eisbein
Goto Top

Monowall Aufruf der AP-WebGUI aus LAN verhindern?

Hallo zusammen!
Ich bin neu hier und starte gleich mit einem Problem an dem ich schon eine weile herumbastle.

Ich habe in einem bestehenden Netzwerk einen alten Rechner mit 2 Netzkarten und der aktuellen Monowall reingehängt. Es gibt also nur LAN und WAN-Interface.
WAN stellt die Verbindung zu meinem bestehenden Netzwerk (Netz: 10.0.0.0/24)
IP der Monowall (192.168.1.1./255.255.255.0) DHCP auf der Monowall ist aktiviert.
Am LAN hängt nun ein Access Point (192.168.1.2 fix und Gateway 192.168.1.1)
Am AP hängt weiters ein Notebook zum Testen, via Kabel (192.168.1.200 fix)

Ich will nun verhindern, dass man von192.168.1.0/255.255.255.0 auf das Web-GUI des AP zugreifen kann, mit Ausnahme des Testrechners (192.168.1.200).

Hab schon alles probiert aber ich bekomme die LAN-Firewall-'Regel nicht hin.

Ist das überhaupt möglich? Hab mal gelesen, dass von LAN alles raus kann und man da nichts machen kann.
Bin gerade nicht am Gerät - falls ihr noch was benötigt kann ich es später posten.

Bin für jede Anregung dankbar!
Vielen Dank eisbein

Edit:
habe alle Regeln bei WAN und LAN gelöscht um somit deny all herzustellen, Funktioniert aber dennoch nicht.
die Regel für LAN (block any destination 192.168.1.0/24 - source any 192.168.1.2) greift auch nicht.

Content-ID: 173002

Url: https://administrator.de/forum/monowall-aufruf-der-ap-webgui-aus-lan-verhindern-173002.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

lindi200000
lindi200000 13.09.2011 um 08:25:33 Uhr
Goto Top
Hi,
das wird nie klappen, außer du gibst den AP eine extra Schnittstelle auf deiner Monowall.

Gruß Lindi
eisbein
eisbein 13.09.2011 um 08:54:41 Uhr
Goto Top
Hi Lindi!

Danke für die Rückmeldung. Habs fast befürchtet.

Die Monowall-Regel greifen also nur auf Interfaceebene und nicht im selben Netz.

eisbein
tonabnehmer
tonabnehmer 13.09.2011 um 10:34:41 Uhr
Goto Top
Hallo,

ich würde den Thread nicht so einfach als gelöst markieren, nur weil einer sagt es geht nicht. Guck Dir mal die webGUI anti-lockout Option in System -> Advanced an. Du kannst entweder zwei Firewall Regeln (erlaube bestimmte IP, verbiete gesamtes LAN) oder nur eine (verbiete gesamtes LAN außer bestimmte IP) verwenden.

Grüße,
tonabnehmer
eisbein
eisbein 13.09.2011 um 11:05:20 Uhr
Goto Top
Hallo!

Du kannst entweder zwei Firewall Regeln (erlaube bestimmte IP, verbiete gesamtes
LAN) oder nur eine (verbiete gesamtes LAN außer bestimmte IP) verwenden.

Tja das ist ja das Problem. Das habe ich schon versucht. Im Log Firewall sollte dann ja auch aufscheinen was dabei rausgekommen ist - bleibt aber leer.
Werde mal die Einstellungen der Monowall posten wenn ich wieder vor dem Gerät sitze.

Bis dahin danke erst mal
tonabnehmer
tonabnehmer 13.09.2011 um 11:08:44 Uhr
Goto Top
Entscheidend ist die "webGUI anti-lockout" Option in System -> Advanced. Ohne die kannst Du in den Firewall Regeln einstellen was Du willst - Du wirst aus dem LAN sonst immer Zugriff auf die GUI haben.

P.S. Ich habe die Option selbst noch nie genutzt und gehe daher nur davon aus, dass es so geht face-wink
eisbein
eisbein 13.09.2011 um 11:15:12 Uhr
Goto Top
Entscheidend ist die "webGUI anti-lockout" Option in System -> Advanced. Ohne die kannst Du in den Firewall Regeln
einstellen was Du willst - Du wirst aus dem LAN sonst immer Zugriff auf die GUI haben.

P.S. Ich habe die Option selbst noch nie genutzt und gehe daher nur davon aus, dass es so geht face-wink

Stimmt, die Option ist entscheidend. Aber vorher unbedint eine Regel erstellen um sich nicht selbst auszuschließen bzw. WAN-Zugang einrichten. :o)
Das hab ich auch gemacht. Außer dem Testrechner kommt keiner im 192.168.1.0/24-Netz an die Monowall (192.168.1.1) ran. Diese Regel greift, aber jeder Versuch nun den Zugriff vom 192.168.1.0/24-Netz auf 192.168.1.2 zu unterbinden scheitert...
tonabnehmer
tonabnehmer 13.09.2011 um 11:23:34 Uhr
Goto Top
Schön, dass das funktioniert hat. Du solltest auch den Zugriff auf 80 bzw. 443 destination = "WAN address" verbieten, da die Web GUI aus den internen Netzen auch über die WAN IP erreichbar ist.
eisbein
eisbein 13.09.2011 um 11:31:03 Uhr
Goto Top
Schön, dass das funktioniert hat. Du solltest auch den Zugriff auf 80 bzw. 443 destination = "WAN address"
verbieten, da die Web GUI aus den internen Netzen auch über die WAN IP erreichbar ist.

Ist nur in der Testphase über WAN erreichbar, sozusagen doppelte Hintertür damit das Testen und Probieren nicht in eine Sackgasse führt.
Später wirds nur LAN geben, das WAN ist dann zu.

Mir gehts dzt. nur darum den Zugriff auf bestimmte Rechner bzw. AP im LAN zu unterbinden und eben nur für den Testrechner zu erlauben.
mrtux
mrtux 13.09.2011 um 12:15:41 Uhr
Goto Top
Hi !

Das wird so nix! Einfach mal ein bisschen logisch denken und ein Netzwerk zielgerichtet betrachten.

Eine Firewall kann nur die Pakete blockieren, die durch sie hindurch gehen. Wenn Du einen PC im selben Netz hast, in dem auch der AP hängt wird das nix, denn der Traffic geht ja nicht durch die Mono durch sondern quasi an ihr vorbei. Du kannst lediglich die GUI der Mono selbst blocken aber niemals ein GUI eines AP der im gleichen Segment hängt. Das kannst Du nur lösen, in dem Du den AP-Traffic durch die Mono hindurch leitest, wie es im ersten Kommentar ja schon angemerkt wurde.

Und Nein! Mit der Anti-Lockout-Rule hat das Grundproblem rein gar nix zu tun, die sorgt nur dafür, dass man sich nicht aus der GUI der Mono aussperrt aber um ein GUI eines APs zu sperren muss eben der Traffic durch die Mono hindurch gehen, sonst wird das definitiv nix!

Das ist so, als würde man zu einer Lampe zwei Stromleitungen legen und hoffen dass die Lampe aus geht, wenn man eine der Leitungen von der Lampe trennt. Solange aber die zweite Leitung der Lampe immer noch Strom zuführt, wird sie weiterhin leuchten...zugegeben ein blödes Beispiel...

mrtux
eisbein
eisbein 13.09.2011 um 12:26:51 Uhr
Goto Top
Hi mrtux!

Tja, somit lange Rede kurzer Sinn - geht doch nicht!

Danke für den finalen Schlussbeitrag!

Thema ist somit erledigt!

Danke für die Unterstützung
eisbein
tonabnehmer
tonabnehmer 13.09.2011 um 12:58:07 Uhr
Goto Top
LOL, da habe ich den Eingangspost komplett falsch gelesen. Ich dachte, er möchte Zugriffe auf die GUI der m0n0wall verbieten. Tatsächlich möchte er aber den Zugriff auf die GUI des AP verbieten. Sorry dafür!
brammer
brammer 13.09.2011 um 13:28:40 Uhr
Goto Top
Hallo,

dass das nicht möglich sein sollte sehe ich so nicht ganz.

Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für die Test Rechner IP freigibst sollte dein Problem gelöst sein.

Ist nur die Frage kann der Web Server es AP auf einen anderen Port umgebogen werden, oder musst du hier mit PAT arbeiten?

brammer
eisbein
eisbein 13.09.2011 um 13:42:33 Uhr
Goto Top
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für
die Test Rechner IP freigibst sollte dein Problem gelöst sein.

Ist nur die Frage kann der Web Server es AP auf einen anderen Port umgebogen werden, oder musst du hier mit
PAT arbeiten?

Das mit dem umbiegen ist so eine Sache. Glaub kaum das Belkin dazu bereit ist - werde das mal testen.

Monoawll und ACL? Hab ich noch keine Ahnung ob das überhaupt geht und wo das reinkommt..!

Ich denke mal laut nach: Wenn die Monwall als DHCP-fungiert, könnte doch ein statischen Routing auch was bringen? Kann auch damit leben, dass keiner mehr vom LAN auf die AP zugreifen kann.

eisbein
mrtux
mrtux 13.09.2011 um 13:49:18 Uhr
Goto Top
Hi !

Zitat von @brammer:
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für
die Test Rechner IP freigibst sollte dein Problem gelöst sein.

Mhh jetzt vewirrst Du mich aber....Also ich verstehe sein obiges Szenario so:

Netz 10.x.x.x -> WAN -> Monowall -> LAN -> Netz 192.168.1.x -> Switch -> und da dran dann Test PC (bzw. Notebook) und AP.

Oder habe ich das jetzt wiedermal komplett falsch verstanden? face-wink

mrtux
eisbein
eisbein 13.09.2011 um 13:57:09 Uhr
Goto Top
Mhh jetzt vewirrst Du mich aber....Also ich verstehe sein obiges Szenario so:

Netz 10.x.x.x -> WAN -> Monowall -> LAN -> Netz 192.168.1.x -> Switch -> und da dran dann Test PC (bzw.
Notebook) und AP.

Oder habe ich das jetzt komplett falsch verstanden? face-wink

Bingo! So ist es face-wink
brammer
brammer 13.09.2011 um 14:32:39 Uhr
Goto Top
Hallo,

nun dann kann mein Szenario natürlich nicht gehen face-sad

Der Traffic vom Test Notebook kommt ja garnicht erst bis zur Monowall.
Der AP und das Notebook kennen sich soweiso auf Layer 2 und sind in einem Netz.

Das habe ich dann faslch intepretiert.

Kannst du am AP irgendwas einstellen?
Was für ein AP ist es überhaupt?
Hängt nur das Laptop per Kabel am AP oder noch mehr ?

brammer
eisbein
eisbein 13.09.2011 um 19:38:29 Uhr
Goto Top
Hallo brammer!

Kannst du am AP irgendwas einstellen?
Keine Ahnung muss ich erst mal checken bzw. was soll eingestellt werden?! Da es billige Router sind, denke ich nur an begrenzte Möglichkeiten. Und andere Firmware flashen geht auch nicht....!

Was für ein AP ist es überhaupt?
Zur Zeit 2 Stk. Belkin N WLAN-Router und 1 Netgear WG102 WLAN-Router

Hängt nur das Laptop per Kabel am AP oder noch mehr ?
Es hängt dzt. nur 1 Testrechner dran.


Zum Testen hab ich das Szenario einfacher nachgebaut:
Netz 10.x.x.x = WAN --> Monowall --> Netz 192.168.1.x ---> AP Belkin --> Testrechner


So soll das Szenario mal aussehen:
Netz 10.x.x.x = WAN --> Monowall --> Netz 192.168.1.x ---> Switch ---> AP Belkin
---> AP Belkin
---> AP Netgear
---> Testrechner
---> evt. weitere PCs bzw. APs


Ziel ist es eben, dass andere PCs und Clients via AP nicht an die GUI der APs herankommen. Der Testrechner darf natürlich alles.

Ach ja, noch was: Der Vorschlag keine APs sondern Router einzusetzen ist nichts, da ich für die Monowall die IP des AP-Clients fürs Log wissen muss!! Also es muss sich alles im selben Netz abspielen.

Wenns keinen einfachen Weg gibt muss ich eben damit leben.
aqui
aqui 14.09.2011, aktualisiert am 18.10.2012 um 18:48:17 Uhr
Goto Top
Vielleicht solltest du dir erstmal die Grundlagen einer IP Kommunikation zu Gemüte führen, denn daran hapert es ziemlich...sorry ?!!
Die Monowall ist niemals an einer Kommunikation mit dem AP beteiligt wenn lokale PCs auf den AP zugreifen wollen. Das ist einzig und allein also ein Ding zwischen dem PC und dem AP selber. Genau also wie das schon die Kollegen mrtux und brammer oben bemerkt haben ! Du kannst die Monowall auch abziehen von dem Netz und das Problem bleibt logischerweise bestehen.
Du kannst in einer Firewall natürlich nur das filtern was auch durch die Firewall durchgeht, denn nur so hat sie ja überhaupt eine Chance in die Pakete reinzusehen und zu prüfen ob die durchdürfen oder nicht !
In deinem Szenario ist das doch gar nicht möglich, weil diese Ethernet Pakete die Firewall ja gar nicht erst erreichen, da der PC ja in einem gemeinsamen IP Segment logischerweise direkt mit dem AP kommuniziert wie oben ja auch schon mehrfach angesprochen !
Vergiss das also gleich... !!
Du hast also nur die Option den Port des Web GUIs im AP selber umzustellen und so den Zugang zum AP zu verschleiern wenn der das denn supportet.
Ansonsten hilft nur ein starkes Passwort im AP GUI Zugang.
Wenn das ein nur WLAN oder ein Gast WLAN ist, dann ist es auch sinnvoller das WLAN komplett zu trennen. Also eine 3te NIC in die FW zu stecken, PCs und andere Endgeräte in ein eigenes IP Segment und die APs fürs WLAN also das WLAN in ein eigenes separates Segment zu hängen.
Im AP schaltest du dann den Management Zugriff auf den AP über die WLAN (Funk) Schnittstelle aus, so das nur ein Zugriff übers Kabel auf den AP erlaubt ist. Das supporten auch alle Billig APs und ist simpler Standard.
Dann richtest du auf der Firewall eine Regel ein die nur bestimmten PCs aus dem PC Segment auf bestimmte IPs im WLAN (APs) den Zugriff erlauben. Zudem aktivierst du die Antilockout Rule von oben damit WLAN Teilnehmer auch nicht die GUI der Firewall erreichen können...fertig.
Damit hast du maximale Sicherheit.
Details dazu beschreibt dir dieses Tutorial und die folgenden Threads dazu:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
eisbein
eisbein 14.09.2011 um 15:48:36 Uhr
Goto Top
Danke für die Hinweise aqui!

Ein 3. Interface für die Monowall ist leider nicht möglich. Sonst würde mein Szenariio anders aussehen!

Den Management Zufriff auf den AP für WLAN auszuschalten hat wohl wenig sinn, da am Ende mehrere APs vorhanden sind. Wenn ich mich dann via WLAN mit AP1 ins Netz verbinde, kann ich zwar nicht s mit AP1 anfangen, aber wenn ich dann die IP von AP2 oder AP3 eingebe werde ich dann via Kabel mit ihnen verbunden und dann beginnt das Spiel von vorne.

Da es sich nur um ein privates familiäres Szenario handelt, macht es nichts - war nur so eine Idee von mir.

Und..... Ich habs schon beim 3. Posting eingesehen, dass es wohl nicht sein soll. Aber es hat immer wieder welche gegeben, die anderer Meinung waren face-wink

Danke jedenfalls für die zahlreiche Mitwirkung, hab sicher das eine oder andere dazugelernt und somit wars nicht umsonst.

einbein
lindi200000
lindi200000 14.09.2011 um 16:47:08 Uhr
Goto Top
Hi,
wenn eine weitere Netzwerkkarten technisch nicht mehr reinpasst, es gibt auch Netzwerkkarten mit 2 Ports.
aqui
aqui 14.09.2011, aktualisiert am 18.10.2012 um 18:48:18 Uhr
Goto Top
Oder noch viel besser als altes PC Geraffel ein fertiges Mainboard:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Ist auch unverständlich warum ein 3tes Interface nicht möglich sein soll. Eine simple Netzwerkkarte für seinen Rechner kostet 3,95 Euro.... Na ja er hat vermutlich seine (geheimen) Gründe...
Pack ein sicheres Passwort auf den AP und gut iss !! Innerhalb der Familie reicht das wohl !!
mrtux
mrtux 15.09.2011 um 00:18:00 Uhr
Goto Top
Hi !

Traue es mich kaum zu sagen aber ein VLAN fähiger Switch hinter die Mono könnte auch helfen, wenn das auch eher bedeutet mit Gulaschkanonen auf Spätzle zu schiessen....

mrtux
eisbein
eisbein 15.09.2011 um 06:44:27 Uhr
Goto Top
Guten morgen!

Den Beitrag bzgl. VLAN hab ich schon gelesen. Wie gesagt, ich wollte es "einfach" und "kostenfrei" halten, da es nur eine Idee war und nicht zwingend notwendig. Sichere Passwörter sind ohnehin pflicht!

@aqui
Da ist nichts geheim dran face-wink
Ist aber wegen der vorhandenen Netzstruktur (altes Weitläufiges Gebäude mit Nebengebäuden) nicht möglich, da dann zusätzliche Verkabelung anfällt (stemmen, graben, schrauben...). Ist eben ein bestehendes Netz, dass nur mit einiges an Aufwand angepasst werden kann.

@lindi
Das wäre eine Lösung, nur wie bereits bemerkt, liegt der Grund in der bestehenden Netzwerkverkabelung. Hab den PC nur zum Testen herangezogen, später soll dann die Monowall auf einer Alix laufen. Hier werde ich dann aber auf 3 Ports setzen, man weis ja nie was die Zukunft so an Ideen und Einfällen bringt.....

eisbein

EDIT:
Es gibt auch noch die "schmutzige" Möglichkeit, den APs irgend eine IP zuzuteilen und bei Konfigurationswunsch einen Rundgang mit Notebook und Kabel zu starten. Ist aber nicht mein Ziel, daher bleibts unausgesprochen face-wink
aqui
aqui 15.09.2011 um 11:27:56 Uhr
Goto Top
Ein VLAN Switch z.B. Cisco SG-200-08 kostet 80 Euronen z.B.
http://www.amazon.de/CISCO-200-08-8-port-Gigabit-Switch/dp/B004UOT4BI
Erspart dir aber dann ein vielfaches an Kabelage in dem Gebäude. Soooo kostenintensiv ist das ja nun auch nicht. Außerdem gibt es noch D-LAN da musst du gar nicht graben und stemmen.... Aber egal..technisch ist zu dem o.a. Thema ja alles gesagt !
eisbein
eisbein 15.09.2011 um 11:35:56 Uhr
Goto Top
Ein VLAN Switch z.B. Cisco SG-200-08 kostet 80 Euronen z.B.

80 € <> kostenfrei face-wink

Danke für den Link
tonabnehmer
tonabnehmer 15.09.2011 um 11:41:00 Uhr
Goto Top
Guck Dir auch noch den hier an, der kann im Gegensatz zum Cisco auch SNMP falls benötigt: http://h10010.www1.hp.com/wwpc/de/de/sm/WF06b/12883-12883-4172267-41722 .... Ansonsten können beide das Übliche und liegen preislich nicht weit auseinander. Von beiden gibt es auch größere mit 24 oder 48 Ports.
aqui
aqui 15.09.2011 um 11:46:40 Uhr
Goto Top
Wie immer bei Billigheimer HP ProCurve (obwohl ungewöhnlicherweise der Strassenpreis 50 Euro über Cisco liegt) schafft der aber nur wieder HP üblich einen Bruchteil der anderen wichtigeren Features. Da können sogar D-Link und NetGear bei gleichem Preis mehr....
Aber egal..ist natürlich nicht kostenfrei und SNMP braucht man für ein Familiennetzwerk nun auch nicht wirklich...