Problem mit monowall-captive portal. keine weiterleitung nach login, teilweiße kein einloggen möglich.
Hallo,
erstmal kurz meine Konfiguration:
DSL Modem -- WAN Interface (10.0.0.136/8) -- LAN Interface (192.168.10.1/24)
-- GUEST(WLAN mit AP) Interface (192.168.2.1/24)
mein Problem ist folgendes.
Zunächst erhalte ich manchmal keinen Zugriff auf das Captive Portal, besonders häufig falls sich ein neuer Client verbinden will. sprich nachdem sich der Client mit dem WLAN verbunden hat, bleibt nach der Eingabe im Browser eine weiße Seite zurück oder es kommt eine Meldung dass der Name nicht aufgelöst werden konnte (was auf ein DNS Problem hindeuten würde), dem Client wird als DNS Server die 192.168.2.1 zugeordnet.
Falls, wie es manchmal dann doch der Fall ist, das Captive Portal erscheint, erhält der Client nach der Eingabe des Voucher Codes entweder wiederum eine leere Seite (in der Adressleiste bleibt 192.168.2.1:8000) oder es kommt die Statusseite des Captive Portals. Allerdings wird der Client nie auf die vorher eingegeben Seite weitergeleitet.
DHCP Einstellungen für das GUEST Interface:
Die Firewall Rules für das GUEST Interface:
Und noch die Captive Portal Einstellungen:
Ich bin leider mit meinem Latein am Ende. Ich hoffe es kam mir jemand weiterhelfen.
Viele Dank,
tokn
erstmal kurz meine Konfiguration:
DSL Modem -- WAN Interface (10.0.0.136/8) -- LAN Interface (192.168.10.1/24)
-- GUEST(WLAN mit AP) Interface (192.168.2.1/24)
mein Problem ist folgendes.
Zunächst erhalte ich manchmal keinen Zugriff auf das Captive Portal, besonders häufig falls sich ein neuer Client verbinden will. sprich nachdem sich der Client mit dem WLAN verbunden hat, bleibt nach der Eingabe im Browser eine weiße Seite zurück oder es kommt eine Meldung dass der Name nicht aufgelöst werden konnte (was auf ein DNS Problem hindeuten würde), dem Client wird als DNS Server die 192.168.2.1 zugeordnet.
Falls, wie es manchmal dann doch der Fall ist, das Captive Portal erscheint, erhält der Client nach der Eingabe des Voucher Codes entweder wiederum eine leere Seite (in der Adressleiste bleibt 192.168.2.1:8000) oder es kommt die Statusseite des Captive Portals. Allerdings wird der Client nie auf die vorher eingegeben Seite weitergeleitet.
DHCP Einstellungen für das GUEST Interface:
Die Firewall Rules für das GUEST Interface:
Und noch die Captive Portal Einstellungen:
Ich bin leider mit meinem Latein am Ende. Ich hoffe es kam mir jemand weiterhelfen.
Viele Dank,
tokn
Please also mark the comments that contributed to the solution of the article
Content-Key: 172441
Url: https://administrator.de/contentid/172441
Printed on: April 24, 2024 at 23:04 o'clock
3 Comments
Latest comment
Das ist schonmal gelogen oder technsich falsch: "DSL Modem -- WAN Interface (10.0.0.136/8)"
Wenn du ein DSL Modem hättest würdest du dort eine öffentliche IP bekommen und keine private RFC 1918 IP (10er Netz !) Dein "Modem" ist folglich also ein NAT Router den du vor der FW betreibst !
Fürs weitere Troubleshooting stellt sich dann jetzt die Frage ob du an der Verbindung WAN Port FW zu LAN Port Internet Router DHCP machst oder ob du dort die IP Adressen statisch vergeben hast ??
Wenn letzteres der Fall ist hast du den DNS Server (IP Adresse des Internet Routers) dann statisch in den Globalen Einstellungen der FW angegeben ??
Leider keinerlei Info dazu von dir... Das ist aber wichtig um die DNS Funktion sicherzustellen denn vermutlich ist dein Fehler ein DNS Fehler !
Da du als Gast Interface ein neues IP Netzwerk definiert hast auf dem Port musst du auch zwingend neue Firewall Regeln auf diesem Port definieren denn also default blockt die FW erstmal alles wie es sich für eine FW auch gehört.
Zum Testen könntest du erstmal eine "any to any" Regel nehmen um nicht in die Blocking Falle zu geraten. Wenn du das nicht willst musst du hier zwingend DNS (UDP und TCP 53), die Portalseite mit TCP 8000 und erstmal TCP 80 (Webtraffic) erlauben und zwar gleich am Anfang damit das sauber funktioniert !!! Hast du ja mehr oder weniger auch schon gemacht.
Einen Fehler hast du mit der CP Regel für die Portal Seite auf TCP 8000 gemacht indem du als Ziel die 192.168.2.1 dort eingesetzt hast. Das ist etwas unglücklich. Belasse das Ziel lieber auf * !
So sollte es dann richtig aussehen und damit funktioniert es sauber !:
Nochwas zu deinen FW Regeln:
Deine "Guest HHTPS --> any" Regel ist so wie si im Screenshot ist kompletter Blödsinn, denn damit erlaubst du generell jegliche TCP Session weil du die Angabe von Port TCP 443 in der Destination vergessen hast ! Das solltest du also besser schnell korrigieren !
Für POP3, SSH, SMTP und IMAP stimmen sie dann wieder !
Zusätzlich solltest du noch die verschlüsselten Email Ports freigeben falls jemand gesicherte Email Kommunikation aktiviert hat
Secure SMTP (SSMTP) - port TCP 465
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Secure POP3 (SSL-POP) - port TCP 995
Ansonsten würden solche Email Verbindungen geblockt !
Damit müsste die CP Seite einwandfrei laufen sofern die DNS Parameter wie oben genannt entsprechend konfiguriert sind !
Wenn du ein DSL Modem hättest würdest du dort eine öffentliche IP bekommen und keine private RFC 1918 IP (10er Netz !) Dein "Modem" ist folglich also ein NAT Router den du vor der FW betreibst !
Fürs weitere Troubleshooting stellt sich dann jetzt die Frage ob du an der Verbindung WAN Port FW zu LAN Port Internet Router DHCP machst oder ob du dort die IP Adressen statisch vergeben hast ??
Wenn letzteres der Fall ist hast du den DNS Server (IP Adresse des Internet Routers) dann statisch in den Globalen Einstellungen der FW angegeben ??
Leider keinerlei Info dazu von dir... Das ist aber wichtig um die DNS Funktion sicherzustellen denn vermutlich ist dein Fehler ein DNS Fehler !
Da du als Gast Interface ein neues IP Netzwerk definiert hast auf dem Port musst du auch zwingend neue Firewall Regeln auf diesem Port definieren denn also default blockt die FW erstmal alles wie es sich für eine FW auch gehört.
Zum Testen könntest du erstmal eine "any to any" Regel nehmen um nicht in die Blocking Falle zu geraten. Wenn du das nicht willst musst du hier zwingend DNS (UDP und TCP 53), die Portalseite mit TCP 8000 und erstmal TCP 80 (Webtraffic) erlauben und zwar gleich am Anfang damit das sauber funktioniert !!! Hast du ja mehr oder weniger auch schon gemacht.
Einen Fehler hast du mit der CP Regel für die Portal Seite auf TCP 8000 gemacht indem du als Ziel die 192.168.2.1 dort eingesetzt hast. Das ist etwas unglücklich. Belasse das Ziel lieber auf * !
So sollte es dann richtig aussehen und damit funktioniert es sauber !:
Nochwas zu deinen FW Regeln:
Deine "Guest HHTPS --> any" Regel ist so wie si im Screenshot ist kompletter Blödsinn, denn damit erlaubst du generell jegliche TCP Session weil du die Angabe von Port TCP 443 in der Destination vergessen hast ! Das solltest du also besser schnell korrigieren !
Für POP3, SSH, SMTP und IMAP stimmen sie dann wieder !
Zusätzlich solltest du noch die verschlüsselten Email Ports freigeben falls jemand gesicherte Email Kommunikation aktiviert hat
Secure SMTP (SSMTP) - port TCP 465
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Secure POP3 (SSL-POP) - port TCP 995
Ansonsten würden solche Email Verbindungen geblockt !
Damit müsste die CP Seite einwandfrei laufen sofern die DNS Parameter wie oben genannt entsprechend konfiguriert sind !