10
M0n0wall - Zugriff auf Gerät aus CaptivePortal heraus
Hi an alle,
ich bin mal wieder auf eure hervorragende Hilfe angewiesen.
Folgendes Szenario.
1 Gebäude mit 2 Netzwerken
Netzwerk 1 Allgemeines Netzwerk - Feste Installation mit Cat Leitungen, Switchen usw. IP Adressbereich 192.168.178.0 /24
Netzwerk 2 "Gast" Netzwerk - Nur W-Lan - Captive Portal über M0n0wall konfiguriert - IP Adressbereich 10.20.0.0/16
"Netzwek 3" Wan Port an M0n0wall.
Ich bekomme es einfach nicht hin, dass ich eine Kamera die im Netzwerk 1 hängt (192.168.178.0) und einen kleinen Webserver hat aus dem Netzwerk 2 (10.20.0.0) aufgerufen werden kann.
Ich habe schon eine Route eingerichtet und ich habe auch schon mal NAT versucht, aber irgendwie hab ich das Gefühl ich stehe Mega auf dem Schlauch.
Wäre wirklich Super wenn mir hier einer nochmal auf die Sprünge helfen könnte.
Gruß
PJM
ich bin mal wieder auf eure hervorragende Hilfe angewiesen.
Folgendes Szenario.
1 Gebäude mit 2 Netzwerken
Netzwerk 1 Allgemeines Netzwerk - Feste Installation mit Cat Leitungen, Switchen usw. IP Adressbereich 192.168.178.0 /24
Netzwerk 2 "Gast" Netzwerk - Nur W-Lan - Captive Portal über M0n0wall konfiguriert - IP Adressbereich 10.20.0.0/16
"Netzwek 3" Wan Port an M0n0wall.
Ich bekomme es einfach nicht hin, dass ich eine Kamera die im Netzwerk 1 hängt (192.168.178.0) und einen kleinen Webserver hat aus dem Netzwerk 2 (10.20.0.0) aufgerufen werden kann.
Ich habe schon eine Route eingerichtet und ich habe auch schon mal NAT versucht, aber irgendwie hab ich das Gefühl ich stehe Mega auf dem Schlauch.
Wäre wirklich Super wenn mir hier einer nochmal auf die Sprünge helfen könnte.
Gruß
PJM
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296677
Url: https://administrator.de/contentid/296677
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo!
Dafür gibt es Rules.
Erlaube den Zugriff auf IP 192.168.178.0 und entsprechenden Port aus dem Netz 10.20.0.0/16.
Bin gerade nicht vor Ort und Poste dir später die Regel mit Screenshot.
Gruß
Eisbein
Edit:
In der M0n0wall unter Firewall - Rules den Reiter für Netzwerk 2 auswählen und folgende Rolle erstellen:
Action: Pass
Interface: Netzwerk 2
Protocol: TCP
Source: Typ: Network1 subnet oder any
Source port range: deinen Port oder any
Destination: Type: single host or alias
Address: IP Adresse deiner Kamera aus Netzwerk 1 (zb. 192.168.178.12)
Destination Port: Port der Kamera
Log: ankreuzen damit Zugriff geloggt werden
Description: Beschreibung deiner Rolle (zb: Zugriff Kamera Eingang)
Das wars schon, so klappt es bei mir tadellos - Allerdings ist bei mir kein Captive-Portal aktiv, sollte aber egal sein.
Gruß
Eisbein
Dafür gibt es Rules.
Erlaube den Zugriff auf IP 192.168.178.0 und entsprechenden Port aus dem Netz 10.20.0.0/16.
Bin gerade nicht vor Ort und Poste dir später die Regel mit Screenshot.
Gruß
Eisbein
Edit:
In der M0n0wall unter Firewall - Rules den Reiter für Netzwerk 2 auswählen und folgende Rolle erstellen:
Action: Pass
Interface: Netzwerk 2
Protocol: TCP
Source: Typ: Network1 subnet oder any
Source port range: deinen Port oder any
Destination: Type: single host or alias
Address: IP Adresse deiner Kamera aus Netzwerk 1 (zb. 192.168.178.12)
Destination Port: Port der Kamera
Log: ankreuzen damit Zugriff geloggt werden
Description: Beschreibung deiner Rolle (zb: Zugriff Kamera Eingang)
Das wars schon, so klappt es bei mir tadellos - Allerdings ist bei mir kein Captive-Portal aktiv, sollte aber egal sein.
Gruß
Eisbein
Hi,
danke für deinen Hinweis. Ich habe tatsächlich gesehen das über die Default Regel der Netzwerkverkehr geblockt wurde. Daraufhin habe ich die Regel angelegt. Die greift und lässt die Anfrage durch.
Jetzt bekommt die Kamera (192.168.178.0) aber doch die Anfrage von 10.20.0.0 diese kennt er doch nicht oder wird das dann über das Standard Gateway abgehandelt?
danke für deinen Hinweis. Ich habe tatsächlich gesehen das über die Default Regel der Netzwerkverkehr geblockt wurde. Daraufhin habe ich die Regel angelegt. Die greift und lässt die Anfrage durch.
Jetzt bekommt die Kamera (192.168.178.0) aber doch die Anfrage von 10.20.0.0 diese kennt er doch nicht oder wird das dann über das Standard Gateway abgehandelt?
Guten Morgen!
Wie sieht dein Netzwerk jetzt genau aus?
Wenn die beiden Netzwerke über eine M0n0wall verwaltet werden, funktioniert das mit der Regel. Wenn aber für jedes Netzwerk ein Router zuständig ist, sieht das dann wieder anders aus.
Skizziere doch mal dein Netzwerk noch mal ganz genau.
Willst du die Kamera nur via Heim-Netzwerk ansprechen oder auch via www-Internet?
Gruß
Eisbein
Edit:
Wannst du deine Kamera auch für den Web-Zugriff konfigurieren?
Wie sieht dein Netzwerk jetzt genau aus?
Wenn die beiden Netzwerke über eine M0n0wall verwaltet werden, funktioniert das mit der Regel. Wenn aber für jedes Netzwerk ein Router zuständig ist, sieht das dann wieder anders aus.
Skizziere doch mal dein Netzwerk noch mal ganz genau.
Willst du die Kamera nur via Heim-Netzwerk ansprechen oder auch via www-Internet?
Gruß
Eisbein
Edit:
Wannst du deine Kamera auch für den Web-Zugriff konfigurieren?
Morgen,
es sind keine zusätzlichen Router im System. Ich befürchte es liegt am Captive Portal.
Ich komme vom einen einfach nicht ins andere Netz. Die Kamera soll nicht von außen zugänglich sein. Das hab ich alles schon dirch konfiguriert mit NAT und Portforwarding, eigentlich kann ich sowas
Vielleicht hat ja jemand hier erfahrungen mit der M0n0wall.
es sind keine zusätzlichen Router im System. Ich befürchte es liegt am Captive Portal.
Ich komme vom einen einfach nicht ins andere Netz. Die Kamera soll nicht von außen zugänglich sein. Das hab ich alles schon dirch konfiguriert mit NAT und Portforwarding, eigentlich kann ich sowas
Vielleicht hat ja jemand hier erfahrungen mit der M0n0wall.
Hallo!
Was hast du für eine Hradware? Ein Alix-Board mit 3 LAN Interfaces?
Falls ja, dann ist 1 Interface als WAN, 1 als LAN1 und 1 als LAN2 konfiguriert?
Poste doch mal einen Screenshot deiner Rules für LAN1 und LAN2, vielleicht lässt sich dann ein Fehler erkennen.
Am Captive-Portal kann es nicht liegen, es sei denn du hast da irgendwelche speziellen Sachen laufen ;.-)
Gruß
Eisbein
Edit:
Ich hab noch vergessen, dass du bei beiden Netzen den Zugriff zum/vom jeweils anderen Netz erlauben musst.
Also wenn du den Zugriff bei Netzwerk2 (Lan-Netz) den Zugriff auf Netzwerk1 (Kamera-Netz) erlaubst, muss du auch bei Netzwerk1 (Kamera-Netz) den Zugriff aus Netzwerk2 erlauben.
Was hast du für eine Hradware? Ein Alix-Board mit 3 LAN Interfaces?
Falls ja, dann ist 1 Interface als WAN, 1 als LAN1 und 1 als LAN2 konfiguriert?
Poste doch mal einen Screenshot deiner Rules für LAN1 und LAN2, vielleicht lässt sich dann ein Fehler erkennen.
Am Captive-Portal kann es nicht liegen, es sei denn du hast da irgendwelche speziellen Sachen laufen ;.-)
Gruß
Eisbein
Edit:
Ich hab noch vergessen, dass du bei beiden Netzen den Zugriff zum/vom jeweils anderen Netz erlauben musst.
Also wenn du den Zugriff bei Netzwerk2 (Lan-Netz) den Zugriff auf Netzwerk1 (Kamera-Netz) erlaubst, muss du auch bei Netzwerk1 (Kamera-Netz) den Zugriff aus Netzwerk2 erlauben.
Hi,
Danke für deine Hilfe. Also vorab, das ist nicht meine Standard Konfiguration. Ich habe aus Verzweiflung einfach in beiden Netzwerk any 2 any geöffnet und die Firewall danach neu gebootet. Auf "SaalNetz" läuft das Captive Portal. Ich komme einfach nicht auf die Kamera 192.168.178.20 drauf.
Vielleicht helfen die Screenshots ja.
LAN1
LAN2
Edit
Ping über M0n0wall direkt funktioniert auch nicht
also Lan1 auswählen und IP vom Ziel Lan2 eingeben bringt 100% Loos
Danke für deine Hilfe. Also vorab, das ist nicht meine Standard Konfiguration. Ich habe aus Verzweiflung einfach in beiden Netzwerk any 2 any geöffnet und die Firewall danach neu gebootet. Auf "SaalNetz" läuft das Captive Portal. Ich komme einfach nicht auf die Kamera 192.168.178.20 drauf.
Vielleicht helfen die Screenshots ja.
LAN1
LAN2
Edit
Ping über M0n0wall direkt funktioniert auch nicht
also Lan1 auswählen und IP vom Ziel Lan2 eingeben bringt 100% Loos
Hey! Ich habs....
So einfach wie bescheuert
Also hier für die Nachwelt:
Nutzt man die M0n0wall mit einem Captive Portal, dann werden alle Verbindungen vom Captive Portal zum Lan Blockiert. Macht ja auch Sinn denn ein CaptivePortal fungiert oft als DMZ. Will man eine Ressource aus dem Lan im CP freigeben, muss man diese im Bereich CaptivePortal unter "Allowed Ip Addresses" freigeben.
Danke für die Hilfestellung, die Regel in der Firewall muss natürlich trotzdem implementiert werden.
Gruß
PJM
So einfach wie bescheuert
Also hier für die Nachwelt:
Nutzt man die M0n0wall mit einem Captive Portal, dann werden alle Verbindungen vom Captive Portal zum Lan Blockiert. Macht ja auch Sinn denn ein CaptivePortal fungiert oft als DMZ. Will man eine Ressource aus dem Lan im CP freigeben, muss man diese im Bereich CaptivePortal unter "Allowed Ip Addresses" freigeben.
Danke für die Hilfestellung, die Regel in der Firewall muss natürlich trotzdem implementiert werden.
Gruß
PJM
Ahhh, ich werd wahnsinnig.
Also, ich muss gestehen ich habe die Einstellung per DynDns Zugang gemacht und bin davon ausgegangen das es jetzt funktioniert. Gestern konnte ich testen ob es tatsächlich der Fall ist und was sagt man dazu, es geht nicht.
Ich bekomme, wenn ich von den Tools der M0n0wall aus Dinge und zwar von Lan1 auf Lan2 auch keine Antwort. Ich denke ich brauch doch noch ne Route oder nicht?
Gruß
PJM
Also, ich muss gestehen ich habe die Einstellung per DynDns Zugang gemacht und bin davon ausgegangen das es jetzt funktioniert. Gestern konnte ich testen ob es tatsächlich der Fall ist und was sagt man dazu, es geht nicht.
Ich bekomme, wenn ich von den Tools der M0n0wall aus Dinge und zwar von Lan1 auf Lan2 auch keine Antwort. Ich denke ich brauch doch noch ne Route oder nicht?
Gruß
PJM
Hallo!
Ja, die m0n0wall ist da etwas eigen und kostet das eine oder andere Haupthaar.
Wenn möglich poste doch ein paar Screenshots deiner geänderten M0n0wall-Einstellungen (Interface, Nat, Rules, etc.)
Ich verwende auch eine dynamische IP und es klappt tadellos.
Was mir bei dem Screenshot zu LAN2 auffällt, dass an erste Stelle alles erlaubt wird. Setze diese Zeile mal ganz nach unten.
Hast du bei den Regeln auch angegeben, dass diese in der Log protokolliert werden?
Gruß
Eisbein
Ja, die m0n0wall ist da etwas eigen und kostet das eine oder andere Haupthaar.
Wenn möglich poste doch ein paar Screenshots deiner geänderten M0n0wall-Einstellungen (Interface, Nat, Rules, etc.)
Ich verwende auch eine dynamische IP und es klappt tadellos.
Was mir bei dem Screenshot zu LAN2 auffällt, dass an erste Stelle alles erlaubt wird. Setze diese Zeile mal ganz nach unten.
Hast du bei den Regeln auch angegeben, dass diese in der Log protokolliert werden?
Gruß
Eisbein
So, der Vollständigkeit wegen 
Es geht jetzt und den Fehler habe ich auch gefunden.
Alle Aussagen bezüglich M0n0Wall und ihrem Routingverhalten waren natürlich korrekt, es muss keine zusätzlich Route eingetragen werden, lediglich eine Regel die den Verkehr auf der entsprechenden Seite regelt.
Das Problem lag wo anders, das Gerät hat werksseitig eine 2. Ip adresse, die aber nicht deaktiviert wird wenn eine IP Zugewiesen bzw. eingerichtet wird. Dieser IP Adressbereich lag dummerweise genau in dem Netzbereich aus dem ich zugreifen wollte. Dementsprechend konnte das Gerät nicht mehr zurück antworten und ich hab keine Verbindung bekommen.
2. IP deaktiviert und schon gehts.
Es geht jetzt und den Fehler habe ich auch gefunden.
Alle Aussagen bezüglich M0n0Wall und ihrem Routingverhalten waren natürlich korrekt, es muss keine zusätzlich Route eingetragen werden, lediglich eine Regel die den Verkehr auf der entsprechenden Seite regelt.
Das Problem lag wo anders, das Gerät hat werksseitig eine 2. Ip adresse, die aber nicht deaktiviert wird wenn eine IP Zugewiesen bzw. eingerichtet wird. Dieser IP Adressbereich lag dummerweise genau in dem Netzbereich aus dem ich zugreifen wollte. Dementsprechend konnte das Gerät nicht mehr zurück antworten und ich hab keine Verbindung bekommen.
2. IP deaktiviert und schon gehts.
