5
Captive Portal mit Monowall und VPN
Hallo,
ich habe hier schon viel mitgelesen und schon manche qualifizierte Lösung gefunden. Dafür erst mal vielen Dank.
Nun habe ich bei einem kleinen Projekt eine Frage und habe mich nun als Nutzer hier auch angemeldet. Ich hoffe Ihr könnt mir weiterhelfen.
In einem kleinen Büro soll das Netzwerk neu aufgebaut werden und mit einem öffentlichen Gastzugang und Zugang zum internen Netzwerk über VPN ausgestattet werden.
Im Büro werden intern 3-4 PCs, ein kleines NAS und ein Multifunktionsgerät verwendet. Nun soll der DSL-Zugang eben für Gäste nutzbar gemacht werden und auf das NAS per VPN von aussen zugegriffen werden können.
Folgende Hardware ist angedacht:
DSL-Modem
NETGEAR FVG318 (VPN Router)
2x alter PC (1x für Monowall mit Captive Portal und 1x für Syslog-Server zur gestzlichen Datenspeicherung)
Accesspoint für Gastzugang
Eigentlich würde ich nach dem DSL-Modem die Monowall anordnen. Von dort einerseits das Gastnetz bedienen und zum anderen über den VPN-Router weiter ins interne Netz. Durch entsprechende Freigaben in der Monowall sollte ich ja auf den VPN-Router kommen und dann darüber den externen Zugriff ermöglichen.
Nun möchte ich aufgrund des Einsatzes von alten PCs für die Monowall diese nicht vorne haben, da ja denn bei Ausfall von dieser auch kein Internetzugriff und VPN-Zugriff auf das interne Netzwerk erfolgen kann.
Daher würde ich gerne nach dem DSL-Modem gleich den VPN-Router anordnen und dann aufteilen. Und hier stehe ich gerade etwas auf dem Schlauch und bin mir nicht sicher, wie die genaue Anordnung dann aussehen müsste. Oder soll vor dem VPN-Router dann ein zweiter einfacher Router eingebaut werden der die Trennung übernimmt? Dann wäre der Gastzugang sozusagen in einer DMZ.
Ich danke schon mal für entsprechende Anregungen zur Lösung.
Im Büro werden intern 3-4 PCs, ein kleines NAS und ein Multifunktionsgerät verwendet. Nun soll der DSL-Zugang eben für Gäste nutzbar gemacht werden und auf das NAS per VPN von aussen zugegriffen werden können.
Folgende Hardware ist angedacht:
DSL-Modem
NETGEAR FVG318 (VPN Router)
2x alter PC (1x für Monowall mit Captive Portal und 1x für Syslog-Server zur gestzlichen Datenspeicherung)
Accesspoint für Gastzugang
Eigentlich würde ich nach dem DSL-Modem die Monowall anordnen. Von dort einerseits das Gastnetz bedienen und zum anderen über den VPN-Router weiter ins interne Netz. Durch entsprechende Freigaben in der Monowall sollte ich ja auf den VPN-Router kommen und dann darüber den externen Zugriff ermöglichen.
Nun möchte ich aufgrund des Einsatzes von alten PCs für die Monowall diese nicht vorne haben, da ja denn bei Ausfall von dieser auch kein Internetzugriff und VPN-Zugriff auf das interne Netzwerk erfolgen kann.
Daher würde ich gerne nach dem DSL-Modem gleich den VPN-Router anordnen und dann aufteilen. Und hier stehe ich gerade etwas auf dem Schlauch und bin mir nicht sicher, wie die genaue Anordnung dann aussehen müsste. Oder soll vor dem VPN-Router dann ein zweiter einfacher Router eingebaut werden der die Trennung übernimmt? Dann wäre der Gastzugang sozusagen in einer DMZ.
Ich danke schon mal für entsprechende Anregungen zur Lösung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184602
Url: https://administrator.de/contentid/184602
Printed on: April 19, 2024 at 21:04 o'clock
5 Comments
Latest comment
Moin,
diese Anleitung von aqui kennst Du?
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Gruß
Uwe
diese Anleitung von aqui kennst Du?
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Gruß
Uwe
Danke, ja kenne ich.
Mein Problem ist ja, dass ich die Monowall nicht als erste drin haben will.
Mein Problem ist ja, dass ich die Monowall nicht als erste drin haben will.
Hi !
Warum machst Du das dann nicht auch so? Das funktioniert einwandfrei und absolut stabil!
Schnapsidee1: Monowall auf altem PC? Ein alter PC braucht mind. 5-10x soviel Energie als ein ALIX Board....Wo soll da der Sinn (Vorteil) sein?
Schnapsidee2: Monowall soll unzuverlässiger sein als der (von dir oben genannte) Router, lächerlich....Nach meiner Erfahrung ist genau das Gegenteil der Fall.
Das ist doch keine DMZ, wir nennen sowas DMZ für Arme....Nimm also besser die Monowall als einzige Firewall, alles weitere ist Bastelei.....
mrtux
Zitat von @MB-EDV:
Eigentlich würde ich nach dem DSL-Modem die Monowall anordnen. Von dort einerseits das Gastnetz bedienen und zum anderen
über den VPN-Router weiter ins interne Netz. Durch entsprechende Freigaben in der Monowall sollte ich ja auf den VPN-Router
kommen und dann darüber den externen Zugriff ermöglichen.
Eigentlich würde ich nach dem DSL-Modem die Monowall anordnen. Von dort einerseits das Gastnetz bedienen und zum anderen
über den VPN-Router weiter ins interne Netz. Durch entsprechende Freigaben in der Monowall sollte ich ja auf den VPN-Router
kommen und dann darüber den externen Zugriff ermöglichen.
Warum machst Du das dann nicht auch so? Das funktioniert einwandfrei und absolut stabil!
Nun möchte ich aufgrund des Einsatzes von alten PCs für die Monowall diese nicht vorne haben, da ja denn bei Ausfall von
dieser auch kein Internetzugriff und VPN-Zugriff auf das interne Netzwerk erfolgen kann.
dieser auch kein Internetzugriff und VPN-Zugriff auf das interne Netzwerk erfolgen kann.
Schnapsidee1: Monowall auf altem PC? Ein alter PC braucht mind. 5-10x soviel Energie als ein ALIX Board....Wo soll da der Sinn (Vorteil) sein?
Schnapsidee2: Monowall soll unzuverlässiger sein als der (von dir oben genannte) Router, lächerlich....Nach meiner Erfahrung ist genau das Gegenteil der Fall.
auf dem Schlauch und bin mir nicht sicher, wie die genaue Anordnung dann aussehen müsste. Oder soll vor dem VPN-Router dann
ein zweiter einfacher Router eingebaut werden der die Trennung übernimmt? Dann wäre der Gastzugang sozusagen in einer
DMZ.
ein zweiter einfacher Router eingebaut werden der die Trennung übernimmt? Dann wäre der Gastzugang sozusagen in einer
DMZ.
Das ist doch keine DMZ, wir nennen sowas DMZ für Arme....Nimm also besser die Monowall als einzige Firewall, alles weitere ist Bastelei.....
mrtux
Vielen Dank für Deine Antwort, mrtux.
Prinzipiell danke ich das auch, aber es darf vorerst eben nichts kosten. Die alten PCs stehen noch rum, laufen aber vermutlich unzuverlässiger als der Netgear-Router. Dieser verrichtet seit ca. 2,5 Jahren seinen Dienst ohne Störung.
Wenn alles läuft, kann durchaus über ein Alix Board nachgedacht werden. Aber vorerst soll das ganze zum Nulltarif ausprobiert werden. Da ich als Betreuuer des Netzwerks 50 km weg bin soll der Bürobetrieb nicht durch einen Ausfall eines alten PCs behindert werden.
Das ist doch keine DMZ, wir nennen sowas DMZ für Arme....Nimm also besser die Monowall als einzige Firewall, alles weitere
ist Bastelei.....
Das mit der DMZ für Arme ist mir klar. Es braucht ja auch keine DMZ an dieser Stelle. Die Frage ist nur, ob der Aufbau zum Testen vorerst so realisiert werden könnte. Ich habe bisher noch nie einen VPN-Router hinter einem anderen Router installiert und bin mir nicht sicher wie die entsprechenden Einstellungen genau aussehen müssten.
Ein weiterer Punkt ist die Frage, ob die damals angeschafften Lizenzen des Netgear-VPN-Clients (neue Version für Win7, im Grund Greenbow) auch auf der Monowall funktionieren würden, oder ob sich alle umgewöhnen müssen. Auch möchte ich nach Möglichkeit die VPN-Zugänge erstmal nicht noch mal neu anlegen.
Wenn ich auf ein Alix-Board umsteigen würde, ist es dann sinnvoll ein zweites für den Syslog-Server zu verwenden? Dazu gibt es hier im Forum (soweit ich gesehen habe) noch keine "einfache" Lösung, oder?
Warum machst Du das dann nicht auch so? Das funktioniert einwandfrei und absolut stabil!
Schnapsidee1: Monowall auf altem PC? Ein alter PC braucht mind. 5-10x soviel Energie als ein ALIX Board....Wo soll da der Sinn
(Vorteil) sein?
Schnapsidee2: Monowall soll unzuverlässiger sein als der (von dir oben genannte) Router, lächerlich....Nach meiner
Erfahrung ist genau das Gegenteil der Fall.
Schnapsidee1: Monowall auf altem PC? Ein alter PC braucht mind. 5-10x soviel Energie als ein ALIX Board....Wo soll da der Sinn
(Vorteil) sein?
Schnapsidee2: Monowall soll unzuverlässiger sein als der (von dir oben genannte) Router, lächerlich....Nach meiner
Erfahrung ist genau das Gegenteil der Fall.
Prinzipiell danke ich das auch, aber es darf vorerst eben nichts kosten. Die alten PCs stehen noch rum, laufen aber vermutlich unzuverlässiger als der Netgear-Router. Dieser verrichtet seit ca. 2,5 Jahren seinen Dienst ohne Störung.
Wenn alles läuft, kann durchaus über ein Alix Board nachgedacht werden. Aber vorerst soll das ganze zum Nulltarif ausprobiert werden. Da ich als Betreuuer des Netzwerks 50 km weg bin soll der Bürobetrieb nicht durch einen Ausfall eines alten PCs behindert werden.
Das ist doch keine DMZ, wir nennen sowas DMZ für Arme....Nimm also besser die Monowall als einzige Firewall, alles weitere
ist Bastelei.....
Das mit der DMZ für Arme ist mir klar. Es braucht ja auch keine DMZ an dieser Stelle. Die Frage ist nur, ob der Aufbau zum Testen vorerst so realisiert werden könnte. Ich habe bisher noch nie einen VPN-Router hinter einem anderen Router installiert und bin mir nicht sicher wie die entsprechenden Einstellungen genau aussehen müssten.
Ein weiterer Punkt ist die Frage, ob die damals angeschafften Lizenzen des Netgear-VPN-Clients (neue Version für Win7, im Grund Greenbow) auch auf der Monowall funktionieren würden, oder ob sich alle umgewöhnen müssen. Auch möchte ich nach Möglichkeit die VPN-Zugänge erstmal nicht noch mal neu anlegen.
Wenn ich auf ein Alix-Board umsteigen würde, ist es dann sinnvoll ein zweites für den Syslog-Server zu verwenden? Dazu gibt es hier im Forum (soweit ich gesehen habe) noch keine "einfache" Lösung, oder?
@MB-EDV
Natürlich funktioniert das alles auch erstmal auf einem PC basierten pfSense oder Monowall. Die Plattform ist für deine zu testenden Funktionen erstmal völlig irrelevant.
Ein oller PC zum Testen ist also absolut OK. Die Gründe warum man den nicht im Dauerbetrieb einsetzen soll sind dir ja hinreichend bekannt...
Überhapt Lizenzen für einen VPN Client auszugeben ist Unsinn, denn es gibt kostenfreie VPN Clients wie z.B. den allseits bekannten und verbreiteten Shrew Client:
http://www.shrew.net/
der sowas eigentlich vollkommen überflüssig macht.
Zudem ist deinen Frage auch völlig unsinnig, denn die Lizenzen beziehen sich immer auf den Client niemals auf den Server. Wenn du also einen lizensierten VPN Client hast der IPsec kann dann "spricht" der natürlich auch mit Monowall oder pfSense IPsec !
http://www.shrew.net/support
Abgesehen davon sind solche lizenzpflichtigen Client mehr oder weniger überflüssig wenn man die bordeigenen VPN Clients aller Betriebssysteme oder Smartphones verwendet.
Damit entfällt dann so oder so jegliche Nutzung externer VPN Clients:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Aber wenns dir nach dem Schema geht: "Warum einfach machen wenn es umständlich auch geht" Nur zu.... Es gibt immer mehrere Wege nach Rom....
Natürlich funktioniert das alles auch erstmal auf einem PC basierten pfSense oder Monowall. Die Plattform ist für deine zu testenden Funktionen erstmal völlig irrelevant.
Ein oller PC zum Testen ist also absolut OK. Die Gründe warum man den nicht im Dauerbetrieb einsetzen soll sind dir ja hinreichend bekannt...
Überhapt Lizenzen für einen VPN Client auszugeben ist Unsinn, denn es gibt kostenfreie VPN Clients wie z.B. den allseits bekannten und verbreiteten Shrew Client:
http://www.shrew.net/
der sowas eigentlich vollkommen überflüssig macht.
Zudem ist deinen Frage auch völlig unsinnig, denn die Lizenzen beziehen sich immer auf den Client niemals auf den Server. Wenn du also einen lizensierten VPN Client hast der IPsec kann dann "spricht" der natürlich auch mit Monowall oder pfSense IPsec !
http://www.shrew.net/support
Abgesehen davon sind solche lizenzpflichtigen Client mehr oder weniger überflüssig wenn man die bordeigenen VPN Clients aller Betriebssysteme oder Smartphones verwendet.
Damit entfällt dann so oder so jegliche Nutzung externer VPN Clients:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Aber wenns dir nach dem Schema geht: "Warum einfach machen wenn es umständlich auch geht" Nur zu.... Es gibt immer mehrere Wege nach Rom....
