79963
Aug 21, 2009, updated at 10:26:18 (UTC)
10042
10
2
Captive Portal M0n0wall - Routing Problem? DHCP wie einstellen?
Hallo,
ich habe mir jetzt einen kleinen Rechner zusammengebaut, der als Captive Portal dienen soll.
Dazu habe ich mir folgende Anleitung angesehen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
So sieht die Topologie aus:
Die PC's sollen die IP Adressen vom Router bekommen. Das Netzwerk Router-Monowall ist doch ein anderes Segment als Monowall-Pc1-Pc2? Dann müsste ich auf der Monowall den DHCP deaktivieren und DHCP Relay aktivieren? Damit die PCs die IP Adressen vom Router bekommen. Oder?
In meiner Testkonfiguration habe ich meinem PC1 einfach mal eine beliebige statische IP im 192.168.2.0 Netz gegeben. Die Monowall hat im WAN, also zur Verbindung zum Router DHCP eingetragen und bekommt auch eine gültige Netzwerkadresse. Im Lan zu den PCs hat sie eine feste statische freie IP. Muss ich der Monowall im Lan die IP vom Router geben?
Egal wie ich's mach ich komme mit keinem PC über die Monowall ins Internet.
Danke soweit mal
ich habe mir jetzt einen kleinen Rechner zusammengebaut, der als Captive Portal dienen soll.
Dazu habe ich mir folgende Anleitung angesehen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
So sieht die Topologie aus:
DSL Anschluss mit einem Router, der gleichzeitig auch DNS und DHCP ist. (192.168.2.1)
II
II
M0n0wall (ip ???)
II
II
Hub
// \\
// \\
// \\
PC1 PC2Die PC's sollen die IP Adressen vom Router bekommen. Das Netzwerk Router-Monowall ist doch ein anderes Segment als Monowall-Pc1-Pc2? Dann müsste ich auf der Monowall den DHCP deaktivieren und DHCP Relay aktivieren? Damit die PCs die IP Adressen vom Router bekommen. Oder?
In meiner Testkonfiguration habe ich meinem PC1 einfach mal eine beliebige statische IP im 192.168.2.0 Netz gegeben. Die Monowall hat im WAN, also zur Verbindung zum Router DHCP eingetragen und bekommt auch eine gültige Netzwerkadresse. Im Lan zu den PCs hat sie eine feste statische freie IP. Muss ich der Monowall im Lan die IP vom Router geben?
Egal wie ich's mach ich komme mit keinem PC über die Monowall ins Internet.
Danke soweit mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123219
Url: https://administrator.de/contentid/123219
Printed on: April 25, 2024 at 16:04 o'clock
10 Comments
Latest comment
Hallo wellenreitr
Nein beide Netze sind vollkommen unabhängig und mit einer NAT Firewall getrennt.
Das LAN Interface der M0n0wall weiss nichts vom DHCP Server im Routernetz so das du problemlos der Monowall ein anderes IP Netzwerk z.B. 172.16.1.0 /24 auf dem LAN Segment verpassen kannst und dafür auch den DHCP Server aktivieren kannst.
Das funktioniert vollkommen Problemlos !
Wenn du auf dem Routersegment NUR den Router und die Monowall hast solltest du besser DHCP deaktivieren und der Monowall eine feste statische IP vergeben.
Aber auch mit DHCP in dem Segment ist es besser eine statische IP für die M0n0wall auf dem WAN Segment zu vergeben.
ACHTUNG: Diese statische IP MUSS ausserhalb des DHCP Bereichs des Routers liegen um Adress Konflikte zu vermeiden !!
Beispiel
Routernetzwerk: 192.168.2.0 /24
Router: 192.168.2.1
DHCP Bereich: 192.168.2.100 bis 192.168.2.150
Monowall (statisch): 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1 setzen !!)
Optisch sieht das dann so aus:
Nein beide Netze sind vollkommen unabhängig und mit einer NAT Firewall getrennt.
Das LAN Interface der M0n0wall weiss nichts vom DHCP Server im Routernetz so das du problemlos der Monowall ein anderes IP Netzwerk z.B. 172.16.1.0 /24 auf dem LAN Segment verpassen kannst und dafür auch den DHCP Server aktivieren kannst.
Das funktioniert vollkommen Problemlos !
Wenn du auf dem Routersegment NUR den Router und die Monowall hast solltest du besser DHCP deaktivieren und der Monowall eine feste statische IP vergeben.
Aber auch mit DHCP in dem Segment ist es besser eine statische IP für die M0n0wall auf dem WAN Segment zu vergeben.
ACHTUNG: Diese statische IP MUSS ausserhalb des DHCP Bereichs des Routers liegen um Adress Konflikte zu vermeiden !!
Beispiel
Routernetzwerk: 192.168.2.0 /24
Router: 192.168.2.1
DHCP Bereich: 192.168.2.100 bis 192.168.2.150
Monowall (statisch): 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1 setzen !!)
Optisch sieht das dann so aus:
Ich kann ja dem Segment Router-Monowall einfach ein ganz anderes Netz geben. Dann dem Router und der Monowall eine statische IP und auf der Monowall dann den DHCP auf der Lanseite aktivieren.
Dieser trägt als DNS/Gateway sich selber ein. So weit richtig?
Wenn ich das jetzt so mache wie in deinem Beispiel komme ich nicht über die Monowall heraus. Dann muss ich doch DHCP Relay aktivieren, weil wie du bereits sagtest, es zwei unabhängige Segmente sind.
Monowall (statisch) 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1), DHCP Range von 192.168.2.10 bis 192.168.2.240. Der Router hat die 192.168.2.1.
Und dann DHCP Relay aktiviert bekommen die clients keine IP
Dieser trägt als DNS/Gateway sich selber ein. So weit richtig?
Wenn ich das jetzt so mache wie in deinem Beispiel komme ich nicht über die Monowall heraus. Dann muss ich doch DHCP Relay aktivieren, weil wie du bereits sagtest, es zwei unabhängige Segmente sind.
Monowall (statisch) 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1), DHCP Range von 192.168.2.10 bis 192.168.2.240. Der Router hat die 192.168.2.1.
Und dann DHCP Relay aktiviert bekommen die clients keine IP
Nur das das klar ist: WAN (Router) und LAN Segment an der Monowall müssen in unterschiedlichen IP Netzen liegen !!
Du kannst NICHT auf beiden Segmenten das gleiche IP Netz haben !!
Wenn du im Routersegment statisch arbeitest bedenke das du dann zwingend den DNS Server (Router der Proxy DNS ist) ebenfalls statisch eingeben musst, denn sonst funktioniert die DNS Auflösung logischerweise nicht !
Kannst du auch immer sehen wenn du im LAN Segment auf den Clients mal ipconfig -all eingibst, da siehst du dann keinen DNS Servereintrag !
Damit siehst du auch das die Monowall sich selber als Router announced !
Du kannst NICHT auf beiden Segmenten das gleiche IP Netz haben !!
Wenn du im Routersegment statisch arbeitest bedenke das du dann zwingend den DNS Server (Router der Proxy DNS ist) ebenfalls statisch eingeben musst, denn sonst funktioniert die DNS Auflösung logischerweise nicht !
Kannst du auch immer sehen wenn du im LAN Segment auf den Clients mal ipconfig -all eingibst, da siehst du dann keinen DNS Servereintrag !
Damit siehst du auch das die Monowall sich selber als Router announced !
Also ich gebe unter Interface WAN ne statische IP an und die Router IP als DNS. Das ist klar, sonst weiß die Monowall ja nicht wohin die die auflösungsanfragen schickt.
also ich habe jetzt folgendes eignestellt und ich komme immernoch nicht durch.
General setup:
Hostname: m0n0wall
Domain: local
DNS servers: 192.168.2.1 (RouterIP)
Interfaces:
LAN: 192.168.0.1 / 24
WAN: Type: Static
IP: 192.168.2.254 / 24
GW: 192.168.2.1 (RouterIP)
Firewall WAN/LAN:
Pass any
DHCP Verteilt:
Subnet 192.168.0.0
Subnet mask 255.255.255.0
Range 192.168.0.100 - 192.168.0.199
DNS/GW: 192.168.0.1 (m0n0wall)
also ich habe jetzt folgendes eignestellt und ich komme immernoch nicht durch.
General setup:
Hostname: m0n0wall
Domain: local
DNS servers: 192.168.2.1 (RouterIP)
Interfaces:
LAN: 192.168.0.1 / 24
WAN: Type: Static
IP: 192.168.2.254 / 24
GW: 192.168.2.1 (RouterIP)
Firewall WAN/LAN:
Pass any
DHCP Verteilt:
Subnet 192.168.0.0
Subnet mask 255.255.255.0
Range 192.168.0.100 - 192.168.0.199
DNS/GW: 192.168.0.1 (m0n0wall)
Hab ausversehen den falschen Benutzer gelöscht.
Bitte noch auf die Frage Antworten.
DANKE =)
Bitte noch auf die Frage Antworten.
DANKE =)
Ja, deine Konfig ist so absolut korrekt !
Ein Firewall Eintrag ist nicht erforderlich wenn du das LAN Interface benutzt denn da geht per Default alles durch !
Auf dem WAN Interface darf NICHT any als Rule definiert sein, damit öffnest du die Firewall !!
Behalte einfach die Default Einstellung bei hier.
Wenn du aus dem Router Netz Segment die M0n0wall mit einem Client administrieren musst nur dann trägst du hier was ein z.b.:
Pass
Interface WAN
Protokoll TCP
Source Network 192.168.2.0 /24
any
any
Destination WAN Address
any
any
Description Admin Zugang
Das erlaubt dir dann einen Zugriff auf die WAN IP 192.168.2.254 aus dem 192.168.2.0er Netz der sonst durch die Firewall geblockt ist, was auch logisch ist, da das WAN Interface für die M0n0wall das heisse (unsichere) Interface ist ! (Sie kann hier ja auch mit PPPoE direkt am Internet Provider hängen wenn du statt Router dahinter ein schlichtes DSL Modem nutzt !!)
Einen wichtigen Punkt hast du noch vergessen:
Du benutzt auf der WAN Seite ein Privates Netzwerk nach RFC 1918 deshalb solltest du unbedingt den Haken entfernen bei "Block private networks" im Menü Interfaces -> WAN !!
Danach sollte alles problemlos funktionieren !!
Ein Firewall Eintrag ist nicht erforderlich wenn du das LAN Interface benutzt denn da geht per Default alles durch !
Auf dem WAN Interface darf NICHT any als Rule definiert sein, damit öffnest du die Firewall !!
Behalte einfach die Default Einstellung bei hier.
Wenn du aus dem Router Netz Segment die M0n0wall mit einem Client administrieren musst nur dann trägst du hier was ein z.b.:
Pass
Interface WAN
Protokoll TCP
Source Network 192.168.2.0 /24
any
any
Destination WAN Address
any
any
Description Admin Zugang
Das erlaubt dir dann einen Zugriff auf die WAN IP 192.168.2.254 aus dem 192.168.2.0er Netz der sonst durch die Firewall geblockt ist, was auch logisch ist, da das WAN Interface für die M0n0wall das heisse (unsichere) Interface ist ! (Sie kann hier ja auch mit PPPoE direkt am Internet Provider hängen wenn du statt Router dahinter ein schlichtes DSL Modem nutzt !!)
Einen wichtigen Punkt hast du noch vergessen:
Du benutzt auf der WAN Seite ein Privates Netzwerk nach RFC 1918 deshalb solltest du unbedingt den Haken entfernen bei "Block private networks" im Menü Interfaces -> WAN !!
Danach sollte alles problemlos funktionieren !!
Also den Haken bei "Block private networks" im Menü Interfaces habe ich entfernt.
Eine Administration ist nur vom LAN notwendig.
Es kommt aber trotzdem nichts durch. Ich kann den Router aus dem Lan nicht anpingen (auch nicht mit einer static route ins x.x.2.0 er Netz) , ich kann keine Namen auflösen... nichts.
Was könnte das denn noch sein?
Eine Administration ist nur vom LAN notwendig.
Es kommt aber trotzdem nichts durch. Ich kann den Router aus dem Lan nicht anpingen (auch nicht mit einer static route ins x.x.2.0 er Netz) , ich kann keine Namen auflösen... nichts.
Was könnte das denn noch sein?
Da machst du irgendwas falsch !
Mach folgendes: (Resetten und einfach nur zusammenstecken und NICHTS konfigurieren !)
1.) Setz alles auf Factory Defaults (Werkseinstellung)
2.) Reboote die Monowall
3.) Verbinde das WAN Interface mit dem Router LAN (DHCP am WAN Interface ist Default)
4.) Verbinde deinen Client mit dem LAN (DHCP mit 192.168.1.0 ist aktiv per default)
5.) Logg dich ins Setup ein
6.) Entferne den Haken bei "Block private Networks" und Save
Mehr nicht machen..
Hier checkst du jetzt folgendes:
1.) Status -> Interfaces:
Hast du hier die korrekten IP Adressen vom Router bekommen auf dem WAN ?
2.) Diagnostics -> Ping/Trceroute
a.) Klappt ein Ping auf den Router ?
b.) Klappt ein Ping auf den Client ?
c.) Klappt ein Ping auf eine nackte Internet IP z.B. 193.99.144.85 (heise.de)
d.) Klappt ein nslookup www.heise.de auf dem Client (Eingabeaufforderung)
e.) Klappt ein Ping auf www.heise.de ?
f.) IP Adressvergabe auf dem Client mit ipconfig -all (Eingabeaufforderung) prüfen. Stimmen Gateway und DNS ??
Checke auch nochmal die Logs ! Insbesondere das Firewall Log und Systemlog ob irgendwas dort steht Fehler bezogen ??
Wenn das soweit alles klappt, dann muss auch der Internetzugang funktionieren wenn du am Client den Browser aufmachst und www.administrator.de eingibst !!
Mach folgendes: (Resetten und einfach nur zusammenstecken und NICHTS konfigurieren !)
1.) Setz alles auf Factory Defaults (Werkseinstellung)
2.) Reboote die Monowall
3.) Verbinde das WAN Interface mit dem Router LAN (DHCP am WAN Interface ist Default)
4.) Verbinde deinen Client mit dem LAN (DHCP mit 192.168.1.0 ist aktiv per default)
5.) Logg dich ins Setup ein
6.) Entferne den Haken bei "Block private Networks" und Save
Mehr nicht machen..
Hier checkst du jetzt folgendes:
1.) Status -> Interfaces:
Hast du hier die korrekten IP Adressen vom Router bekommen auf dem WAN ?
2.) Diagnostics -> Ping/Trceroute
a.) Klappt ein Ping auf den Router ?
b.) Klappt ein Ping auf den Client ?
c.) Klappt ein Ping auf eine nackte Internet IP z.B. 193.99.144.85 (heise.de)
d.) Klappt ein nslookup www.heise.de auf dem Client (Eingabeaufforderung)
e.) Klappt ein Ping auf www.heise.de ?
f.) IP Adressvergabe auf dem Client mit ipconfig -all (Eingabeaufforderung) prüfen. Stimmen Gateway und DNS ??
Checke auch nochmal die Logs ! Insbesondere das Firewall Log und Systemlog ob irgendwas dort steht Fehler bezogen ??
Wenn das soweit alles klappt, dann muss auch der Internetzugang funktionieren wenn du am Client den Browser aufmachst und www.administrator.de eingibst !!
Jetzt hat es auf einmal geklappt... ich wüsste mal gern wodran es gelegen hat.
Jetzt bräuchte ich noch ne Lösung um Filesharing zu verhindern. Was kann ich noch machen, außer alle Ports zu (außer E-Mail/HTTP). Es wäre noch toll zu sehen wer evt Files geshared hat, wenn es mal zu spät ist. Kann ich das später nachvollziehen mit den vouchern oder so?
Jetzt bräuchte ich noch ne Lösung um Filesharing zu verhindern. Was kann ich noch machen, außer alle Ports zu (außer E-Mail/HTTP). Es wäre noch toll zu sehen wer evt Files geshared hat, wenn es mal zu spät ist. Kann ich das später nachvollziehen mit den vouchern oder so?
Dafür sperrst du einfach die Ports die Filesharing Programme in der Regel nutzen:
FTP: TCP 20 und 21
Windows Filesharing: UDP/TCP 135 bis 139 und UDP/TCP 445
Oder sofern du P2P Filesharing ala Emule, eDonkey, Kaza, Morpheus usw. meinst dann sind es zusätzlich diese Ports:
http://bandwidthcontroller.com/applicationPorts.html (nach P2P suchen)
https://support.smoothwall.net/index.php?_m=knowledgebase&_a=viewart ...
usw. usw.... Dr. Google ist dein Freund !
Wer diese Blockings bewusst verletzt kannst du sofort sehen wenn du die unten die Firewall Logs in der Monowall ansiehst.
Damit hast du dann den schwarzen Peter !
FTP: TCP 20 und 21
Windows Filesharing: UDP/TCP 135 bis 139 und UDP/TCP 445
Oder sofern du P2P Filesharing ala Emule, eDonkey, Kaza, Morpheus usw. meinst dann sind es zusätzlich diese Ports:
http://bandwidthcontroller.com/applicationPorts.html (nach P2P suchen)
https://support.smoothwall.net/index.php?_m=knowledgebase&_a=viewart ...
usw. usw.... Dr. Google ist dein Freund !
Wer diese Blockings bewusst verletzt kannst du sofort sehen wenn du die unten die Firewall Logs in der Monowall ansiehst.
Damit hast du dann den schwarzen Peter !
