4
M0n0wall - kein Zugriff vom LAN ins Gastnetz
Hallo,
habe mir zuhause die M0n0wall mit Captive Portal installiert und es klappt alles einwandfrei.
Jetzt habe ich das Problem, dass ich nicht auf den AP im Gastnetz zugreifen kann, ist ja
irgendwie logisch, denn sie liegen nicht im gleichem Subnetz. Habe es mit INbound Nat versucht,
aber aus dem LAN funkioniert das nicht. Hat jemand eine Idee wie ich das machen könnte.
Brauch ich überhaupt NAT?
Habe auch den Artikel Monowall WLAN APs aus LAN erreichen gelesen, aber es
funktioniert einfach nicht.
Hier meine Einstellungen:
Habe 3 Schnittstellen:
1.WAN
2.LAN 192.168.3.1/24 Konfiguration und Syslog
3.GAST(über OPT hinzugefügt) 192.168.2.1/24 CP
Vom WAN aus soll alles blockiert werden.
Vom LAN aus soll der Zugang zum Internet unterbunden werden, nur Zugriff auf das Webinterface
(https://192.168.3.50:50000) und eben auf 2 APs im Gastnetz (192.168.2.51:80 und 192.168.2.50:443) soll
erlaubt werden.
Vom Gastnetz soll nur auf bestimmte Dienste im Internet zugegriffen werden können, aber nicht aufs LAN.
Hier meine Rules:
WAN
block * * * * * WAN BLOCK LOG -> any
LAN
pass TCP LAN net * 192.168.2.51 80 LAN HTTP -> 192.168.2.51
pass TCP LAN net * 192.168.2.50 443 LAN HTTPS -> 192.168.2.50
block * * * * * LAN BLOCK LOG -> any
GAST
pass TCP 192.168.2.50 443 LAN net * 192.168.2.50 -> LAN
pass TCP 192.168.2.51 80 LAN net * 192.168.2.51 -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8000 - 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any
Sind diese Rules korrekt und stimmt die Reihenfolge? und was muss ich mit Nat machen damit ich auf die zwei APs komme?
Oder soll ich die zwei Interfaces tauschen, somit wäre InboundNat möglich, was aber ein Riesenaufwand wäre.
Dankeschön für eure Hilfe
habe mir zuhause die M0n0wall mit Captive Portal installiert und es klappt alles einwandfrei.
Jetzt habe ich das Problem, dass ich nicht auf den AP im Gastnetz zugreifen kann, ist ja
irgendwie logisch, denn sie liegen nicht im gleichem Subnetz. Habe es mit INbound Nat versucht,
aber aus dem LAN funkioniert das nicht. Hat jemand eine Idee wie ich das machen könnte.
Brauch ich überhaupt NAT?
Habe auch den Artikel Monowall WLAN APs aus LAN erreichen gelesen, aber es
funktioniert einfach nicht.
Hier meine Einstellungen:
Habe 3 Schnittstellen:
1.WAN
2.LAN 192.168.3.1/24 Konfiguration und Syslog
3.GAST(über OPT hinzugefügt) 192.168.2.1/24 CP
Vom WAN aus soll alles blockiert werden.
Vom LAN aus soll der Zugang zum Internet unterbunden werden, nur Zugriff auf das Webinterface
(https://192.168.3.50:50000) und eben auf 2 APs im Gastnetz (192.168.2.51:80 und 192.168.2.50:443) soll
erlaubt werden.
Vom Gastnetz soll nur auf bestimmte Dienste im Internet zugegriffen werden können, aber nicht aufs LAN.
Hier meine Rules:
WAN
block * * * * * WAN BLOCK LOG -> any
LAN
pass TCP LAN net * 192.168.2.51 80 LAN HTTP -> 192.168.2.51
pass TCP LAN net * 192.168.2.50 443 LAN HTTPS -> 192.168.2.50
block * * * * * LAN BLOCK LOG -> any
GAST
pass TCP 192.168.2.50 443 LAN net * 192.168.2.50 -> LAN
pass TCP 192.168.2.51 80 LAN net * 192.168.2.51 -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8000 - 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any
Sind diese Rules korrekt und stimmt die Reihenfolge? und was muss ich mit Nat machen damit ich auf die zwei APs komme?
Oder soll ich die zwei Interfaces tauschen, somit wäre InboundNat möglich, was aber ein Riesenaufwand wäre.
Dankeschön für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157693
Url: https://administrator.de/contentid/157693
Printed on: April 24, 2024 at 09:04 o'clock
4 Comments
Latest comment
Hallo "12Stiere"
Inbound NAT usw. benötigst du gar nicht ! Das ist nur dann relevant wenn du vom WAN entweder ins LAN oder Gastsegment willst um die NAT Firewall am WAN Port zu überwinden !
Einen wichtigen Punkt musst du noch beachten, den du vermutlich vergessen hast:
Die Management IP Adressen deiner WLAN Accesspoints im Gastnetz sind genauso dem Captive Portal unterworfen wie die Benutzer dort. Folglich können die APa also nicht raus ohne Authentisierung durchs CP !
Das CP bietet aber eine Ausnahmeregelung an um das zu umgehen. Entweder auf IP oder Mac Basis. Klar das die AP IPs außerhalb des DHCP Bereichs im Gast Segemnt liegen müssen !!
Unter Services --> Captive Portal hast du einmal die Möglichkeit die Freigabe auf Basis der Mac Adresse des AP oder seiner IP einzustellen !
Die Mac Adresse ist IMMER vorzuziehen, denn so kann sich die IP des AP einfach ändern und er kann trotzdem passieren. IP kann man immer statisch setzen und das CP umgehen, ist so für "spielende" Gäste einfacher. Mac ist da eine größere Hürde und verstehen sie meist nicht...
Also im Menü Services --> Captive Portal --> Pass Through Mac die Mac der APs eintragen mit Beschreibung damit die das CP ohne Authorisierung passieren können. Die Mac Adresse des AP findest du meistens aufgedruckt oder siehst mit arp -a einfach mal im PC nach wenn du das Teil konfigurierst.
Hier darfst du keinen Fehler bei der Eingabe der Adresse machen sonst kommt der nicht durchs CP...logisch !
OK ist das gemacht gehts an die Firewall Regeln am LAN Port.
Die sind soweit OK nur fehlt die Regel für den Zugang aus Web Interface:
pass TCP LAN net * --> 192.168.2.51 80 (LAN HTTP auf 192.168.2.51 erlauben)
pass TCP LAN net * --> 192.168.2.50 443 (LAN HTTPS auf 192.168.2.50 erlauben)
pass TCP LAN net * --> LAN Interface Host IP 50000 (LAN Port TCP 50000 auf Lan Interface erlauben)
Die allgemeine Blocking Regel block alles LAN BLOCK LOG -> any musst du nicht eingeben und kannst die löschen, denn es gilt wie immer allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Die Gast FW Regeln sind soweit OK ! Auch hier gilt aber auch wieder:
Die allgemeine Blocking Regel block alles Gast BLOCK LOG -> any musst du ebenfalls nicht eingeben und kannst die auch löschen, denn es gilt auch hier wieder wie allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Damit sollte es problemlos klappen !
Inbound NAT usw. benötigst du gar nicht ! Das ist nur dann relevant wenn du vom WAN entweder ins LAN oder Gastsegment willst um die NAT Firewall am WAN Port zu überwinden !
Einen wichtigen Punkt musst du noch beachten, den du vermutlich vergessen hast:
Die Management IP Adressen deiner WLAN Accesspoints im Gastnetz sind genauso dem Captive Portal unterworfen wie die Benutzer dort. Folglich können die APa also nicht raus ohne Authentisierung durchs CP !
Das CP bietet aber eine Ausnahmeregelung an um das zu umgehen. Entweder auf IP oder Mac Basis. Klar das die AP IPs außerhalb des DHCP Bereichs im Gast Segemnt liegen müssen !!
Unter Services --> Captive Portal hast du einmal die Möglichkeit die Freigabe auf Basis der Mac Adresse des AP oder seiner IP einzustellen !
Die Mac Adresse ist IMMER vorzuziehen, denn so kann sich die IP des AP einfach ändern und er kann trotzdem passieren. IP kann man immer statisch setzen und das CP umgehen, ist so für "spielende" Gäste einfacher. Mac ist da eine größere Hürde und verstehen sie meist nicht...
Also im Menü Services --> Captive Portal --> Pass Through Mac die Mac der APs eintragen mit Beschreibung damit die das CP ohne Authorisierung passieren können. Die Mac Adresse des AP findest du meistens aufgedruckt oder siehst mit arp -a einfach mal im PC nach wenn du das Teil konfigurierst.
Hier darfst du keinen Fehler bei der Eingabe der Adresse machen sonst kommt der nicht durchs CP...logisch !
OK ist das gemacht gehts an die Firewall Regeln am LAN Port.
Die sind soweit OK nur fehlt die Regel für den Zugang aus Web Interface:
pass TCP LAN net * --> 192.168.2.51 80 (LAN HTTP auf 192.168.2.51 erlauben)
pass TCP LAN net * --> 192.168.2.50 443 (LAN HTTPS auf 192.168.2.50 erlauben)
pass TCP LAN net * --> LAN Interface Host IP 50000 (LAN Port TCP 50000 auf Lan Interface erlauben)
Die allgemeine Blocking Regel block alles LAN BLOCK LOG -> any musst du nicht eingeben und kannst die löschen, denn es gilt wie immer allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Die Gast FW Regeln sind soweit OK ! Auch hier gilt aber auch wieder:
Die allgemeine Blocking Regel block alles Gast BLOCK LOG -> any musst du ebenfalls nicht eingeben und kannst die auch löschen, denn es gilt auch hier wieder wie allgemein bei Firewalls: Alles was nicht explizit erlaubt ist, ist VERBOTEN !
Damit sollte es problemlos klappen !
Hallo aqui,
zu allererst möchte ich mich für deine schnelle Antwort bedanken.
Dann:
das mit den 12 stieren ist nicht von schlechten Eltern
Soweit so gut. Spass bei Seite, denn ich bin am verzweifeln!
Aaaarrrrrrrrr, das mit den unterworfenen APs vom CaptivePortal, hatte ich wirklich vergessen.
Habe ihre MAC unter Services-Captiveportal eingegeben, aber es wollte trotzdem nicht.
Habe dann das Captiveportal ausgeschaltet und alles lief wunderbar.
Im Anschluss habe ich ein paar Tests gemacht, und habe bemerkt, dass ich vom Gästenetz auf das Lan Zugriff bekommen hatte.(auch mit CP, wenn authentifiziert). Somit habe ich noch eine Regel
BLOCK/LOG * * * LAN net * any BLOCK LOG -> LAN an erster Stelle hinzugefügt. Weitere Tests ergaben, dass ich vom Gästenetz nicht mehr ins Lan komme, die Regeln vom Gastnetz greifen auch noch alle und die
Konfiguration der APs funktioniert einwandfrei (aber immer mit CP deaktieviert).
Soweit so gut.
Habe auch einige Regeln gelöscht und andere präziser eingestellt, und überall die Option LOG eingestellt,
damit ich jeden Fehler und Durchgang erkennen kann und somit sehen jetzt meine Regeln so aus.
WAN
block * * * * * WAN BLOCK LOG -> any
LAN
pass TCP 192.168.3.7 * 192.168.2.51 80 CONFIG HTTP -> 192.168.2.51
pass TCP 192.168.3.7 * 192.168.2.50 443 CONFIG HTTPS -> 192.168.2.50
pass TCP 192.168.3.7 * 192.168.3.50 50000 CONFIG WEBPORTAL -> 192.168.3.50 und Option "Disable webGUI anti-lockout rule" gesetzt
pass ICMP 192.168.3.7 * * ICMP -> WEBPORTAL + GAST
block * * * * * BLOCK LOG -> any
GAST
block * * LAN net * BLOCK/LOG -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any
Später werde ich die LOGoption an den Regeln wieder deaktivieren, aber erst wenn alles funktioniert.
Die BLOckregeln am Ende werde ich auch löschen, wie von dir mitgeteilt, aber sehe ich dann noch Zugriffe auf
gesperrte Ports? (hatte keine Zeit mehr zum testen)
Habe dann das CP wieder aktiviert und es mit den IPs der APs unter Services/Captiveportal einzutragen probiert,
und alles funktioniert wie es soll.
Aber mit MAC will es einfach nicht! (und es sind sicher die richtigen, arpTable der m0n0wall und Aufdruck auf Gerät verglichen)
Irgendwo muss ich einen Fehler gemacht haben, aber wo?
Die LOGS zeigen nichts an, denn es wird ja vom CP blockiert.
Andere Frage: kann man irgendwo was einstellen um zu sehen, was das CP blockiert, wäre auch nützlich für unerwünschte Gäste ohne Authentifizierung!
So..... jetzt bin ich mit meinem Latein am Ende
zu allererst möchte ich mich für deine schnelle Antwort bedanken.
Dann:
das mit den 12 stieren ist nicht von schlechten Eltern
Soweit so gut. Spass bei Seite, denn ich bin am verzweifeln!
Aaaarrrrrrrrr, das mit den unterworfenen APs vom CaptivePortal, hatte ich wirklich vergessen.
Habe ihre MAC unter Services-Captiveportal eingegeben, aber es wollte trotzdem nicht.
Habe dann das Captiveportal ausgeschaltet und alles lief wunderbar.
Im Anschluss habe ich ein paar Tests gemacht, und habe bemerkt, dass ich vom Gästenetz auf das Lan Zugriff bekommen hatte.(auch mit CP, wenn authentifiziert). Somit habe ich noch eine Regel
BLOCK/LOG * * * LAN net * any BLOCK LOG -> LAN an erster Stelle hinzugefügt. Weitere Tests ergaben, dass ich vom Gästenetz nicht mehr ins Lan komme, die Regeln vom Gastnetz greifen auch noch alle und die
Konfiguration der APs funktioniert einwandfrei (aber immer mit CP deaktieviert).
Soweit so gut.
Habe auch einige Regeln gelöscht und andere präziser eingestellt, und überall die Option LOG eingestellt,
damit ich jeden Fehler und Durchgang erkennen kann und somit sehen jetzt meine Regeln so aus.
WAN
block * * * * * WAN BLOCK LOG -> any
LAN
pass TCP 192.168.3.7 * 192.168.2.51 80 CONFIG HTTP -> 192.168.2.51
pass TCP 192.168.3.7 * 192.168.2.50 443 CONFIG HTTPS -> 192.168.2.50
pass TCP 192.168.3.7 * 192.168.3.50 50000 CONFIG WEBPORTAL -> 192.168.3.50 und Option "Disable webGUI anti-lockout rule" gesetzt
pass ICMP 192.168.3.7 * * ICMP -> WEBPORTAL + GAST
block * * * * * BLOCK LOG -> any
GAST
block * * LAN net * BLOCK/LOG -> LAN
pass TCP/UDP GAST net * * 53 (DNS) GAST DNS -> any
pass TCP GAST net * * 80 (HTTP) GAST HTTP -> any
pass TCP GAST net * * 443 (HTTPS) GAST HTTPS -> any
pass TCP GAST net * * 20 - 21 GAST FTP -> any
pass TCP GAST net * * 22 (SSH) GAST SSH -> any
pass TCP GAST net * * 25 (SMTP) GAST SMTP -> any
pass TCP GAST net * * 110 (POP3) GAST POP3 -> any
pass TCP GAST net * * 143 (IMAP) GAST IMAP -> any
pass UDP GAST net * * 123 GAST NTP -> any
pass ICMP GAST net * * * GAST ICMP -> any
pass TCP GAST net * 192.168.2.1 8001 GAST CP RED -> 192.168.2.1
block * GAST net * * * GAST BLOCK LOG -> any
Später werde ich die LOGoption an den Regeln wieder deaktivieren, aber erst wenn alles funktioniert.
Die BLOckregeln am Ende werde ich auch löschen, wie von dir mitgeteilt, aber sehe ich dann noch Zugriffe auf
gesperrte Ports? (hatte keine Zeit mehr zum testen)
Habe dann das CP wieder aktiviert und es mit den IPs der APs unter Services/Captiveportal einzutragen probiert,
und alles funktioniert wie es soll.
Aber mit MAC will es einfach nicht! (und es sind sicher die richtigen, arpTable der m0n0wall und Aufdruck auf Gerät verglichen)
Irgendwo muss ich einen Fehler gemacht haben, aber wo?
Die LOGS zeigen nichts an, denn es wird ja vom CP blockiert.
Andere Frage: kann man irgendwo was einstellen um zu sehen, was das CP blockiert, wäre auch nützlich für unerwünschte Gäste ohne Authentifizierung!
So..... jetzt bin ich mit meinem Latein am Ende
Hallo Toros
Ooops sorry, mein Fauxpas. Ja die Blocking Regel vom Gästenetz ins LAN muss natürlich an erster Stelle stehen, denn sonst überrennen die Regeln an "any" der Gästeports diese.
FW Regeln gelten immer nur eingehend und "first match wins" ! Glücklicherweise hast du das ja intuitiv richtig rausgefunden
Das mit den Macs klingt ggf. nach einen Bug. Ich werde das in einem Testaufbau hier einmal querchecken... es mag sein das das ein Fehler in der Firmware ist....?!
OK auch hier hast du es ja intuitiv richtig gemacht ersatzweise mal die IPs auszuprobieren. Gut wenn es damit nun erstmal alles wie gewollt klappt !
Im Firewall Log kannst du generell alles sehen was auf dem Gästenetz (und auch den anderen Segmenten) geblockt wird, allerdings nur von authentisierten Benutzern wenns das CP Netz ist.
Verbindungsversuche unauthentisierter Benutzer siehst du logischerweise dann im CP Log.
Was im CP unauthentisierte Nutzer versuchen kannst du so ohne weiteres nicht sehen, denn deren Mac Adresse wird duch das CP komplett geblockt. Also Pakete solcher Benutzer kommen nichtmal auf dem untersten Ethernet Paket Niveau an die Firewall ran, folglich kann man auch nicht sehen WAS genau solche User machen mit dadrüber liegenden Protokollen, da die FW diese ja gar nicht "sieht".
Eigentlich ja auch sehr sinnvoll und genau das was eine Firewall mit CP mit bösen Usern ja auch machen soll !
Ooops sorry, mein Fauxpas. Ja die Blocking Regel vom Gästenetz ins LAN muss natürlich an erster Stelle stehen, denn sonst überrennen die Regeln an "any" der Gästeports diese.
FW Regeln gelten immer nur eingehend und "first match wins" ! Glücklicherweise hast du das ja intuitiv richtig rausgefunden
Das mit den Macs klingt ggf. nach einen Bug. Ich werde das in einem Testaufbau hier einmal querchecken... es mag sein das das ein Fehler in der Firmware ist....?!
OK auch hier hast du es ja intuitiv richtig gemacht ersatzweise mal die IPs auszuprobieren. Gut wenn es damit nun erstmal alles wie gewollt klappt !
Im Firewall Log kannst du generell alles sehen was auf dem Gästenetz (und auch den anderen Segmenten) geblockt wird, allerdings nur von authentisierten Benutzern wenns das CP Netz ist.
Verbindungsversuche unauthentisierter Benutzer siehst du logischerweise dann im CP Log.
Was im CP unauthentisierte Nutzer versuchen kannst du so ohne weiteres nicht sehen, denn deren Mac Adresse wird duch das CP komplett geblockt. Also Pakete solcher Benutzer kommen nichtmal auf dem untersten Ethernet Paket Niveau an die Firewall ran, folglich kann man auch nicht sehen WAS genau solche User machen mit dadrüber liegenden Protokollen, da die FW diese ja gar nicht "sieht".
Eigentlich ja auch sehr sinnvoll und genau das was eine Firewall mit CP mit bösen Usern ja auch machen soll !
Hallo aqui,
Hab so ziemlich das gleiche Problem und bekomm das Ganze nicht so richtig gebacken.
Meine Konfig
M0n0wall
WAN
IP - 192.168.1.10
Subnet - 255.255.255.0
Gateway - 192.168.1.1
DNS - 192.168.1.1
LAN (als Captive Portal)
IP - 172.16.1.1 / 24
DHCP Server aktiviert
Privat (Opt)
IP - 192.168.10.1 / 24
DHCP Server - aktiviert
Ich möchte vom Privat net auf den AP im LAN (Captive Portal)
AP-CP
IP 172.16.1.15
DHCP - deaktiviert
Gemäß diesem Beitrag habe ich die statische IP des AP im Captive Portal eingetragen - (scheint jetzt auch im ARP auf)
Leider hab ich wohl noch einen Denkfehler in den Rules - funktioniert nicht.
Rules für LAN (CP) und Privat (opt)
LAN (Captive Portal - 172.16.1.0/24)
Pass * Privat net * 172.16.1.15 * Privat -> AP CP
Pass * 172.16.1.15 * Privat net * AP CP -> Privat
Block * LAN net * 192.168.0.0/16 * Alle internen block.
Pass * LAN net * * * Default -> any
Privat (192.168.20.0/24)
Pass * Privat net * * * Default -> any
Pass * 172.16.1.15 * Privat net * AP CP -> Privat
Statische routen usw. habe ich keine eingetragen ?!
Vielen Dank
Pitzeiner
Hab so ziemlich das gleiche Problem und bekomm das Ganze nicht so richtig gebacken.
Meine Konfig
M0n0wall
WAN
IP - 192.168.1.10
Subnet - 255.255.255.0
Gateway - 192.168.1.1
DNS - 192.168.1.1
LAN (als Captive Portal)
IP - 172.16.1.1 / 24
DHCP Server aktiviert
Privat (Opt)
IP - 192.168.10.1 / 24
DHCP Server - aktiviert
Ich möchte vom Privat net auf den AP im LAN (Captive Portal)
AP-CP
IP 172.16.1.15
DHCP - deaktiviert
Gemäß diesem Beitrag habe ich die statische IP des AP im Captive Portal eingetragen - (scheint jetzt auch im ARP auf)
Leider hab ich wohl noch einen Denkfehler in den Rules - funktioniert nicht.
Rules für LAN (CP) und Privat (opt)
LAN (Captive Portal - 172.16.1.0/24)
Pass * Privat net * 172.16.1.15 * Privat -> AP CP
Pass * 172.16.1.15 * Privat net * AP CP -> Privat
Block * LAN net * 192.168.0.0/16 * Alle internen block.
Pass * LAN net * * * Default -> any
Privat (192.168.20.0/24)
Pass * Privat net * * * Default -> any
Pass * 172.16.1.15 * Privat net * AP CP -> Privat
Statische routen usw. habe ich keine eingetragen ?!
Vielen Dank
Pitzeiner
