dassven
Goto Top

Mikrotik Hotspot umgehen

Hallo, ich fasse mich kurz für die Problemstellung.
Haus vorhanden, das Netzwerk wird über Powerline realisiert (für Kabel ist es zu viel Aufwand). Ziel ist es, im selben Netzwerksegment ein HomeNetwork und Hotspotsystem zu betreiben. Als vorteilhaft und gut realisierbar habe ich ein Mikrotik RB im Einsatz. Der Hotspot andem funktioniert mit Benutzer und Kennwort für meine Gäste. Nur das HomeNet ist etwas müssig. Den PC's werden hier eben so IPs zugeteilt. Nur mit dem Unterschied, dass shier kein Benutzer angegeben werden soll, sondern diese PCs ohne jegliche Anmeldung ins Netz dürfen sollen.

In den Firewallregeln habe ich einen PortNock reingeschleust, damit die privaten Rechner sich am RB melden auf Port xxxx und die IP in eine Adressliste aufgenommen wird. Soweit ist funktioniert das.
zu den Firewallregeln zugefügt und oben dran stehen die Forward, Input Regeln für die privaten Rechner. So sollten diese als erstes abgearbeitet werden und den privaten PCs sofortiger Zugang gewährt werden.

Und genau da hängt es. Das NAT, sowie die Accepts der Firewall schlagen auch an, jedoch kommt immer die Hotspot Seite von Mikrotik um sich anzumelden.

Praktisch gesehen stehen ALLE Accept Regeln über den Hotspot Regeln, welche dann eigentlich gar nichtmehr greifen dürften.

Wie kann ich das denn umgehen? Leider sind die PowerLink Geräte ein Griff in die Tonne, sonst wäre ein VLAN bestimmt kein schlechter Anfang. Damit ist es aber leider nicht zu bewältigen.

THX & MfG Das Sven

Content-ID: 268574

Url: https://administrator.de/forum/mikrotik-hotspot-umgehen-268574.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

aqui
aqui 08.04.2015 aktualisiert um 17:27:02 Uhr
Goto Top
Das ist natürlich tödlich das die Hotspot User im physisch gleichen Netzwerk landen wie die Normalos. Aus Sicherheitsgründen ist das natürlich ein GAU es sei denn das ist gewollt und nicht weiter schlimm für dich.
Besse rist es das HS Netzwerk durch ein eigenes IP Segment zu trennen. Idealerweise machst du das mit deinem MT der kann das problemlos.
Das hiesige VLAN Tutorial beschreibt dir solche Szenarien (Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Firewall usw. werden dir nichts nützen wenn dann doch alle Endgeräte wieder in einer gemeinsamen Layer 2 Broadcast Doamin residieren zum Schluss. Letztlich wirst du es damit nicht wasserdicht lösen können und VLAN Trennung ist die einzige Lösung.
Bei Power LAN ist immer die Frage ob die ein 802.1q VLAN Tag mit übertragen was für so ein Backbone zwingend ist. Bessere Geräte (Devolo, AVM u.a.) machen das aber leider längst nicht jeder.
Scheinbar hast du welche erwischt die damit nicht umgehen können face-sad
Ggf. hilft ein Update auf die aktuellste Firmware. Manchmal patchen auch Billighersteller sowas. Verlassen kann man sich bei Consumer Geraffel aber nicht drauf...leider.
dassven
dassven 08.04.2015 um 17:46:08 Uhr
Goto Top
THX aqui, Das mit dem selben Netzwerksegment ist natürlich trollo. Verschiedene Ansätze hatte ich ja bereits. Hotspot IP Bindings funktionieren ja praktisch auch (mal vom IP Segment abgesehen). Dafür gibts ja noch die PC Firewall's. Von mir angedacht war es eben, einen PortKnock > IP in Liste > freigegeben.
2ter Anlauf mit nem 2ten IP Segment über 2'ten DHCP im Mikrotik. Nur ist da die VLAN Geschichte gar nich so schlecht. Ohne VLAN würde das auch gehen, allerdings müßte ich dann alle eigenen PCs per DHCP versorgen, diese als static markieren. den IP Pool dafür eingrenzen und den HS Pool dann nutzen lassen.
Und bei jedem Gerät was bei mir dazu kommt, oder wegfällt, müßte ich das ganze Zeugs wieder aktualisieren.

Als Lösung wie Momentan in Anlauf genommen:
- 1 Segment
- lokale PC mit voller Freigabe
- HotSpotUser mit Anmeldung
würden sich ja die IP Bindings nutzen lassen.

In den Firewallregeln lassen sich ja diverse IPs in eine Adressliste eintragen.
wenn die IPs nicht in der Adressliste landen, sondern in den IP Bindings vom Hotspot wäre das auf jeden Fall erstmal ein Ziel. Vielleicht muss ich dafür auch ein wenig rumscripten. Schick wäre eine Anfrage im Board auf IP xx.xx.xx.xx mit port xx und der PC wäre in den IP Bindings als bypass eingetragen.
aqui
aqui 08.04.2015 um 18:58:36 Uhr
Goto Top
In deinem Design jucken den MT die IP Adressen ja nicht. Die HS Funktion bewirkt letztlich nur das die Mac Adresse des authentisierten Clients in die Layer 2 Forwarding Liste gelangt.
Damit ist sie dann aber in der gemeinsamen L2 Broadcast Domain. Wo willst du da denn noch filtern ?
Wenn dann ginge das ja nur auf Mac basis aber was willst du damit denn sinnvolles filtern ? IP technisch ist ein HS Client dann ja mit allen IP Privilegien in deinem gesamten Netz.
Die Welt wäre mit einer logischen Trennung beider Netze schon erheblich einfacher.... face-wink
dassven
dassven 08.04.2015 um 19:50:37 Uhr
Goto Top
Hatte im ersten Abschnitt schon kurz erwähnt. Es gibt Rechner, die ohne separate Angabe per HTTP-Chap ins Netz gelangen dürfen. Das sind halt meine eigenen Rechner, Handy etc. Zum anderen habe ich 3 Ferienwohnung. Diese Gäste sollen ja auch mein Netz benutzen können. Hier aber im nachhinein klar nachvollziebar, wenn jemmand mein Netz mißbrauchen sollte zu irgend welchen Zwecken. Den DNS loggen von den Gästen ist zwar vorgesehen, jedoch ist die rechtliche Lage da immer etwas unklar, wird oft verworfen oder erneuert. Das Durcheinander versuch ich auch gerade auseinander zu nehmen.
Praktisch ist hier aber für mich ein Nachweis da, wer da an welchem Tag etwas genutzt hat. PRaktisch ist das gnaze zur eigenabsicherung für mich.
Auch ist mir klar, dass ich das immer einsehen kann. Datenschutzrechtlich ist das doch sehr kompliziert und ich versuche das für meine eigene Sicherung anzulegen.

Vielleicht ist das auch alles übertrieben. Die andere Seite ist natürlich auch, mich selber nicht strafbar zu machen und trotzdem absichern.

Alles in allem eine technische absicherung auf grundlage von rechtlichen und gesetzlichen gegebenheiten. Oder anders "Kompliziert"
aqui
aqui 09.04.2015 aktualisiert um 10:19:52 Uhr
Goto Top
Zum anderen habe ich 3 Ferienwohnung. Diese Gäste sollen ja auch mein Netz benutzen können.
Oha, da wäre es aber besser du nimmst dafür eine Lösung die wirklich wasserdicht ist:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
In D droht immer das juristisch scharfe Schwert der Störerhaftung bei sowas !
Den DNS loggen von den Gästen ist zwar vorgesehen,
Das nützt nicht wirklich was. Besser ein User Logging machen wie ihn die o.a. Lösung ermöglicht mit einem entsprechenden Belehrungshinweis auf der Portalseite. Das ist rechtlich wasserdicht.
Datenschutzrechtlich ist das doch sehr kompliziert
Nein, das ist es nicht sondern sehr klar und eindeutig.
Vielleicht ist das auch alles übertrieben.
Keineswegs ! Das wirst du dann schätzen wenn du vor oder besser nie vor gericht stehst.
Oder anders "Kompliziert"
Das ist natürlich Unsinn, aber das weisst du sicher auch selber. Das Tutorial oben zeigt dir das ja wie das mit ein paar Mausklicks sauber zu machen ist. Kompliziert ist da nun wahrlich nix.
dassven
dassven 15.04.2015 um 16:01:54 Uhr
Goto Top
So, jetzt, die Lösung ist geschafft. Ich habe jetzt so ziemlich alles verworfen, was ich vo rhatte :D

Habe mich für ein Hotspot System entschieden. die WLAN AP's sind UNifi's von UBNT mit dem passenden Controller dazu. Kostet mich praktisch zwar bissel Energiekosten, aber das wird zu vertreten sein. Die APs vernünftig gelegt. Komme da vllt sogar um die Strüppen zieherei herum. Oder je nachdem in diverse Kammern verpackt, wo meine Gäste nix dran schrauben könnten. da kann ich dann auch getrost mein D-LAN an die Steckdose schröpfen PoE dran und den AP. Dazu hab ich dann auch noch vernünftiges WLAN im 2,4 und 5 GHz Band. Mehrere WLAN-IDs. Je anch Ausstrahlung werd ich wohl 3 oder 4 APs setzen müssen. Wenn das ganze geht bin ich doch dann Glücklich. Heim WLAN, Gast WLAN, Ticketsystem. Nutzungsbedingungen sind da auch 0 Problem.

@ aqui, eine Lösung gibt es immer. Manchmal auch ohne viel Kohle zu investieren, nur manchmal sieht man den Wald vor Bäumen nicht oder es fehlt einfach der richtige Begriff für'n Gockel.

THX trotzdem für Die Hilfe. jetzt ist erstaml bauen und basteln angesagt.
aqui
aqui 16.04.2015 um 09:56:48 Uhr
Goto Top
Hauptsache ist du hast ne Lösung !

Fehlt ja dann eigentlich nur noch:
Wie kann ich einen Beitrag als gelöst markieren?