Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

M0n0wall - kein Zugriff vom LAN ins Gastnetz

Frage Sicherheit Firewall

Mitglied: toros12

toros12 (Level 1) - Jetzt verbinden

29.12.2010 um 09:46 Uhr, 5742 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

habe mir zuhause die M0n0wall mit Captive Portal installiert und es klappt alles einwandfrei.
Jetzt habe ich das Problem, dass ich nicht auf den AP im Gastnetz zugreifen kann, ist ja
irgendwie logisch, denn sie liegen nicht im gleichem Subnetz. Habe es mit INbound Nat versucht,
aber aus dem LAN funkioniert das nicht. Hat jemand eine Idee wie ich das machen könnte.
Brauch ich überhaupt NAT?
Habe auch den Artikel http://www.administrator.de/index.php?content=138135 gelesen, aber es
funktioniert einfach nicht.


Hier meine Einstellungen:

Habe 3 Schnittstellen:

1.WAN
2.LAN 192.168.3.1/24 Konfiguration und Syslog
3.GAST(über OPT hinzugefügt) 192.168.2.1/24 CP

Vom WAN aus soll alles blockiert werden.

Vom LAN aus soll der Zugang zum Internet unterbunden werden, nur Zugriff auf das Webinterface
(https://192.168.3.50:50000) und eben auf 2 APs im Gastnetz (192.168.2.51:80 und 192.168.2.50:443) soll
erlaubt werden.

Vom Gastnetz soll nur auf bestimmte Dienste im Internet zugegriffen werden können, aber nicht aufs LAN.

Hier meine Rules:

WAN

block * * * * * WAN BLOCK LOG -> any


LAN

pass TCP LAN net * 192.168.2.51 80 LAN HTTP -> 192.168.2.51
pass TCP LAN net * 192.168.2.50 443 LAN HTTPS -> 192.168.2.50
block * * * * * LAN BLOCK LOG -> any

GAST

pass TCP 192.168.2.50 443 LAN net * 192.168.2.50 -> LAN
pass TCP 192.168.2.51 80 LAN net * 192.168.2.51 -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8000 - 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any

Sind diese Rules korrekt und stimmt die Reihenfolge? und was muss ich mit Nat machen damit ich auf die zwei APs komme?
Oder soll ich die zwei Interfaces tauschen, somit wäre InboundNat möglich, was aber ein Riesenaufwand wäre.


Dankeschön für eure Hilfe
Mitglied: aqui
29.12.2010 um 11:08 Uhr
Hallo "12Stiere"
Inbound NAT usw. benötigst du gar nicht ! Das ist nur dann relevant wenn du vom WAN entweder ins LAN oder Gastsegment willst um die NAT Firewall am WAN Port zu überwinden !
Einen wichtigen Punkt musst du noch beachten, den du vermutlich vergessen hast:
Die Management IP Adressen deiner WLAN Accesspoints im Gastnetz sind genauso dem Captive Portal unterworfen wie die Benutzer dort. Folglich können die APa also nicht raus ohne Authentisierung durchs CP !
Das CP bietet aber eine Ausnahmeregelung an um das zu umgehen. Entweder auf IP oder Mac Basis. Klar das die AP IPs außerhalb des DHCP Bereichs im Gast Segemnt liegen müssen !!
Unter Services --> Captive Portal hast du einmal die Möglichkeit die Freigabe auf Basis der Mac Adresse des AP oder seiner IP einzustellen !
Die Mac Adresse ist IMMER vorzuziehen, denn so kann sich die IP des AP einfach ändern und er kann trotzdem passieren. IP kann man immer statisch setzen und das CP umgehen, ist so für "spielende" Gäste einfacher. Mac ist da eine größere Hürde und verstehen sie meist nicht...
Also im Menü Services --> Captive Portal --> Pass Through Mac die Mac der APs eintragen mit Beschreibung damit die das CP ohne Authorisierung passieren können. Die Mac Adresse des AP findest du meistens aufgedruckt oder siehst mit arp -a einfach mal im PC nach wenn du das Teil konfigurierst.
Hier darfst du keinen Fehler bei der Eingabe der Adresse machen sonst kommt der nicht durchs CP...logisch !
OK ist das gemacht gehts an die Firewall Regeln am LAN Port.
Die sind soweit OK nur fehlt die Regel für den Zugang aus Web Interface:
pass TCP LAN net * --> 192.168.2.51 80 (LAN HTTP auf 192.168.2.51 erlauben)
pass TCP LAN net * --> 192.168.2.50 443 (LAN HTTPS auf 192.168.2.50 erlauben)
pass TCP LAN net * --> LAN Interface Host IP 50000 (LAN Port TCP 50000 auf Lan Interface erlauben)

Die allgemeine Blocking Regel block alles LAN BLOCK LOG -> any musst du nicht eingeben und kannst die löschen, denn es gilt wie immer allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Die Gast FW Regeln sind soweit OK ! Auch hier gilt aber auch wieder:
Die allgemeine Blocking Regel block alles Gast BLOCK LOG -> any musst du ebenfalls nicht eingeben und kannst die auch löschen, denn es gilt auch hier wieder wie allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Damit sollte es problemlos klappen !
Bitte warten ..
Mitglied: toros12
30.12.2010 um 03:47 Uhr
Hallo aqui,

zu allererst möchte ich mich für deine schnelle Antwort bedanken.
Dann:
das mit den 12 stieren ist nicht von schlechten Eltern

Soweit so gut. Spass bei Seite, denn ich bin am verzweifeln!

Aaaarrrrrrrrr, das mit den unterworfenen APs vom CaptivePortal, hatte ich wirklich vergessen.
Habe ihre MAC unter Services-Captiveportal eingegeben, aber es wollte trotzdem nicht.
Habe dann das Captiveportal ausgeschaltet und alles lief wunderbar.
Im Anschluss habe ich ein paar Tests gemacht, und habe bemerkt, dass ich vom Gästenetz auf das Lan Zugriff bekommen hatte.(auch mit CP, wenn authentifiziert). Somit habe ich noch eine Regel
BLOCK/LOG * * * LAN net * any BLOCK LOG -> LAN an erster Stelle hinzugefügt. Weitere Tests ergaben, dass ich vom Gästenetz nicht mehr ins Lan komme, die Regeln vom Gastnetz greifen auch noch alle und die
Konfiguration der APs funktioniert einwandfrei (aber immer mit CP deaktieviert).
Soweit so gut.
Habe auch einige Regeln gelöscht und andere präziser eingestellt, und überall die Option LOG eingestellt,
damit ich jeden Fehler und Durchgang erkennen kann und somit sehen jetzt meine Regeln so aus.

WAN

block * * * * * WAN BLOCK LOG -> any


LAN

pass TCP 192.168.3.7 * 192.168.2.51 80 CONFIG HTTP -> 192.168.2.51
pass TCP 192.168.3.7 * 192.168.2.50 443 CONFIG HTTPS -> 192.168.2.50
pass TCP 192.168.3.7 * 192.168.3.50 50000 CONFIG WEBPORTAL -> 192.168.3.50 und Option "Disable webGUI anti-lockout rule" gesetzt
pass ICMP 192.168.3.7 * * ICMP -> WEBPORTAL + GAST
block * * * * * BLOCK LOG -> any

GAST

block * * LAN net * BLOCK/LOG -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any

Später werde ich die LOGoption an den Regeln wieder deaktivieren, aber erst wenn alles funktioniert.
Die BLOckregeln am Ende werde ich auch löschen, wie von dir mitgeteilt, aber sehe ich dann noch Zugriffe auf
gesperrte Ports? (hatte keine Zeit mehr zum testen)

Habe dann das CP wieder aktiviert und es mit den IPs der APs unter Services/Captiveportal einzutragen probiert,
und alles funktioniert wie es soll.
Aber mit MAC will es einfach nicht! (und es sind sicher die richtigen, arpTable der m0n0wall und Aufdruck auf Gerät verglichen)
Irgendwo muss ich einen Fehler gemacht haben, aber wo?
Die LOGS zeigen nichts an, denn es wird ja vom CP blockiert.
Andere Frage: kann man irgendwo was einstellen um zu sehen, was das CP blockiert, wäre auch nützlich für unerwünschte Gäste ohne Authentifizierung!

So..... jetzt bin ich mit meinem Latein am Ende
Bitte warten ..
Mitglied: aqui
30.12.2010 um 12:11 Uhr
Hallo Toros
Ooops sorry, mein Fauxpas. Ja die Blocking Regel vom Gästenetz ins LAN muss natürlich an erster Stelle stehen, denn sonst überrennen die Regeln an "any" der Gästeports diese.
FW Regeln gelten immer nur eingehend und "first match wins" ! Glücklicherweise hast du das ja intuitiv richtig rausgefunden

Das mit den Macs klingt ggf. nach einen Bug. Ich werde das in einem Testaufbau hier einmal querchecken... es mag sein das das ein Fehler in der Firmware ist....?!
OK auch hier hast du es ja intuitiv richtig gemacht ersatzweise mal die IPs auszuprobieren. Gut wenn es damit nun erstmal alles wie gewollt klappt !

Im Firewall Log kannst du generell alles sehen was auf dem Gästenetz (und auch den anderen Segmenten) geblockt wird, allerdings nur von authentisierten Benutzern wenns das CP Netz ist.
Verbindungsversuche unauthentisierter Benutzer siehst du logischerweise dann im CP Log.
Was im CP unauthentisierte Nutzer versuchen kannst du so ohne weiteres nicht sehen, denn deren Mac Adresse wird duch das CP komplett geblockt. Also Pakete solcher Benutzer kommen nichtmal auf dem untersten Ethernet Paket Niveau an die Firewall ran, folglich kann man auch nicht sehen WAS genau solche User machen mit dadrüber liegenden Protokollen, da die FW diese ja gar nicht "sieht".
Eigentlich ja auch sehr sinnvoll und genau das was eine Firewall mit CP mit bösen Usern ja auch machen soll !
Bitte warten ..
Mitglied: pitzeiner
20.02.2012 um 13:44 Uhr
Hallo aqui,

Hab so ziemlich das gleiche Problem und bekomm das Ganze nicht so richtig gebacken.
Meine Konfig

M0n0wall

WAN
IP - 192.168.1.10
Subnet - 255.255.255.0
Gateway - 192.168.1.1
DNS - 192.168.1.1

LAN (als Captive Portal)
IP - 172.16.1.1 / 24
DHCP Server aktiviert

Privat (Opt)
IP - 192.168.10.1 / 24
DHCP Server - aktiviert

Ich möchte vom Privat net auf den AP im LAN (Captive Portal)
AP-CP
IP 172.16.1.15
DHCP - deaktiviert
Gemäß diesem Beitrag habe ich die statische IP des AP im Captive Portal eingetragen - (scheint jetzt auch im ARP auf)

Leider hab ich wohl noch einen Denkfehler in den Rules - funktioniert nicht.

Rules für LAN (CP) und Privat (opt)

LAN (Captive Portal - 172.16.1.0/24)

Pass * Privat net * 172.16.1.15 * Privat -> AP CP
Pass * 172.16.1.15 * Privat net * AP CP -> Privat
Block * LAN net * 192.168.0.0/16 * Alle internen block.
Pass * LAN net * * * Default -> any

Privat (192.168.20.0/24)

Pass * Privat net * * * Default -> any
Pass * 172.16.1.15 * Privat net * AP CP -> Privat

Statische routen usw. habe ich keine eingetragen ?!

Vielen Dank
Pitzeiner
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Windows 10
Windows Problem: Kein Zugriff auf das LAN via Ethernet möglich (4)

Frage von ReinerWahnsinn zum Thema Windows 10 ...

Router & Routing
gelöst Raspberry PI als VPN Client - Zugriff auf VPN LAN (8)

Frage von PeterH96 zum Thema Router & Routing ...

Router & Routing
gelöst OpenVPN Server - Kein Zugriff auf Server LAN (2)

Frage von PeterH96 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...