüfen das die VM Adapter auch den richtigen LAN bzw. WAN Interfaces der Monowall zugewiesen sind.
Das kannst du in der Monowall GUI machen in den Adapter Einstellunge und dir dort die Mac Adressen notieren.
Diese vergleichst du mit den VM Adaptern im Host und prüfst ob die korrespondieren zu den entsprechenden IP Netzen.
Bedenke zusätzlich das der WAN Port aus dem 192.168.168.0 /24 Netz nicht zu erreichen ist, denn die Firewall blockt alle Zugriffe auf den WAN Port so wie es für einen Firewall üblich ist.
Wenn du den WAN Port pingen willst oder was auch immer musst du zwingend in den Firewall Regeln dieses auch erlauben ! Der WAN Port blockiert per Default alle Zugriffe wie es sein soll bei einer FW !!
Ferner solltest du in den Monowall Settings am WAN Port das Blocking von RFC 1918 IP Netzen abschalten. (Haken setzen). Da du ein RFC 1918 IP Netz auf dem WAN Port benutzt ist das essentiell wichtig !
Wenn man diese Punkte bedenkt sollte alles problemlos funktionieren.
Also:
Der Aufbau, den du da aufzeigst entspricht dem, was ich konfiguriert hab!
Welche "internen Verbindungen zw. den Adaptern"? 1 Adapter (WAN)ist "bridged" auf die NIC von meinem Laptop und die "LAN-NICs" sind VmNet2....und wenn ich bei der Vm "Monowall" die Adaptereinstellungen vertausche bekomme ich keine Verbindung mehr mit dem PC...also gibt's da wohl keine interne Verbindung.
Somit ist auch geprüft, ob LAN/WAN richtig zugewiesen sind, denn wenn nicht, wäre auch kein PING im LAN vom virtuellen XP-PC auf die LAN-NIC von Monowall möglich oder???
Das Blocking hab ich auch ausgestellt.
Deshalb frag ich mich ja die ganze Zeit, warum das nicht geht?! Ich schreib nochmal ganz fix die genau Konfiguration auf, hab nämlich alles nochmal neu gemacht und die Adressen haben sich en bissl geändert, aber ist grundsätzlich das Gleiche geblieben:
Monowall: IP-LAN: 192.168.0.1 in VmNet2
IP-WAN: 192.168.168.249-->Bridged ins reelle LAN
Gateway: 192.168.168.230 (Router im reellen LAN)
(Internet)===Router(192.168.168.230)===NIC-WAN(192.168.168.249)/Gateway(192.168.168.230)---Monowall---NIC-LAN(192.168.0.1)===PC(192.168.0.2)/Gateway(192.168.0.1)
virtueller PC: IP-LAN:192.168.0.2
Gateway: 192.168.0.1
DNS-Server: 192.168.168.230
Mit der Konfiguration bekomme ich von der XP-Vm kein Ping auf den Router im reellen Netz, also auch kein I-Net, lediglich die NIC der Monowall im LAN ist von der XP-Vm erreichbar. Von Monowall geht der Ping in !BEIDE! Netze...
Weiterhin ist wie oben beschrieben das Blocken von LAN-Zugriffen in den WAN-Optionen deaktiviert und wie gesagt, 1x hat das ja schon alles gegeht...aber nur 1x???
Bei den Firewall-Regeln ist nicht festgelegt, weder bei WAN, noch bei LAN.
Der Aufbau, den du da aufzeigst entspricht dem, was ich konfiguriert hab!
Welche "internen Verbindungen zw. den Adaptern"? 1 Adapter (WAN)ist "bridged" auf die NIC von meinem Laptop und die "LAN-NICs" sind VmNet2....und wenn ich bei der Vm "Monowall" die Adaptereinstellungen vertausche bekomme ich keine Verbindung mehr mit dem PC...also gibt's da wohl keine interne Verbindung.
Somit ist auch geprüft, ob LAN/WAN richtig zugewiesen sind, denn wenn nicht, wäre auch kein PING im LAN vom virtuellen XP-PC auf die LAN-NIC von Monowall möglich oder???
Das Blocking hab ich auch ausgestellt.
Deshalb frag ich mich ja die ganze Zeit, warum das nicht geht?! Ich schreib nochmal ganz fix die genau Konfiguration auf, hab nämlich alles nochmal neu gemacht und die Adressen haben sich en bissl geändert, aber ist grundsätzlich das Gleiche geblieben:
Monowall: IP-LAN: 192.168.0.1 in VmNet2
IP-WAN: 192.168.168.249-->Bridged ins reelle LAN
Gateway: 192.168.168.230 (Router im reellen LAN)
(Internet)===Router(192.168.168.230)===NIC-WAN(192.168.168.249)/Gateway(192.168.168.230)---Monowall---NIC-LAN(192.168.0.1)===PC(192.168.0.2)/Gateway(192.168.0.1)
virtueller PC: IP-LAN:192.168.0.2
Gateway: 192.168.0.1
DNS-Server: 192.168.168.230
Mit der Konfiguration bekomme ich von der XP-Vm kein Ping auf den Router im reellen Netz, also auch kein I-Net, lediglich die NIC der Monowall im LAN ist von der XP-Vm erreichbar. Von Monowall geht der Ping in !BEIDE! Netze...
Weiterhin ist wie oben beschrieben das Blocken von LAN-Zugriffen in den WAN-Optionen deaktiviert und wie gesagt, 1x hat das ja schon alles gegeht...aber nur 1x???
Bei den Firewall-Regeln ist nicht festgelegt, weder bei WAN, noch bei LAN.
Wichtig ist das die VmNet2 Karte im Host Modus arbeitet ! Damit ist sie im Host Rechner bzw. dessen physischer NIC isoliert, kann also nur so als Punkt zu Punkt Verbindung zw. LAN Port und virtuellem PC arbeiten. Das musst du in jedem Falle sicherstellen !
Das LAN Interface der FW .0.1 sollte vom virtuellen PC aus pingbar sein !
Sonst ist deinen IP Adressierung korrekt mit einer einzigen Ausnahme dem DNS-Server: 192.168.168.230. Normalerweise ist die FW DNS Proxy und die .0.1 sollte DNS sein.
Denk dran das wenn du die IP Adresse am WAN Port NICHT per DHCP vom Router beziehst sondern statisch einträgst, das du in der FW auch den DNS Server also die Router IP statisch konfigurieren musst ! letztlich ist das aber erstmal fürs Ping testen nackter IPs nicht relevant.
Hast du den virtuellen PC mal in den DHCP Modus versetzt um zu sehen ob die FW einen korrekte IP Adresse vergibt ?!
Kannst du den WAN Port .168.249 vom LAN pingen ?
Hast du mal ins Firewall Log gesehen ob dort irgendwelche Blockings angezeigt werden ?
Das LAN Interface der FW .0.1 sollte vom virtuellen PC aus pingbar sein !
Sonst ist deinen IP Adressierung korrekt mit einer einzigen Ausnahme dem DNS-Server: 192.168.168.230. Normalerweise ist die FW DNS Proxy und die .0.1 sollte DNS sein.
Denk dran das wenn du die IP Adresse am WAN Port NICHT per DHCP vom Router beziehst sondern statisch einträgst, das du in der FW auch den DNS Server also die Router IP statisch konfigurieren musst ! letztlich ist das aber erstmal fürs Ping testen nackter IPs nicht relevant.
Hast du den virtuellen PC mal in den DHCP Modus versetzt um zu sehen ob die FW einen korrekte IP Adresse vergibt ?!
Kannst du den WAN Port .168.249 vom LAN pingen ?
Hast du mal ins Firewall Log gesehen ob dort irgendwelche Blockings angezeigt werden ?
Also...wie soll ich denn die VmNet2 Karte in den Host-Modus bringen??? "VmNet 2 "ist doch schon ein eigenes, geschlossenes Netzwerk und es gibt doch beim VmWare Workstation nur die Möglichkeiten "Host-Only", NAT,Bridged und dann diese virtuellen VmNet 2-9 oder so...
Das LAN Interface der FW also die 192.168.0.1 ist problemlos pingbar.
Der virtuelle PC hat auch schon problemlos im DHCP-Modus gearbeitet, ja, hab ich gestern mal probiert.
Auf den WAN Port kann ich dann nicht mehr pingen...hab iwie das Gefühl, das die Weiterleitung zw. den Adaptern im virtuellen Netz und dem Bridged nicht funktioniert??? Also quasi die Weiterleitung zw. den 2 NICs in der Monowall.
Ich hab gestern auch mal probehalber 2 Firewall-Regeln erstellt, so, dass sie alles durchlassen, 1x für den LAN-Port und 1x für den WAN-Port....hab also die Regel "Pass" gemacht und überall "any"...somit sollte ja alles durchgelassen werden.
Das LAN Interface der FW also die 192.168.0.1 ist problemlos pingbar.
Der virtuelle PC hat auch schon problemlos im DHCP-Modus gearbeitet, ja, hab ich gestern mal probiert.
Auf den WAN Port kann ich dann nicht mehr pingen...hab iwie das Gefühl, das die Weiterleitung zw. den Adaptern im virtuellen Netz und dem Bridged nicht funktioniert??? Also quasi die Weiterleitung zw. den 2 NICs in der Monowall.
Ich hab gestern auch mal probehalber 2 Firewall-Regeln erstellt, so, dass sie alles durchlassen, 1x für den LAN-Port und 1x für den WAN-Port....hab also die Regel "Pass" gemacht und überall "any"...somit sollte ja alles durchgelassen werden.
Kannst du dann mit dieser any to any Regel am WAN Port den WAN Port anpingen ?
Das würde dann bedeuten von den jeweiligen Netzwerk an LAN und WAN wäre die FW erreichbar !
Das würde dann im Umkehrschluss auch bedeuten das in der VM intern irgendwas mau ist und nicht funktioniert.
Gibts ggf. in den FW Logs irgendwelche Besonderheiten ?
Wenn du über das Terminal in der MW in die FreeBSD Shell gehst und dir mit demsg die Bootmessages ansiehst kannst du da was fehlerhaftes entdecken ?
Das würde dann bedeuten von den jeweiligen Netzwerk an LAN und WAN wäre die FW erreichbar !
Das würde dann im Umkehrschluss auch bedeuten das in der VM intern irgendwas mau ist und nicht funktioniert.
Gibts ggf. in den FW Logs irgendwelche Besonderheiten ?
Wenn du über das Terminal in der MW in die FreeBSD Shell gehst und dir mit demsg die Bootmessages ansiehst kannst du da was fehlerhaftes entdecken ?
Hi !
Ich habe schon vor längerer Zeit eine kleine Testumgebung mit Virtual Box aufgebaut und das hat völlig problemlos (und auf Anhieb) geklappt...
Die Monowall hängt mit ihrem WAN Port (per fester IP und Bridging) am lokalen Netz und die Testnetze wurden als interne virtuelle Netze eingerichtet. Die Monowall verhält sich dabei so, als wäre sie auf einem ALIX Board. Ein virtuelles Netzwerk verwende ich für Tests mit dem Captive Portal und ein weiteres virtuelles Netz als LAN um die Firewallregeln zu testen. Per Portforward (und Freigabe in der FW) ist über den WAN Port sogar die Administration von einem beliebigen Rechner aus dem lokalen Netzwerk (also ausserhalb des VB Gastgebers) über die GUI der Mono möglich....
Was mit VB klappt, sollte eigentlich auch mit VMWare möglich sein, da ich zudem auch noch das offizielle VMWare Image (von der Monowall Homepage) verwendet habe...
mrtux
Ich habe schon vor längerer Zeit eine kleine Testumgebung mit Virtual Box aufgebaut und das hat völlig problemlos (und auf Anhieb) geklappt...
Die Monowall hängt mit ihrem WAN Port (per fester IP und Bridging) am lokalen Netz und die Testnetze wurden als interne virtuelle Netze eingerichtet. Die Monowall verhält sich dabei so, als wäre sie auf einem ALIX Board. Ein virtuelles Netzwerk verwende ich für Tests mit dem Captive Portal und ein weiteres virtuelles Netz als LAN um die Firewallregeln zu testen. Per Portforward (und Freigabe in der FW) ist über den WAN Port sogar die Administration von einem beliebigen Rechner aus dem lokalen Netzwerk (also ausserhalb des VB Gastgebers) über die GUI der Mono möglich....
Was mit VB klappt, sollte eigentlich auch mit VMWare möglich sein, da ich zudem auch noch das offizielle VMWare Image (von der Monowall Homepage) verwendet habe...
mrtux
ich kann leider selbst mit dieser Regel den WAN-Port nicht pingen...bin langsam echt ratlos...vorallem, weil's 1x funktioniert hat...werd's evtl. mal mit virtual Box probieren...
es geht immer nur der PING auf den LAN-Port...darüberhinaus ist nichts möglich
es geht immer nur der PING auf den LAN-Port...darüberhinaus ist nichts möglich
