6
M0n0wall und Windowsnetzwerk miteinander verbinden
Hallo,
ich habe ein kleines Problem: Ich habe eine M0n0wall in ein bestehendes Netzwerk integriert. Beovor ich hier lang erkläre, wo was liegt - hier ein Ausschnitt aus dem Netzwerk.
http://www.ralpht.homepage.t-online.de/captive_portal.jpg
Ich habe dort das Captive-Portal laufen. Die Clients (hier ein Notebook) müsse erst im Portal anmelden, dann funtioniert das Internet. Allerdings habe ich noch zwei Monitorrechner eingebaut.
Das Problem: Ich kann weder vom Monitorrechner 1 in das LAN (192.168.4.0/24) eine Verbindung aufbauen (auch kein Ping) und andersherum eine Verbindung vom Monitorrechner 2 eine Verbindung zum Monitorrecher 1 aufbauen.
Ich dachte, es läge an der Firewall (M0n0wall). dort habe ich im Bereich WAN ein Regel erstellt, die besagt, dass alles vom WAN zum LAN erlaubt ist. Leider brachte das nicht den gewünschten Erfolg. Eine -per defaulte erstelle Regel im LAN-Bereich- habe ich so belassen wie sie war.
Auch hier alles erlauben vom LAN zum WAN.
Das Einzige was ich per Ping von Monitorrechner 1 erreichen kann sind die Adressen:: 192.168.10.201, 192.168.4.1
Mehr kann ich doch nicht in der Firewall aufmachen oder kann das so nicht funktionieren?
Das Tutorial () habe ich mir auch schon verinnerlicht, aber spricht nicht genau mein Problem an.
ich habe ein kleines Problem: Ich habe eine M0n0wall in ein bestehendes Netzwerk integriert. Beovor ich hier lang erkläre, wo was liegt - hier ein Ausschnitt aus dem Netzwerk.
http://www.ralpht.homepage.t-online.de/captive_portal.jpg
Ich habe dort das Captive-Portal laufen. Die Clients (hier ein Notebook) müsse erst im Portal anmelden, dann funtioniert das Internet. Allerdings habe ich noch zwei Monitorrechner eingebaut.
Das Problem: Ich kann weder vom Monitorrechner 1 in das LAN (192.168.4.0/24) eine Verbindung aufbauen (auch kein Ping) und andersherum eine Verbindung vom Monitorrechner 2 eine Verbindung zum Monitorrecher 1 aufbauen.
Ich dachte, es läge an der Firewall (M0n0wall). dort habe ich im Bereich WAN ein Regel erstellt, die besagt, dass alles vom WAN zum LAN erlaubt ist. Leider brachte das nicht den gewünschten Erfolg. Eine -per defaulte erstelle Regel im LAN-Bereich- habe ich so belassen wie sie war.
Auch hier alles erlauben vom LAN zum WAN.
Das Einzige was ich per Ping von Monitorrechner 1 erreichen kann sind die Adressen:: 192.168.10.201, 192.168.4.1
Mehr kann ich doch nicht in der Firewall aufmachen oder kann das so nicht funktionieren?
Das Tutorial () habe ich mir auch schon verinnerlicht, aber spricht nicht genau mein Problem an.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119236
Url: https://administrator.de/contentid/119236
Printed on: April 16, 2024 at 22:04 o'clock
6 Comments
Latest comment
habe mir Deine Zeichnung angeschaut, der Rechner Monitor 1 sollte den Lancomrouter als Gateway haben.
Gruß, Arch Stanton
Gruß, Arch Stanton
Nur mal nebenbei: Administrator.de erlaubt dir auch Bilder hochzuladen (Auf Bilder hinzufügen im Thread klicken !!!) dann kannst du dir fürs nächste Mal das lästige und vollkommen überflüssige Benutzen von externen Bilderlinks dir und vor allem uns ersparen...! 
Zurück zu deinem Problem, das sehr einfach lösbar ist.
Als allererstes gilt es den Tipp von Arch oben umzusetzen.
2 weitere Dinge sind zu beachten:
Wenn Monitor 2 und Monitor 1 transparent kommunizieren sollen musst du Monitor 2 dann zusätzlich in die Ausnahmeliste des Captive Portals einfügen, das das CP Monitor 2 nicht blockt. Das geht entweder mit der MAC oder, sofern Monitor 2 eine statische IP hat, auch mit der IP in der Ausnahmeliste Pass through MAC oder Allowed IP !!
Für Monitor-2 nimmst du dir jetzt eine fiktive IP Adresse aus dem 192.168.10er Netz die NICHT verwendet wird und die NICHT im DHCP Pool liegt und trägst diese im Menü Firewall -> NAT -> Server NAT ein !!
Beispiel:
Fiktive IP: 192.168.10.250
Server NAT Menüeintrag:
"+" klicken
External IP Address = 192.168.10.25 eingeben
Save, Apply Cjanges
Ins Menü Firewall -> NAT -> Inbound wechseln
"+" klicken
External address = deine externe IP Adresse 192.168.10.25 auswählen
Dann Port Range interne IP usw.
Das Problem ist das das mehr oder weniger ein portbasiertes Weiterleiten ist. Eine wirkliche transpartente Verbindung bekommst du mit dem 1:1 NAT hin. Das setzt dir eine fiktive .4.0er IP in eine fiktive .10.0er IP um. Letztlich ist das also die beste Lösung, da dann alle Dienste transparent durchgereicht werden.
1:1 Menü
"+" klicken
Interface = WAN
External Subnet = 192.168.10.250 mit 32 Bit Maske (Hostmaske)
Internal Subnet = 192.168.4.250
fertig
Damit hast du dann eine transparente Beziehung. Aus Sicht von Monitor 1 ist Monitor 2 dann unter der .10.250 zu erreichen und sus Sicht von Monitor 2 ist Monitor 1 dann unter der .4.250 zu erreichen. Alle Details dazu sagt dir:
http://doc.m0n0.ch/handbook/nat.html
bzw.
http://doc.m0n0.ch/handbook/nat-1to1.html
Du solltest dann ggf. in die interne Namentabelle der Monitor Rechner (sofern Winblows) in die C:\windows\system32\drivers\etc\ lmhosts Datei jeweils wechselweitig deren Namen eintragen und die jeweils lokalen fiktiven IPs damit du namensbezogen arbeiten kannst. Wenn es Linux ist dann ist es die Datei hosts unter /etc/
Wenn du das alles nicht willst musst du ein anderes OPT Interface der M0n0wall verwenden, da die Monowall vom LAN zum WAN immer NAT macht.
Hast du eine Monowall mit einem 3ten Interface (OPTx) kannst du dein LAN auf dieses Interface setzen, dann routet die Monowall und du kannst normal mit Filterlisten arbeiten.
Außerdem gilt immer: Wenn es irgendwo kneift...sieh dir die Firewall Logs an !!! Dort findest du meist im handumdrehen den Grund warum eine Kommunikation nicht klappt !!
Zurück zu deinem Problem, das sehr einfach lösbar ist.
Als allererstes gilt es den Tipp von Arch oben umzusetzen.
2 weitere Dinge sind zu beachten:
- Du musst global Zugriff vom WAN zulassen mit dem Entfernen des Hakens bei Block private Networks im Menü Interfaces -> WAN !!
- Vom LAN zum WAN Interface machst du NAT !!! Dein Monitor 2 Rechner taucht also mit der lokalen IP der M0n0wall 192.168.10.201 in diesem Netzwerk auf, verhält sich also wie ein lokaler Rechner aus Sicht der der Rechner in diesem Netz. Da allerdings eine NAT Firewall dazwischen ist, können PCs in diesem Netz wie z.B. der Rechner Monitor 1 diese NAT Firewall ohne aktiven Session Table Eintrag nicht überwinden und damit nicht auf Rechner im .4.0er Segment zugreifen....logisch !!
Wenn Monitor 2 und Monitor 1 transparent kommunizieren sollen musst du Monitor 2 dann zusätzlich in die Ausnahmeliste des Captive Portals einfügen, das das CP Monitor 2 nicht blockt. Das geht entweder mit der MAC oder, sofern Monitor 2 eine statische IP hat, auch mit der IP in der Ausnahmeliste Pass through MAC oder Allowed IP !!
Für Monitor-2 nimmst du dir jetzt eine fiktive IP Adresse aus dem 192.168.10er Netz die NICHT verwendet wird und die NICHT im DHCP Pool liegt und trägst diese im Menü Firewall -> NAT -> Server NAT ein !!
Beispiel:
Fiktive IP: 192.168.10.250
Server NAT Menüeintrag:
"+" klicken
External IP Address = 192.168.10.25 eingeben
Save, Apply Cjanges
Ins Menü Firewall -> NAT -> Inbound wechseln
"+" klicken
External address = deine externe IP Adresse 192.168.10.25 auswählen
Dann Port Range interne IP usw.
Das Problem ist das das mehr oder weniger ein portbasiertes Weiterleiten ist. Eine wirkliche transpartente Verbindung bekommst du mit dem 1:1 NAT hin. Das setzt dir eine fiktive .4.0er IP in eine fiktive .10.0er IP um. Letztlich ist das also die beste Lösung, da dann alle Dienste transparent durchgereicht werden.
1:1 Menü
"+" klicken
Interface = WAN
External Subnet = 192.168.10.250 mit 32 Bit Maske (Hostmaske)
Internal Subnet = 192.168.4.250
fertig
Damit hast du dann eine transparente Beziehung. Aus Sicht von Monitor 1 ist Monitor 2 dann unter der .10.250 zu erreichen und sus Sicht von Monitor 2 ist Monitor 1 dann unter der .4.250 zu erreichen. Alle Details dazu sagt dir:
http://doc.m0n0.ch/handbook/nat.html
bzw.
http://doc.m0n0.ch/handbook/nat-1to1.html
Du solltest dann ggf. in die interne Namentabelle der Monitor Rechner (sofern Winblows) in die C:\windows\system32\drivers\etc\ lmhosts Datei jeweils wechselweitig deren Namen eintragen und die jeweils lokalen fiktiven IPs damit du namensbezogen arbeiten kannst. Wenn es Linux ist dann ist es die Datei hosts unter /etc/
Wenn du das alles nicht willst musst du ein anderes OPT Interface der M0n0wall verwenden, da die Monowall vom LAN zum WAN immer NAT macht.
Hast du eine Monowall mit einem 3ten Interface (OPTx) kannst du dein LAN auf dieses Interface setzen, dann routet die Monowall und du kannst normal mit Filterlisten arbeiten.
Außerdem gilt immer: Wenn es irgendwo kneift...sieh dir die Firewall Logs an !!! Dort findest du meist im handumdrehen den Grund warum eine Kommunikation nicht klappt !!
@ Aqui,
erstmal vielen Dank für die ausführliche Antwort. Zum Hochladen von Bildern: Ich wusste das schon, nur beim Hochladen drehte sich das Symbol über 5 Minuten. Danach hatte ich es mir anders überlegt.
Ich kann die beiden Dinge erst am Freitag in die Tat umsetzen. Ich hatte natürlich vorher auch viel rumprobiert und überlegt woran es liegen könnte. Da bin ich auch auf das Thema Port-Forwarding gekommen. Nur den Punkt gibt es da wohl nicht. Dafür ja NAT. Nur bei NAT hatte ich wohl nicht ganz zu Ende überlegt, da ich nur im Hinterkopf hatte, NAT übersetzt meine lokale IP in eine öffentliche und auch wieder zurück. Nun, da ich keine öffentlichen IPs habe, habe ich NAT nicht weiter verfolgt. Aber jetzt wo Du es schreibtst, eigentlich logisch.
Der andere Knackpunkt ist der Monitorrechner 2. Das kann ja auch nicht funktionieren, wenn er kein gültiges Login hat oder fest als erlaubter Rechner eingetragen ist. Aber wenn man zum Schluss nur noch vernarrt auf die M0n0wall guckt, dann bringt ein das auch nicht mehr weiter.
Dazu noch mal, eher eine allgemeine Frage: Ich habe in dem Netzwerk 192.168.4.0/24 mehrere Access-Points und Range-Expander im Einsatz. Nachdem ich das Captive-Portal installiert hatte, habe ich die WLAN-Verschlüsselung entfernt. Wie seht Ihr das? Oder doch verschlüsseln? Es macht nämlich immer Arbeit, bei allen Geräten den Key zu ändern.
@Arch-Stanton
Das Gateway habe ich auch auf meinen Lancom gesetzt. Ich habe im Lancom eine Route eingetragen. Funktioniert aber genauso, wenn ich das Gateway auf die M0n0wall zeigt.
Ich erst am Wochenende dazu das hier umzusetzen. Ich werde dann nochmal berichten, ob es soweit funktioniert.
erstmal vielen Dank für die ausführliche Antwort. Zum Hochladen von Bildern: Ich wusste das schon, nur beim Hochladen drehte sich das Symbol über 5 Minuten. Danach hatte ich es mir anders überlegt.
Ich kann die beiden Dinge erst am Freitag in die Tat umsetzen. Ich hatte natürlich vorher auch viel rumprobiert und überlegt woran es liegen könnte. Da bin ich auch auf das Thema Port-Forwarding gekommen. Nur den Punkt gibt es da wohl nicht. Dafür ja NAT. Nur bei NAT hatte ich wohl nicht ganz zu Ende überlegt, da ich nur im Hinterkopf hatte, NAT übersetzt meine lokale IP in eine öffentliche und auch wieder zurück. Nun, da ich keine öffentlichen IPs habe, habe ich NAT nicht weiter verfolgt. Aber jetzt wo Du es schreibtst, eigentlich logisch.
Der andere Knackpunkt ist der Monitorrechner 2. Das kann ja auch nicht funktionieren, wenn er kein gültiges Login hat oder fest als erlaubter Rechner eingetragen ist. Aber wenn man zum Schluss nur noch vernarrt auf die M0n0wall guckt, dann bringt ein das auch nicht mehr weiter.
Dazu noch mal, eher eine allgemeine Frage: Ich habe in dem Netzwerk 192.168.4.0/24 mehrere Access-Points und Range-Expander im Einsatz. Nachdem ich das Captive-Portal installiert hatte, habe ich die WLAN-Verschlüsselung entfernt. Wie seht Ihr das? Oder doch verschlüsseln? Es macht nämlich immer Arbeit, bei allen Geräten den Key zu ändern.
@Arch-Stanton
Das Gateway habe ich auch auf meinen Lancom gesetzt. Ich habe im Lancom eine Route eingetragen. Funktioniert aber genauso, wenn ich das Gateway auf die M0n0wall zeigt.
Ich erst am Wochenende dazu das hier umzusetzen. Ich werde dann nochmal berichten, ob es soweit funktioniert.
.
"...Port-Forwarding gekommen. Nur den Punkt gibt es da wohl nicht.."
Doch, den gibt es natürlich man muss nur mal genau hinsehen oder die Doku lesen !!
Thema CP und Verschlüsselung:
Genau der tiefere Sinn eines CP ist doch das man es OHNE Verschlüsselung betreibt um den Zugang für Gäste, Besucher etc. möglichst einfach und stressfrei zu gestalten. Auch für den Administrator.
Ein CP MIT Verschlüsselung ist ja völliger Blödsinn und konterkariert den Sinn eines CPs, denn dann reicht es ja wenn du jedem den Key gibst der darf.
So kannst du das CP als zentrale Authentifizierung benutzen.
Benutzer des CPs solltest du mit einem Hinweis in der Login Page auf einen nicht verschlüsselten Datenaustasuch hinweisen.
Wer sensible Daten dennoch übertragen will kann ja dann problemlos ein VPN über das CP WLAN benutzen...
"...Port-Forwarding gekommen. Nur den Punkt gibt es da wohl nicht.."
Doch, den gibt es natürlich man muss nur mal genau hinsehen oder die Doku lesen !!
Thema CP und Verschlüsselung:
Genau der tiefere Sinn eines CP ist doch das man es OHNE Verschlüsselung betreibt um den Zugang für Gäste, Besucher etc. möglichst einfach und stressfrei zu gestalten. Auch für den Administrator.
Ein CP MIT Verschlüsselung ist ja völliger Blödsinn und konterkariert den Sinn eines CPs, denn dann reicht es ja wenn du jedem den Key gibst der darf.
So kannst du das CP als zentrale Authentifizierung benutzen.
Benutzer des CPs solltest du mit einem Hinweis in der Login Page auf einen nicht verschlüsselten Datenaustasuch hinweisen.
Wer sensible Daten dennoch übertragen will kann ja dann problemlos ein VPN über das CP WLAN benutzen...
Ich hatte jetzt genug Zeit um einiges zu Testen. Ich habe das System jetzt eingestellt, so wie ich es haben wollte.
Doch es sind noch Fragen aufgetaucht. Ich habe Deine Lösung mit 1:1 NAT zuerst probiert. Allerdings funktionierte der Zugriff auf die jeweiligen Rechner nicht. Mir ist ehrlich gesagt auch nicht ganz klar, wie das mit der fiktiven IP-Adresse funktioniert. Ich hatte im 1:1 NAT eine fiktive Adresse eingetragen und die Logs der Firewall angesehen. Eine Anfrage zur 192.168.4.224 kam durch aber die Antwort von 192.168.4.224 zum 192.168.10.243 wurde geblockt. Vielleicht könntest Du mir noch mal genauer erklären, warum unbedingt eine fiktive Adresse dort eingetragen werden muss.
Anschließend hatte ich folgendes im Inbound-NAT eingetragen: NAT-IP = 192.168.4.224 und Int. Port Range = 3389. Diese Lösung funktionierte
Weiterhin hatte ich als NAT-IP die 192.168.4.1 und für Port die 8088 eingetragen. Somit kann ich jetzt von der WAN-Seite auf das Portal zugreifen. Und dazu habe ich noch eine Frage:
Wenn ich im Portal unter Advenced / Miscellaneous / Disable console menu aktiviere, habe ich noch über WAN Zugriff auf das Portal? Wenn nicht, dann frage mich was diese Option für eine Bereichtigung hat, wenn mich selber ausperre.
Ansonsten bin ich sehr angetan von diesem System.
Wäre gut, wenn Du mir noch diese beiden Fragen beantworten könntest.
Doch es sind noch Fragen aufgetaucht. Ich habe Deine Lösung mit 1:1 NAT zuerst probiert. Allerdings funktionierte der Zugriff auf die jeweiligen Rechner nicht. Mir ist ehrlich gesagt auch nicht ganz klar, wie das mit der fiktiven IP-Adresse funktioniert. Ich hatte im 1:1 NAT eine fiktive Adresse eingetragen und die Logs der Firewall angesehen. Eine Anfrage zur 192.168.4.224 kam durch aber die Antwort von 192.168.4.224 zum 192.168.10.243 wurde geblockt. Vielleicht könntest Du mir noch mal genauer erklären, warum unbedingt eine fiktive Adresse dort eingetragen werden muss.
Anschließend hatte ich folgendes im Inbound-NAT eingetragen: NAT-IP = 192.168.4.224 und Int. Port Range = 3389. Diese Lösung funktionierte
Weiterhin hatte ich als NAT-IP die 192.168.4.1 und für Port die 8088 eingetragen. Somit kann ich jetzt von der WAN-Seite auf das Portal zugreifen. Und dazu habe ich noch eine Frage:
Wenn ich im Portal unter Advenced / Miscellaneous / Disable console menu aktiviere, habe ich noch über WAN Zugriff auf das Portal? Wenn nicht, dann frage mich was diese Option für eine Bereichtigung hat, wenn mich selber ausperre.
Ansonsten bin ich sehr angetan von diesem System.
Wäre gut, wenn Du mir noch diese beiden Fragen beantworten könntest.
Kommt bei einer Antwort der Thread nicht mehr hoch?
