5
Verständnisfrage zur Funktionsweise Hotspot-Funktion im Mikrotik-Router
Kann mir jemand die Hotspot-Funktion von Mikrotik erklären im Hinblick auf deren Implementierung (Filter etc.)?
Mein Setup (bzw. der für die Frage relevante Teil davon):
Mikrotik-Router RB2011UiAS
Hotspot aufgesetzt an einem VLAN-Interface mit den folgenden Parametern:
local address of network: 192.168.1.1/24
masquerade network: yes
address pool of network: 192.168.1.10-192.168.1.254
kein Zertifikat
ip address of smtp server: 0.0.0.0
dns server: <ip des lokalen dns>
dns name: <leer>
user: admin
Walled Garden: *.xyz.org (nur als Beispiel), Dst-Port 80
IP Bindings: 192.168.1.2 -> 192.168.1.2
Der admin-User ist deaktiviert, alle Auth-Methoden ebenfalls. Die Login-Seite wurde um die Eingabefelder bereinigt und zeigt lediglich einen Hinweis mit dem erlaubten Link an.
Die Clients sollen alle - ohne sich zuvor am Hotspot anmelden zu müssen - auf die Internetseite *.xyz.org kommen können. Das funktioniert so weit super.
Die unter "IP Bindings" angegebene Adresse (statische Adresse 192.168.1.2/24) ist ein Raspi mit installiertem XBMC (openELEC). Er ist dem Hotspot - bis auf die IP Bindings - nicht bekannt. Die WLAN-Clients am Hotspot sollen Video/Audio-Material darauf streamen können.
Das funktioniert für Android- und iOS-Clients soweit gut und zuverlässig.
Jetzt habe ich einen Client (Windows Tablet) mit der App AirParrot2 drauf. Die App sieht den XBMC-Rechner, sobald man sich aber darauf verbinden, kriegt man einen "unknown error"... Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Der Schluß liegt natürlich nahe, dass es sich um ein Problem mit der App/dem Client handelt. Die anderen Clients schaffen es ja schließlich zu streamen. Ich würde allerdings trotzdem gerne verstehen, wie der Hotspot technisch funktioniert. Aus dem Mikrotik-Wiki bin ich nicht ganz schlau geworden.
Soll/ ich evtl. masquerading abschalten?
Der Hotspot "installiert" eine Menge Firewall-Regeln unter IP/Firewall. Ist das alles was dessen Funktion (bzgl. Filterung) ausmacht?
Grüße
daarma
Mein Setup (bzw. der für die Frage relevante Teil davon):
Mikrotik-Router RB2011UiAS
Hotspot aufgesetzt an einem VLAN-Interface mit den folgenden Parametern:
local address of network: 192.168.1.1/24
masquerade network: yes
address pool of network: 192.168.1.10-192.168.1.254
kein Zertifikat
ip address of smtp server: 0.0.0.0
dns server: <ip des lokalen dns>
dns name: <leer>
user: admin
Walled Garden: *.xyz.org (nur als Beispiel), Dst-Port 80
IP Bindings: 192.168.1.2 -> 192.168.1.2
Der admin-User ist deaktiviert, alle Auth-Methoden ebenfalls. Die Login-Seite wurde um die Eingabefelder bereinigt und zeigt lediglich einen Hinweis mit dem erlaubten Link an.
Die Clients sollen alle - ohne sich zuvor am Hotspot anmelden zu müssen - auf die Internetseite *.xyz.org kommen können. Das funktioniert so weit super.
Die unter "IP Bindings" angegebene Adresse (statische Adresse 192.168.1.2/24) ist ein Raspi mit installiertem XBMC (openELEC). Er ist dem Hotspot - bis auf die IP Bindings - nicht bekannt. Die WLAN-Clients am Hotspot sollen Video/Audio-Material darauf streamen können.
Das funktioniert für Android- und iOS-Clients soweit gut und zuverlässig.
Jetzt habe ich einen Client (Windows Tablet) mit der App AirParrot2 drauf. Die App sieht den XBMC-Rechner, sobald man sich aber darauf verbinden, kriegt man einen "unknown error"... Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Der Schluß liegt natürlich nahe, dass es sich um ein Problem mit der App/dem Client handelt. Die anderen Clients schaffen es ja schließlich zu streamen. Ich würde allerdings trotzdem gerne verstehen, wie der Hotspot technisch funktioniert. Aus dem Mikrotik-Wiki bin ich nicht ganz schlau geworden.
Soll/ ich evtl. masquerading abschalten?
Der Hotspot "installiert" eine Menge Firewall-Regeln unter IP/Firewall. Ist das alles was dessen Funktion (bzgl. Filterung) ausmacht?
Grüße
daarma
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265735
Url: https://administrator.de/contentid/265735
Printed on: April 19, 2024 at 21:04 o'clock
5 Comments
Latest comment
Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Ja das ist die Winblows HW. Das hat rein gar nichts mit dem Netzwerk zu tun !Das kannst du allein schon an der Tatsache sehen das es mit allen anderen Clients sauber funktioniert.
Der MT ist ja auch gar nicht involviert solange du im der gemeinsamen Layer 2 Domain mit den Clients bist und noch gar nicht über den Hotspot arbeitest !
Der Hotspot sperrt den Port und unterbindet das Lernen der Mac Adresse ohne Authentisierung.
Er macht damit einen TCP 80 redirect auf die Portalseite dir immer durch TCP 80 Traffic getriggert wird.
Geschieht dann dort die Authentisierung wird die Mac Adresse des Clients ind die Forwarding Table des MT eingetragen und dann wieder nirmal geroutet.
Alles was VOR dem Hotspot Portal ist und lokal arbeitet hat mit der MT Infrastruktur also nichts zu tun.
Wenn du kein Masquerading (IP Adress Translation) brauchst und transparent routen willst ohne NAT, dann solltest du NAT natürlich imemr zwingend deaktivieren, denn das schafft imemr eine Routing Einbahnstrasse durch die Firewall Funktion von NAT.
Der Hotspot sperrt den Port und unterbindet das Lernen der Mac Adresse ohne Authentisierung.
Wessen Mac Adresse meinst du? Des Default-Gateways? Oder auch aller Mit-Clients in der gleichen L2 Domain?
Alles was VOR dem Hotspot Portal ist und lokal arbeitet hat mit der MT Infrastruktur also nichts zu tun.
Was meinst du mit VOR dem Hotspot?
Das ist es ja gerade, was mich zu der Frage gebracht hat bzw. stutzig macht.
Wen die Hotspot-Clients "hinter" dem Hotspot sind, dann ist der Raspi m.E. vor dem Hotspot. Er hängt physikalisch am Switch, ebenso wie der Mikrotik und der AP, über den die Clients verbunden sind (alle WLAN).
Der Raspi hat eine statische IP aus dem gleichen Subnet wie der Hotspot und befindet sich selbstverständlich im selben VLAN, das ist aber auch alles. Soweit ich mich erinnere, haben die Hotspot-Clients den Raspi ohne das "IP Binding" im Hotspot nicht gesehen.
Wessen Mac Adresse meinst du?
Die des Clients natürlich !Was meinst du mit VOR dem Hotspot?
Quasi alles was sich VOR dem Hotspot Port befindet. Du hast selber geschrieben das du dort einen Layer 2 Switch angeschlossen hast in dem Ein Streming Server und Clients sich befinden.Da die dort erstmal autark sind hat deren lokales Verhalten erstmal mit dem Hostspott Portal nix zu tun.
Oder hast du das design jetzt fasclh beschrieben oder wir falsch verstanden ?
Danke für deinen Hinweis, aqui. Hab irgendwie zu kompliziert gedacht.
Die Clients (WLAN und der Raspi) befinden sich natürlich alle in der gleichen Broadcast-Domain und können somit miteinander "reden". Über den Hotspot bzw. den Router geht ja nur das Routing in andere Subnetze bzw. Internet.
Die Clients (WLAN und der Raspi) befinden sich natürlich alle in der gleichen Broadcast-Domain und können somit miteinander "reden". Über den Hotspot bzw. den Router geht ja nur das Routing in andere Subnetze bzw. Internet.
Richtig ! 
Genau so ist es....
Genau so ist es....
