4
Webgui des Access Points durch Monowall aufrufen
Hallo,
folgende Situtation:
Ich betreibe eine Monowall mit (noch) 2 Netzwerkkarten. Netzwerk 1 = WAN, Netzwerk 2 = Switch mit den LAN Clients und dem Access Point. (D-Link - DAP 1360)
Auf dem Access Point ist die Webgui auf Port 80 aktiviert. Ich möchte jetzt von aussen, Internet, auf die Konfigurationsoberfläche des Access Point zugreifen.
Dazu hab ich eine Inbount NAT auf die IP des Access Points mit dem Port 80 eingerichtet. Auch die dazugehörige Rule wurde angelegt. Mir gelingt es aber
nicht aus dem Internet auf den Access Point (Webgui) zuzugreifen. Innerhalb des Netzwerk's (nur DMZ) funktioniert es problemlos.
Hab ich was übersehen?
ze_sniper1
UPDATE:
(die obigen Angaben hab ich aktualisiert)
Hier der Netzwerkplan:
NAT:
RULES:
folgende Situtation:
Ich betreibe eine Monowall mit (noch) 2 Netzwerkkarten. Netzwerk 1 = WAN, Netzwerk 2 = Switch mit den LAN Clients und dem Access Point. (D-Link - DAP 1360)
Auf dem Access Point ist die Webgui auf Port 80 aktiviert. Ich möchte jetzt von aussen, Internet, auf die Konfigurationsoberfläche des Access Point zugreifen.
Dazu hab ich eine Inbount NAT auf die IP des Access Points mit dem Port 80 eingerichtet. Auch die dazugehörige Rule wurde angelegt. Mir gelingt es aber
nicht aus dem Internet auf den Access Point (Webgui) zuzugreifen. Innerhalb des Netzwerk's (nur DMZ) funktioniert es problemlos.
Hab ich was übersehen?
ze_sniper1
UPDATE:
(die obigen Angaben hab ich aktualisiert)
Hier der Netzwerkplan:
NAT:
RULES:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 160285
Url: https://administrator.de/contentid/160285
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
Deine Vorgehensweise ist generell richtig. Beachte das du inbound TCP 50010 natürlich auf outbound (internes netz) TCP 80 umsetzen musst.
Betreibst du ein Captive Portal am LAN Segment ??
Wenn ja dann bleibt vermutlich deine Antwortpakete des APs am CP hängen ! In diesem Falle ist eine simple Ausnahmeregel im CP mit der IP des APs deine Lösung.
Ansonsten hat der (ziemlich lange) Thread zum Monowall CP so eine Lösung parat...
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ansonsten einmal anonymisiert die Einstellungen hier per Screenshot posten !
(Thread editieren, Screenshot über Bilder hochladen als JPG uploaden und den Bild URL hier posten..)
Betreibst du ein Captive Portal am LAN Segment ??
Wenn ja dann bleibt vermutlich deine Antwortpakete des APs am CP hängen ! In diesem Falle ist eine simple Ausnahmeregel im CP mit der IP des APs deine Lösung.
Ansonsten hat der (ziemlich lange) Thread zum Monowall CP so eine Lösung parat...
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ansonsten einmal anonymisiert die Einstellungen hier per Screenshot posten !
(Thread editieren, Screenshot über Bilder hochladen als JPG uploaden und den Bild URL hier posten..)
Hallo aqui,
danke für die Antwort. Hab jetzt einige Zeit versucht die Sache hinzubekommen. Leider ohne Erfolg.
Die Screenshots hab ich oben eingefügt. Mit den Outbound Einstellungen hab ich experimentiert ...
danke für die Antwort. Hab jetzt einige Zeit versucht die Sache hinzubekommen. Leider ohne Erfolg.
Die Screenshots hab ich oben eingefügt. Mit den Outbound Einstellungen hab ich experimentiert ...
Keine Ahnung was du da machst aber der Fehler liegt de facto zwischen Stuhl und Keyboard !
Ein schneller Laboraufbau mit folgenden Einstellungen:
Firewall Regel WAN Port
Firewall NAT am WAN Port
...führte zum sofortigen Erfolg !!
AP war hier am LAN Port mit der IP 192.168.1.254. Der vom WAN Interface (Internet) geNATete Port ist der Port TCP 58080 gewesen.
Im Browser http://<monowall_ip>:58080 eingegeben und schon war das WebGUI des AP im Browser !!
Du musst allerdings noch mehrere Dinge zwingend zusätzlich beachten:
Folgende weitere Sachen sind aus deinen o.a. Regeln oben unsinnig oder fehlerhaft !
(Bedenke immer das Firewall Regeln außschliesslich NUR auf eingehende Pakete ins Interface wirken !! Nie auf ausgehende !)
1.) "RULES"
Auf dem LAN Port ist eine Regel die die DMZ IP Adressen als Source haben soll völliger Unsinn, denn solche IP Adressen kommen hier niemals vor (ist ja das LAN). Die Regel ist unsinnig und kannst du löschen !
1a.) Im WAN Interface fehlt die Erlaubnis mit dem Port TCP 20003 (besser TCP 58080) auf die WAN Interface IP zuzugreifen. Dadurch werden die HTTP Pakete auf den AP blockiert. Das ist bei dir ursächlich das es nicht klappt !!
Erst musst du den Zugriff auf das WAN Interface mit TCP 20003 (oder 58080) erlauben..dann erst greift das NAT !
Im Testaufbau fehlt dieses, da das "Test WAN" ein RFC 1918 Netzwerk war und dort die globale Blocking Regel für 1918er Netze komplett entfernt ist ums nicht unnötig kompliziert zu machen.
Die CP Ausnahmeregel für die IP des APs hast du nicht im Screenshot, die muss dort aber drin sein sonst bleiben Port 80 Pakete hängen !
Beachtet man das alles funktioniert das auf Anhieb !
Ein schneller Laboraufbau mit folgenden Einstellungen:
Firewall Regel WAN Port
Firewall NAT am WAN Port
...führte zum sofortigen Erfolg !!
AP war hier am LAN Port mit der IP 192.168.1.254. Der vom WAN Interface (Internet) geNATete Port ist der Port TCP 58080 gewesen.
Im Browser http://<monowall_ip>:58080 eingegeben und schon war das WebGUI des AP im Browser !!
Du musst allerdings noch mehrere Dinge zwingend zusätzlich beachten:
- Die IP Adresse deines APs in der DMZ muss in der CP Ausnahmeregel eingestellt sein, denn sonst bleiben die AP WebGUI Pakete am CP hängen, da es dort nicht authentifiziert ist !
- Du musst eine eingehende Regel von ANY und Port ANY auf die WAN IP Monowall mit Destination TCP 58080 erlauben. Dies kannst du dir aber ersparen wenn du bei der Einrichtung der "Inbound NAT Regel" unten den Haken setzt "Firewall Regel dazu automatisch erstellen " !
- Benutze besser immer Ports zwischen 49152 bis 65535 als private Ports. Alles andere ist fest durch die IANA anderen Ports vergeben ! http://en.wikipedia.org/wiki/Ephemeral_port
Folgende weitere Sachen sind aus deinen o.a. Regeln oben unsinnig oder fehlerhaft !
(Bedenke immer das Firewall Regeln außschliesslich NUR auf eingehende Pakete ins Interface wirken !! Nie auf ausgehende !)
1.) "RULES"
Auf dem LAN Port ist eine Regel die die DMZ IP Adressen als Source haben soll völliger Unsinn, denn solche IP Adressen kommen hier niemals vor (ist ja das LAN). Die Regel ist unsinnig und kannst du löschen !
1a.) Im WAN Interface fehlt die Erlaubnis mit dem Port TCP 20003 (besser TCP 58080) auf die WAN Interface IP zuzugreifen. Dadurch werden die HTTP Pakete auf den AP blockiert. Das ist bei dir ursächlich das es nicht klappt !!
Erst musst du den Zugriff auf das WAN Interface mit TCP 20003 (oder 58080) erlauben..dann erst greift das NAT !
Im Testaufbau fehlt dieses, da das "Test WAN" ein RFC 1918 Netzwerk war und dort die globale Blocking Regel für 1918er Netze komplett entfernt ist ums nicht unnötig kompliziert zu machen.
Die CP Ausnahmeregel für die IP des APs hast du nicht im Screenshot, die muss dort aber drin sein sonst bleiben Port 80 Pakete hängen !
Beachtet man das alles funktioniert das auf Anhieb !
Hallo aqui,
Problem liegt zwischen Stuhl und Keyboard: Dachte ich mir schon
Danke für die ausführliche Erklärung. Werd ich am Wochenende gleich testen.
Noch eine Frage: Mit welchen Programm zeichnest du deine Netzwerkpläne?
ze_sniper1
Problem liegt zwischen Stuhl und Keyboard: Dachte ich mir schon
Danke für die ausführliche Erklärung. Werd ich am Wochenende gleich testen.
Noch eine Frage: Mit welchen Programm zeichnest du deine Netzwerkpläne?
ze_sniper1
