kollisionskurs
Goto Top

M0n0wall mit Captive Portal über das Internet bzw. einem VPN-Tunnel verlängern

Hallo zusammen,

vor einigen Jahren habe ich in unserem kleinen Hotel ein Captive-Portal für die Gäste eingerichtet. Eine Alix-Hardware samt M0n0wall stellt das Portal bereit, und ist bisher eine verlässliche und perfekte Lösung. Die Lösung basiert auf der genialen Anleitung von aqui:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

aktuelle Konstellation:

Haupthaus/Hotel:

-> [DSL Modem] - [Monowall/Captive Portal] - [DMZ] - [WLAN Gäste]

So... nun soll noch ein (an das Hotel angebundene) Gästehaus im Nachbarort mit Internet versorgt werden bzw. wollen die dort untergebrachten Gäste ebenfalls online ins Netz. Wenn ich jetzt in diesem Gästehaus ebenfalls ein Captive Portal auf Basis einer Monowall installiere, wird der Verwaltungsaufwand natürlich auch heftiger bzw. sind es dann auf einmal zwei Voucher Listen, welche gepflegt werden müssen usw.

Somit würde ich die Gäste im Gästehaus am liebsten auf das Portal im Haupthaus bzw. Hotel lotsen/routen.

Im Gästehaus sollte es (genauso wie im Haupthaus) ein produktives LAN und eben eine DMZ für die Gäste geben (nur WLAN bzw. ein einziger Access-Point).

Somit müsste ich das Gäste-WLAN im Gästehaus via VPN mit der DMZ im Haupthaus verbinden.

Nur wie realisiere ich das am besten technisch bzw. mit welcher "bezahlbaren" Hardware?
Mit einer kleinen Firewall im Gästehaus, welche den sämtlichen Datenverkehr des Gäste-WLAN's direkt in den Tunnel "schiebt"? Am anderen Ende des Tunnels steht die Monowall und verifiziert die Anfragen.

Über jeden Tipp und Lösungsvorschlag dankbar!

Grüße

Content-ID: 190856

Url: https://administrator.de/forum/m0n0wall-mit-captive-portal-ueber-das-internet-bzw-einem-vpn-tunnel-verlaengern-190856.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

108012
108012 07.09.2012 um 09:35:03 Uhr
Goto Top
Hallo Kollisionskurs,

kann man für die Benutzer denn nicht unterschiedliche Gruppen anlegen, denen Du unterschiedliche Zeiten
zugeteilt hast? Danach einfach eine Liste anlegen welche Gruppen mit welchen Zeitvorgaben von Dir belegt
wurden und dann weiß auch jeder im Hotel und im Gästehaus, wenn eine Kunde für die Zeit x
ins Netz möchte, welche Gruppe für Ihn ausgewählt werden muss.

Nach der abgelaufenen Zeit verfallen die Vouchers dann einfach und Du musst Dich nicht mehr darum kümmern!
Kommt dann jetzt eben nur noch darauf an wie lange die meisten Leute im Netz sind.

Solltest Du die Lösung mit dem VPN bevorzugen musst Du doch nur eine VPN Verbindung zwischen den Routern aufbauen und dem einen Captive Portal im Hotel die IP Adresse des Radius Servers bekannt geben.

Da Du weder was über die Geschwindigkeit der Internetanbindung hast verlauten lassen, eben so wie über die verwendete Alix Hardware, rate ich den letzten hier mal.

Sollte das mit der VPN Verbindung recht langsam von statten gehen, kannst Du noch eine mini PCI Karte von Soekris einbauen, die wird von mOnOwall unterstützt und ist auch vertretbar.
Ich selbst verwende diese nicht, aber bei einem Bekannten ist der VPN Durchsatz von ~15 MBit/s auf ~42 MBit/s gestiegen und das ist ja nun schon fast das dreifache vom Durchsatz her.

Soekris vpn1411


Viel Erfolg
Dobby
Kollisionskurs
Kollisionskurs 07.09.2012 um 10:21:24 Uhr
Goto Top
Servus Dobby,

es wäre natürlich ideal wenn der Verwaltungsaufwand nicht größer werden würde bzw. wenn sich das Gästehaus transparent mit einbinden lassen würde. Die Vergabe der Captive-Portal Vouchers funktioniert tadellos und wurde sogar mittlerweile als Import-Funktion in die Hotel-Verwaltungssoftware implementiert. Würde ich selbst die Gäste in Empfang nehmen und jeden Tag im Hotel sein, dürfte es gerne eine Lösung sein, welche mit zusätzlichem Aufwand verbunden ist (Gruppen anlegen, Benutzer berechtigen etc.) - so aber, sollte die Lösung für die Dame am Empfang einfach und realisierbar sein.

Hardware:
-> Alix-2c3

Geschwindigkeit:
-> laut Telekom aktuell DSL 3000. Allerdings wird das Gebiet gerade ausgebaut und ich hoffe auf einen baldigen Anschluss des Kabel-Providers - um mindestens eine 20MBit Leitung zu kriegen.

Das mit der VPN Anbindung ist tricky...aber wäre natürlich eine feine Sache.
Eine andere Lösung wäre ggf. eine Richtfunkstrecke, da sich die Häuser "sehen" - allerdings sind das locker 700m Distanz von einer Haus zum anderen. Das müsste ich erst mal prüfen bzw. habe ich von Richtfunk inkl. Kosten etc. kaum Ahnung.

thx...!!!

Grüße

Kollisionskurs
108012
108012 07.09.2012 um 11:03:47 Uhr
Goto Top
Hallo noch einmal Kollisionskurs ,

nein die fertigst Du vorher an, die Gruppen!
Gruppen für eine, zwei....... Stunden, und einen Tag (24 Stunden) zwei Tage usw., wenn der Gast sagt er
will nur einen Tag bleiben und dann weiß die Dame am Empfang von welcher Gruppe der Benutzer (ID) Sie ein
Voucher ziehen muss. Ich meine das weiß man ja vorher ob man ein zwei oder gar drei Tage oder Wochen bleibt. Die Gruppen definierst Du vor. Und die Dame am Empfang weiß dann ja wenn einer sagt ich möchte ein Zimmer für drei Tage mit Internetzugang auch welcher Gruppe Sie im ein Voucher zu ziehen hat.

Nach Ablauf des Vouchers verfällt dieses und ist nicht mehr gültig und Du musst nicht jedes mal zum Hotel und die Listen so aufwendig pflegen.

Eine Richtfunkstrecke ist immer sehr Witterungsabhängig, ich meine die wollen ja gerade wenn es regnet vielleicht ins Internet und in Europa sind "nur" 100 mW (milliwatt) maximal am Abgangspunkt der Antenne
erlaubt! Also nicht denken da sind ja nur die Kühe von Bauer Huber zwischen und die beschweren sich nicht, wenn sich jemand beschwert und der dämliche Messwagen der Post vor Eurem Hotel hält ist das nicht gerade verkaufsfördernd sondern kostet pro eingegangener Beschwerde 1600 € und die Anlage ist dann auch weg!!!!

Falls das ganze nicht nur in Sichtweite sondern Sichtweite und einsamer Feldweg ist oder Bauer Hubers Wiese, kann man das auch unter die Erde bringen.


- Lösung für Maulwürfe von meconet, ist eine kleine mini PCI Karte die sich am System als Realtek PCI Netzwerkkarte ausgibt und wird somit von fast allen Betriebssystemen ohne Treiberinstallation erkannt.
Übertragungsgeschwindigkeit ist 200 MBit/s

Meconet

Aber die Lösung mit der Soerkis vpn1411 schien mir persönlich besser zu gefallen.

Gruß
Dobby
Kollisionskurs
Kollisionskurs 07.09.2012 aktualisiert um 12:09:11 Uhr
Goto Top
Hallo Dobby,

nicht das wir aneinander vorbei reden...das mit den Vouchers funktioniert doch bereits eigentlich so. Ein Gast kommt für zwei Tage...also bekommt dieser einen 2 Tage Voucher von der Empfangsdame - mittlerweile ausgedruckt aus dem Hotel-Programm. (Die Vouchers habe ich zuvor aus der Monowall exportiert und in die Hotel-Software importiert)

Der Gast startet seinen Browser und wird daraufhin vom Captive Portal "angegrinst", mit der Aufforderung den Voucher einzugeben. Nach der Eingabe kommt der Gast ins www und der 2 Tage-Timer fängt an in der Monowall rückwärts zu laufen.

Im Prinzip wird da nichts händisch gepflegt - mein Problem ist halt nur das ich aus dem Gästehaus das Captive Portal der Monowall nicht erreichen kann. Installiere ich im Gästehaus eine zweite "Monowall-Captive Portal" Konstellation, habe ich dann ja zwei Listen. Und ich kann nicht zwei Listen in die Hotel-Software importieren bzw. müsste diese dann ja die Listen bzw. Vouchers nach "Hotel=Liste/Vouchers Monowall 1" und "Gästehaus=Liste/Vouchers Monowall 2" unterscheiden können.

Bauer Huber ist nicht das Problem - sondern die Strasse, welche das Hotel, die Wiese von Bauer Huber und das Gästehaus voneinander trennt face-wink

die Meconet Karte ist interessant, nur kann ich diese in meinem Szenario nicht einsetzen - zumindest peile ich nicht wie. Ausser ich hätte von der Reichweite her eine Koax-Leitung vom Hotel ins Gästehaus

thx....

Grüße
108012
108012 07.09.2012 um 12:50:48 Uhr
Goto Top
Hallo Kollisionskurs ,

an die Karten von Meconet können drei Arten von Kabeln angeschlossen werden:
Koax: 1500m, Zweidraht: 400m, Stromleitung: 200m

Bei Deinen 700 Metern wäre es natürlich von Nöten das ihr alle auf einer Straßenseite seit und nur eine Wiese oder ein Feld weg dazwischen gewesen wäre. Das wäre dann aber halt Ideal gewesen.

Hotel--------->Wiese oder Feld--------> Gästehaus

Zwei Karten von Meconet und Kabel + Ummantlung gekauft.
Die zwei Karten in die Alix "Büchsen" Koaxialkabel dran und dann das Kabel 20 cm tief in die Erde und auf der anderen Seite beim Gästehaus wieder an die Karte ran die in der anderen Alix "Büchse" steckt.
Ca. 200 MBit/s Übertragung/Durchsatz und die Kosten sind einmalig.

Es ist doch so, Du hast eine 6000/3500 Leitung von der Telekom und die für die WLAN Anbindung der Gäste
genutzt wird und nun noch eine VPN Verbindung dazu ist doch auch nicht das gelbe vom Ei, oder?

Mit Richtfunk lässt sich vieles machen aber die Kosten sind auch nur marginal geringer, es kann zu Ausfällen und Störungen und wenn sich jemand beschwert ist die dörfliche Ruhe dahin.

klar so ein Kabel 20 cm. tief in die Erde zu legen ist eine Menge Arbeit aber das hätte niemanden gestört und ist auch nicht so Störanfällig!! mit einer Straße dazwischen ist das aber immer so eine Sache, das würde ich nicht machen wollen.

Also nach dem jetzigen Kenntnisstand würde ich an Deiner Stelle mal bei Kabel Deutschland anfragen ob
es nicht eine 32 MBit/s Leitung bekommen kann, für das Gästehaus und das Hotel und dann die beiden mini PCI Soekris vpn1411 Karten in die Alix mOnOwall Lösung einbauen und dann flutscht es auch richtig. Dann kannst Du ohne Geschwindigkeitseinbussen via VPN vom Gästehaus auf das Hotel zugreifen und alle können trotzdem schön schnell surfen.

Ist wohl das Günstigste und das Praktikabelste von allem.

Gruß
Dobby
aqui
aqui 08.09.2012 aktualisiert um 09:25:04 Uhr
Goto Top
.@Kolli...
Um sich nicht weiter in esotherische User Aufteilungsdiskussionen zu verzetteln solltest du erstmal die technischen Fakten betrachten:
Mit 2 mal Monowall/pfSense auf Alix Basis hättest du ja erstmal gute Voraussetzungen mit 3 Mausklicks eine IPsec VPN Verbindung hinzubekommen. Technisch wäre deine Anforderungen damit fast gelöst aber leider nur fast...
Dadurch das ein virtuelles Tunnel Interface mit dem VPN eingerichtet wird routest du dann ja und müstest so das CP an ein weiteres Interface binden.
Die FW bietet dir aber nur die Möglichkeit das CP an nur einem einzigen Interface zu binden nicht an 2.
Damit scheidet dann die die Option das Gästehaus per VPN ans CP anzubinden technisch, wenigstens mit dieser Hardware, erstmal aus.
Du solltest eine einfache, kostengünstige und pragmatische Lösung wählen:
Baue ein einfaches Gäste WLAN im Gästehaus auf und koppel das ganz einfach mit einer kleinen unauffälligen 5 Ghz WLAN Bridge an das Gastnetz im Haupthaus.
Das ist mit einer kleinen leitungsfähigen WLAN Bridge die du unauffällig am Schornstein Trittbrett oder Fenster usw. befestigen kannst einfach, unauffällig und preiswert erledigt:
http://shop.varia-store.com/product_info.php?info=p1640_MikroTik-Router ...
Mit 1,25 Watt Sendeleistung an einer integrierten Parabolantenne bekommst du diese Entfernung bei Sichtweite leicht und locker überbrückt und hast auch noch mit 54 Mbit/s genügend Reserven auf dem Link. Das Feld und die Kühe von Bauer Huber oder Piepenbrink spielt so keinerlei Rolle mehr...
Im 5 Ghz Bereich bis du bzw. der Gasttraffic ungestört mit dem Link (niemals 2,4 Ghz verwenden !) und die kleine Bridge wird per Ethernetkabel mit Strom versorgt so das die Installation sich auch mit minimalsten Mitteln problemlos machen lässt.
Den Link verbindest du dann mit dem Gastnetz Segment im Haupthaus und hast so eine zentrale Steuerung mit minimalsten Mitteln, denn eine monatlich Kosten erzeugende Anbindung des Gästehauses ist ebenso erstmal überflüssig !
Kollisionskurs
Kollisionskurs 09.09.2012 um 10:29:50 Uhr
Goto Top
Servus aqui,

klingt (wie immer) vielversprechend und interessant. OK, die VPN Lösung werde ich beerdigen müssen.
In der Hoffnung deine Lösung jetzt korrekt auf dem Schirm zu haben:

Im Gästehaus integriere ich einen ganz normalen Access-Point für das Gäste-WLAN, diesen verbinde ich mit der WLAN Bridge mittels Patch-Kabel. Die WLAN-Bridge versorge ich durch Power-Over-Ethernet bzw. sind auf dem Patch-Kabel eben die 24V Versorgungsspannung. Die Bridge sitzt zum Beispiel am Gästehaus-Schornstein im Außenbereich.

Und jetzt muss ich aussteigen bzw. ist mir nicht klar wie ich jetzt die Anbindung an das Haupthaus realisiere. Was für eine Hardware sitzt im Haupthaus um meinen "point to point Link" hinzukriegen? Wer "spielt" das Gegenstück auf der anderen Seite?

thx...!!!
aqui
aqui 09.09.2012 aktualisiert um 16:39:50 Uhr
Goto Top
Ja, die Vorgehensweise ist richtig so. Ggf. Noch einen kleinen 10 Euro 5 Port Switch um AP und WLAN Bridge zu verbinden. Hat den Vorteil das dort dann die Option besteht das auch mit kabelgebundene Systemen zu testen oder zu betreiben. Die Mikrotik Bridge bringt den PoE Injektor gleich mit.
Für das Haupthaus ist es ganz einfach.
2te Mikrotik Bridge am Schornstein anbringen
Kabel zum Monowall Gästesegement ziehen und Bridge dort einstecken
Fertisch
Die beiden Mikrotik Bridges wirken quasi als drahtlose Bridge ganz genau so wie ein D-LAN Pärchen zum Beispiel.
Damit ist dann dein Gastsegment vom Gästehaus direkt mit einer Layer 2 Verbindung im Gastesegment vom Haupthaus und kann von dort vollständig mitverwaltet werden !
Kollisionskurs
Kollisionskurs 09.09.2012 um 17:36:35 Uhr
Goto Top
...jetzt ist es klar, danke!
Ich habe mir heute Mittag noch einmal die Begebenheiten angeschaut, am optimalen Installationspunkt kreuzt ein "halber" Baum die direkte Sicht. Aber das bekomme ich irgendwie in den Griff.

Hast Du die Teile aktiv im Einsatz bzw. Erfahrungen mit der maximalen Distanz der beiden Bridge (bei einwandfreier Sicht)?

Grüße
Kollisionskurs
Kollisionskurs 10.09.2012 aktualisiert um 17:00:26 Uhr
Goto Top
gerade mit der Hotline telefoniert - die Distanz von 700m-900m sollte bei freier Sicht kein Problem sein.
Da bin ich mal gespannt.

Ich muss mir ja einen neuen Access-Point für das Gästehaus zulegen, von MikroTik gibt es den:

MikroTik RB751U-2HnD

http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RB751U-2HnD::637.h ...

Jetzt bin ich folgendes am überlegen:

Ich könnte den bisherigen AP aus dem Haupthaus ins Gästehaus umbauen, und eben im Haupthaus den neuen "MikroTik RB751U-2HnD"
einbauen. Im Haupthaus habe ich eine größere Fläche bzw. Radius, welcher der AP abdecken sollte.

Bisher habe ich im Haupthaus diesen AP im Einsatz:

TP-Link-TL-WA901ND

http://www.amazon.de/TP-Link-TL-WA901ND-300Mbps-Wireless-Access/dp/B002 ...

Wie ist diesbezüglich Eure Erfahrung bzw. ist der MikroTik mit so einer Consumer-Büchse wie dem TP-Link überhaupt vergleichbar. Von den Konfigurations-Optionen spielt dieser in einer anderen Liga, klar - aber auch von der Sendeleistung ??. Ich verspreche mir einen Mehwert was die Leistung bzw. den WLAN-Radius anbelangt.
aqui
aqui 11.09.2012 aktualisiert um 13:04:07 Uhr
Goto Top
Die Frage kannst du dir eigentlich selber beantworten. Von der netto Sendeleistung sind erstmal alle gleich, denn die bestimmt der Chipset...keiner hat da einen Unterschied.
TP-Link ist allerbilligste Chinaware für Endverbraucher. Die benutzen auch interne Antennen oder die HF fliesst intern über normale Pertinax PCB Boards für Epoxid reicht das Geld der Billigkäufer nicht. Ein sehr mieses Dielektrikum bei 2,4 Ghz, so das ein Großteil der HF leistung in Wärme verbraten wird die die Platine anwärmt aber nicht zu Antenne kommt. Schraub die Büchse auf dann siehst du das ganze Elend. Vom Plastikgehäuse mal ganz zu schweigen...ein Unding bei 2,4 Ghz aber es darf nix kosten. Profi oder Halbprofi APs haben alle Metallgehäuse.
Teuerer APs nutzen hier beim PCB in der Regel Teflon PCBs oder wenigstens Teflon Kabel die dann direkt zur Antenne gehen. Obendrein haben sie oft die Option die Sendeleistung anzupassen.
In sofern ist deine Frage zur Sendeleistung also recht naiv oder dir sind die technischen Bedingungen in dem Umfeld schlicht nicht bekannt.
Wie bei der Endgeschwindigkeit von Autos steigt der Windwiderstand quadratisch so ist es auch bei der HF und der Reichweite.
Minimmale Unterschiede der Sendeleistung machen sich auch nur minimal bemerkbar.
Dazukommst das du blauäugig nur den Sender siehst hier.
Die Reichweite ist aber in einem ganz erheblichen Maße auch abhängig von der Empfindlichkeit des Empfängers...logischerweise. Stell dir 2 Handfunken vor, deine hat einen starken Sender und Empfänger aber der Empfänger vom Partner ist taub...du hörst ihn aber er dich nicht...mehr muss man nicht sagen.
Deine Gäste haben hier aber alles vom total tauben USB Stick bis mitteltauben Smartphone zu einem sehr empfindlichen MacBook mit 3 Antennen.
In so fern ist das ein 2ter Grund warum deine Gedanken um die Sendeleistung eigentlich rrelevant und eher kosmetischer Natur sind.
Kollisionskurs
Kollisionskurs 11.09.2012 um 13:36:01 Uhr
Goto Top
danke für die eindeutige Erläuterung...

mir sind die technischen Bedingungen in diesem Umfeld nur marginal bekannt bzw. wenn ich in diesem Umfeld über ein so fundiertes Wissen verfügen würde wie du, dann wäre dieser Thread auch nie entstanden. Aus diesem Grund verstehe ich den Ursprung dieser Frage als eher irrelevant: ob naiver, blauäugiger Natur...oder einfach nur um sein teils dünnes Wissen in einer nicht-alltäglichen Materie zu verbessern. Das ich mich mit der Thematik intensiver befassen sollte, gibst du ja einem unmissverständlich zu verstehen.

Ich möchte trotzdem zukünftig hochwertigere Hardware einsetzen bzw. wenn ich teils sowieso schon Komponenten neu kaufen muss, lohnt es sich ja. Hast du eine Empfehlung bez. einem AP, welcher eben nicht in die Kategorie "allerbilligste Chinaware" fällt?

Die Betreiberin des Hotels macht sich Gedanken bez. der "schädlichen Abstrahlung" der hier angedachten "Point2Point Bridge"-Lösung. Mir fehlt auch diesbezüglich die Erfahrung um eine fundierte Aussage entgegenzubringen.

thx....

Koll.
aqui
aqui 11.09.2012 aktualisiert um 15:38:15 Uhr
Goto Top
Frag sie mal ob sie ein DECT Telefon besitzt und ob sie sich da auch Gedanken zur "Strahlung" macht. Die liegt bei DECT nämlich um den Faktor 10 höher.
Von den HF Feldern der ganzen Mobiltelefone die die Gäste am Nachtisch liegen haben wollen wir hier mal gar nicht erst reden, denn da gehts um den Faktor 100 und mehr. Zudem ist das gepulste HF Strahlung die weitaus gefährlicher ist als ungepulste wie bei WLAN..ob sie das aber versteht..?!
Bei der Mikrowelle die sie sorglos betreibt ists der Faktor 100.000. Soviel also zum Thema "Strahlung".... dzzz..
Diese Diskussion ist lächerlich, aber egal.
Stell dir eine Taschenlampe vor, die hat auch einem Parabolspiegel und wenn du die genau auf einen andere Taschenlampe richtest kommt rechst und links fast nix an. Analog ist es mit der Bridge, die Leistung wird fast ausnahmslos Punkt zu Punkt übertragen. 5 Ghz liegt eh im Absorptionsspektrum von Stickstoff und es gibt zudem noch Dämpfung was den rest anbetrifft. Bei Schornstein zu Schornstein fällt also nix auf die Gäste runter...
Aber mit all dem wir die Betreiberin des Hotels vermutlich technisch völlig überfordert sein um es wirklich umfassend zu verstehen, also lass es am besten gleich zu versuchen das ansatzweise zu erklären oder empfiel ihr einen Volkshochschulkurs in den Grundlagen von Physik. Der WAF (Woman Acceptance Factor) zu solchen Themen ist aber meist gleich 0.
Meist reicht schon das Beispiel mit der Mikrowelle, dem DECT Telefon und den Smartphones auf dem Nachtisch.
Was deine Frage aus der Realen Welt anbetrifft zu den APs bist du bei hochwertigen APs bei Cisco, Motorola, Aruba usw. mit den entsprechenden Preisen.
Es gibt aber auch Midrange Geräte wie die Linksys Serie von Cisco
Linksys WAP200 - Quick Review
Lancom und Co. Ob das Sinn macht musst du selber entscheiden. Statt eines solchen kannst du auch 2 TP-Link Gurken kaufen und eine in den Schrank legen. Fackelt mal eine ab schmeisst du sie weg und nimmst die aus dem Schrank...ist auch ne Philosophie. Bei den Billigteilen ist es immer sinnvoll wenigstens eine irgendwo als Ersatz zu haben um schnell reagieren zu können. Am besten ist wohl der goldenen Mittelweg also was robustes mittelpreisiges zu nehmen. Mit den Mikrotik oder Ubiquiti APs bist du da auf alle Fälle auf der sicheren und guten Seite.
Hängt halt davon ab wie wichtig und wieviel wert euch euer Gast WLAN ist....
mideastd
mideastd 06.10.2013 aktualisiert um 18:18:44 Uhr
Goto Top
Hallo unermüdliche Gemeinde,
ich habe so ein ähnliches Problem wie Kollisionskurs.
Es handelt sich um zwei kleine Pensionen (Schwiegereltern und meine - nicht in Sichtweite), die jeweils mit m0n0wall und CP ausgestattet sind. Die Voucher-Verwaltung läuft jeweils lokal und das soll auch so bleiben. Das Logging und die Administration der entfernten m0n0wall realisiere ich über IPSEC-VPN auf / von meinem Rechner. Das funktioniert auch ganz hervorragend.
Nun haben meine Schwiegereltern Angst (trotz CP und Logging), dass sie belangt werden könnten, sollte ein Gast "Unfug" machen, weil man ja ihre öffentliche IP sieht.
Ich habe nun die Idee, dass die entfernte m0n0wall über einen VPN-Tunnel auf meine m0n0wall zugreift und erst von hier ins www geht. Dann würde man ja meine öffentliche IP sehen. In den Einstellungen für Interface-WAN kann man ja static als IP einstellen.
Ich hab nur keinen Plan, wie das genau gehen könnte oder ob das überhaupt geht.
Ich hoffe, Ihr könnt mir ein wenig weiter helfen.

Vielen Dank
aqui
aqui 13.10.2013 um 17:06:02 Uhr
Goto Top
Ja, das geht natürlich indem du das Gast LAN über einen IPsec Tunnel auf deine pfSense schickst und dort ein zentrales CP benutzt.
Wie das geht erklärt dir dieses Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Die Angst ist aber vollkommen unbegründet wenn die Schwiegerletern (hoffentlich) mit einer Whitelist arbeiten, also nur DAS erlauben was sie minimal erlauben wollen. Das ist immer der Weg den man gehen sollte.
Mit dem Syslogging können sie jederzeit den User zuordnen und so aus der Störerhaftung herauskommen. Mit der Verlagerung erreicht man ja auch nicht wirklich was und ist zudem noch beim Service abhängig von einem funktionierenden Tunnel.
Ist der nicht absolut wasserdicht konfiguriert und kommt Traffic daran vorbei ist eher schlimmer.
Generell ist das aber problemlos machbar. Das obige Tutorial erklärt wie.
mideastd
mideastd 31.10.2013 um 20:10:37 Uhr
Goto Top
Hallo aqui,
vielen Dank für die schnelle Antwort.
Leider habe ich das trotz mehrfachem lesens der Anleitung noch nicht so ganz begriffen.
Wie ich das Beispiel verstehe, brauche ich für das entfernte Gastnetz gar keine monowall sondern nur einen einfachen Router, der vorzugsweise IpSec beherrscht.
Wenn das so ist, wäre das natürlich toll. Aber ich hab immer noch nicht drauf, was ich dann im entfernten Router und in meiner lokalen monowall bei den Netzen eintragen muss, damit das entfernte Gastnetz über mein -dann zentrales CP- autorisieren kann.
Geht das vielleicht auch mit einem PPTP-Tunnel?
Ich habe gelesen, dass das unsicher sein soll, aber zum Ausprobieren hätte ich einen WRT54GL zur Hand, der kann aber wohl kein IpSec.

z.B. entferntes Gastnetz am einfachen Router: IP 10.0.1.1
meine monowall mit CP (IP 10.0.0.1) und privatem Netz (IP 192.168.1.1).

Vielleicht kannst Du mir ja noch einmal ein wenig helfen.

Vielen Dank
aqui
aqui 01.11.2013 um 10:01:41 Uhr
Goto Top
Ja, ein einfacher VPN Router (z.B. Mikrotik 750) würde da reichen wenn du denn mit der Performance Einschränkungen von normalen DSL Leitungen keine Probleme hast. Bedenke das dort der Upload immer nur ein Bruchteil des Downloads ist was man an einem remoten Standort zweifelsohne bemerkt wenn der gesamte Traffic durch einen VPN Tunnel muss ! Bei synchronen WAN Verbindungen gilt das natürlich nicht aber wer hat die schon...?!
Oben war doch das IPsec Tutorial zitiert. Dort ist die einfache Anbindung mit einer Reihe von VPN Routern erklärt inklusive einer genauen Anleitung zum Abtippen. Viel mehr kann man ja nun nicht mehr machen....?
Erster Schritt ist erstmal für dich einen VPN Tunnel zum Laufen zu bekommen der deine 10er Netze koppelt.
Du solltest das Konzept aber nochmal bedenken wegen der Asymetrie der WAN Verbindungen. Ggf. ist es doch besser 2 CPs einzusetzen.
pfSense bietet dir im Setup die Möglichkeit die Voucher Datenbanken zu koppeln. So hast du zwar 2 CPs die dann aber eine gemeinsame Voucher Verwaltung sharen.
Kollisionskurs
Kollisionskurs 01.11.2013 um 10:21:49 Uhr
Goto Top
Zitat von @aqui:
pfSense bietet dir im Setup die Möglichkeit die Voucher Datenbanken zu koppeln. So hast du zwar 2 CPs die dann aber eine
gemeinsame Voucher Verwaltung sharen.

Wow...das wusste ich nicht und hört sich spannend an. Das bedeutet ich habe dann im Hotel und in der entfernten Pension jeweils ein autarkes CP. Über den Tunnel sind diese CP's aber miteinander verbunden und bedienen sich einer gemeinsamen Datenbank (derer im Haupthaus). Somit habe ich lediglich eine Voucher-Liste, welche die Dame am Empfang handhaben muss. Ein Voucher aus der Liste ist dann auch für beide Häuser gültig.

Steht allerdings der Tunnel nicht kann der Gast in der Pension nicht mehr authentifiziert werden, da die Verbindung zur Datenbank ins Haupthaus fehlt....korrekt?
Danke & Grüße
aqui
aqui 01.11.2013 um 10:27:58 Uhr
Goto Top
Ja, ganz genau so funktioniert es ! Ob die Authentisierungsfunktion nicht klappt wenn die Verbindung zw. den CPs verloren ist oder ob sie dann autark (standalone) weitergeht und sie sich später wieder syncen wenn die Verbindung wieder da ist hab ich noch nicht probiert.
Wäre mal ein guter Punkt für einen Testaufbau am Wochenende face-wink
mideastd
mideastd 01.11.2013 um 11:59:15 Uhr
Goto Top
Vielen Dank aqui,
die Bandbreitenbeschränkung habe ich überhaupt nicht bedacht.
2 MBit Upload sind dann glaube ich auch bei nur 7 Gästezimmern zu wenig.
Ich lasse es dann mal bei zwei getrennten CP und der von Dir angesprochenen Whitelist.

Nochmals vielen Dank.
aqui
aqui 01.11.2013 um 14:13:31 Uhr
Goto Top
Wie gesagt die Kopplung der Voucher Datanbanken steht dir ja offen. Oder alternativ triggerst du den Kollegen eagle2 mal an, der hat eine Spezialversion seines webbasierten Voucherservers:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
die 2 Lokationen bedient.
Da kannst du dann bequem per Mausklick von beiden Locations Voucher verteilen, drucken und sogar per SMS versenden !
mideastd
mideastd 01.11.2013 um 14:17:26 Uhr
Goto Top
Super, Danke !