estebu
Goto Top

Kein Erfolg mit monowall auf ALIX Board

Hallo Gemeinde,

ich bin bei der Suche nach einer Captive Portal-Lösung auf die monowall gestossen und habe mir ein ALIX Board bestellt.
Das Flashen der CF-Karte hat erstmal etwas gedauert, weil sie 4GB Speicherkapazität besitzt aber letztlich hat es geklappt.
Aufgrund des schönen Tutorials hier auf Administrator.de (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion))
habe ich das dort empfohlene Image gesucht, allerdings heisst das Image wohl mittlerweile anders (generic-pc-serial-1.8.1.img) anstatt , wie im Tutorial beschrieben (Zitatface-smile "...Für ALIX Hardware ist die "embedded-1.xx" Datei dir richtige Wahl...." (Zitat Ende)
Diese "embedded-1.xx" Datei gibt es dort nicht. Ich hoffe nicht, dass dies schon der eigentliche Problemfaktor bei mir ist.
Jedenfalls habe ich dann das "generic-pc-serial-1.8.1.img" geflasht und konnte mich dann auch erfolgreich über den WAN-Port des ALIX-Boards auf das GUI einloggen. Hier geht es aber schon los: Die Kommunikation mit dem Board funktioniert NUR über den WAN-Port! (Zumindest ist er als solcher auf der Platine des Boards bezeichnet)
Wenn ich den PC an einen der beiden anderen Ports anschliesse, bekomme ich keinerlei Verbindung geschweige denn einen Ping auf die monowall.
In den Rules habe ich alles auf "Pass" gesetzt, sowohl bei LAN als auch bei WAN.
Ich benutze einen O² Router mit DHCP als Internetverbindung. Er hat die IP 192.168.1.1
Die monowall habe ich im LAN auf die IP 192.168.2.254 gesetzt - im WAN habe ich DHCP ausgewählt. Den DHCP-Server der monowall habe ich nicht aktiviert.
Wenn ich nun das ALIX Board über den WAN-Port mit dem LAN Port des Routers verbinde, bekommt die monowall aber keine IP Adresse. Im Interface steht lediglich: IPv4 - 0.0.0.0 Subnet: 255.255.0.0
Der WAN - Port ist ja nun belegt und ich verbinde einen Laptop (mit einer statischen IP: 192.168.2.100) mit einem der zwei anderen Ports des ALIX-Boards - aber auf keinem der Ports bekomme ich nun eine Verbindung zur GUI der monowall, obwohl sich der Laptop mittlels der statischen IP im selben Subnet befindet. Auch mit einem aktiven DHCP am Laptop geht es nicht (obwohl ja der Router angeblich die Adressen vergeben soll, wenn monowall im WAN auf DHCP gestellt ist).
Was ist da los? Kann mir jemand von Euch vielleicht ein wenig auf die Spünge helfen? Ich bin bereits am Verzweifeln und vermute schon, dass vielleicht das ALIX-Board nicht in Ordnung ist. Die grünen LED's an den Ports leuchten alle, je nachdem, ob ein Laptop angeschlossen ist auch immer die jeweils zeite LED. Allesdings hat das ALIX Board an der Vorderseite auch noch 3 LED's - von denen leuchtet allerdings immer nur die ganz linke.
Über hilfreiche Tipps würde ich mich sehr freuen!

Viele Grüße

Content-ID: 263363

Url: https://administrator.de/contentid/263363

Ausgedruckt am: 05.11.2024 um 07:11 Uhr

aqui
aqui 14.02.2015 um 09:34:46 Uhr
Goto Top
habe ich das dort empfohlene Image gesucht, allerdings heisst das Image wohl mittlerweile anders (generic-pc-serial-1.8.1.img) anstatt
Für die Monowall ist das korrekt !
Für das ALIX Board bei einem 4 G CF Flash ist das: pfSense-2.2-RELEASE-4g-i386-nanobsd.img.gz
Was du z.B. hier http://files.nl.pfsense.org/mirror/downloads/ downloaden kannst.
Du solltest auch besser die pfSense nehmen, das ist die identische Firewall mit einem besseren Featureset als die Monowall.
Sorry wenn das Tutorial da noch eine falsche Bezeichnung hat das wird korrigiert !
und konnte mich dann auch erfolgreich über den WAN-Port des ALIX-Boards auf das GUI einloggen
Das ist aber Unsinn was du da schreibst ! Über den WAN (Internet) Port kann man sich niemals ins GUI einloggen, denn dort ist die Firewall aktiv und abgesehen davon vergibt die FW an diesem Port niemals eine IP Adresse an einen Client !
Wenn, dann loggst du dich immer über den LAN Port ein ! Kann man also nur hoffen das das oben ein freudscher "Vertipper" deinerseits war...hoffentlich ?!
Die Kommunikation mit dem Board funktioniert NUR über den WAN-Port!
Das ist Unsinn, denn rein logisch kann das nicht gehen aus den oben genannten Gründen ! Das Board hat auch niemals diese Bezeichnungen, denn die heissen vr0, vr1 und vr2 im System. Das kannst du auch selber explizit sehen wenn du dir mal ein Terminal mit PuTTY oder TeraTerm am seriellen Port des ALIX anschliesst !!
Dort kannst du die genau Port Zuordnung sehen über das Menü dort.
Wenn ich nun das ALIX Board über den WAN-Port mit dem LAN Port des Routers verbinde, bekommt die monowall aber keine IP Adresse.
Das ist erstmal korrekt so. Im Default steht der WAN Port der FW als DHCP Client aktiviert, er verhält sich also so wie ein normaler PC an diesem LAN Port des O2 Routers der dort eine IP per DHCP anfordert.
Bekommt ein PC an diesem Port eine IP bekommt auch die Monowall eine IP wenn du an den Default Einstellungen des WAN Ports nichts verändert hast !!
Das Problem ist das viele Provider Billigrouter wie dieser üble O2 Router oft kein MDI-X supporten, also die automatische Polungserkennung bei Patchkabel so das kein aktiver Link zustande kommt (Link LED am Port BEIDER Systeme muss blinken bzw. leuchten !)
Dann musst du ein sog. "gedrehtes" Patchkabel ein Crossover Kabel verwenden, was jeder PC Shop oder der Blödmarkt für ein paar Cents verkauft !
Hast du einen physischen Link bekomt die FW auch problemlos eine IP per DHCP vom Router !
Im Zweifel vergibst du eine statische IP (Static) aus dem IP Netz des O2 Routers und setzt Gateway und DNS Server auf dessen IP, was so oder so besser ist.
Wenn ich den PC an einen der beiden anderen Ports anschliesse, bekomme ich keinerlei Verbindung geschweige denn einen Ping auf die monowall.
Ja, das ist ja auch vollkommen klar !!
Eine Firewall ist immer so eingestellt das sie sämtlichen Traffic am Port verbietet ! Der tiefere Sinn einer Firewall...daher ja auch der Name. DU musst also explizit das freigeben was die Firewall durchlassen soll !
Außerdem schreibst du hast du den DHCP Server NICHT aktiviert ! Dann kann ein Endgerät an diesem Port auch niemals dynmaisch eine gültige IP Adresse bekommen sofern du keine statische konfigurierst.
Ohne eine IP ist so oder so jegliche Kommunikation unmöglich, das weiss aber auch ein Erstklässler, sorry.
Was du da also siehst ist korrektes Verhalten einer Firewall !
Ein Ausnahem ist hier NUR der LAN Port, denn der ist im Default mit aktivem DHCP Server ausgestattet und einer Default Regel die alles passieren lässt !!
An diesem Port kannst du dir also die FW Regeln abgucken und das DHCP Setting.
und ich verbinde einen Laptop (mit einer statischen IP: 192.168.2.100) mit einem der zwei anderen Ports des ALIX-Boards - aber auf keinem der Ports bekomme ich nun eine Verbindung zur GUI der monowall, obwohl sich der Laptop mittlels der statischen IP im selben Subnet befindet.
Nun hast du ja oben gelesen warum das so ist also "was da los ist" !!
Dadurch das du dein LAN Port auf eine andere IP gesetzt hast gelten die dortigen Default Regeln und die Default DHCP Server Einstellung nicht mehr und muss logischerweise angepasst werden auf deine neue IP Netzadresse !!
Der 3te Port OPT1 ist so oder so immer vollstänndig geblockt und muss entsprechend auch mit Regeln ausgestattet werden und DHCP Server sofern du dynamisch IP Adressen vergeben willst und nicht statisch arbeiten willst !
Tip: Als Regel nimm erstmal eine "Scheuentor Regel" mit der du alles erlaubst. Zum Testen ist das ertsmal einfacher und dichmachen kannst du das wenn alles sauber rennt face-wink
Mach das und alles wird wunderbar funktionieren !
dass vielleicht das ALIX-Board nicht in Ordnung ist.
Nein, das ist es de facto nicht ! Deine Denke und dein Vorgehen sind nicht in Ordnung ! Du bist der Buhmann hier weil du nicht nachgedacht hast face-big-smile
von denen leuchtet allerdings immer nur die ganz linke.
Das ist normal und richtig so !

So also... setze die richtigen Regeln und Parameter und nun wollen wir eine Erfolgsmeldung hören hier !
orcape
orcape 14.02.2015 aktualisiert um 09:53:20 Uhr
Goto Top
Hi,
allerdings heisst das Image wohl mittlerweile anders (generic-pc-serial-1.8.1.img) anstatt
..das dürfte so korrekt sein.
Ich benutze einen O² Router mit DHCP als Internetverbindung.
...na ja, Chinaböller, da gibt´s auch Fritten für ´nen kleine Aufpreis..face-wink
Das ALIX tut sich manchmal etwas schwer mit den Interfaces hochfahren und der Zuordnung der Interfaces.
Hast Du das ganze mal stromlos gemacht, nach Deinen Änderungen ?
Was mir für den alternativen Zugriff auf das ALIX schon viel geholfen hat, ist ein seriellen RS-232 Nullmodemkabel.
Dazu brachst Du aber im PC für den Zugriff entweder eine PCI-zu-seriell Adapter (Altteil von freundlichen Händler um die Ecke)
oder einen USB-zu-seriell.
Beschreibung hier unter.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wenn nichts mehr geht...
Damit kannst Du beim boot des ALIX genau sehen was an Interfaces hochgefahren wird, etc., etc....
Gruß orcape
aqui
aqui 14.02.2015 um 11:28:37 Uhr
Goto Top
Das ALIX tut sich manchmal etwas schwer mit den Interfaces hochfahren und der Zuordnung der Interfaces.
Eigentlich nicht wirklich... face-wink
Über das serielle Terminal der FW (DB-9 Buchse) am ALIX kann man wahlfrei nach seinem eigenen und persönlichen Geschmack auch immer individuell die HW Interfaces den entsprechenden FW Interfaces zuweisen.
In so fern kann man deine sehr sinnvolle Empfehlung "...ein seriellen RS-232 Nullmodemkabel." nur wirklich befürworten oben !
Das ist eigentlich ein Muss wenn man mit den ALIX arbeitet und ein kleiner USB zu Seriell Adapter gibt es für ein paar Euro in jedem PC Shop:
http://www.reichelt.de/USB-Konverter/USB2-SERIELL/3/index.html?&ACT ...
orcape
orcape 14.02.2015 um 12:08:56 Uhr
Goto Top
Eigentlich nicht wirklich... face-wink
...wenn man weiss wie´s geht, gebe ich Dir Recht.
Der TO hat da leider nicht die Erfahrung und kommt hier wohl schon mit der physikalischen Zuordung von vr0-vr2 ins "Schleudern"... ...zumindest habe ich da die Vermutung.face-wink
aqui
Lösung aqui 14.02.2015 aktualisiert um 15:24:58 Uhr
Goto Top
...die vermutlich richtig ist ?!
Nundenn....warten wir mal auf das Feedback des TO.
estebu
estebu 14.02.2015 um 15:31:49 Uhr
Goto Top
Nun, es kann schon sein (und das habe ich auch bereits vermutet), dass ich nicht die richtigen Ports benutze - es ist auf dem ALIX Board auch nichts wirklich beschriftet,nur soviel:
Wenn ich von der Rückseite her von oben auf die Platine schaue, habe ich links den COM-Port, dann die drei Netzwerkbuchsen. Bei der linken steht auf der Platine "J1 LAN3", die mittlere heisst "J2 LAN 3" und über der echten steht "J3 LAN1/POE" wobei ich dachte, dass LAN1/POE die WAN-Buchse sein könnte. Korrigiert mich bitte, wenn ich mich irre - dann habe ich das Problem bestimmt gelöst. Also, welche Buchse ist denn nun wofür?

Danke für eure Hilfe!

P.S. Habe mir ein Null-Modem Kabel gekauft, leider hatten sie keinen Adapter auf USB... Vielleicht in den nächsten Tagen.
transocean
Lösung transocean 14.02.2015 aktualisiert um 18:16:38 Uhr
Goto Top
Moin,

von hinten betrachtet ist in der Mitte WAN, rechts LAN 1 und links LAN2, DMZ oder was auch immer.
Zumindestens hier bei meinem Alix Board ist das so.

Gruß,

Uwe
estebu
estebu 14.02.2015 um 15:57:45 Uhr
Goto Top
Oh Mann!!! face-smile Danke für den Hinweis - DAS war das ganze Problem. Nun werde ich mal versuchen, weiter zu kommen mit der Konfiguration.
Die monowall hat sich nun tatsächlich eine IP-Adresse vom Router geholt nebst Gateway und DNS. In den Rukes habe ich bei LAn die Standard-Einstellung belassen, bei WAN alles alles auf Pass gestellt, Beim WAN Interface habe ich den Haken bei "Block private networks" herausgenommen, wie es im Tutorial für den Einsatz mit Router ja auch beschrieben ist.Trotzdem bekommt mein Laptop, der jetzt am rechten LAN1 Port steckt und auch grade mit der monowall verbunden ist, keinen Zugang zum Internet. Muss ich jetzt am Laptop wieder auf DHCP stellen? - Doch wenn ich dies mache, bekommt der Laptop wieder eine IP in der Art 169.xxx.xxx.xxx - also keine vom Router zugewiesen und der Internetzugriff klappt dementsprechend nicht.
Habt ihr noch eine Idee?
estebu
estebu 14.02.2015 um 16:00:19 Uhr
Goto Top
Da ist mir noch was aufgefallen: wenn ich die monowall nun DHCP im Subnet 192.168.2.0 machen lasse, dann fubnktioniert es nun. Ist es richtig, dass die monowall und der Router LAN-seitig nicht in ein und demselben Subnet sein dürfen? Das habe ich gestern hier im Forum noch irgendwo gelesen, wo es jemandem um den Einsatz von AP's im Schulnetzwerk ging....
orcape
orcape 14.02.2015 aktualisiert um 16:14:06 Uhr
Goto Top
.....DMZ oder was auch immer.
..nicht gleich wieder verwirren, den TO.face-wink
von hinten betrachtet ist in der Mitte WAN, rechts LAN 1 und links LAN 2
..richtig.
Die Zuordnung sollte dann sein, mit Blick auf die LAN-Buchsen...
vr0   -  rechts - LAN1  # da sollte Dein PC bei der jetzigen Config zumindest erst mal auf das ALIX zugreifen können
vr1   -  mitte   - WAN  # sollte die Verbindung zum O²-Router sein
vr2   -  links    - LAN2  #  eigentlich OPT1,  erst mal frei lassen, ist sowieso erst mal geblockt
Wenn Du dann mit einer Konsole vom PC aus per ssh 192.168.2.254 auf das ALIX zugreifst, sollte das dann irgendwie so aussehen....
WAN (wan)       -> vr1        -> v4: 192.168.1.2/24
LAN (lan)       -> vr0        -> v4: 192.168.2.254/24
OPT1 (opt1)     -> vr2        -> v4:    -----
Gruß orcape

PS.:
Ist es richtig, dass die monowall und der Router LAN-seitig nicht in ein und demselben Subnet sein dürfen?
O²-Router LAN zu Monowall WAN 1. Subnetz
Monowall LAN 2.Subnetz
also andere IP-Bereiche, schon richtig wie Du das gemacht hast.
aqui
Lösung aqui 14.02.2015 aktualisiert um 18:16:25 Uhr
Goto Top
Ja, richtig die mittlere Buchse ist immer der WAN Port auf den ALIX im Default ! Es ist genau so wie Kollege transocean das beschrieben hat ! face-wink
Beim WAN Interface habe ich den Haken bei "Block private networks" herausgenommen,
Auch das ist genau richtig, da du ja eine Router Kaskade betreibst und auf dem "Transfernetz" zw. O2 und Firewall ja ein RFC 1918 private IP Netz (192.168.1.0 /24) hast ! Korrekt also...
der jetzt am rechten LAN1 Port steckt und auch grade mit der monowall verbunden ist, keinen Zugang zum Internet. Muss ich jetzt am Laptop wieder auf DHCP stellen?
Wenn das der Default LAN Port ist (siehe Beschreibung von transocean !) und du NICHTS an den Default Settings verändert hast, dann bekommt dort ein angeschlossenes Endgerät immer eine IP Adresse per DHCP !!

Per Default ist aber am lokalen Monowall oder pfSense Port auch dummerweise das allseits verbreitete 192.168.1.0 /24 LAN per Default eingestellt wie auch bei dem blöden O2 Router face-sad
So kannst du dann die Firewall nicht einsetzen, denn du hättest auf beiden Ports das gleiche IP Netz was nicht funktioniert, da doppelte IP Adressen an beiden Ports.

Du hast es also schon intuitiv genau richtig gemacht den normalen Default LAN Port auf eine andere IP zu setzen, das bewirkt dann aber das der DHCP Server dort nicht mehr richtig rennt sowie du die IP am Port umkonfigurierst !! Klar denn der hat ja nch die alte 192.1.1.er Konfig die du ändern musst auf das neue IP Netz !
Du musst dann den DHCP Server auf dem LAN Port entsprechend anpassen im Setup auf die neue von dir dann vergebene IP Netzwerk Adresse, dann bekommt dein PC auch einen IP !
Beim Ändern verliert dein Setup PC dann die Verbindung, was klar ist da er ne andere IP hat. Du musst den also temporär auf eine statische IP im neuen Bereich setzen, neu das GUI connecten und die DHCP Anpassungen vornehmen damit die DHCP Vergabe wieder klappt...logisch.
Ob es generell geht kannst du testen wenn du die Firewall wieder auf ihre Default Einstellungen zurücksetzt (Reset) und den WAN Port erstmal nicht anschliesst, dann bekommst du am LAN Port per DHCP eine IP.
Vorausgesetzt der Client steht dann wieder auf "automatisch beziehen" sprich als DHCP !

Wenn du pfiffig bist und dir den Connection Verlust beim Umkonfigurieren des LAN Ports ersparen willst, dann kannst auch den 3ten Port aktivieren (Im Interface Menü auf + klicken) und dir dort eine unbenutze IP vergeben z.B. 172.16.1.1 /24, eine Scheunentor Regel definieren (pass any zu any) und dort auch den DHCP Server aktivieren der IPs im Bereich 172.16.1.200 bis .210 vergibt.
Dann hast du erstmal auch ein unabhängiges Konfig Interface von den du dann dein lokales LAN Port Setting in aller Ruhe anpassen kannst auf dein neues IP Netz mit DHCP ohne das du den Link verlierst sollte dein Konfig PC dort dranhängen. face-wink
Den Port kannst du dann später für dein Gäste Zugang mit dem CP customizen. Dann wieder vom nun funktionierenden LAN Port mit der neuen IP face-wink
estebu
estebu 14.02.2015 um 18:19:10 Uhr
Goto Top
Sehr gut, nun hat auch alles geklappt soweit. Das hätte im Grunde vermieden werden können, wenn ich von Anfang an die Ports hätte bezeichnen bzw. identifizieren können - vielleicht könnt ihr das ja mal mit in das Tutorial aufnehmen? WAN Port immer in der Mitte!! ;)
Wenn ich nun einen AP mit ins Spiel bringen möchte - muss er dann an LAN1 oder an den (noch gesperrten ) LAN2-Port angeschlossen und konfiguriert werden? Oder ist das egal?
aqui
aqui 14.02.2015 aktualisiert um 18:43:36 Uhr
Goto Top
OK, super wenn nun alles rennt wie es soll. Ich werde die Anregung aufnhemen und das Tutorial nochmal anpassen.
Wenn ich nun einen AP mit ins Spiel bringen möchte - muss er dann an LAN1 oder an den (noch gesperrten ) LAN2-Port angeschlossen und konfiguriert werden? Oder ist das egal?
Das ist erstmal egal und hängt rein von dir ab WAS du in den beiden Netzwerk Segmenten realisieren willst ?? Deshalb können wir das erstmal nur raten oder müssten deine Design Gedanken lesen können...
So eine Standard Konfig ist ja häufig das man am Default LAN Port sein privates lokales Netz hat und am 3ten Port dann z.B. das Gastnetz. So als Beispiel...
Generell kannst du den AP natürlich in jedes Segment hängen und hast dann zusätzlich auch WLAN Zugang in dem Segment. Dem AP ist es ja erstmal herzlich egal in welchem IP Netz er arbeitet, denn ein AP ist ja immer nur eine simple Bridge die das lokale IP Netz dann quasi "in die Luft" bringt.
Wichtig ist das der AP:
  • NICHT selber DHCP macht, damit es zu keinem Konfligt mit dem FW DHCP Server kommt.
  • Er immer eine korrespondierende Management IP, Maske und Gateway aus dem IP Segment bekommt in dem er betrieben wird
Wenn du das beachtest ist das problemlos.
Falls du einen WLAN Router als einfachen WLAN AP umfunktionierst dann solltest du das hier alles beachten:
Kopplung von 2 Routern am DSL Port
Damit rennt dann alles sauber...
estebu
estebu 14.02.2015 um 22:43:13 Uhr
Goto Top
Mal ganz nebenbei, Leute: ein super Forum hier bei euch, wo auch den Newbies nett und hilfsbereit geantwortet wird. Das kenne ich von ähnlichen Seiten ganz anders... (siehe z.B. php.de)
Vielen Dank nochmal für eure Hilfe, jetzt läuft auf jeden Fall die FW und das CP mit Voucher... Als nächstes kommt dann die Einbindung der SMS Funktion ;)
Das wird sicher nochmal spaßig...
Viele Grüße
aqui
aqui 15.02.2015 um 16:23:04 Uhr
Goto Top
ein super Forum hier bei euch, wo auch den Newbies nett und hilfsbereit geantwortet wird
Danke für die Blumen obwohl einige wenige hier das manchmal etwas anders sehen wenn sie mal ein klein wenig härter angefasst werden verbal face-wink
Klasse wenn nun alles rennt wie es soll und Chapeu das du das als Newbie hinbekommen hast ! Damit bist du dann kein Newbie mehr face-big-smile
Als nächstes kommt dann die Einbindung der SMS Funktion ;)
Na ja für dich als Profi jetzt ein Selbstgänger...?!
Die Tutorials:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
und
Netzwerk Management Server mit Raspberry Pi
helfen dir wie immer dabei. Ansonsten Thread öffnen face-wink
estebu
estebu 16.02.2015 aktualisiert um 11:31:35 Uhr
Goto Top
Okay, die Tutorials sehen vielversprechend aus, jedoch glaube ich, dass ich nur einen kleinen Teil davon wirklich brauche, aber ich hätte hier gerne nochmal einen Rat von euch dazu. Wir sind ein kleines Hotel mit 9 Zimmern und einer maximalen Gastauslastung von 34 Personen. Es geht im Grunde darum, den Gästen gerne einen WLAN Internetzugang für ihre Laptops und Smartphones bereit zu stellen, diese Zugriffe dann aber wegen eben dieser "Störerhaftung" sicher zu protokollieren und im Bedarfsfall nachvollziehen zu können, wer wann was gemacht hat über unser Netzwerk (wie bei uns bereits mehrfach geschehen - Gäste hatten sich Musik und Filme heruntergeladen und das Hotel hat dafür ein paar Tage später Abmahnungen bekommen, weil wir nicht beweisen konnten, welcher Gast es verursacht hat).

Ich denke da also an eine pfSense-Firewall (obwohl ich die monowall bevorzugt hätte, weil sie nicht so umfangreich daherkommt) weil pfSense die Voucher-Ticketerstellung über den SQL-Server unterstützt (dank der Arbeit von eagle2), und Tickets dann via SMS versendet werden können.
Hier wäre es schön, wenn die Erstellung von neuen Tickets, sobald sie aufgebraucht sind, automatisch erfolgt und sie im Idealfall auch automatisch auf den Server übertragen werden würden, um sie dann für den SMS-Versand bereit zu stellen.
Wir sind nämlich nicht immer rund um die Uhr im Haus, sodass wir mit einem Ticketdrucker arbeiten könnten, sondern die Gäste sollen sich selbstständig ins Internet mithilfe dieser Gutscheine einloggen können. Dies hat leider eine gewisse Anonymität aber ich hoffe, dass durch die Speicherung der Handynummern in Verbindung der Vouchers im Bedarfsfall für einen entsprechenden Zeitraum eine eindeutige Zuordnung von Voucher -> Zeitraum -> aufgerufene Daten im Internet -> Handynummer (und damit der eindeutigen Person) zustande kommen kann.

Sinnvoll wäre da sicherlich der Einsatz des Raspberry Pi - ich habe allerdings auch bei unserem Internetprovider Platz auf dem Server und die Möglichkeit , eigene MySQL Datenbanken anzulegen. Damit könnte ich mir den Raspberry Pi eigentlich sparen, oder? Allerdings bleibt dann noch die Frage des Loggings, das mir ja wichtig ist und das könnte der Raspberry wiederum mit Syslog gut leisten oder kann ich dafür auch unseren Büro-PC nutzen, der sowieso auch 24 Stunden am Tag eingeschaltet ist? Vielleicht bietet aber pfSense für diesen Zweck ein eigenes Logging an?

Dann bleibt noch die Frage, ob die geloggten Daten nach einem gewissen Zeitraum der Aufbewahrung automatisch gelöscht werden können, da ja jedes Speichermedium nur begrenzten Platz bietet oder ob ich das immer händisch machen muss?
aqui
aqui 16.02.2015 aktualisiert um 12:04:20 Uhr
Goto Top
Ich denke da also an eine pfSense-Firewall (obwohl ich die monowall bevorzugt hätte,
Das kannst du auch. Welche der Distros du dafür einsetzt ist eher kosmetischer Natur. Beide können was du willst und du kannst nach deinem Geschmack wählen.
Hier wäre es schön, wenn die Erstellung von neuen Tickets, sobald sie aufgebraucht sind, automatisch erfolgt und sie im Idealfall auch automatisch auf den Server übertragen werden würden
Das ist leider aktuell nicht möglich aber wenn du entsprechend viele Voucher planst in der Roll (2000 usw.) dann hast du genug Puffer für ein Jahr (je nach Gastaufkommen was du ja selber beurteilen kannst !) und musst das nur einmal im Jahr machen.
Dies hat leider eine gewisse Anonymität
Jein ! Anhand der eingegebenen Rufnummer des Smartphones kannst du den Besitzer einwandfrei ermitteln !
Damit könnte ich mir den Raspberry Pi eigentlich sparen, oder?
Ja, das kannst du wenn du einen eigenen Server irgendwo hast.
Vielleicht bietet aber pfSense für diesen Zweck ein eigenes Logging an?
Nicht nur die pfSense sondern natürlich auch die Monowall mit der Syslog Funktion.
Dann bleibt noch die Frage, ob die geloggten Daten nach einem gewissen Zeitraum der Aufbewahrung automatisch gelöscht werden können
Ja das ist kinderleicht und eine simple Zeile als Cronjob auf dem Server.

In jedem Falle solltest du auf deinem Gastnetz eine sog. Whitelist als FW Regel installieren die nur die wirklich nötigsten Dienste (Ports) für die Gäste durchlässt. Damit kannst du dann von vorn herein schon das Risiko minimieren.
Die pfSense gibt dir duch das flexible Paket Management noch die Option dir einen Squid Proxy direkt auf dem System zu installieren.
Damit hast du die Option sogar ganz genau zu sehen welchen einzelnen URL deine Gäste ansurfen. Inwieweit das dann wieder andere rechtliche Aspekte des persönlichen Datenschutzes tangiert ist eine andere Frage.
Machbar ist vieles aber im Rahemn der Beweissicherung für die Störerhaftung musst du nicht soweit gehen. Da reichen die normalen Syslog Dateien der FW bzw. der Captive Portals.
estebu
estebu 16.02.2015 um 15:14:57 Uhr
Goto Top
Vielen Dank für deine Hinweise.
Das bedeutet also, dass ich mir das Syslog nicht installieren muss und trotzdem auf der rechtlich sicheren Seite bin weil die LOG-Datei der Firewall ausreichend ist?
So ganz habe ich nämlich noch nicht verstanden, wie ich die Handynummern dann mit dem LOG in der Firewall zusammen bekomme.
In der Firewall werden die Aktivitäten der Nutzer, die einen Voucher benutzen, abgespeichert - aber mit welchen dazugehörigen Infos? Ich lege die Gäste ja nicht mit Benutzernamen und Passwörtern an, sodass darüber eine Zuordnung möglich wäre.
Wie kann ich da im Bedarfsfall einer event. weiteren Abmahnung beweisen, dass wir es nicht selbst waren, die eine Urheberrechtsverletzung begangen haben?

Der Gedanke, für die SMS Funktion nun doch die pfSense-Firewall zu benutzen rührt daher, weil eagle2 die csv-Import-Funktion explizit auf die pfSense-Firewall abgestimmt hat oder kann ich da genau so gut die csv-Datei der monowall benutzen? Ist die Formatierung genau die gleiche? Das wird im Tutorial nämlich nicht erwähnt.

Grüße
aqui
aqui 16.02.2015 aktualisiert um 18:16:24 Uhr
Goto Top
Das bedeutet also, dass ich mir das Syslog nicht installieren muss und trotzdem auf der rechtlich sicheren Seite bin weil die LOG-Datei der Firewall ausreichend ist?
Jein, Die Firewall loggt schon mit allerdings ist der Platz auf dem internen Flash endlich und wird als Round Robin benutzt. Alte Einträge werden dann überschrieben.
Für eine dauergafte Sicherung solltest du das Log auch auf einen externen USB Stick schreiben. Das kannst du mit einem 2 oder 4 Gig Stick direkt an der FW machen die hat ja USB Ports. Das erfordert etwas Bastelei auf der Shell funktioniert aber problemlos.
So kannst du Behörden einfach den Stick mitgeben.
Wenn du nicht Shell basteln willst bleibt dir nur der Syslog Server auf einem preiswerten kleinen NAS, Büro PC oder eben einem kleinen Raspberry Pi usw.
Zum Voucher sichert das Log die eindeutige Mac Adresse des Endgerätes und das Datum. Rechtlich bist du damit aus dem Schneider, denn es ist Aufgabe der Ermittlungsbehörden einen User dazu zu finden.
orcape
orcape 17.02.2015 um 18:11:50 Uhr
Goto Top
Hi estebu,
nur mal noch als Hinweis, warum Du die pfSense dem Monowall-Project vorziehen solltest.
Ich glaube Frank hatte es hier auch irgendwo schon gepostet...
http://www.golem.de/news/firewalls-monowall-wird-aufgegeben-1502-112378 ...
Gruß orcape
estebu
estebu 17.02.2015 um 21:30:30 Uhr
Goto Top
Danke für den Hinweis, bin schon dabei, alles wieder umzubauen, aber das übt ja nur face-smile werde mich sicher bald nochmal melden um zu erfahren, welche Regeln in der FW wirklich sinnvoll sind für mein Vorhaben, wie ich einen Zugang von außen auf die FW hinbekomme trotz unterschiedlicher Subnets und letztlich, wie ich die Logdateien auf den USB Stick umleiten kann, wie mir empfohlen wurde.

Bis dahin, alles Gute und happy networking!
estebu
estebu 17.02.2015 um 22:06:10 Uhr
Goto Top
Gleich mal die erste Frage, die ich mir schon bei der Installation stelle: ich bin doch sehr verwundert ob der Unterschiede allein schon in der Dateigröße der beiden Firewall Versionen: monowall mit schlanken 24 MB (das flashen der CF Card dauerte wenige Sekunden) und die pfSense mit nahezu 4 GB (mehrere Minuten vergehen seither beim Flashvorgang). Das müssen ja riesige Unterschiede sein ....
orcape
orcape 18.02.2015 um 09:03:09 Uhr
Goto Top
Das müssen ja riesige Unterschiede sein
So schlimm ist das nicht, bei mir werden da 209 M angezeigt.
Das hängt mit der CF-Karte zusammen und der Tatsache, das bei der pf für jede CF-Kartengröße ein entsprechendes Image existiert.
Falls es Probleme mit der 4GB gibt, manchmal gibt es da Fehlermeldungen betreffs Größe, nimm einfach eine 1GB, die reicht vollkommen aus.
Gruß orcape
aqui
aqui 18.02.2015 um 09:19:01 Uhr
Goto Top
Du hast nicht richtig hingesehen und gehst nur laienhaft nach der Image Datei Bezeichnung, die aber mit der wahren Größre rein gar nix zu tun hat !
Die Gigabyte beziehen sich auf die Partitiongröße. Die wahre Dateigröße der pfSense ist erheblich kleiner. Mach auf dem Shell Zugang ein df -h dann weisst du es genau.
Kollege orcape hat ja schon alles dazu gesagt !