13
LAN-Routing mit Monowall
Hallo,
stehe hier vor einem kleinen Problem.
Folgende Konfiguration:
LAN (192.168.123.0/24)
I
Monowall (GW: 192.168.123.50) - WAN
I
WLAN (192.168.124.0/24)
Masken sind 255.255.255.0
Es soll folgendes erreicht werden:
Kommunikation von 192.168.123.230:9000 auf 192.168.124.30:9000
Auf dem Server (2008 R2 - DNS/AD/TS - 192.168.123.230) läuft eine Software, welche mit einem Gerät im 192.168.124er Netz kommunizieren muss. Das WLAN-Netz darf prinzipiell keine Kommunikation in das LAN Netz haben, da im WLAN auch ein öffentlicher Hotspot liegt. Die einzigste Kommunikation soll vom Server ins WLAN sein. Zum einem für administrative Zwecke (Zugriff auf die APs) und für die Kommuniktion der Software mit einem Gerät im WLAN-Netz.
So weit so gut. Wenn ich aber bei den Interfaces der Monowall dieses erlaube klappt es leider nicht. Die Software kommuniziert leider nicht.
Diese ominöse Software, welche aus dem LAN-Netz mit dem Gerät im WLAN-Netz kommuniziert muss leider so bleiben (Konfiguration), da dieses Gerät widerrum mit anderen Geräten auf dem WLAN-Netz kommunziert.
Eine Route ist doch eigentlich nicht nötig, da ja die Monowall beide IP-Netze kennt. Aber wie sieht es beim Server aus?
Danke im Vorraus für Hilfe....
Grüße
stehe hier vor einem kleinen Problem.
Folgende Konfiguration:
LAN (192.168.123.0/24)
I
Monowall (GW: 192.168.123.50) - WAN
I
WLAN (192.168.124.0/24)
Masken sind 255.255.255.0
Es soll folgendes erreicht werden:
Kommunikation von 192.168.123.230:9000 auf 192.168.124.30:9000
Auf dem Server (2008 R2 - DNS/AD/TS - 192.168.123.230) läuft eine Software, welche mit einem Gerät im 192.168.124er Netz kommunizieren muss. Das WLAN-Netz darf prinzipiell keine Kommunikation in das LAN Netz haben, da im WLAN auch ein öffentlicher Hotspot liegt. Die einzigste Kommunikation soll vom Server ins WLAN sein. Zum einem für administrative Zwecke (Zugriff auf die APs) und für die Kommuniktion der Software mit einem Gerät im WLAN-Netz.
So weit so gut. Wenn ich aber bei den Interfaces der Monowall dieses erlaube klappt es leider nicht. Die Software kommuniziert leider nicht.
Diese ominöse Software, welche aus dem LAN-Netz mit dem Gerät im WLAN-Netz kommuniziert muss leider so bleiben (Konfiguration), da dieses Gerät widerrum mit anderen Geräten auf dem WLAN-Netz kommunziert.
Eine Route ist doch eigentlich nicht nötig, da ja die Monowall beide IP-Netze kennt. Aber wie sieht es beim Server aus?
Danke im Vorraus für Hilfe....
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Dani am Nov 01, 2011 um 11:18:53 Uhr
Kauf dir erstmal ne Tastatur wo die Shift-Taste nicht klemmt. 
Content-Key: 175593
Url: https://administrator.de/contentid/175593
Printed on: April 16, 2024 at 10:04 o'clock
13 Comments
Latest comment
Hallo,
der Server muss nur die Monowall als Gateway eingetragen haben. Dann sollte es rein Routingtechnisch funktionieren.
Hast du die Dienste in der Firewall freigeschaltet?
Gruß Luie
der Server muss nur die Monowall als Gateway eingetragen haben. Dann sollte es rein Routingtechnisch funktionieren.
Hast du die Dienste in der Firewall freigeschaltet?
Gruß Luie
Außerdem musst du aufpassen welches Interface du dabei verwendest !!
Leider teilst du uns ja nicht mit WO dein LAN und speziell WLAN angeklemmt ist bei der Monowall
Wenn das WAN Interface mit im Spiel ist, dann macht die Monowall darauf NAT also IP Adress Translation. Über das Interface kommst du ohne einen Port Forwarding eintrag NICHT drüber weg (NAT Firewall).
Besser du steckst dann also noch eine 3te NIC mit rein oder wenn du ein ALIX_Board benutzt nimmst du das 3te (OPT1) Interface.
Alternativ kannst du das auch mit VLANs problemlos lösen, denn benötigst du keine weitere HW. Wie das geht steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Allerdings erfordett das einen VLAN fähigen Switch dann.
Damit lässt sich dann transparent ohne NAT routen wenn du das musst
Wenn du über das WAN Interface arbeitest, dann musst du zwangsweise mit Port Forwarding arbeiten, was du vermutlich nicht machst und so in diese Falle getappt bist !
Sinnvoll wäre mal ein Screenshot deiner FW Rule Einstellungen... Und immer ins FW Log sehen wenn was klemmt !!
Leider teilst du uns ja nicht mit WO dein LAN und speziell WLAN angeklemmt ist bei der Monowall
Wenn das WAN Interface mit im Spiel ist, dann macht die Monowall darauf NAT also IP Adress Translation. Über das Interface kommst du ohne einen Port Forwarding eintrag NICHT drüber weg (NAT Firewall).
Besser du steckst dann also noch eine 3te NIC mit rein oder wenn du ein ALIX_Board benutzt nimmst du das 3te (OPT1) Interface.
Alternativ kannst du das auch mit VLANs problemlos lösen, denn benötigst du keine weitere HW. Wie das geht steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Allerdings erfordett das einen VLAN fähigen Switch dann.
Damit lässt sich dann transparent ohne NAT routen wenn du das musst
Wenn du über das WAN Interface arbeitest, dann musst du zwangsweise mit Port Forwarding arbeiten, was du vermutlich nicht machst und so in diese Falle getappt bist !
Sinnvoll wäre mal ein Screenshot deiner FW Rule Einstellungen... Und immer ins FW Log sehen wenn was klemmt !!
Hallo,
erstmal danke für die Hilfe!
die Mono hat 3 NICs (WAN / LAN / WLAN).
WAN = bge0
LAN = re0
WLAN = re1
Der Server hat (so wie alle LAN-Clients) das GW; also die Monowall (192.168.123.50) drin!!
Grüße
erstmal danke für die Hilfe!
die Mono hat 3 NICs (WAN / LAN / WLAN).
WAN = bge0
LAN = re0
WLAN = re1
Der Server hat (so wie alle LAN-Clients) das GW; also die Monowall (192.168.123.50) drin!!
Grüße
Bist Du Dir sicher, dass der Sourceport ebenfalls 9000 ist? Meist ist der dynamisch...
Zitat von @svenider5:
Auf dem Server (2008 R2 - DNS/AD/TS - 192.168.123.230) läuft eine Software, welche mit einem Gerät im 192.168.124er Netz
kommunizieren muss.
Auf dem Server (2008 R2 - DNS/AD/TS - 192.168.123.230) läuft eine Software, welche mit einem Gerät im 192.168.124er Netz
kommunizieren muss.
Die Zieladresse wird in der Software hinterlegt? Broadcasts gehen nicht über den Router...
Gruß
sk
Die schnelle Hilfe hier ist gigantisch.....!!
Ja, bei dem Source bin ich mir nicht sicher! Destination aber schon. Aber ich habe ja die Rules auf any. Also eigentlich egal. Oder?
Das Ziel liegt in der Software. Broadcast kann ich dir leider nicht sagen. Dazu ist zu wenig von der SW bekannt!
Screenshots der FW:
http://imageshack.us/photo/my-images/802/lano.jpg/
http://imageshack.us/photo/my-images/408/wlane.jpg/
Ja, bei dem Source bin ich mir nicht sicher! Destination aber schon. Aber ich habe ja die Rules auf any. Also eigentlich egal. Oder?
Das Ziel liegt in der Software. Broadcast kann ich dir leider nicht sagen. Dazu ist zu wenig von der SW bekannt!
Screenshots der FW:
http://imageshack.us/photo/my-images/802/lano.jpg/
http://imageshack.us/photo/my-images/408/wlane.jpg/
Sieh doch in die Firewall Logs !! Dort werden dir die Ports alle angezeigt. Und bitte unterlasse diese überflüssigen externen Bilderlinks.
Gehe auf "Meine Beiträge", klicke deinen o.a. Thread an und dann auf "bearbeiten" !
Dort siehst du eine wunderbare Bilder Upload Funktion mit der du die Bilder hochlädst !
Den dir dann gesendeten Bilder URL cut and pastest du mit einem Rechtsklick und kannst ihn dann hier in jeglichen Text wie Antworten usw. hier bringen. Es wird dann immer das Bild angezeigt...so schwer kann das doch nicht sein, oder ? FaQ lesen hilft wirklich !!
Das erspart der Forums Community sinnlose Klicks und Zwangswerbung !!
Zurück zu deinem Problem:
Wenn deine Endgeräte, und das betrifft auch den Server, die Monowall auch als Gateway eingetragen haben und du auf dem LAN und WLAN Port erstmal alles erlaubt hast mit einer "any to any" Regel dann sollte eine Verbindung problemlos laufen.
Falls der Server ein anderes gateway hast musst du DORT die Route auf das WLAN Netz nachtragen oder wenn das nicht geht dem Server das mit route add... sagen. Besser ist immer die Route auf dem Gateway und NICHT auf dem Server !
Zur Netztopologie machts du ja aber leider keinerlei Aussagen so das man hier nur im freien Fall raten kann
Wenn du also noch einen anderen Router (Internet etc.) im Netz hast dann musst du hier natürlich statische Routen hinzufügen.
Frage ist also ob die Monowall auch über den WAN Port das Internet Routing macht oder nur die beiden Segmente LAN und WLAN verbindet.
Nochwas zu deinen "Scheunentor" Regeln: Sinnvoll wäre hier als Source wenigstens "LAN Subnet" bzsw. "WLAN Subnet" und den Rest * als Minimum zu nehmen. Bei deinen ist ja wirklich alles offen...ist aber eher kosmetisch, da sie ja eh erstmal nur zum Testen sind.
Hast du ein Captive_Portal am WLAN Port aktiv weil du Hotspot erwähnst.
Macht also die Monowall den Hotspot oder ist das ein externes Gerät im WLAN Segment ??
Nochwas: kannst du wenigstens von einem Client im WLAN Segment den Server anpingen ??
Gehe auf "Meine Beiträge", klicke deinen o.a. Thread an und dann auf "bearbeiten" !
Dort siehst du eine wunderbare Bilder Upload Funktion mit der du die Bilder hochlädst !
Den dir dann gesendeten Bilder URL cut and pastest du mit einem Rechtsklick und kannst ihn dann hier in jeglichen Text wie Antworten usw. hier bringen. Es wird dann immer das Bild angezeigt...so schwer kann das doch nicht sein, oder ? FaQ lesen hilft wirklich !!
Das erspart der Forums Community sinnlose Klicks und Zwangswerbung !!
Zurück zu deinem Problem:
Wenn deine Endgeräte, und das betrifft auch den Server, die Monowall auch als Gateway eingetragen haben und du auf dem LAN und WLAN Port erstmal alles erlaubt hast mit einer "any to any" Regel dann sollte eine Verbindung problemlos laufen.
Falls der Server ein anderes gateway hast musst du DORT die Route auf das WLAN Netz nachtragen oder wenn das nicht geht dem Server das mit route add... sagen. Besser ist immer die Route auf dem Gateway und NICHT auf dem Server !
Zur Netztopologie machts du ja aber leider keinerlei Aussagen so das man hier nur im freien Fall raten kann
Wenn du also noch einen anderen Router (Internet etc.) im Netz hast dann musst du hier natürlich statische Routen hinzufügen.
Frage ist also ob die Monowall auch über den WAN Port das Internet Routing macht oder nur die beiden Segmente LAN und WLAN verbindet.
Nochwas zu deinen "Scheunentor" Regeln: Sinnvoll wäre hier als Source wenigstens "LAN Subnet" bzsw. "WLAN Subnet" und den Rest * als Minimum zu nehmen. Bei deinen ist ja wirklich alles offen...ist aber eher kosmetisch, da sie ja eh erstmal nur zum Testen sind.
Hast du ein Captive_Portal am WLAN Port aktiv weil du Hotspot erwähnst.
Macht also die Monowall den Hotspot oder ist das ein externes Gerät im WLAN Segment ??
Nochwas: kannst du wenigstens von einem Client im WLAN Segment den Server anpingen ??
Hi,
ja, any to any ist ja nur für den Testlauf. Für das produktive Netz kommen da schon noch die Rules....
Der Server hat 192.168.123.50 als Gateway.
Die Monowall routet.
Captive ist deaktiviert.
Hotspot sind ca. 8 APs.
Die APs kann ich ja vom LAN ansprechen. Ping und WebGUI geht problemlos.
Nur eben diese Software vom Server (192.168.123.230) die auf das Gerät (192.168.124.30) im WLAN zugreifen soll, geht nicht. Ich bekomme auch keine Logs in der Firewall.
Grüße
ja, any to any ist ja nur für den Testlauf. Für das produktive Netz kommen da schon noch die Rules....
Der Server hat 192.168.123.50 als Gateway.
Die Monowall routet.
Captive ist deaktiviert.
Hotspot sind ca. 8 APs.
Die APs kann ich ja vom LAN ansprechen. Ping und WebGUI geht problemlos.
Nur eben diese Software vom Server (192.168.123.230) die auf das Gerät (192.168.124.30) im WLAN zugreifen soll, geht nicht. Ich bekomme auch keine Logs in der Firewall.
Grüße
Habe die Monowall nochmals neu gestartet. Jetzt kommen Logs in der Firewall:
124 15:44:47.408914 LAN 192.168.123.50 192.168.123.230, type redirect/host ICMP
124 15:44:47.408914 LAN 192.168.123.50 192.168.123.230, type redirect/host ICMP
Das ist ein ICMP Redirect. Zeigt das du im gleichen LAN Segment noch einen Router hast ! Nichts falsches, sollte aber nicht geblockt sein !
Leider schreibst du ja nicht ob da ein "x" davor ist oder ein "->" so das wir nicht wissen obs durchläuft oder geblockt wird. Daher ist diese Info erstmal ziemlich nutzlos...
So, nochmal die Fakten:
Monowall
WAN IP = irgendwas, geht Richtung Internet oder was auch immer...
LAN IP = 192.168.123.50
WLAN IP = 192.168.124.50
(Tipp: In der Regel gibt man Routern immer IPs ganz oben .254 oder ganz unten .1 damit sie einfach zu identifizieren sind)
Server:
IP = 192.168.123.230
Def. Gateway = 192.168.123.50 (Mono)
Client im WLAN:
IP = 192.168.124.100
Def. Gateway = 192.168.124.50 (Mono)
Das sollte erstmal so für den Testaufbau gegeben sein !
Dann testest du aus:
Was du bedenken musst:
Pings und Zugriffe auf den Server kommen nun mit einer anderen IP Adresse als Absender aus dem WLAN Netz. Folglich schlägt die lokale Winblows Firewall zu die nur Zugriff aus dem lokalen Netz zuläst.
Vergiss also nicht auch die Server Firewall entsprechend anzupassen das dieser IP Bereich erlaubt ist ! Die Monowall ist nur ein Rädchen in diesem Szenario !
Leider schreibst du ja nicht ob da ein "x" davor ist oder ein "->" so das wir nicht wissen obs durchläuft oder geblockt wird. Daher ist diese Info erstmal ziemlich nutzlos...
So, nochmal die Fakten:
Monowall
WAN IP = irgendwas, geht Richtung Internet oder was auch immer...
LAN IP = 192.168.123.50
WLAN IP = 192.168.124.50
(Tipp: In der Regel gibt man Routern immer IPs ganz oben .254 oder ganz unten .1 damit sie einfach zu identifizieren sind)
Server:
IP = 192.168.123.230
Def. Gateway = 192.168.123.50 (Mono)
Client im WLAN:
IP = 192.168.124.100
Def. Gateway = 192.168.124.50 (Mono)
Das sollte erstmal so für den Testaufbau gegeben sein !
Dann testest du aus:
- Ping von Client im WLAN auf seine Monowall Gateway IP, klappt ?
- Ping von Client im WLAN auf Monowall Gateway IP im LAN, klappt ?
- Ping von Client im WLAN auf Server im LAN, klappt ? (ICMP am Server zulassen, Firewall !)
- Dann diese ganzen Pings vom Server aus machen...
Was du bedenken musst:
Pings und Zugriffe auf den Server kommen nun mit einer anderen IP Adresse als Absender aus dem WLAN Netz. Folglich schlägt die lokale Winblows Firewall zu die nur Zugriff aus dem lokalen Netz zuläst.
Vergiss also nicht auch die Server Firewall entsprechend anzupassen das dieser IP Bereich erlaubt ist ! Die Monowall ist nur ein Rädchen in diesem Szenario !
Hi,
sorry; ist natürlich eine deny (X). Sonst wäre es ja nicht "schlimm".
Die Logs kamen aber nur, nachdem wir mit den statischen Routen in der Monowall experimentiert haben. Diese habe ich wieder gelöscht.
WLAN-Gateway hat 192.168.124.1
Sonst stimmt alles!
Zu deinen Fragen:
Ping vom Client im WLAN auf WLAN-Gateway IP = OK
Ping vom Client im WLAN auf LAN-Gateway IP = OK
Ping vom Client im WLAN auf Server im LAN = OK
Ping vom Server im LAN auf LAN-Gateway IP = OK
Ping vom Server im LAN auf WLAN-Gateway IP = OK
Ping vom Server im LAN auf WLAN-Client IP = OK
Server Firewall ist off!!
sorry; ist natürlich eine deny (X). Sonst wäre es ja nicht "schlimm".
Die Logs kamen aber nur, nachdem wir mit den statischen Routen in der Monowall experimentiert haben. Diese habe ich wieder gelöscht.
WLAN-Gateway hat 192.168.124.1
Sonst stimmt alles!
Zu deinen Fragen:
Ping vom Client im WLAN auf WLAN-Gateway IP = OK
Ping vom Client im WLAN auf LAN-Gateway IP = OK
Ping vom Client im WLAN auf Server im LAN = OK
Ping vom Server im LAN auf LAN-Gateway IP = OK
Ping vom Server im LAN auf WLAN-Gateway IP = OK
Ping vom Server im LAN auf WLAN-Client IP = OK
Server Firewall ist off!!
Supi....dann klappt doch Netzwerk technisch nun alles !! Mehr kann man nicht machen !
Wo ist denn nun dein Problem ??
Wo ist denn nun dein Problem ??
Ja, dass diese Software auf dem Server im LAN das Gerät im WLAN nicht ansprechen kann. Es funktioniert nicht. Wenn ich bei dem besagten Server eine zweite NIC aktiviere und dieser eine 124er (WLAN) Adresse gebe, dann läuft alles.
Muss da nicht eine Statische Route in die Monowall?
Grüße
Muss da nicht eine Statische Route in die Monowall?
Grüße
Warum ?? Die Monowall "kennt" doch beide Netze !! Eindrucksvoller als mit all den funktionierenden Pings kann man es doch nicht mehr zeigen das die Netzwerk bzw. Routing Verbindung OK ist, oder ??
Gern kannst du das ja nochmal mit Traceroute oder Pathping wiederholen um es ganz genau zu sehen !
Wozu also so einen Unsinn wie statische Routen ?? Und vor allen Dingen WIE sollten die dann auch aussehen auf einem 2 Port Router ??
Wenn der Server den WLAN Client pingen kann und umgekehrt ist netzwerktechnisch alles erledigt..... Alles andere ist SW bezogen.
Es ist zu vermuten das diese SW irgendwelche Broadcasts, Multicasts oder was auch immer aussendet um sich dem Client bekannt zu machen.
Router forwarden sowas aber per se nicht.
Da du nichtmal weisst wie die SW heisst (wenigstens hast du dazu hier noch keinerlei Aussage zu gemacht ) meinst du nicht selber auch das es da mal Sinn macht strategisch an die Sache zu gehen statt blind zu raten und weiter ahnungslos rumzuprobieren ?? Also einen Wireshark Sniffer oder einen Microsoft Network Monitor zu nehmen, auf dem Server zu starten und mal mitzusniffern mit welchen Paketen bzw. Protokoll diese SW Komponenten kommunizieren ??
Vermutlich steht auch all das schon in der Doku zur Software, denn der SW Hersteller kann ja seine Kunden nicht zwingen alles in einem dummen flachen Netz zu betreiben, oder ?
Dann ist es doch ein leichtes den Router zu customizen um das zu übertragen.
Zudem sollte auch die Monowall Firewall Logs entsprechendes zeigen wenn du die Sozrce mal auf das "LAN Subnet" begrenzt. Wenigstens siehst du dann Multicasts und oder auch Broadcasts....
Gern kannst du das ja nochmal mit Traceroute oder Pathping wiederholen um es ganz genau zu sehen !
Wozu also so einen Unsinn wie statische Routen ?? Und vor allen Dingen WIE sollten die dann auch aussehen auf einem 2 Port Router ??
Wenn der Server den WLAN Client pingen kann und umgekehrt ist netzwerktechnisch alles erledigt..... Alles andere ist SW bezogen.
Es ist zu vermuten das diese SW irgendwelche Broadcasts, Multicasts oder was auch immer aussendet um sich dem Client bekannt zu machen.
Router forwarden sowas aber per se nicht.
Da du nichtmal weisst wie die SW heisst (wenigstens hast du dazu hier noch keinerlei Aussage zu gemacht
) meinst du nicht selber auch das es da mal Sinn macht strategisch an die Sache zu gehen statt blind zu raten und weiter ahnungslos rumzuprobieren ?? Also einen Wireshark Sniffer oder einen Microsoft Network Monitor zu nehmen, auf dem Server zu starten und mal mitzusniffern mit welchen Paketen bzw. Protokoll diese SW Komponenten kommunizieren ??Vermutlich steht auch all das schon in der Doku zur Software, denn der SW Hersteller kann ja seine Kunden nicht zwingen alles in einem dummen flachen Netz zu betreiben, oder ?
Dann ist es doch ein leichtes den Router zu customizen um das zu übertragen.
Zudem sollte auch die Monowall Firewall Logs entsprechendes zeigen wenn du die Sozrce mal auf das "LAN Subnet" begrenzt. Wenigstens siehst du dann Multicasts und oder auch Broadcasts....