Verständnisfrage zur Funktionsweise Hotspot-Funktion im Mikrotik-Router
Kann mir jemand die Hotspot-Funktion von Mikrotik erklären im Hinblick auf deren Implementierung (Filter etc.)?
Mein Setup (bzw. der für die Frage relevante Teil davon):
Mikrotik-Router RB2011UiAS
Hotspot aufgesetzt an einem VLAN-Interface mit den folgenden Parametern:
local address of network: 192.168.1.1/24
masquerade network: yes
address pool of network: 192.168.1.10-192.168.1.254
kein Zertifikat
ip address of smtp server: 0.0.0.0
dns server: <ip des lokalen dns>
dns name: <leer>
user: admin
Walled Garden: *.xyz.org (nur als Beispiel), Dst-Port 80
IP Bindings: 192.168.1.2 -> 192.168.1.2
Der admin-User ist deaktiviert, alle Auth-Methoden ebenfalls. Die Login-Seite wurde um die Eingabefelder bereinigt und zeigt lediglich einen Hinweis mit dem erlaubten Link an.
Die Clients sollen alle - ohne sich zuvor am Hotspot anmelden zu müssen - auf die Internetseite *.xyz.org kommen können. Das funktioniert so weit super.
Die unter "IP Bindings" angegebene Adresse (statische Adresse 192.168.1.2/24) ist ein Raspi mit installiertem XBMC (openELEC). Er ist dem Hotspot - bis auf die IP Bindings - nicht bekannt. Die WLAN-Clients am Hotspot sollen Video/Audio-Material darauf streamen können.
Das funktioniert für Android- und iOS-Clients soweit gut und zuverlässig.
Jetzt habe ich einen Client (Windows Tablet) mit der App AirParrot2 drauf. Die App sieht den XBMC-Rechner, sobald man sich aber darauf verbinden, kriegt man einen "unknown error"... Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Der Schluß liegt natürlich nahe, dass es sich um ein Problem mit der App/dem Client handelt. Die anderen Clients schaffen es ja schließlich zu streamen. Ich würde allerdings trotzdem gerne verstehen, wie der Hotspot technisch funktioniert. Aus dem Mikrotik-Wiki bin ich nicht ganz schlau geworden.
Soll/ ich evtl. masquerading abschalten?
Der Hotspot "installiert" eine Menge Firewall-Regeln unter IP/Firewall. Ist das alles was dessen Funktion (bzgl. Filterung) ausmacht?
Grüße
daarma
Mein Setup (bzw. der für die Frage relevante Teil davon):
Mikrotik-Router RB2011UiAS
Hotspot aufgesetzt an einem VLAN-Interface mit den folgenden Parametern:
local address of network: 192.168.1.1/24
masquerade network: yes
address pool of network: 192.168.1.10-192.168.1.254
kein Zertifikat
ip address of smtp server: 0.0.0.0
dns server: <ip des lokalen dns>
dns name: <leer>
user: admin
Walled Garden: *.xyz.org (nur als Beispiel), Dst-Port 80
IP Bindings: 192.168.1.2 -> 192.168.1.2
Der admin-User ist deaktiviert, alle Auth-Methoden ebenfalls. Die Login-Seite wurde um die Eingabefelder bereinigt und zeigt lediglich einen Hinweis mit dem erlaubten Link an.
Die Clients sollen alle - ohne sich zuvor am Hotspot anmelden zu müssen - auf die Internetseite *.xyz.org kommen können. Das funktioniert so weit super.
Die unter "IP Bindings" angegebene Adresse (statische Adresse 192.168.1.2/24) ist ein Raspi mit installiertem XBMC (openELEC). Er ist dem Hotspot - bis auf die IP Bindings - nicht bekannt. Die WLAN-Clients am Hotspot sollen Video/Audio-Material darauf streamen können.
Das funktioniert für Android- und iOS-Clients soweit gut und zuverlässig.
Jetzt habe ich einen Client (Windows Tablet) mit der App AirParrot2 drauf. Die App sieht den XBMC-Rechner, sobald man sich aber darauf verbinden, kriegt man einen "unknown error"... Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Der Schluß liegt natürlich nahe, dass es sich um ein Problem mit der App/dem Client handelt. Die anderen Clients schaffen es ja schließlich zu streamen. Ich würde allerdings trotzdem gerne verstehen, wie der Hotspot technisch funktioniert. Aus dem Mikrotik-Wiki bin ich nicht ganz schlau geworden.
Soll/ ich evtl. masquerading abschalten?
Der Hotspot "installiert" eine Menge Firewall-Regeln unter IP/Firewall. Ist das alles was dessen Funktion (bzgl. Filterung) ausmacht?
Grüße
daarma
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265735
Url: https://administrator.de/contentid/265735
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Ich kenne mich mit dem Windows auf Tablets überhaupt nicht aus. Vielleicht ist dort das Problem in irgendeinem Setting versteckt.
Ja das ist die Winblows HW. Das hat rein gar nichts mit dem Netzwerk zu tun !Das kannst du allein schon an der Tatsache sehen das es mit allen anderen Clients sauber funktioniert.
Der MT ist ja auch gar nicht involviert solange du im der gemeinsamen Layer 2 Domain mit den Clients bist und noch gar nicht über den Hotspot arbeitest !
Der Hotspot sperrt den Port und unterbindet das Lernen der Mac Adresse ohne Authentisierung.
Er macht damit einen TCP 80 redirect auf die Portalseite dir immer durch TCP 80 Traffic getriggert wird.
Geschieht dann dort die Authentisierung wird die Mac Adresse des Clients ind die Forwarding Table des MT eingetragen und dann wieder nirmal geroutet.
Alles was VOR dem Hotspot Portal ist und lokal arbeitet hat mit der MT Infrastruktur also nichts zu tun.
Wenn du kein Masquerading (IP Adress Translation) brauchst und transparent routen willst ohne NAT, dann solltest du NAT natürlich imemr zwingend deaktivieren, denn das schafft imemr eine Routing Einbahnstrasse durch die Firewall Funktion von NAT.
Wessen Mac Adresse meinst du?
Die des Clients natürlich !Was meinst du mit VOR dem Hotspot?
Quasi alles was sich VOR dem Hotspot Port befindet. Du hast selber geschrieben das du dort einen Layer 2 Switch angeschlossen hast in dem Ein Streming Server und Clients sich befinden.Da die dort erstmal autark sind hat deren lokales Verhalten erstmal mit dem Hostspott Portal nix zu tun.
Oder hast du das design jetzt fasclh beschrieben oder wir falsch verstanden ?