Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Captive Portal M0n0wall - Routing Problem? DHCP wie einstellen?

Frage Internet

Mitglied: 79963

79963 (Level 1)

21.08.2009, aktualisiert 12:26 Uhr, 8775 Aufrufe, 10 Kommentare

Hallo,
ich habe mir jetzt einen kleinen Rechner zusammengebaut, der als Captive Portal dienen soll.
Dazu habe ich mir folgende Anleitung angesehen:
http://www.administrator.de/index.php?content=91413

So sieht die Topologie aus:
01.
  
02.
DSL Anschluss mit einem Router, der gleichzeitig auch DNS und DHCP ist. (192.168.2.1) 
03.
     II 
04.
     II 
05.
M0n0wall (ip ???) 
06.
     II 
07.
     II 
08.
     Hub 
09.
  //     \\ 
10.
 //       \\ 
11.
//         \\ 
12.
PC1       PC2 
13.
 

Die PC's sollen die IP Adressen vom Router bekommen. Das Netzwerk Router-Monowall ist doch ein anderes Segment als Monowall-Pc1-Pc2? Dann müsste ich auf der Monowall den DHCP deaktivieren und DHCP Relay aktivieren? Damit die PCs die IP Adressen vom Router bekommen. Oder?

In meiner Testkonfiguration habe ich meinem PC1 einfach mal eine beliebige statische IP im 192.168.2.0 Netz gegeben. Die Monowall hat im WAN, also zur Verbindung zum Router DHCP eingetragen und bekommt auch eine gültige Netzwerkadresse. Im Lan zu den PCs hat sie eine feste statische freie IP. Muss ich der Monowall im Lan die IP vom Router geben?

Egal wie ich's mach ich komme mit keinem PC über die Monowall ins Internet.
Danke soweit mal
Mitglied: aqui
21.08.2009 um 12:35 Uhr
Hallo wellenreitr

Nein beide Netze sind vollkommen unabhängig und mit einer NAT Firewall getrennt.
Das LAN Interface der M0n0wall weiss nichts vom DHCP Server im Routernetz so das du problemlos der Monowall ein anderes IP Netzwerk z.B. 172.16.1.0 /24 auf dem LAN Segment verpassen kannst und dafür auch den DHCP Server aktivieren kannst.

Das funktioniert vollkommen Problemlos !

Wenn du auf dem Routersegment NUR den Router und die Monowall hast solltest du besser DHCP deaktivieren und der Monowall eine feste statische IP vergeben.
Aber auch mit DHCP in dem Segment ist es besser eine statische IP für die M0n0wall auf dem WAN Segment zu vergeben.
ACHTUNG: Diese statische IP MUSS ausserhalb des DHCP Bereichs des Routers liegen um Adress Konflikte zu vermeiden !!
Beispiel
Routernetzwerk: 192.168.2.0 /24
Router: 192.168.2.1
DHCP Bereich: 192.168.2.100 bis 192.168.2.150
Monowall (statisch): 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1 setzen !!)

Optisch sieht das dann so aus:
059b1cdc6fbc4a4c0535624c9e0f5ecb-monodhcp - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 79963
21.08.2009 um 12:45 Uhr
Ich kann ja dem Segment Router-Monowall einfach ein ganz anderes Netz geben. Dann dem Router und der Monowall eine statische IP und auf der Monowall dann den DHCP auf der Lanseite aktivieren.
Dieser trägt als DNS/Gateway sich selber ein. So weit richtig?

Wenn ich das jetzt so mache wie in deinem Beispiel komme ich nicht über die Monowall heraus. Dann muss ich doch DHCP Relay aktivieren, weil wie du bereits sagtest, es zwei unabhängige Segmente sind.
Monowall (statisch) 192.168.2.254 (Gateway auf 192.168.2.1 und DNS ebenfalls auf 192.168.2.1), DHCP Range von 192.168.2.10 bis 192.168.2.240. Der Router hat die 192.168.2.1.
Und dann DHCP Relay aktiviert bekommen die clients keine IP
Bitte warten ..
Mitglied: aqui
21.08.2009 um 12:49 Uhr
Nur das das klar ist: WAN (Router) und LAN Segment an der Monowall müssen in unterschiedlichen IP Netzen liegen !!
Du kannst NICHT auf beiden Segmenten das gleiche IP Netz haben !!

Wenn du im Routersegment statisch arbeitest bedenke das du dann zwingend den DNS Server (Router der Proxy DNS ist) ebenfalls statisch eingeben musst, denn sonst funktioniert die DNS Auflösung logischerweise nicht !
Kannst du auch immer sehen wenn du im LAN Segment auf den Clients mal ipconfig -all eingibst, da siehst du dann keinen DNS Servereintrag !
Damit siehst du auch das die Monowall sich selber als Router announced !
Bitte warten ..
Mitglied: 79963
21.08.2009 um 13:53 Uhr
Also ich gebe unter Interface WAN ne statische IP an und die Router IP als DNS. Das ist klar, sonst weiß die Monowall ja nicht wohin die die auflösungsanfragen schickt.
also ich habe jetzt folgendes eignestellt und ich komme immernoch nicht durch.




General setup:
Hostname: m0n0wall
Domain: local
DNS servers: 192.168.2.1 (RouterIP)

Interfaces:
LAN: 192.168.0.1 / 24
WAN: Type: Static
IP: 192.168.2.254 / 24
GW: 192.168.2.1 (RouterIP)
Firewall WAN/LAN:
Pass any
DHCP Verteilt:
Subnet 192.168.0.0
Subnet mask 255.255.255.0
Range 192.168.0.100 - 192.168.0.199
DNS/GW: 192.168.0.1 (m0n0wall)
Bitte warten ..
Mitglied: NeuerNick
21.08.2009 um 16:51 Uhr
Hab ausversehen den falschen Benutzer gelöscht.
Bitte noch auf die Frage Antworten.
DANKE =)
Bitte warten ..
Mitglied: aqui
21.08.2009 um 17:31 Uhr
Ja, deine Konfig ist so absolut korrekt !
Ein Firewall Eintrag ist nicht erforderlich wenn du das LAN Interface benutzt denn da geht per Default alles durch !
Auf dem WAN Interface darf NICHT any als Rule definiert sein, damit öffnest du die Firewall !!
Behalte einfach die Default Einstellung bei hier.
Wenn du aus dem Router Netz Segment die M0n0wall mit einem Client administrieren musst nur dann trägst du hier was ein z.b.:
Pass
Interface WAN
Protokoll TCP
Source Network 192.168.2.0 /24
any
any
Destination WAN Address
any
any
Description Admin Zugang

Das erlaubt dir dann einen Zugriff auf die WAN IP 192.168.2.254 aus dem 192.168.2.0er Netz der sonst durch die Firewall geblockt ist, was auch logisch ist, da das WAN Interface für die M0n0wall das heisse (unsichere) Interface ist ! (Sie kann hier ja auch mit PPPoE direkt am Internet Provider hängen wenn du statt Router dahinter ein schlichtes DSL Modem nutzt !!)

Einen wichtigen Punkt hast du noch vergessen:
Du benutzt auf der WAN Seite ein Privates Netzwerk nach RFC 1918 deshalb solltest du unbedingt den Haken entfernen bei "Block private networks" im Menü Interfaces -> WAN !!

Danach sollte alles problemlos funktionieren !!
Bitte warten ..
Mitglied: NeuerNick
21.08.2009 um 17:52 Uhr
Also den Haken bei "Block private networks" im Menü Interfaces habe ich entfernt.
Eine Administration ist nur vom LAN notwendig.
Es kommt aber trotzdem nichts durch. Ich kann den Router aus dem Lan nicht anpingen (auch nicht mit einer static route ins x.x.2.0 er Netz) , ich kann keine Namen auflösen... nichts.
Was könnte das denn noch sein?
Bitte warten ..
Mitglied: aqui
21.08.2009 um 18:08 Uhr
Da machst du irgendwas falsch !
Mach folgendes: (Resetten und einfach nur zusammenstecken und NICHTS konfigurieren !)
1.) Setz alles auf Factory Defaults (Werkseinstellung)
2.) Reboote die Monowall
3.) Verbinde das WAN Interface mit dem Router LAN (DHCP am WAN Interface ist Default)
4.) Verbinde deinen Client mit dem LAN (DHCP mit 192.168.1.0 ist aktiv per default)
5.) Logg dich ins Setup ein
6.) Entferne den Haken bei "Block private Networks" und Save
Mehr nicht machen..

Hier checkst du jetzt folgendes:
1.) Status -> Interfaces:
Hast du hier die korrekten IP Adressen vom Router bekommen auf dem WAN ?
2.) Diagnostics -> Ping/Trceroute
a.) Klappt ein Ping auf den Router ?
b.) Klappt ein Ping auf den Client ?
c.) Klappt ein Ping auf eine nackte Internet IP z.B. 193.99.144.85 (heise.de)
d.) Klappt ein nslookup www.heise.de auf dem Client (Eingabeaufforderung)
e.) Klappt ein Ping auf www.heise.de ?
f.) IP Adressvergabe auf dem Client mit ipconfig -all (Eingabeaufforderung) prüfen. Stimmen Gateway und DNS ??

Checke auch nochmal die Logs ! Insbesondere das Firewall Log und Systemlog ob irgendwas dort steht Fehler bezogen ??

Wenn das soweit alles klappt, dann muss auch der Internetzugang funktionieren wenn du am Client den Browser aufmachst und www.administrator.de eingibst !!
Bitte warten ..
Mitglied: NeuerNick
28.08.2009 um 11:29 Uhr
Jetzt hat es auf einmal geklappt... ich wüsste mal gern wodran es gelegen hat.

Jetzt bräuchte ich noch ne Lösung um Filesharing zu verhindern. Was kann ich noch machen, außer alle Ports zu (außer E-Mail/HTTP). Es wäre noch toll zu sehen wer evt Files geshared hat, wenn es mal zu spät ist. Kann ich das später nachvollziehen mit den vouchern oder so?
Bitte warten ..
Mitglied: aqui
29.08.2009 um 17:12 Uhr
Dafür sperrst du einfach die Ports die Filesharing Programme in der Regel nutzen:

FTP: TCP 20 und 21
Windows Filesharing: UDP/TCP 135 bis 139 und UDP/TCP 445

Oder sofern du P2P Filesharing ala Emule, eDonkey, Kaza, Morpheus usw. meinst dann sind es zusätzlich diese Ports:
http://bandwidthcontroller.com/applicationPorts.html (nach P2P suchen)
https://support.smoothwall.net/index.php?_m=knowledgebase&_a=viewart ...
usw. usw.... Dr. Google ist dein Freund !

Wer diese Blockings bewusst verletzt kannst du sofort sehen wenn du die unten die Firewall Logs in der Monowall ansiehst.
Damit hast du dann den schwarzen Peter !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
HTML
Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Netzwerkmanagement
gelöst PfSense, Captive Portal eigene mehrsprachige Templates (5)

Frage von seltsam zum Thema Netzwerkmanagement ...

Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Netzwerke
gelöst Weiterleitung nach Anmeldung im Captive Portal (1)

Frage von MLangHSE zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...