Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

GELÖST

Webgui des Access Points durch Monowall aufrufen

Mitglied: zesniper1

zesniper1 (Level 1) - Jetzt verbinden

07.02.2011, aktualisiert 18.10.2012, 5151 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

folgende Situtation:

Ich betreibe eine Monowall mit (noch) 2 Netzwerkkarten. Netzwerk 1 = WAN, Netzwerk 2 = Switch mit den LAN Clients und dem Access Point. (D-Link - DAP 1360)
Auf dem Access Point ist die Webgui auf Port 80 aktiviert. Ich möchte jetzt von aussen, Internet, auf die Konfigurationsoberfläche des Access Point zugreifen.
Dazu hab ich eine Inbount NAT auf die IP des Access Points mit dem Port 80 eingerichtet. Auch die dazugehörige Rule wurde angelegt. Mir gelingt es aber
nicht aus dem Internet auf den Access Point (Webgui) zuzugreifen. Innerhalb des Netzwerk's (nur DMZ) funktioniert es problemlos.

Hab ich was übersehen?

ze_sniper1

UPDATE:
(die obigen Angaben hab ich aktualisiert)

Hier der Netzwerkplan:
744ecd1f6210ce74cff944b0ce8bf750 - Klicke auf das Bild, um es zu vergrößern

NAT:
f8ca3db86db60c0c874815df750ca479 - Klicke auf das Bild, um es zu vergrößern

RULES:
aa6082d3478b51a174b43038a1ca4dd4 - Klicke auf das Bild, um es zu vergrößern

4e159aa728b65a28a2fad880bd9076bb - Klicke auf das Bild, um es zu vergrößern

cd0df9a95d43a117b162a52bd78e5538 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
07.02.2011, aktualisiert 18.10.2012
Deine Vorgehensweise ist generell richtig. Beachte das du inbound TCP 50010 natürlich auf outbound (internes netz) TCP 80 umsetzen musst.
Betreibst du ein Captive Portal am LAN Segment ??
Wenn ja dann bleibt vermutlich deine Antwortpakete des APs am CP hängen ! In diesem Falle ist eine simple Ausnahmeregel im CP mit der IP des APs deine Lösung.
Ansonsten hat der (ziemlich lange) Thread zum Monowall CP so eine Lösung parat...
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Ansonsten einmal anonymisiert die Einstellungen hier per Screenshot posten !
(Thread editieren, Screenshot über Bilder hochladen als JPG uploaden und den Bild URL hier posten..)
Bitte warten ..
Mitglied: zesniper1
09.02.2011 um 09:14 Uhr
Hallo aqui,

danke für die Antwort. Hab jetzt einige Zeit versucht die Sache hinzubekommen. Leider ohne Erfolg.
Die Screenshots hab ich oben eingefügt. Mit den Outbound Einstellungen hab ich experimentiert ...
Bitte warten ..
Mitglied: aqui
10.02.2011 um 19:13 Uhr
Keine Ahnung was du da machst aber der Fehler liegt de facto zwischen Stuhl und Keyboard !
Ein schneller Laboraufbau mit folgenden Einstellungen:

Firewall Regel WAN Port
06ea2b1066be07039b80603a6427e404 - Klicke auf das Bild, um es zu vergrößern

Firewall NAT am WAN Port
5163ea3b1f9742cca3a286285dac1304 - Klicke auf das Bild, um es zu vergrößern

...führte zum sofortigen Erfolg !!

AP war hier am LAN Port mit der IP 192.168.1.254. Der vom WAN Interface (Internet) geNATete Port ist der Port TCP 58080 gewesen.
Im Browser http://<monowall_ip>:58080 eingegeben und schon war das WebGUI des AP im Browser !!

Du musst allerdings noch mehrere Dinge zwingend zusätzlich beachten:
  • Die IP Adresse deines APs in der DMZ muss in der CP Ausnahmeregel eingestellt sein, denn sonst bleiben die AP WebGUI Pakete am CP hängen, da es dort nicht authentifiziert ist !
  • Du musst eine eingehende Regel von ANY und Port ANY auf die WAN IP Monowall mit Destination TCP 58080 erlauben. Dies kannst du dir aber ersparen wenn du bei der Einrichtung der "Inbound NAT Regel" unten den Haken setzt "Firewall Regel dazu automatisch erstellen " !
  • Benutze besser immer Ports zwischen 49152 bis 65535 als private Ports. Alles andere ist fest durch die IANA anderen Ports vergeben ! http://en.wikipedia.org/wiki/Ephemeral_port

Folgende weitere Sachen sind aus deinen o.a. Regeln oben unsinnig oder fehlerhaft !
(Bedenke immer das Firewall Regeln außschliesslich NUR auf eingehende Pakete ins Interface wirken !! Nie auf ausgehende !)
1.) "RULES"
Auf dem LAN Port ist eine Regel die die DMZ IP Adressen als Source haben soll völliger Unsinn, denn solche IP Adressen kommen hier niemals vor (ist ja das LAN). Die Regel ist unsinnig und kannst du löschen !
1a.) Im WAN Interface fehlt die Erlaubnis mit dem Port TCP 20003 (besser TCP 58080) auf die WAN Interface IP zuzugreifen. Dadurch werden die HTTP Pakete auf den AP blockiert. Das ist bei dir ursächlich das es nicht klappt !!
Erst musst du den Zugriff auf das WAN Interface mit TCP 20003 (oder 58080) erlauben..dann erst greift das NAT !
Im Testaufbau fehlt dieses, da das "Test WAN" ein RFC 1918 Netzwerk war und dort die globale Blocking Regel für 1918er Netze komplett entfernt ist ums nicht unnötig kompliziert zu machen.

Die CP Ausnahmeregel für die IP des APs hast du nicht im Screenshot, die muss dort aber drin sein sonst bleiben Port 80 Pakete hängen !

Beachtet man das alles funktioniert das auf Anhieb !
Bitte warten ..
Mitglied: zesniper1
11.02.2011 um 10:28 Uhr
Hallo aqui,

Problem liegt zwischen Stuhl und Keyboard: Dachte ich mir schon

Danke für die ausführliche Erklärung. Werd ich am Wochenende gleich testen.

Noch eine Frage: Mit welchen Programm zeichnest du deine Netzwerkpläne?

ze_sniper1
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Was ist ein Access point?
Frage von miramaneeLAN, WAN, Wireless4 Kommentare

Hallo, ich werde meinen Hybrid Tarif bei der Telekom kündigen. Mein Arbeitszimmer ist sehr weit weg so gute 7 ...

Router & Routing
ACCESS POINT aus der Ferne anpingen
gelöst Frage von eyidilliRouter & Routing20 Kommentare

An einem Netgear Router mit fester Internet-IP sind 10 AccessPoints (AP) von Netgear WG102 angeschlossen. Ich möchte über das ...

LAN, WAN, Wireless
Konfiguration Linksys Access Point
gelöst Frage von albufeiraLAN, WAN, Wireless4 Kommentare

Meinen Gästen möchte ich den Zugang ins Internet ermöglichen. Dazu habe ich einen Access Point Linksys Access Point LAPAC ...

LAN, WAN, Wireless
DHCP über Access Point
Frage von dewebeyLAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir betreiben ein kleines Hotel mit insgesamt rund 70 Betten. In Spitzenzeiten sind bis zu 50 user ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 12 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...