Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Webgui des Access Points durch Monowall aufrufen

Mitglied: zesniper1

zesniper1 (Level 1) - Jetzt verbinden

07.02.2011, aktualisiert 18.10.2012, 5163 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

folgende Situtation:

Ich betreibe eine Monowall mit (noch) 2 Netzwerkkarten. Netzwerk 1 = WAN, Netzwerk 2 = Switch mit den LAN Clients und dem Access Point. (D-Link - DAP 1360)
Auf dem Access Point ist die Webgui auf Port 80 aktiviert. Ich möchte jetzt von aussen, Internet, auf die Konfigurationsoberfläche des Access Point zugreifen.
Dazu hab ich eine Inbount NAT auf die IP des Access Points mit dem Port 80 eingerichtet. Auch die dazugehörige Rule wurde angelegt. Mir gelingt es aber
nicht aus dem Internet auf den Access Point (Webgui) zuzugreifen. Innerhalb des Netzwerk's (nur DMZ) funktioniert es problemlos.

Hab ich was übersehen?

ze_sniper1

UPDATE:
(die obigen Angaben hab ich aktualisiert)

Hier der Netzwerkplan:
744ecd1f6210ce74cff944b0ce8bf750 - Klicke auf das Bild, um es zu vergrößern

NAT:
f8ca3db86db60c0c874815df750ca479 - Klicke auf das Bild, um es zu vergrößern

RULES:
aa6082d3478b51a174b43038a1ca4dd4 - Klicke auf das Bild, um es zu vergrößern

4e159aa728b65a28a2fad880bd9076bb - Klicke auf das Bild, um es zu vergrößern

cd0df9a95d43a117b162a52bd78e5538 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
07.02.2011, aktualisiert 18.10.2012
Deine Vorgehensweise ist generell richtig. Beachte das du inbound TCP 50010 natürlich auf outbound (internes netz) TCP 80 umsetzen musst.
Betreibst du ein Captive Portal am LAN Segment ??
Wenn ja dann bleibt vermutlich deine Antwortpakete des APs am CP hängen ! In diesem Falle ist eine simple Ausnahmeregel im CP mit der IP des APs deine Lösung.
Ansonsten hat der (ziemlich lange) Thread zum Monowall CP so eine Lösung parat...
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Ansonsten einmal anonymisiert die Einstellungen hier per Screenshot posten !
(Thread editieren, Screenshot über Bilder hochladen als JPG uploaden und den Bild URL hier posten..)
Bitte warten ..
Mitglied: zesniper1
09.02.2011 um 09:14 Uhr
Hallo aqui,

danke für die Antwort. Hab jetzt einige Zeit versucht die Sache hinzubekommen. Leider ohne Erfolg.
Die Screenshots hab ich oben eingefügt. Mit den Outbound Einstellungen hab ich experimentiert ...
Bitte warten ..
Mitglied: aqui
10.02.2011 um 19:13 Uhr
Keine Ahnung was du da machst aber der Fehler liegt de facto zwischen Stuhl und Keyboard !
Ein schneller Laboraufbau mit folgenden Einstellungen:

Firewall Regel WAN Port
06ea2b1066be07039b80603a6427e404 - Klicke auf das Bild, um es zu vergrößern

Firewall NAT am WAN Port
5163ea3b1f9742cca3a286285dac1304 - Klicke auf das Bild, um es zu vergrößern

...führte zum sofortigen Erfolg !!

AP war hier am LAN Port mit der IP 192.168.1.254. Der vom WAN Interface (Internet) geNATete Port ist der Port TCP 58080 gewesen.
Im Browser http://<monowall_ip>:58080 eingegeben und schon war das WebGUI des AP im Browser !!

Du musst allerdings noch mehrere Dinge zwingend zusätzlich beachten:
  • Die IP Adresse deines APs in der DMZ muss in der CP Ausnahmeregel eingestellt sein, denn sonst bleiben die AP WebGUI Pakete am CP hängen, da es dort nicht authentifiziert ist !
  • Du musst eine eingehende Regel von ANY und Port ANY auf die WAN IP Monowall mit Destination TCP 58080 erlauben. Dies kannst du dir aber ersparen wenn du bei der Einrichtung der "Inbound NAT Regel" unten den Haken setzt "Firewall Regel dazu automatisch erstellen " !
  • Benutze besser immer Ports zwischen 49152 bis 65535 als private Ports. Alles andere ist fest durch die IANA anderen Ports vergeben ! http://en.wikipedia.org/wiki/Ephemeral_port

Folgende weitere Sachen sind aus deinen o.a. Regeln oben unsinnig oder fehlerhaft !
(Bedenke immer das Firewall Regeln außschliesslich NUR auf eingehende Pakete ins Interface wirken !! Nie auf ausgehende !)
1.) "RULES"
Auf dem LAN Port ist eine Regel die die DMZ IP Adressen als Source haben soll völliger Unsinn, denn solche IP Adressen kommen hier niemals vor (ist ja das LAN). Die Regel ist unsinnig und kannst du löschen !
1a.) Im WAN Interface fehlt die Erlaubnis mit dem Port TCP 20003 (besser TCP 58080) auf die WAN Interface IP zuzugreifen. Dadurch werden die HTTP Pakete auf den AP blockiert. Das ist bei dir ursächlich das es nicht klappt !!
Erst musst du den Zugriff auf das WAN Interface mit TCP 20003 (oder 58080) erlauben..dann erst greift das NAT !
Im Testaufbau fehlt dieses, da das "Test WAN" ein RFC 1918 Netzwerk war und dort die globale Blocking Regel für 1918er Netze komplett entfernt ist ums nicht unnötig kompliziert zu machen.

Die CP Ausnahmeregel für die IP des APs hast du nicht im Screenshot, die muss dort aber drin sein sonst bleiben Port 80 Pakete hängen !

Beachtet man das alles funktioniert das auf Anhieb !
Bitte warten ..
Mitglied: zesniper1
11.02.2011 um 10:28 Uhr
Hallo aqui,

Problem liegt zwischen Stuhl und Keyboard: Dachte ich mir schon

Danke für die ausführliche Erklärung. Werd ich am Wochenende gleich testen.

Noch eine Frage: Mit welchen Programm zeichnest du deine Netzwerkpläne?

ze_sniper1
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Was ist ein Access point?
Frage von miramaneeLAN, WAN, Wireless4 Kommentare

Hallo, ich werde meinen Hybrid Tarif bei der Telekom kündigen. Mein Arbeitszimmer ist sehr weit weg so gute 7 ...

Router & Routing
ACCESS POINT aus der Ferne anpingen
gelöst Frage von eyidilliRouter & Routing20 Kommentare

An einem Netgear Router mit fester Internet-IP sind 10 AccessPoints (AP) von Netgear WG102 angeschlossen. Ich möchte über das ...

LAN, WAN, Wireless
Konfiguration Linksys Access Point
gelöst Frage von albufeiraLAN, WAN, Wireless4 Kommentare

Meinen Gästen möchte ich den Zugang ins Internet ermöglichen. Dazu habe ich einen Access Point Linksys Access Point LAPAC ...

LAN, WAN, Wireless
DHCP über Access Point
Frage von dewebeyLAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir betreiben ein kleines Hotel mit insgesamt rund 70 Betten. In Spitzenzeiten sind bis zu 50 user ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 23 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...