bytecraft
Goto Top

Port freigeben um es Gastnutzern zu ermöglichen sich an einem Captive Portal anzumelden (LANCOM)

Hallo zusammen,

ich habe nun eine funktionierende VLAN-Netzwerkstruktur, mit einen Lancom Router (1781VA) und einen Lancom Layer 2 Switch (GS-2124/24 Ports).

Lancom:

Büro/192.168.1.10(24)/VLAN-ID 1/TAG 1

Azubis/192.168.2.10(24)/VLANID 2/TAG 2

Gäste/192.168.3.10(24)/VLANID 3/TAG 3

Supervisor-Ebene/192.168.4.10(24)/VLANID 4/TAG 0

Server-Ebene/192.168.5.10(24)/VLANID 5/TAG 1

_________________________________________________________________________________________________________

Ich habe strahle über einen TP-LINK das VLAN 1, 2 und 3 aus.
Das funktioniert auch alles super. Jeder bekommt die richtige IP und kommt auch ins Internet. (Außer bei VLAN 3).

Mein Problem ist nun das ich ein Captive Portal bei meinem Gastnetz (VLAN 3) nutzen möchte.
Der Controller für den/die TP-LINK Geräte befindet sich auf der Supervisor-Ebene (VLAN 4).

Nun braucht das Gastgerät, nachdem es sich im Gastnetz eingewählt und seine Adresse (192.168.3.X) bekommen hat, ja Zugriff auf den Controller im VLAN 4 (192.168.4.1).
Der Routing Tag im LANCOM verhindert jedoch jeglichen Zugruff von VLAN 3 auf VLAN 4, was ja auch so sein soll.

Nach Recherche im Internet muss ich den Port 8880 und 8843 freischalten damit die Anfrage nach dem Captive Portal durchgeht.
Ich verstehe aber überhaupt nicht wo ich das einstellen kann das genau dieser Zusammenhang entsteht.

Habt ihr da vielleicht eine Idee oder was zum nachlesen?
Port Forwarding und Firewall-Einstellungen hab ich auch noch nie wirklich benutzt.


Ich freue ich mich auf Hinweise.

Content-ID: 594467

Url: https://administrator.de/contentid/594467

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

Looser27
Looser27 07.08.2020 um 12:30:36 Uhr
Goto Top
Moin,

Du brauchst eine Firewallregel, welche die Ports vom WLAN-Netz auf das CP-Netz zuläßt. Die Regel kann auf den Zielrechner des CP-Controller begrenzt werden, so dass Du keine "Scheunentore" einbaust.

Gruß

Looser
ByteCraft
ByteCraft 07.08.2020 um 14:41:41 Uhr
Goto Top
Also auf der Windows Firewall den Port freigeben 8880 für Simple Password (HTTP)?
Auf dem Lancom soll ich die Netze dann auf den gleichen Tag setzen oder muss ich da auch eine Firewall Regel erstellen?
Weil das wäre ja dann nicht Sinn der Sache, oder verstehe ich da was falsch?


Gruß
Looser27
Looser27 07.08.2020 um 15:06:27 Uhr
Goto Top
Auf dem Lancom, der für Dich zwischen den Netzen routet.
ByteCraft
ByteCraft 07.08.2020 aktualisiert um 15:52:09 Uhr
Goto Top
Aber der CP-Controller liegt doch auf der Supervisor-Ebene von der man aus überall zugreifen kann.
Das wäre doch total unsicher wenn ich einfach das Gastnetz auf den Tag 0 setzte damit man von dort den Controller erreichen kann.

Welche Regeln müssten denn dann aktiviert werden.

Alles aus, bis auf den Port 8880 ?
Looser27
Looser27 07.08.2020 um 18:07:20 Uhr
Goto Top
Quelle: Gast WLAN
Ziel: CP Cotroller
TCP / UDP
Ports 8880 und 8843

Alles was nicht erlaubt ist, ist bei einer Firewall verboten. Also geht hier nur der Traffic auf diesen Ports an den Controller. Sonst nix.
Fabezz
Fabezz 07.08.2020 um 21:22:07 Uhr
Goto Top
Hallo,
du denkst eine Ebene zu hoch.
Du musst auf dem Lancom Router den Zugriff von 192.168.3.0/24 auf die IP 192.168.4.1 mit dem Port 8880 & 8843 TCP über den Punkt Firewall freigeben. Und du musst auch nur die Controller IP freigeben und nicht das ganze Netz.

Leider habe ich mit lancom nich nicht gearbeitet.

Grüße
ByteCraft
ByteCraft 10.08.2020 aktualisiert um 11:05:06 Uhr
Goto Top
Moin Leute,

so ich habs glaub ich verstanden.
Das Ding ist, dass es immer noch nicht funktioniert.

Habe jetzt im Lancom die Regel gesetzt, aber ich kann vom Gastnetz immernoch nicht das Portal zum Anmelden erreichen.
Stimmen den meine freigegebenen Ports?
Wie kann ich herausfinden welche Ports dafür offen sein müssen?

Reicht diese eine Regel denn überhaupt, oder muss ich noch etwas an den Tags ändern, momentan steht die Supervisor-Ebene und die Gastebene auf unterschiedlichen Tags.

Grüße und vielen Dank für eure Hilfe
cpissue1
cpissue2
Looser27
Looser27 10.08.2020 um 11:41:12 Uhr
Goto Top
Habe jetzt im Lancom die Regel gesetzt, aber ich kann vom Gastnetz immernoch nicht das Portal zum Anmelden erreichen.

Das sollte Dir die Software von Deinem CP verraten face-wink
Dort sollten die Ports genannt werden.

Alternativ: Einmal Scheuentor-Regel (1-65535 TCP und UDP) und mit Wireshark mitschneiden oder auf der Firewall loggen.
Anschließend Scheunen-Tor zu und nur das zulassen, was benötigt wird.

Gruß

Looser
Fabezz
Fabezz 10.08.2020 um 12:29:31 Uhr
Goto Top
Mach doch mal ne durchflugregel und prüfe ob du überhaupt von diesem Netz darauf zugreifen kannst.
Dann Handbuch aufschlagen und Ports nachlesen!
Vielleicht benötigst noch port 80 und 443 aber das ist auch nur nichtwissender Oralauswurf.