5
Monowall Firewall-Regel Captive Portal
Internet Zugriff für NTP-Synchronisation dLAN Adapter
Hallo beisammen,
habe ein Problem mit dem Zugriff aufs Internet (WAN) vom Gäste-LAN (LAN) aus.
Captive Portal ist aktiv und läuft auch soweit.
Nun soll ein Devolo dLAN Adapter ohne Authentifizierung sich mit einem NTP-Server synchronisieren könne, damit die Zeitsteuerung für das WLAN geht.
Diesen habe ich mit seine MAC-Adresse in die "Services: Captive portal: Pass-through MAC" Liste eingetragen. MAC-Adresse ist korrekt, da sie schon über SysLog abgefangen wurde.
In den Firewall-Rules habe ich UDP/123 für NTP ergänzt.
Der dLAN-Adapter hat aber keinen Zugriff auf das Internet. Was mache ich falsch?
Gruß
derh2
habe ein Problem mit dem Zugriff aufs Internet (WAN) vom Gäste-LAN (LAN) aus.
Captive Portal ist aktiv und läuft auch soweit.
Nun soll ein Devolo dLAN Adapter ohne Authentifizierung sich mit einem NTP-Server synchronisieren könne, damit die Zeitsteuerung für das WLAN geht.
Diesen habe ich mit seine MAC-Adresse in die "Services: Captive portal: Pass-through MAC" Liste eingetragen. MAC-Adresse ist korrekt, da sie schon über SysLog abgefangen wurde.
In den Firewall-Rules habe ich UDP/123 für NTP ergänzt.
Der dLAN-Adapter hat aber keinen Zugriff auf das Internet. Was mache ich falsch?
Gruß
derh2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192330
Url: https://administrator.de/contentid/192330
Printed on: April 25, 2024 at 15:04 o'clock
5 Comments
Latest comment
Generell ist so alles richtig, sieht man mal von den höchst bedenklichen "Scheunentor" Regeln vom WAN und PPTP Port ab. Das ist fahrlässig...aber egal wenn du damit leben kannst.
Ist VOR dem WAN Port noch ein Router oder gehtst du mit einem DSL Modem direkt von der FW ins Internet ??
Wenn ja bedenke das du dann im WAN Port Setting das Filtern der RFC 1918 IP Netze deaktivierst.
Ansonsten solltest du mal einen Sniffer (Wireshark) ins netz hängen und checken ob der Devolo Adapter wirklich NTP macht ?!
Oft nutzen die auch NetBios um die Uhrzeit von (Winblows) PCs zu holen.
Ein Blick in das Firewall Log solltest du auch machen um mal zu checken WAS dort hängenbleibt !!
Vermutlich ist dein Devolo Teil dabei und da kannst du dann genau sehen WAS der für das Uhrzeit Setting verwendet.
Ist VOR dem WAN Port noch ein Router oder gehtst du mit einem DSL Modem direkt von der FW ins Internet ??
Wenn ja bedenke das du dann im WAN Port Setting das Filtern der RFC 1918 IP Netze deaktivierst.
Ansonsten solltest du mal einen Sniffer (Wireshark) ins netz hängen und checken ob der Devolo Adapter wirklich NTP macht ?!
Oft nutzen die auch NetBios um die Uhrzeit von (Winblows) PCs zu holen.
Ein Blick in das Firewall Log solltest du auch machen um mal zu checken WAS dort hängenbleibt !!
Vermutlich ist dein Devolo Teil dabei und da kannst du dann genau sehen WAS der für das Uhrzeit Setting verwendet.
Im Log steht folgende Meldung:
18:56:52.542755 vr0 @100:15 p 192.168.104.2,3236 -> 192.53.103.108,123 PR udp len 20 76 K-S IN
Zur Firewallregel WAN:
Wenn ein Router davor, dürfte das doch keine (Sicherheits)Auswirkungen haben, oder?
Bin leider momentan nicht vor Ort und nur per VPN verbunden:
Komme auf den devolo nicht drauf, kann ihn auch nicht pingen.
Sind die Regeln insofern richtig, dass ich vom VPN auf das LAN zugreifen kann?
Was sollte ich bei PPTP abändern?
18:56:52.542755 vr0 @100:15 p 192.168.104.2,3236 -> 192.53.103.108,123 PR udp len 20 76 K-S IN
Zur Firewallregel WAN:
Wenn ein Router davor, dürfte das doch keine (Sicherheits)Auswirkungen haben, oder?
Bin leider momentan nicht vor Ort und nur per VPN verbunden:
Komme auf den devolo nicht drauf, kann ihn auch nicht pingen.
Sind die Regeln insofern richtig, dass ich vom VPN auf das LAN zugreifen kann?
Was sollte ich bei PPTP abändern?
Kommt auf den Router "davor" an und seine Einstellungen. Ohne die zu kennen kann man nur blind raten... 
Die Frage ob die Regeln richtig sind ist wohl eher eine kleine "Verarschung", sorry aber mit any zu any (* zu *) existiert ja gar keine Regel mehr, denn du hast ala Scheunentor ja so alle Regeln deaktiviert und alles zugelassen. Die Frage ist also eher naiv, macht zum testen aber erstmal Sinn um nicht weitere Fehlerquellen zu erzeugen.
Die obige UDP meldung war die geblockt (x davor) ??
Das zeigt dann das dieses NTP Paket aus dem .104er Netz nicht rauskommt.
Die Frage ob die Regeln richtig sind ist wohl eher eine kleine "Verarschung", sorry aber mit any zu any (* zu *) existiert ja gar keine Regel mehr, denn du hast ala Scheunentor ja so alle Regeln deaktiviert und alles zugelassen. Die Frage ist also eher naiv, macht zum testen aber erstmal Sinn um nicht weitere Fehlerquellen zu erzeugen.
Die obige UDP meldung war die geblockt (x davor) ??
Das zeigt dann das dieses NTP Paket aus dem .104er Netz nicht rauskommt.
Auch wenn es schon lange her ist, vielleicht hilft es dem ein oder anderen Nutzer:
Habe mir so beholfen, dass bevor der DLAN-Adapter eingesteckt wird, das Captive-Portal deaktiviert wird. Nach einer Minute dann wieder aktivieren. In dieser Zeit hat sich der Adapter seine Zeit geholt.
Habe mir so beholfen, dass bevor der DLAN-Adapter eingesteckt wird, das Captive-Portal deaktiviert wird. Nach einer Minute dann wieder aktivieren. In dieser Zeit hat sich der Adapter seine Zeit geholt.
Das ist, sorry… Blödsinn, denn es reicht schlicht und einfach eine Mac Adress basierte Ausnahmerelgel ins Captivel Portal einzutragen und fertig ist der Lack. Alternativ IP basierend und aufs jeweilige Protokoll bezogen.
