derh2
Goto Top

Monowall Firewall-Regel Captive Portal

Internet Zugriff für NTP-Synchronisation dLAN Adapter

Hallo beisammen,

habe ein Problem mit dem Zugriff aufs Internet (WAN) vom Gäste-LAN (LAN) aus.
Captive Portal ist aktiv und läuft auch soweit.

Nun soll ein Devolo dLAN Adapter ohne Authentifizierung sich mit einem NTP-Server synchronisieren könne, damit die Zeitsteuerung für das WLAN geht.

Diesen habe ich mit seine MAC-Adresse in die "Services: Captive portal: Pass-through MAC" Liste eingetragen. MAC-Adresse ist korrekt, da sie schon über SysLog abgefangen wurde.
In den Firewall-Rules habe ich UDP/123 für NTP ergänzt.

Der dLAN-Adapter hat aber keinen Zugriff auf das Internet. Was mache ich falsch?

Gruß
derh2

510eb6065ad64d7ad845390e9a4c8198
109f7687b7358e98aa2a4de8b87a5f07
4027e70596c20227bd7efba3aafde509
2a6c790fdcf2281aa290d99ca6899ab2
34604d0522194d6f7106e05845d88a67

Content-ID: 192330

Url: https://administrator.de/forum/monowall-firewall-regel-captive-portal-192330.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

aqui
aqui 07.10.2012 aktualisiert um 15:25:03 Uhr
Goto Top
Generell ist so alles richtig, sieht man mal von den höchst bedenklichen "Scheunentor" Regeln vom WAN und PPTP Port ab. Das ist fahrlässig...aber egal wenn du damit leben kannst.
Ist VOR dem WAN Port noch ein Router oder gehtst du mit einem DSL Modem direkt von der FW ins Internet ??
Wenn ja bedenke das du dann im WAN Port Setting das Filtern der RFC 1918 IP Netze deaktivierst.
Ansonsten solltest du mal einen Sniffer (Wireshark) ins netz hängen und checken ob der Devolo Adapter wirklich NTP macht ?!
Oft nutzen die auch NetBios um die Uhrzeit von (Winblows) PCs zu holen.
Ein Blick in das Firewall Log solltest du auch machen um mal zu checken WAS dort hängenbleibt !!
Vermutlich ist dein Devolo Teil dabei und da kannst du dann genau sehen WAS der für das Uhrzeit Setting verwendet.
derh2
derh2 07.10.2012 um 18:52:15 Uhr
Goto Top
Im Log steht folgende Meldung:
18:56:52.542755 vr0 @100:15 p 192.168.104.2,3236 -> 192.53.103.108,123 PR udp len 20 76 K-S IN

Zur Firewallregel WAN:
Wenn ein Router davor, dürfte das doch keine (Sicherheits)Auswirkungen haben, oder?

Bin leider momentan nicht vor Ort und nur per VPN verbunden:
Komme auf den devolo nicht drauf, kann ihn auch nicht pingen.
Sind die Regeln insofern richtig, dass ich vom VPN auf das LAN zugreifen kann?

Was sollte ich bei PPTP abändern?
aqui
aqui 09.10.2012 um 14:03:50 Uhr
Goto Top
Kommt auf den Router "davor" an und seine Einstellungen. Ohne die zu kennen kann man nur blind raten... face-sad
Die Frage ob die Regeln richtig sind ist wohl eher eine kleine "Verarschung", sorry aber mit any zu any (* zu *) existiert ja gar keine Regel mehr, denn du hast ala Scheunentor ja so alle Regeln deaktiviert und alles zugelassen. Die Frage ist also eher naiv, macht zum testen aber erstmal Sinn um nicht weitere Fehlerquellen zu erzeugen.
Die obige UDP meldung war die geblockt (x davor) ??
Das zeigt dann das dieses NTP Paket aus dem .104er Netz nicht rauskommt.
derh2
derh2 06.12.2013 um 04:07:28 Uhr
Goto Top
Auch wenn es schon lange her ist, vielleicht hilft es dem ein oder anderen Nutzer:

Habe mir so beholfen, dass bevor der DLAN-Adapter eingesteckt wird, das Captive-Portal deaktiviert wird. Nach einer Minute dann wieder aktivieren. In dieser Zeit hat sich der Adapter seine Zeit geholt.
aqui
aqui 06.12.2013 um 11:33:07 Uhr
Goto Top
Das ist, sorry… Blödsinn, denn es reicht schlicht und einfach eine Mac Adress basierte Ausnahmerelgel ins Captivel Portal einzutragen und fertig ist der Lack. Alternativ IP basierend und aufs jeweilige Protokoll bezogen.