Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Webgui des Access Points durch Monowall aufrufen

Frage Netzwerke

Mitglied: zesniper1

zesniper1 (Level 1) - Jetzt verbinden

07.02.2011, aktualisiert 18.10.2012, 5117 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

folgende Situtation:

Ich betreibe eine Monowall mit (noch) 2 Netzwerkkarten. Netzwerk 1 = WAN, Netzwerk 2 = Switch mit den LAN Clients und dem Access Point. (D-Link - DAP 1360)
Auf dem Access Point ist die Webgui auf Port 80 aktiviert. Ich möchte jetzt von aussen, Internet, auf die Konfigurationsoberfläche des Access Point zugreifen.
Dazu hab ich eine Inbount NAT auf die IP des Access Points mit dem Port 80 eingerichtet. Auch die dazugehörige Rule wurde angelegt. Mir gelingt es aber
nicht aus dem Internet auf den Access Point (Webgui) zuzugreifen. Innerhalb des Netzwerk's (nur DMZ) funktioniert es problemlos.

Hab ich was übersehen?

ze_sniper1

UPDATE:
(die obigen Angaben hab ich aktualisiert)

Hier der Netzwerkplan:
744ecd1f6210ce74cff944b0ce8bf750 - Klicke auf das Bild, um es zu vergrößern

NAT:
f8ca3db86db60c0c874815df750ca479 - Klicke auf das Bild, um es zu vergrößern

RULES:
aa6082d3478b51a174b43038a1ca4dd4 - Klicke auf das Bild, um es zu vergrößern

4e159aa728b65a28a2fad880bd9076bb - Klicke auf das Bild, um es zu vergrößern

cd0df9a95d43a117b162a52bd78e5538 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
07.02.2011, aktualisiert 18.10.2012
Deine Vorgehensweise ist generell richtig. Beachte das du inbound TCP 50010 natürlich auf outbound (internes netz) TCP 80 umsetzen musst.
Betreibst du ein Captive Portal am LAN Segment ??
Wenn ja dann bleibt vermutlich deine Antwortpakete des APs am CP hängen ! In diesem Falle ist eine simple Ausnahmeregel im CP mit der IP des APs deine Lösung.
Ansonsten hat der (ziemlich lange) Thread zum Monowall CP so eine Lösung parat...
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Ansonsten einmal anonymisiert die Einstellungen hier per Screenshot posten !
(Thread editieren, Screenshot über Bilder hochladen als JPG uploaden und den Bild URL hier posten..)
Bitte warten ..
Mitglied: zesniper1
09.02.2011 um 09:14 Uhr
Hallo aqui,

danke für die Antwort. Hab jetzt einige Zeit versucht die Sache hinzubekommen. Leider ohne Erfolg.
Die Screenshots hab ich oben eingefügt. Mit den Outbound Einstellungen hab ich experimentiert ...
Bitte warten ..
Mitglied: aqui
10.02.2011 um 19:13 Uhr
Keine Ahnung was du da machst aber der Fehler liegt de facto zwischen Stuhl und Keyboard !
Ein schneller Laboraufbau mit folgenden Einstellungen:

Firewall Regel WAN Port
06ea2b1066be07039b80603a6427e404 - Klicke auf das Bild, um es zu vergrößern

Firewall NAT am WAN Port
5163ea3b1f9742cca3a286285dac1304 - Klicke auf das Bild, um es zu vergrößern

...führte zum sofortigen Erfolg !!

AP war hier am LAN Port mit der IP 192.168.1.254. Der vom WAN Interface (Internet) geNATete Port ist der Port TCP 58080 gewesen.
Im Browser http://<monowall_ip>:58080 eingegeben und schon war das WebGUI des AP im Browser !!

Du musst allerdings noch mehrere Dinge zwingend zusätzlich beachten:
  • Die IP Adresse deines APs in der DMZ muss in der CP Ausnahmeregel eingestellt sein, denn sonst bleiben die AP WebGUI Pakete am CP hängen, da es dort nicht authentifiziert ist !
  • Du musst eine eingehende Regel von ANY und Port ANY auf die WAN IP Monowall mit Destination TCP 58080 erlauben. Dies kannst du dir aber ersparen wenn du bei der Einrichtung der "Inbound NAT Regel" unten den Haken setzt "Firewall Regel dazu automatisch erstellen " !
  • Benutze besser immer Ports zwischen 49152 bis 65535 als private Ports. Alles andere ist fest durch die IANA anderen Ports vergeben ! http://en.wikipedia.org/wiki/Ephemeral_port

Folgende weitere Sachen sind aus deinen o.a. Regeln oben unsinnig oder fehlerhaft !
(Bedenke immer das Firewall Regeln außschliesslich NUR auf eingehende Pakete ins Interface wirken !! Nie auf ausgehende !)
1.) "RULES"
Auf dem LAN Port ist eine Regel die die DMZ IP Adressen als Source haben soll völliger Unsinn, denn solche IP Adressen kommen hier niemals vor (ist ja das LAN). Die Regel ist unsinnig und kannst du löschen !
1a.) Im WAN Interface fehlt die Erlaubnis mit dem Port TCP 20003 (besser TCP 58080) auf die WAN Interface IP zuzugreifen. Dadurch werden die HTTP Pakete auf den AP blockiert. Das ist bei dir ursächlich das es nicht klappt !!
Erst musst du den Zugriff auf das WAN Interface mit TCP 20003 (oder 58080) erlauben..dann erst greift das NAT !
Im Testaufbau fehlt dieses, da das "Test WAN" ein RFC 1918 Netzwerk war und dort die globale Blocking Regel für 1918er Netze komplett entfernt ist ums nicht unnötig kompliziert zu machen.

Die CP Ausnahmeregel für die IP des APs hast du nicht im Screenshot, die muss dort aber drin sein sonst bleiben Port 80 Pakete hängen !

Beachtet man das alles funktioniert das auf Anhieb !
Bitte warten ..
Mitglied: zesniper1
11.02.2011 um 10:28 Uhr
Hallo aqui,

Problem liegt zwischen Stuhl und Keyboard: Dachte ich mir schon

Danke für die ausführliche Erklärung. Werd ich am Wochenende gleich testen.

Noch eine Frage: Mit welchen Programm zeichnest du deine Netzwerkpläne?

ze_sniper1
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
Freifunk über vorhandene Access Points ausstrahlen (2)

Frage von Uwoerl zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Access Points mit gleicher SSID Bereitstellen? (7)

Frage von KMUlife zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Bessere Access Points als Cisco WAP (30)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite (4)

Frage von TimMayer zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...