M0n0wall CP 3.Netzwerkanschluß für Voucher und Syslog-Rechner benutzen

Mitglied: m0n0wall-neuling

m0n0wall-neuling (Level 1) - Jetzt verbinden

20.10.2009, aktualisiert 11:41 Uhr, 8206 Aufrufe, 6 Kommentare

Hallo,
zuerst möchte ich mich bei ALLEN > vorallem aber bei aqui und tikayevent für die Anleitung + Hilfestellungen (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) bedanken. Ich habe mir die Anleitung und Kommentare mehrfach durchgelesen aber scheinbar "sehe ich den Wald vor lauter Bäumen nicht" ...

Ich habe hier ein ALIX2D13 und die Version embedded-1.3b18.img bereits per CF-Card installiert

Folgende Probleme habe ich noch:
WAN:
LAN1: 192.168.1.0 /24 >CP
LAN2: 192.168.3.0 /24 >1PC für die Vouchererstellung und das Syslogging mit KIWI


Es ist ein extra DSL-Anschluß andem nur die bereitstellung des HotSpots + Verwaltung realisiert werden soll.
Das CP habe ich am LAN bereits konfiguriert, die CP-Seite für die Vouchereingabe und die Vouchers selbst sind erstellt.
Ich möchte nun an LAN2 (> habe ich über OPT hinzugefügt ) einen "Atom-PC" für die Vouchererstellung und das Syslogging betreiben.

Was muß ich wie konfigurieren, damit ich von LAN2 die M0n0 administrieren und loggen kann aber keiner von LAN1 CP auf das LAN2 zugreifen kann ?

Wie kann ich diesen Punkt 8s.u.) umsetzen ??
Zu diesem Punkt der Administrator Zugriffsteuerung hat unser Forumuser "tikayevent" richtigerweise noch folgende bessere Variante vorgeschlagen:

Jedoch ein Hinweis: Du verlagerst das Webinterface auf einen anderen Port, es gibt aber eine andere und bessere Möglichkeit: Wenn man im Advanced Menü die Antilockout-Regel abschaltet, kann man den Zugang per Firewall für das Gast-Netz blocken.
Bei sämtlichen Captive Portal-Installationen, die ich mit m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:
Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man sucht und es funktioniert trotzdem alles.
Schonmal vielen Dank .......
Mitglied: aqui
20.10.2009 um 13:36 Uhr
Alle zusätzlichen LAN Ports sind wie bei einer FW generell üblich per Default komplett geblockt in der Monowall ! Siehe dazu auch den "Achtung Hinweis" ganz am Ende des Tutorials den du sicher überlesen hast !!
Dies ist etwas anderes als das LAN Interface was per se schon eine ACL Regel enthält die allen Traffic zulässt.

Fazit: Du musst also in den Firewall Rules eine Regel erstellen, die den Zugriff aus diesem (LAN2) Segment mit dem IP Netzwerk 192.168.3.0 /24 erlaubt.

Das kann als globale Freigabe geschehen wenn du LAN2 auch als Admin Netz nehmen willst, allerdings musst du aufpassen das natürlich keine Zugriffe aus dem LAN Segment (Gäste) möglich ist !
Also...
Schritt 1.) Zugriff vom Segment LAN2 erlauben:
bbf0a138021c01c4fb5dea31d85f004d-monacl1 - Klicke auf das Bild, um es zu vergrößern

Schritt 1.) Zur Sicherheit noch Zugriff vom Segment LAN auf LAN2 und Konfig Zugang explizit verbieten:
Zusätzlich auch noch den HTTP und HTTPS Zugriff auf die LAN IP Adresse (Annahme hier 192.168.1.254 ggf. auf deine IP korrigieren !) und die WAN IP verbieten !
bb8c43b35a71f9376f50bbd1f6732835-monacl2 - Klicke auf das Bild, um es zu vergrößern

Achtung !: Wenn du die ACL aktivierst ist damit ein Konfig Zugang NUR noch über den LAN2 Port möglich !! Logischerweise sofern die der Schritt 1.) ZUERST aktiviert wurde.
Sonst sägst du dir den (Konfig) Ast auf dem Du selber sitzt ab und kannst die MW nur noch über den Konsol Port resetten...
Damit sollte alles dann alles problemlos funktionieren !
Bitte warten ..
Mitglied: m0n0wall-neuling
20.10.2009 um 17:08 Uhr
Hallo aqui,
schonmal vielen Dank !!

Mir ist bei diesen Regeln eines noch nicht klar .... möchte es verstehen
Ich öffne "alles" von LAN2 ausgehend > ok

Von LAN nach LAN2 blockiere ich aber alles ...... richtig ?
Wie kann ich dann die Daten der M0n0 ( > Remote Syslog Server) mit dem KIWI Syslog-Server auf LAN2 protokollieren ? oder geht das prinzipiell von der M0n0 aus ??
Bitte warten ..
Mitglied: aqui
20.10.2009 um 18:03 Uhr
.
"...Von LAN nach LAN2 blockiere ich aber alles ...... richtig ?"

Nein, leider falsch !!
Sieh dir doch mal die Firewall Regel vom LAN an (Accessliste wirkt immer auf eingehende Pakete ! Dort steht:

Protokoll = Alles (*)
Quell IP Adresse (Source) = Alle (*)
Quell Port = Alles (*)
Ziel IP Adresse (Destination) = LAN-2 Netzwerk (LAN2 net)
Ziel Port = Alles (*)

Sprachlich ausgedrückt sagt diese Regel dann:
Erlaube erstmal alles was vom LAN Netz rausgeht !
Dann etwas detailierter was er dennoch blocken soll...
Blocke jedes Protokoll mit jeder Quell IP Adresse und Port was als Ziel das 192.168.3.0er Netzwerk hat !

So, und jetzt musst DU mal erklären wie du bei dieser, doch auch für Laien sehr einfach zu verstehenden Logik, zur Aussage kommst: "..Von LAN nach LAN2 blockiere ich aber alles ...... richtig ? " Von ALLES kann ja nicht dir Rede sein, denn dann wäre ja ÜBERALL (auch bei Destination) ! ein * ! So fischt er aber nur Pakte raus die dein LAN2 IP Netz als Ziel haben...logisch..soll er ja auch !
Die anderen Regeln sagen dann analog:
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 80 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 443 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 80 was als Ziel die WAN Hostadresse der MW hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 443 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !

Die ACL sprechen doch in der Grafik für sich !

Wenn als Ziel für den syslog Server das LAN2 Interface ausgewählt ist wird die MW logischerweise ja auch ihre LAN2 IP Adresse als Absender IP Adresse nehmen.
SIE selber sendet ja diese Pakete und ausgehend gibt es keinerlei Filter. Der syslog Server antwortet dann und dafür greift dann die o.a. Accesslist.
Klar diese LAN2 ACL ist ein Scheinentor so wie sie da ist.
Du kannst das ja etwas dichter zurren wenn du nur den TCP Port von Syslog erlaubst und nur HTTP und HTTPS fürs Konfiguriren.
Wenn du aber physisch sicherstellen kann das keiner an deinen Port LAN2 rankommt musst du ja nicht so restriktiv sein.
Es steht dir aber frei es dennoch zu machen. Allerdings solltest du dir dann erstmal zum testen auf dem LAN Port einen Noteinstieg für die Konfig lassen bis auf LAN2 alles wasserdicht klappt.

Probiers doch einfach aus... Versuch macht kluch(g) !! Und immer auf das Firewall Log in der MW sehen. Die sagt dir schon genau wo es kneift oder was sie nicht mag an Paketen !!
Bitte warten ..
Mitglied: aqui
25.10.2009 um 15:38 Uhr
Wenns das jetzt war dann bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: m0n0wall-neuling
26.10.2009 um 10:58 Uhr
Hallo aqui,
sorry .... für die Fehlinterpretation ........ werde die Änderung für LAN2 diese Woche angehen

Ein Problem habe ich jetzt leider noch:
Das Test-System funktioniert nach einem "START" perfekt.
Abends nehme ich allerdings mein Notebook vom LAN1 Port weg und mache den UMTS-Router am Testsystem aus.

Wenn ich nun morgens wieder meinen Notebook an den LAN1-Port anschliesse und den KIWI Sysmon starte sehe ich direkt, daß Logdaten gesendet werden, und auch per DHCP die IP zugeordnet wird. Auf die das Webinterface der M0n0 kann ich ohne Probleme zugreifen.

Ruf ich nun mit meinem Notebook eine Webseite auf, kommt nicht das CP , sondern nur die Fehlermeldung:
Die Webseite kann nicht angezeigt werden ..........

Auf das CP kann ich aber weiterhin zugreifen und in den LOG´s kann ich nichts erkennen !

Starte ich nun die M0no komplett neu funktioniert wieder alles bis zum ABEND bzw. nächsten MORGEN ?

Ich sitze jetzt gerade wieder vor diesem Problem ...... und habe die M0n0 noch nicht neugestartet .....

Wenn ich unter Status > Interfaces> WAN Interface > DHCP per "Release" aktualisieren funktioniert es wieder ?!?!
Bitte warten ..
Mitglied: aqui
29.10.2009 um 13:29 Uhr
Generell ist es keine gute Idee einem Client im Gastnetz mit wechselnder IP als Syslog Server zu nehmen. Ist ja auch logisch, denn sollte sich die IP durch den dynmaischen DHCP Prozess einmal ändern gehen deine Syslogs ins Leere !
An der tatsache krankt dieses problem schon generell !
Außerdem hat ein Syslog Server natürlich nichts im Gastsegment zu suchen aus Sicherheitsgründen. Über den Unsinn solltest du also nochmal genau nachdenken. Ein Syslog Server hat eine statische IP außerhalb jeglicher DHCP Bereiche und gehört NICHT ins offene Gastnetz !!

Normale Clients im GastLAN sollten immer problemlos über das CP arbeiten können auch noch nach 2, 20 oder 200 oderxyz Tagen ohne diese Fehlermeldung.
Ansonsten hast du irgendow einen Konfig Fehler begangen !! Das du das Release 1.3b18 verwendest sollte klar sein.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu15 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
CPU, RAM, Mainboards
Netzwerkanschluss verschließen
gelöst cimFrageCPU, RAM, Mainboards15 Kommentare

Hallo, an einem Computer soll verhindert werden, dass ein LAN-Kabel eingesteckt wird. Kennt jemand eine Lösung, um die Buchse ...

Netzwerke
Kiwi Syslog
gelöst apranetFrageNetzwerke6 Kommentare

Guten Tag zusammen, ich bitte um Hilfe, da Google mir das nicht eindeutig sagen kann. Kiwi kostet doch Geld, ...

Microsoft
Einfacher Syslog Server gesucht
clonexFrageMicrosoft23 Kommentare

Hallo, ich suche einen einfachen Weg, Syslogs zu sammeln. Sprich der Dienst soll einfach nur Syslogs von Switchen und ...

Erkennung und -Abwehr

Empfehlung Syslog-Eventlog Zentralisierung

Der-PhilFrageErkennung und -Abwehr12 Kommentare

Hallo! Ich suche eine schöne Lösung, um Syslog und Eventlog (von Windows-Systemen) zu zentralisieren. Wie macht ihr das? Aufgabenstellung ...

Monitoring

Frage zu KiWi Syslog

SabSchapFrageMonitoring4 Kommentare

Hallo zusammen, ich habe bisher noch keinen Syslog Server eingerichtet. Folgendes wollen wir machen: Die Logs unseres Windows 2016 ...

PHP

PHP UTF8 zu CP 850 konvertieren

gelöst wescraven07FragePHP8 Kommentare

Moin Leude, ich habe ein kleines php-Script geschrieben, dass eine *txt_Datei erstellt. im Inhalt der zweiten Zeile werden aber ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT