M0n0wall CP 3.Netzwerkanschluß für Voucher und Syslog-Rechner benutzen

Mitglied: m0n0wall-neuling

m0n0wall-neuling (Level 1) - Jetzt verbinden

20.10.2009, aktualisiert 11:41 Uhr, 8245 Aufrufe, 6 Kommentare

Hallo,
zuerst möchte ich mich bei ALLEN > vorallem aber bei aqui und tikayevent für die Anleitung + Hilfestellungen (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) bedanken. Ich habe mir die Anleitung und Kommentare mehrfach durchgelesen aber scheinbar "sehe ich den Wald vor lauter Bäumen nicht" ...

Ich habe hier ein ALIX2D13 und die Version embedded-1.3b18.img bereits per CF-Card installiert

Folgende Probleme habe ich noch:
WAN:
LAN1: 192.168.1.0 /24 >CP
LAN2: 192.168.3.0 /24 >1PC für die Vouchererstellung und das Syslogging mit KIWI


Es ist ein extra DSL-Anschluß andem nur die bereitstellung des HotSpots + Verwaltung realisiert werden soll.
Das CP habe ich am LAN bereits konfiguriert, die CP-Seite für die Vouchereingabe und die Vouchers selbst sind erstellt.
Ich möchte nun an LAN2 (> habe ich über OPT hinzugefügt ) einen "Atom-PC" für die Vouchererstellung und das Syslogging betreiben.

Was muß ich wie konfigurieren, damit ich von LAN2 die M0n0 administrieren und loggen kann aber keiner von LAN1 CP auf das LAN2 zugreifen kann ?

Wie kann ich diesen Punkt 8s.u.) umsetzen ??
Zu diesem Punkt der Administrator Zugriffsteuerung hat unser Forumuser "tikayevent" richtigerweise noch folgende bessere Variante vorgeschlagen:

Jedoch ein Hinweis: Du verlagerst das Webinterface auf einen anderen Port, es gibt aber eine andere und bessere Möglichkeit: Wenn man im Advanced Menü die Antilockout-Regel abschaltet, kann man den Zugang per Firewall für das Gast-Netz blocken.
Bei sämtlichen Captive Portal-Installationen, die ich mit m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:
Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man sucht und es funktioniert trotzdem alles.
Schonmal vielen Dank .......
Mitglied: aqui
20.10.2009 um 13:36 Uhr
Alle zusätzlichen LAN Ports sind wie bei einer FW generell üblich per Default komplett geblockt in der Monowall ! Siehe dazu auch den "Achtung Hinweis" ganz am Ende des Tutorials den du sicher überlesen hast !!
Dies ist etwas anderes als das LAN Interface was per se schon eine ACL Regel enthält die allen Traffic zulässt.

Fazit: Du musst also in den Firewall Rules eine Regel erstellen, die den Zugriff aus diesem (LAN2) Segment mit dem IP Netzwerk 192.168.3.0 /24 erlaubt.

Das kann als globale Freigabe geschehen wenn du LAN2 auch als Admin Netz nehmen willst, allerdings musst du aufpassen das natürlich keine Zugriffe aus dem LAN Segment (Gäste) möglich ist !
Also...
Schritt 1.) Zugriff vom Segment LAN2 erlauben:
bbf0a138021c01c4fb5dea31d85f004d-monacl1 - Klicke auf das Bild, um es zu vergrößern

Schritt 1.) Zur Sicherheit noch Zugriff vom Segment LAN auf LAN2 und Konfig Zugang explizit verbieten:
Zusätzlich auch noch den HTTP und HTTPS Zugriff auf die LAN IP Adresse (Annahme hier 192.168.1.254 ggf. auf deine IP korrigieren !) und die WAN IP verbieten !
bb8c43b35a71f9376f50bbd1f6732835-monacl2 - Klicke auf das Bild, um es zu vergrößern

Achtung !: Wenn du die ACL aktivierst ist damit ein Konfig Zugang NUR noch über den LAN2 Port möglich !! Logischerweise sofern die der Schritt 1.) ZUERST aktiviert wurde.
Sonst sägst du dir den (Konfig) Ast auf dem Du selber sitzt ab und kannst die MW nur noch über den Konsol Port resetten...
Damit sollte alles dann alles problemlos funktionieren !
Bitte warten ..
Mitglied: m0n0wall-neuling
20.10.2009 um 17:08 Uhr
Hallo aqui,
schonmal vielen Dank !!

Mir ist bei diesen Regeln eines noch nicht klar .... möchte es verstehen
Ich öffne "alles" von LAN2 ausgehend > ok

Von LAN nach LAN2 blockiere ich aber alles ...... richtig ?
Wie kann ich dann die Daten der M0n0 ( > Remote Syslog Server) mit dem KIWI Syslog-Server auf LAN2 protokollieren ? oder geht das prinzipiell von der M0n0 aus ??
Bitte warten ..
Mitglied: aqui
20.10.2009 um 18:03 Uhr
.
"...Von LAN nach LAN2 blockiere ich aber alles ...... richtig ?"

Nein, leider falsch !!
Sieh dir doch mal die Firewall Regel vom LAN an (Accessliste wirkt immer auf eingehende Pakete ! Dort steht:

Protokoll = Alles (*)
Quell IP Adresse (Source) = Alle (*)
Quell Port = Alles (*)
Ziel IP Adresse (Destination) = LAN-2 Netzwerk (LAN2 net)
Ziel Port = Alles (*)

Sprachlich ausgedrückt sagt diese Regel dann:
Erlaube erstmal alles was vom LAN Netz rausgeht !
Dann etwas detailierter was er dennoch blocken soll...
Blocke jedes Protokoll mit jeder Quell IP Adresse und Port was als Ziel das 192.168.3.0er Netzwerk hat !

So, und jetzt musst DU mal erklären wie du bei dieser, doch auch für Laien sehr einfach zu verstehenden Logik, zur Aussage kommst: "..Von LAN nach LAN2 blockiere ich aber alles ...... richtig ? " Von ALLES kann ja nicht dir Rede sein, denn dann wäre ja ÜBERALL (auch bei Destination) ! ein * ! So fischt er aber nur Pakte raus die dein LAN2 IP Netz als Ziel haben...logisch..soll er ja auch !
Die anderen Regeln sagen dann analog:
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 80 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 443 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 80 was als Ziel die WAN Hostadresse der MW hat !
Blocke jedes TCP Paket mit jeder Quell IP Adresse und Port 443 was als Ziel die Hostadresse 192.168.1.254 (LAN Int. MW) hat !

Die ACL sprechen doch in der Grafik für sich !

Wenn als Ziel für den syslog Server das LAN2 Interface ausgewählt ist wird die MW logischerweise ja auch ihre LAN2 IP Adresse als Absender IP Adresse nehmen.
SIE selber sendet ja diese Pakete und ausgehend gibt es keinerlei Filter. Der syslog Server antwortet dann und dafür greift dann die o.a. Accesslist.
Klar diese LAN2 ACL ist ein Scheinentor so wie sie da ist.
Du kannst das ja etwas dichter zurren wenn du nur den TCP Port von Syslog erlaubst und nur HTTP und HTTPS fürs Konfiguriren.
Wenn du aber physisch sicherstellen kann das keiner an deinen Port LAN2 rankommt musst du ja nicht so restriktiv sein.
Es steht dir aber frei es dennoch zu machen. Allerdings solltest du dir dann erstmal zum testen auf dem LAN Port einen Noteinstieg für die Konfig lassen bis auf LAN2 alles wasserdicht klappt.

Probiers doch einfach aus... Versuch macht kluch(g) !! Und immer auf das Firewall Log in der MW sehen. Die sagt dir schon genau wo es kneift oder was sie nicht mag an Paketen !!
Bitte warten ..
Mitglied: aqui
25.10.2009 um 15:38 Uhr
Wenns das jetzt war dann bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: m0n0wall-neuling
26.10.2009 um 10:58 Uhr
Hallo aqui,
sorry .... für die Fehlinterpretation ........ werde die Änderung für LAN2 diese Woche angehen

Ein Problem habe ich jetzt leider noch:
Das Test-System funktioniert nach einem "START" perfekt.
Abends nehme ich allerdings mein Notebook vom LAN1 Port weg und mache den UMTS-Router am Testsystem aus.

Wenn ich nun morgens wieder meinen Notebook an den LAN1-Port anschliesse und den KIWI Sysmon starte sehe ich direkt, daß Logdaten gesendet werden, und auch per DHCP die IP zugeordnet wird. Auf die das Webinterface der M0n0 kann ich ohne Probleme zugreifen.

Ruf ich nun mit meinem Notebook eine Webseite auf, kommt nicht das CP , sondern nur die Fehlermeldung:
Die Webseite kann nicht angezeigt werden ..........

Auf das CP kann ich aber weiterhin zugreifen und in den LOG´s kann ich nichts erkennen !

Starte ich nun die M0no komplett neu funktioniert wieder alles bis zum ABEND bzw. nächsten MORGEN ?

Ich sitze jetzt gerade wieder vor diesem Problem ...... und habe die M0n0 noch nicht neugestartet .....

Wenn ich unter Status > Interfaces> WAN Interface > DHCP per "Release" aktualisieren funktioniert es wieder ?!?!
Bitte warten ..
Mitglied: aqui
29.10.2009 um 13:29 Uhr
Generell ist es keine gute Idee einem Client im Gastnetz mit wechselnder IP als Syslog Server zu nehmen. Ist ja auch logisch, denn sollte sich die IP durch den dynmaischen DHCP Prozess einmal ändern gehen deine Syslogs ins Leere !
An der tatsache krankt dieses problem schon generell !
Außerdem hat ein Syslog Server natürlich nichts im Gastsegment zu suchen aus Sicherheitsgründen. Über den Unsinn solltest du also nochmal genau nachdenken. Ein Syslog Server hat eine statische IP außerhalb jeglicher DHCP Bereiche und gehört NICHT ins offene Gastnetz !!

Normale Clients im GastLAN sollten immer problemlos über das CP arbeiten können auch noch nach 2, 20 oder 200 oderxyz Tagen ohne diese Fehlermeldung.
Ansonsten hast du irgendow einen Konfig Fehler begangen !! Das du das Release 1.3b18 verwendest sollte klar sein.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Hardware
Genauigkeit DCF77
Der-PhilFrageHardware12 Kommentare

Hallo! Es geht hier eher um eine akademische Frage, denn um eine Notwendigkeit für die IT, aber vielleicht interessiert ...

Windows Server
Fehler beim Starten Gruppenrichlinien
gelöst OSelbeckFrageWindows Server11 Kommentare

Hi, seid kurzen habe ich (Ich glaube nach einem Update bzw. Erweiterung der GPO Dateien) folgende Meldung Was köönet ...

Datenbanken
SQL Datum Uhrzeit 2 Spalten
Florian86FrageDatenbanken11 Kommentare

Hallo Zusammen, ich möchte aus einer SAP Datenbank über Datum und Zeit Daten abfragen. Datum und Zeit sind aber ...

Hardware
Neue Hard- und Software für kleine Kanzlei mit RA-Micro
SchrumpfiFrageHardware10 Kommentare

Hallo zusammen, ich lese schon länger im Forum mit und konnte so einige Probleme durch eure Hilfe lösen, dafür ...

Batch & Shell
Zeichen suchen und in die nächste Zeile was kopieren
Klaus20FrageBatch & Shell10 Kommentare

Hallo Forum, hätte mal wieder eine Frage an die Batch Profis. Habe mir mehrere Playlisten erstellt und die immer ...

Ähnliche Inhalte
CPU, RAM, Mainboards
Netzwerkanschluss verschließen
gelöst cimFrageCPU, RAM, Mainboards15 Kommentare

Hallo, an einem Computer soll verhindert werden, dass ein LAN-Kabel eingesteckt wird. Kennt jemand eine Lösung, um die Buchse ...

Netzwerke
Kiwi Syslog
gelöst apranetFrageNetzwerke6 Kommentare

Guten Tag zusammen, ich bitte um Hilfe, da Google mir das nicht eindeutig sagen kann. Kiwi kostet doch Geld, ...

Microsoft
Einfacher Syslog Server gesucht
clonexFrageMicrosoft23 Kommentare

Hallo, ich suche einen einfachen Weg, Syslogs zu sammeln. Sprich der Dienst soll einfach nur Syslogs von Switchen und ...

Erkennung und -Abwehr

Empfehlung Syslog-Eventlog Zentralisierung

Der-PhilFrageErkennung und -Abwehr12 Kommentare

Hallo! Ich suche eine schöne Lösung, um Syslog und Eventlog (von Windows-Systemen) zu zentralisieren. Wie macht ihr das? Aufgabenstellung ...

Monitoring

Frage zu KiWi Syslog

SabSchapFrageMonitoring4 Kommentare

Hallo zusammen, ich habe bisher noch keinen Syslog Server eingerichtet. Folgendes wollen wir machen: Die Logs unseres Windows 2016 ...

PHP

PHP UTF8 zu CP 850 konvertieren

gelöst wescraven07FragePHP8 Kommentare

Moin Leude, ich habe ein kleines php-Script geschrieben, dass eine *txt_Datei erstellt. im Inhalt der zweiten Zeile werden aber ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud