3
Problem mit monowall-captive portal. keine weiterleitung nach login, teilweiße kein einloggen möglich.
Hallo,
erstmal kurz meine Konfiguration:
DSL Modem -- WAN Interface (10.0.0.136/8) -- LAN Interface (192.168.10.1/24)
-- GUEST(WLAN mit AP) Interface (192.168.2.1/24)
mein Problem ist folgendes.
Zunächst erhalte ich manchmal keinen Zugriff auf das Captive Portal, besonders häufig falls sich ein neuer Client verbinden will. sprich nachdem sich der Client mit dem WLAN verbunden hat, bleibt nach der Eingabe im Browser eine weiße Seite zurück oder es kommt eine Meldung dass der Name nicht aufgelöst werden konnte (was auf ein DNS Problem hindeuten würde), dem Client wird als DNS Server die 192.168.2.1 zugeordnet.
Falls, wie es manchmal dann doch der Fall ist, das Captive Portal erscheint, erhält der Client nach der Eingabe des Voucher Codes entweder wiederum eine leere Seite (in der Adressleiste bleibt 192.168.2.1:8000) oder es kommt die Statusseite des Captive Portals. Allerdings wird der Client nie auf die vorher eingegeben Seite weitergeleitet.
DHCP Einstellungen für das GUEST Interface:
Die Firewall Rules für das GUEST Interface:
Und noch die Captive Portal Einstellungen:
Ich bin leider mit meinem Latein am Ende. Ich hoffe es kam mir jemand weiterhelfen.
Viele Dank,
tokn
erstmal kurz meine Konfiguration:
DSL Modem -- WAN Interface (10.0.0.136/8) -- LAN Interface (192.168.10.1/24)
-- GUEST(WLAN mit AP) Interface (192.168.2.1/24)
mein Problem ist folgendes.
Zunächst erhalte ich manchmal keinen Zugriff auf das Captive Portal, besonders häufig falls sich ein neuer Client verbinden will. sprich nachdem sich der Client mit dem WLAN verbunden hat, bleibt nach der Eingabe im Browser eine weiße Seite zurück oder es kommt eine Meldung dass der Name nicht aufgelöst werden konnte (was auf ein DNS Problem hindeuten würde), dem Client wird als DNS Server die 192.168.2.1 zugeordnet.
Falls, wie es manchmal dann doch der Fall ist, das Captive Portal erscheint, erhält der Client nach der Eingabe des Voucher Codes entweder wiederum eine leere Seite (in der Adressleiste bleibt 192.168.2.1:8000) oder es kommt die Statusseite des Captive Portals. Allerdings wird der Client nie auf die vorher eingegeben Seite weitergeleitet.
DHCP Einstellungen für das GUEST Interface:
Die Firewall Rules für das GUEST Interface:
Und noch die Captive Portal Einstellungen:
Ich bin leider mit meinem Latein am Ende. Ich hoffe es kam mir jemand weiterhelfen.
Viele Dank,
tokn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172441
Url: https://administrator.de/contentid/172441
Printed on: April 16, 2024 at 10:04 o'clock
3 Comments
Latest comment
Das ist schonmal gelogen oder technsich falsch: "DSL Modem -- WAN Interface (10.0.0.136/8)"
Wenn du ein DSL Modem hättest würdest du dort eine öffentliche IP bekommen und keine private RFC 1918 IP (10er Netz !) Dein "Modem" ist folglich also ein NAT Router den du vor der FW betreibst !
Fürs weitere Troubleshooting stellt sich dann jetzt die Frage ob du an der Verbindung WAN Port FW zu LAN Port Internet Router DHCP machst oder ob du dort die IP Adressen statisch vergeben hast ??
Wenn letzteres der Fall ist hast du den DNS Server (IP Adresse des Internet Routers) dann statisch in den Globalen Einstellungen der FW angegeben ??
Leider keinerlei Info dazu von dir... Das ist aber wichtig um die DNS Funktion sicherzustellen denn vermutlich ist dein Fehler ein DNS Fehler !
Da du als Gast Interface ein neues IP Netzwerk definiert hast auf dem Port musst du auch zwingend neue Firewall Regeln auf diesem Port definieren denn also default blockt die FW erstmal alles wie es sich für eine FW auch gehört.
Zum Testen könntest du erstmal eine "any to any" Regel nehmen um nicht in die Blocking Falle zu geraten. Wenn du das nicht willst musst du hier zwingend DNS (UDP und TCP 53), die Portalseite mit TCP 8000 und erstmal TCP 80 (Webtraffic) erlauben und zwar gleich am Anfang damit das sauber funktioniert !!! Hast du ja mehr oder weniger auch schon gemacht.
Einen Fehler hast du mit der CP Regel für die Portal Seite auf TCP 8000 gemacht indem du als Ziel die 192.168.2.1 dort eingesetzt hast. Das ist etwas unglücklich. Belasse das Ziel lieber auf * !
So sollte es dann richtig aussehen und damit funktioniert es sauber !:
Nochwas zu deinen FW Regeln:
Deine "Guest HHTPS --> any" Regel ist so wie si im Screenshot ist kompletter Blödsinn, denn damit erlaubst du generell jegliche TCP Session weil du die Angabe von Port TCP 443 in der Destination vergessen hast ! Das solltest du also besser schnell korrigieren !
Für POP3, SSH, SMTP und IMAP stimmen sie dann wieder !
Zusätzlich solltest du noch die verschlüsselten Email Ports freigeben falls jemand gesicherte Email Kommunikation aktiviert hat
Secure SMTP (SSMTP) - port TCP 465
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Secure POP3 (SSL-POP) - port TCP 995
Ansonsten würden solche Email Verbindungen geblockt !
Damit müsste die CP Seite einwandfrei laufen sofern die DNS Parameter wie oben genannt entsprechend konfiguriert sind !
Wenn du ein DSL Modem hättest würdest du dort eine öffentliche IP bekommen und keine private RFC 1918 IP (10er Netz !) Dein "Modem" ist folglich also ein NAT Router den du vor der FW betreibst !
Fürs weitere Troubleshooting stellt sich dann jetzt die Frage ob du an der Verbindung WAN Port FW zu LAN Port Internet Router DHCP machst oder ob du dort die IP Adressen statisch vergeben hast ??
Wenn letzteres der Fall ist hast du den DNS Server (IP Adresse des Internet Routers) dann statisch in den Globalen Einstellungen der FW angegeben ??
Leider keinerlei Info dazu von dir... Das ist aber wichtig um die DNS Funktion sicherzustellen denn vermutlich ist dein Fehler ein DNS Fehler !
Da du als Gast Interface ein neues IP Netzwerk definiert hast auf dem Port musst du auch zwingend neue Firewall Regeln auf diesem Port definieren denn also default blockt die FW erstmal alles wie es sich für eine FW auch gehört.
Zum Testen könntest du erstmal eine "any to any" Regel nehmen um nicht in die Blocking Falle zu geraten. Wenn du das nicht willst musst du hier zwingend DNS (UDP und TCP 53), die Portalseite mit TCP 8000 und erstmal TCP 80 (Webtraffic) erlauben und zwar gleich am Anfang damit das sauber funktioniert !!! Hast du ja mehr oder weniger auch schon gemacht.
Einen Fehler hast du mit der CP Regel für die Portal Seite auf TCP 8000 gemacht indem du als Ziel die 192.168.2.1 dort eingesetzt hast. Das ist etwas unglücklich. Belasse das Ziel lieber auf * !
So sollte es dann richtig aussehen und damit funktioniert es sauber !:
Deine "Guest HHTPS --> any" Regel ist so wie si im Screenshot ist kompletter Blödsinn, denn damit erlaubst du generell jegliche TCP Session weil du die Angabe von Port TCP 443 in der Destination vergessen hast ! Das solltest du also besser schnell korrigieren !
Für POP3, SSH, SMTP und IMAP stimmen sie dann wieder !
Zusätzlich solltest du noch die verschlüsselten Email Ports freigeben falls jemand gesicherte Email Kommunikation aktiviert hat
Secure SMTP (SSMTP) - port TCP 465
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Secure POP3 (SSL-POP) - port TCP 995
Ansonsten würden solche Email Verbindungen geblockt !
Damit müsste die CP Seite einwandfrei laufen sofern die DNS Parameter wie oben genannt entsprechend konfiguriert sind !
Estmal vielen vielen Dank für die Antwort.
Das war vl etwas unglücklich formuliert, damit wollte ich lediglich andeuten, dass ich als Verbindundstyp für die WAN Seite PPTP ausgewählt habe und dort dann eben diese IP Adresse zugeteilt habe. Diese wird dann aber natürlich, wie du richtig gesagt hast, nach dem sich die Firewall mit dem Modem verbindunden und beim Provider angemeldet hat, durch eine öffentliche IP ersetzt.
Des Weiteren werden keine Adressen statisch vergeben, weder die im GUEST Netz noch die im normalen LAN Netz.
Ich habe die Regeln enstprechend angepasst und die BLOCKING Regeln erstmal alle rausgenommen. Es scheint nun 'häufiger' zu klappen.
Trotzdem, gerade als ich dann gestern den Beitrag abschicken wollte, wurde meine Verbindung unterbrochen und es ging wieder gar nichts mehr.
Das gleiche Spiele heute, erstmal wird gar keine Seite geladen, später dann die Portal Seite, nach dem dann wieder keine Seite und irgendwann nach ein paar Versuchen klappt es dann
Ein nslookup vom Client aus klappt ohne Probleme.
Die Sache mit der Weiterleitung nach erflogreicher Anmeldung klappt leider auch noch nicht. Muss ich dies händisch in dem von mir erstellen Formular zur Anmeldung einbauen?
Soweit ich das in den verschiedenen Beiträgen gelesen habe, muss ich doch einfach nur das entsprechende URL-Feld im Menüpunkt Captive Portal freilassen. Dies habe ich auch gemacht, nur komme ich immer nach der Eingabe des Vouchers wieder auf die Portal Seite zurück. (Bei erfolgreichem Anmelden halt auf die Status Seite des Portals).
Ich hatte in diesem URL-Feld mal für Testzwecke eine URL eingetragen, diese Weiterleitung hat auch funktioniert. Kann es sein, dass ich deshalb nun nicht mehr zur eingetlich gewünschten Seite weitergeleitet werde und deshalb auf der Portal Seite bleibe? Muss ich vl. irgendwas zurücksetzen?
Vielen Dank für die schnelle Antwort und die Hilfe!!
Das war vl etwas unglücklich formuliert, damit wollte ich lediglich andeuten, dass ich als Verbindundstyp für die WAN Seite PPTP ausgewählt habe und dort dann eben diese IP Adresse zugeteilt habe. Diese wird dann aber natürlich, wie du richtig gesagt hast, nach dem sich die Firewall mit dem Modem verbindunden und beim Provider angemeldet hat, durch eine öffentliche IP ersetzt.
Des Weiteren werden keine Adressen statisch vergeben, weder die im GUEST Netz noch die im normalen LAN Netz.
Ich habe die Regeln enstprechend angepasst und die BLOCKING Regeln erstmal alle rausgenommen. Es scheint nun 'häufiger' zu klappen.
Trotzdem, gerade als ich dann gestern den Beitrag abschicken wollte, wurde meine Verbindung unterbrochen und es ging wieder gar nichts mehr.
Das gleiche Spiele heute, erstmal wird gar keine Seite geladen, später dann die Portal Seite, nach dem dann wieder keine Seite und irgendwann nach ein paar Versuchen klappt es dann
Ein nslookup vom Client aus klappt ohne Probleme.
Die Sache mit der Weiterleitung nach erflogreicher Anmeldung klappt leider auch noch nicht. Muss ich dies händisch in dem von mir erstellen Formular zur Anmeldung einbauen?
Soweit ich das in den verschiedenen Beiträgen gelesen habe, muss ich doch einfach nur das entsprechende URL-Feld im Menüpunkt Captive Portal freilassen. Dies habe ich auch gemacht, nur komme ich immer nach der Eingabe des Vouchers wieder auf die Portal Seite zurück. (Bei erfolgreichem Anmelden halt auf die Status Seite des Portals).
Ich hatte in diesem URL-Feld mal für Testzwecke eine URL eingetragen, diese Weiterleitung hat auch funktioniert. Kann es sein, dass ich deshalb nun nicht mehr zur eingetlich gewünschten Seite weitergeleitet werde und deshalb auf der Portal Seite bleibe? Muss ich vl. irgendwas zurücksetzen?
Vielen Dank für die schnelle Antwort und die Hilfe!!