aqui
Goto Top

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Dieses Tutorial gibt einen kurzen Leitfaden für ein hier im Forum sehr häufig angefragtes Netzdesign zur sicheren Integration eines Gäste oder Besucher WLANs oder LANs.
Es beschreibt die einfache und preiswerte Installation eines sogenannten "Captive Portals" (Hotspot Funktion) für einen unabhängigen WLAN und / oder LAN Gastzugang in Firmen, Hotels, Cafes und anderen Lokationen, die eine automatische, Web Browser basierende Authentisierung mit einem Benutzernamen oder Einmal-Passwörtern (Vouchers) sowie eine Überwachung des Zugangs ermöglicht.


back-to-topAllgemeine Einleitung
Als Basis für das Captive Portal kommt hier die frei verfügbare Software pfSense oder OpnSense zum Einsatz, die über ein einfaches und intuitives Websetup diese Funktion zur Verfügung stellt.
(Für M0n0wall als weitere Alternative wurde kürzlich der Support eingestellt, so das diese Option hier nur noch nebenbei Erwähnung findet)
Die pfSense Firewall hat darüberhinaus weitergehende Features wie einen OpenVPN_Server, Timeserver, Clustering, Dual WAN Port usw. sie steht kommerziellen Firewalls in nichts nach !
Zudem kann sie über ein kleines ALIX Mini Mainboard in eine handliche 3 Port Appliance verbaut werden. Solch ein fertiges Set ist bei diversen Anbietern wie z.B. Varia Store erhältlich.
Das Tutorial geht nicht im Detail auf alle Features von pfSense und seiner Router- und Firewall Funktionen ein. Diese sind aber recht einfach und intuitiv und können über ein einfaches Webinterface per Mausklick bedient werden, was auch für Firewall Anfänger sehr einfach zu handhaben ist.
Die einfache Installationsprozedur kann detailiert HIER hier nachgelesen werden.
Es genügt ein (alter) vorhandener PC mit 2 (optional 3 oder mehr) Netzwerkkarten und einem CD ROM Laufwerk.
Eine Festplatte ist nicht zwingend erforderlich, denn pfSense bootet bequem von einer CD oder einem USB Stick sofern ein USB Port vorhanden ist !
Es empfiehlt sich in jedem Falle einen FAT32 formatierten (Standard) USB Memory Stick in einen der PC USB Ports vor dem Booten der CD zu stecken. Dieser speichert dann automatisch die Konfiguration ab, die ja sonst nach einem Reboot mit reinem CD Betrieb verloren ist.
Mehr oder minder ist diese Option heutzutage aber irrelevant, denn fast niemand mehr bootet ein solches System von einer CD es sei denn der verwendete PC ist wirklich alt.
Kann direkt vom USB Stick gebootet werden kann das CD ROM Laufwerk vollständig entfallen.
Mit einem einfachen CD oder USB Stick Setup ist ein schneller problemloser Aufbau und Test der Firewall Funktion und des Gäste Captive Portals ohne großen Aufwand möglich für denjenigen der sich nur mal einen Überblick verschaffen will !
Ein alter PC oder ein altes Mainboard aus der Bastelkiste kann so sinnvoll recycelt werden sieht man von den Stromkosten ab...

Für einen späteren und dauerhaften Betrieb sollte man aber in jedem Falle eine verschleissfreie CF (Compact Flash) Flash Speicherkarte als Festplatte verwenden oder einen bootbaren USB Stick oder....
Noch besser und energetisch sinnvoller: gleich eine feste Appliance mit einem ALIX Mini Mainboard verwenden, aber dazu später mehr...
Der simple Grund dafür ist das dort keine beweglichen Teile mehr vorhanden sind, die im Dauerbetrieb einen Ausfall durch Verschleiss verursachen können !
So hat diese Firewall Hardware keinerlei weitere bewegliche Teile mehr und ist für den Dauerbetrieb bestens gerüstet !

Bei einer PC basierten Lösung steckt man als verschleissfreien Festplattenersatz einen preiswerten IDE / CF Flashkartenadapter wie z.B. DIESEN_hier oder DIESEN(klick) direkt in den normalen PC IDE Festplattenport auf dem Mainboard statt des 40 oder 80 poligen Festplattenkabels.
Wie so etwas dann im Betrieb aussieht kann man HIER ansehen.
Die Flashkarte sollte nicht kleiner als 512 MB sein.
So lassen sich z.B. ungenutzte, zu klein gewordene CF Flashkarten aus der Digitalfotografie problemlos einer neuen und sinnvollen Verwendung zuführen.
Für modernere SATA Ports gibt es ebenfalls entsprechende Adapter oder man verwendet eine alte, ausgesonderte, zu klein gewordene SSD.

Dieser Adapter mit CF Karte fungiert dann in der Firewall wie eine normale Festplatte von der die pfSense dann bootet und arbeitet.
Natürlich kann man auch von einem USB Stick booten, was aber oft ein etwas moderneres Mainbord BIOS erfordert, das das Booten vom USB Stick supporten muss.
Der CF Adapter hat hier den großen Vorteil das er unter jeden Umständen in Uralt Mainboards, funktioniert durch die Universialität der parallelen IDE/ATA Festplatten Schnittstelle die in älterer Hardware immer vorhanden ist und unabhängig von USB Boot Features ist !!
Ferner ist er intern im Gehäuse durch äußere Manipulation geschützt im Gegensatz zu einem externen USB Stick !
Bei alter PC Hardware sollte mindestens 512 MB RAM onboard sein.

Wie eine CF Flashkarte oder USB Stick mit physdiskwrite "betankt" wird beschreibt das hiesige pfSense Forumstutorial für ALIX Boards im Detail:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Nach der Installation auf der CF Karte oder USB_Stick bootet pfSense direkt davon und ist nach dem Einschalten sofort einsatzbereit.


back-to-topTechnisch besser: Feste Gehäuselösung (Appliance) statt alter PC
Ein gravierender Nachteil bei Betrieb der Firewall auf einer alten PC Hardware sind die laufenden Betriebskosten (Strom), Abwärme, Lüftergeräusche, Verschleiss und Platzbedarf.
Technisch sinnvoller und effektiver ist es das Captive Portal bzw. pfSense als schicke, kleine embedded Appliance statt auf einem klobigen PC zu verwenden. Die Gehäusegröße und der Stromverbrauch entspricht dem aktueller Router oder Firewalls. Die anfallenden Stromkosten reduzieren sich damit auf ca. 15-20 Euro im Jahr und alle anderen Nachteile entfallen ebenfalls.

Da die Mehrzahl der heutigen Installatonen auf diesen Boards beruhen ist der Aufbau oder auch die Verwendung eines Fertiggeräts auf Basis der beliebten ALIX 2D13 oder APU1D (Gig.Netzwerkports) Mini Mainboards in einem separaten Forumstutorial hier bei Administrator.de beschrieben, das auch für Laien und Anfänger sehr leicht umzusetzen ist:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät


back-to-topDownload der pfSense Software
Wer dennoch bei der PC Plattfom bleiben möchte oder einen Uralt PC sinnvoll recyceln will findet ein ISO CD Image zum Brennen der Boot- und Installations CD und auch das CF/USB Flashkarten Image hier zum Download:
http://www.pfsense.org/index.php?option=com_content&task=view&i ... ("Here on the Mirrors" klicken)
Die pfSense "nanobsd" Images sind ausschliesslich für embedded Boards wie ALIX oder Soekris gedacht. Die Ziffer im Dateinamen gibt an für welche CF Flashkartengröße das Image gedacht ist.
Für den Betrieb auf alten PCs oder Atom Minibords wird das normale "RELEASE-i386" Image verwendet, was man auch per USB Stick oder CF Flash bootet.

Neuerdings sogar ebenfalls ein VmWare Image zum Starten in einer VM mit dem kostenlosen VmWare_Player
Ein grafisches Windows Programm zum Beschreiben von CF Flashkarten in einem Kartenadapter ist der bekannte Win32DiskImager !
Generell sollte man aus Sicherheits- und Stabilitätsgründen aber immer, wenn irgend möglich, von der Installation einer Firewall in einer VM aus Sicherheitsgründen absehen !

Ein klassisches Netzdesign mit 3 Interfaces in der pfSense, sprich einem abgesicherten Verwaltungs- bzw. Firmennetz getrennt vom Gastzugang sähe so aus:

3e4a4563634827b5cbd80908919000d5-mono-or

Da die pfSense direkt das PPPoE Protokoll unterstützt ist ein Router für einen Internet Zugang nicht zwingend erforderlich !
Ein einfaches DSL "nur Modem", (wie das einfache DSL Modem im o.a. ALIX Tutorial) oder ein Router der via "PPPoE Passthrough" Option in den reinen Modem Betrieb konfiguriert wurde, würde ebenfalls vollkommen reichen. (Siehe Schemazeichnung unten im Menüpunkt Betrieb !).
Es erspart späterer Probleme mit doppeltem NAT oder Performanceeinbußen in Router Kaskaden.
Achtung: Die Provider Zugangsdaten sind dann immer im Setup der Firewall (WAN Port, PPPoE Modus) einzugeben !
Ein Design mit einem zusätzlichen NAT Router ist aber ebenso problemlos und wird im folgenden Abschnitt zur Installation näher beschrieben.

5fe8b445c54317f6cb5739f03a959bd5-mono1

Wer statt dedizierter WLAN Accesspoints überzählige WLAN Router als "nur" APs im Hotspot Netz verwenden will, findet HIER in der Alternative-3 eine genaue Anleitung wie diese für einen Betrieb als einfacher, "nur" WLAN Accesspoint zu konfigurieren sind !


back-to-topInstallation und Integration der Firewall ins Netzwerk
Nach dem Booten, egal ob per CD oder Flash Karte, ist pfSense sofort einsatzbereit. Als Default ist auf dem LAN Segment ein DHCP Server aktiv und entsprechende Regeln schon voreingestellt. Es reicht also hier einfach einen Laptop/PC anzuschliessen und loszulegen mit der Konfiguration.
Auf dem WAN / Internet Port ist im Default ein DHCP Client aktiv, der sich von einem vorhandenen DSL-Router mit aktivem DSL Anschluss automatisch eine IP, Gateway und DNS Adresse holt wenn man den WAN Port dort anschliesst.
Bei den recht bekannten ALIX Boards ist der WAN / Internet Port in der Regel immer der mittlere der 3 Ports.
Das LAN Segment arbeitet per Default auf dem IP Netz 192.168.1.0.
Das Websetup zur Konfiguration des Systems hat die IP Adresse 192.168.1.1 und kann sofort mit dem Browser (IE oder Firefox etc.) unter http://192.168.1.1 erreicht werden.
Der Konfigurationszugang hat die default Benutzer/Passwortkennung admin mit dem Passwort pfsense !

ACHTUNG: Wer andere IP Adressen bzw. Netze im LAN Segment hat oder das Portal in ein bestehendes LAN/WAN Umfeld integrieren will oder muss, kann die entsprechenden IP Einstellungen dafür natürlich vorher auf seine Belange einstellen.

Nach erfolgtem Login ist man nun auf der KONFIGURATIONSOBERFLÄCHE.
Hier im "General Setup" kann man nun weitere Anpassungen am System (z.B. Passwörter etc.) vornehmen. Für einen ersten Test muss hier aber erstmal nichts mehr eingetragen werden !
Da pfSense auch selber ein vollständiger DSL-Router mit stateful Firewall Funktion ist, lassen sich im Menüpunkt WAN-INTERFACE auch direkt PPPoE Provider Zugangsdaten etc. eintragen um pfSense z.B. direkt an einem "nur" DSL-Modem zu betreiben !
Der direkte Anschluss an ein Kabel TV Modem eines TV Kabel Providers (WAN Port im DHCP Client Modus) ist damit ebenso leicht und problemlos möglich !
Auch hier ist für den ersten Funktionstest erstmal nichts einzutragen sofern ein LAN Router vor der pfSense betrieben wird !

Wer die Hotspot Firewall als solche in eine bestehende VLAN Struktur integrieren muss oder will, findet im folgenden eine detailierte Beschreibung wie das mit der pfSense genau zu machen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Noch ein Tip für die Installation auf einem ALIX Board !:
Die serielle Konsole die man auf diesem Mainboard am dort vorhandenen DB-9 Stecker hat bekommt man über ein serielles Terminalprogramm zu sehen. Wie das anzuschliessen und zu bedienen ist zeigt dieses Tutorial:
http://www.pfsense.org/mirror.php?section=/tutorials/wrap_install/wrap_ ...
oder Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät (Kapitel: "Wenn nichts mehr geht" )
(Achtung: Serielle Terminal Geschwindigkeit pfSense: 115.200 Baud !)


Installation in ein bestehendes Netzwerk mit Router
Ein häufiger Grund für Folgethreads hier im Forum ist die Integration dieses Captive Portals in bestehende IP Netze mit bestehendem DSL Router oder Modem und den fehlenden Einstellungen.
Deshalb hier ein paar zusätzliche Anmerkungen zu diesem wichtigen Thema:
Wie oben bereits angemerkt hat die Monowall und auch pfSense auf dem WAN/Internet Port mehrere Möglichkeiten der IP Adress Einstellung.
32513ce40b76215df9ebd94abc272586
Static = Statische IP Adressvergabe
DHCP = Automatische IP Adressvergabe durch vorgeschalteten Router
PPPoE = Direkt Kopplung mit einem reinen DSL Modem und Konfiguration der Provider Zugangsdaten direkt auf der Monowall
(PPTP = Spezielle Provider Zugangstechnik, wird in der Regel in D nicht verwendet)
Default ist die Einstellung auf DHCP, deshalb bekommt die FW bei der klassischen Kopplung an einen bestehen DSL Router von diesem auch eine IP mitsamt DNS.
Das häufigste Szenario dürfte deshalb so aussehen:
2e8df6d3019998cd6088fb7917aa2762
Hier gibt es ein paar grundsätzliche Dinge zu beachten:
1.)
Ist ein bestehender Router im Einsatz, benutzt dieser in der Regel immer private_IP_Adressen im LAN.
In dieses LAN Segment wird nun die Firewall gesteckt, die aber per Default an ihrem WAN Port einen Paket Filter auf genau diese privaten IP Adressen hat, da die Default Einstellung davon ausgeht das der WAN Port direkt am "gefährlichen" Internet ist und solche IP Adressen von dort nie kommen dürfen.
Ein Teil der wichtigen Sicherheitseinstellung der Firewall also !
Mit einer Routerkopplung davor ist das allerdings tödlich, denn es bewirkt das alle Daten vom lokalen LAN dann dort geblockt werden und nichts erreichbar ist. Ein häufiger Punkt für Nachfragen hier...
Wichtig ist also in solch einen Aufbau mit einem DSL Router davor (nicht bei einem reinen DSL Modem und direkter PPPoE Kopplung an den Provider !) diesen default Filter zu deaktivieren !

2a1666cc6c863137b22c204daf68c85d
Das o.a. Bild zeigt in der WAN Interface Konfiguration wo dieser Haken des Private Adress Blocking zu entfernen ist !
Diese Punkte sollte man ebenso beachten:
2.)
Soll die FW als einfaches Captive Portal verwendet werden kann man die Einstellung des WAN Ports im DHCP Modus belassen und sich vom vorgeschalteten Router die IPs dynamisch vergeben lassen. Dafür ist einfach der WAN Port der FW mit dem LAN Port des Routers mit einem Patchkabel zu verbinden wie in Punkt 1. schon beschrieben.
3.)
Soll es zusätzlich einen VPN Zugang auf der Firewall für den remoten Zugriff von Clients auf das lokale Netzwerk geben oder einen Webzugriff für die Fernwartung mit der Monowall/pfSense eingerichtet werden, dann muss zwangsweise ein Port Forwarding (Port Weiterleitung) auf dem davorliegenden DSL Router gemacht werden um diese Port(s) an die FW weiterzuleiten.
Details zum Port Weiterleiten bei VPN findet man hier oder auch hier im unteren Kapitel zur VPN Integration.
Hierbei macht es dann Sinn der FW dann immer statische IP Adressen auf dem WAN Port zu setzen, denn sollten sich die per DHCP empfangene WAN Adresse hier Aufgrund der Dynamik von DHCP einmal ändern, dann laufen die Port Weiterleitungen ggf. auf nichtexistente IP Adressen und damit ins Nirwana.
Aus diesem Grunde sind dann statische IP Adressen generell immer vorzuziehen wenn Port Weiterleitung im Spiel ist. Alternativ kann man natürlich über die Mac Adresse des WAN Ports auch immer feste IP Adressen im DHCP zuweisen sofern der Router davor sowas supportet. (DHCP Mac Nailing)
Wichtig: Feste statische Adressen müssen immer außerhalb des DHCP Bereichs liegen, damit es nicht zu IP Adressüberschneidungen und Dopplungen kommt !

Ein weiterer, wichtiger Punkt der häufig zu Frust führt weil er vergessen wird:
Wird die WAN IP Adresse statisch konfiguriert, dann MUSS auch der DNS Server statisch konfiguriert werden !
Dies geschieht im Menü "General Setup":
421a86c4afa816865aae67b349accb34
Wird vergessen den DNS einzutragen kommt es zu DNS Problemen und Fehlern bzw. Nichtfunktion beim Aufruf der Portalseite !
Wer komplett diese Probleme mit Port Forwarding umgehen will installiert die Firewall besser direkt am DSL Anschluss entweder mit einem einfachen, reinen DSL Modem oder indem er einen vorhandenen Router mit der PPPoE_Passthrough_Option in den Modem Modus konfiguriert.
c25f5b879d28727e4dc0635397d5380f
Hier sind dann die PPPoE Zugangsdaten (Username / Passwort) direkt auf der Firewall im WAN Port Setup zu konfigurieren.
Damit entfallen dann alle zusätzlichen Port Weiterleitungsmassnahmen, da jetzt natürlich kein NAT Router mehr vor der FW ist und diese direkt am Internet hängt.
Los gehts mit dem Hotspot Gastnetz Setup...!


back-to-topCaptive Portal Setup
Wichtiger Test vorweg: Bevor man jetzt das Captive Portal (Hotspot Funktion) aktiviert sollte das o.a. Firewall Szenario sauber funktionieren !
Ein Client im LAN Segment angeschlossen sollte dazu mit seiner von der pfSense vergebene IP problemlos ins Internet gelangen können.
Erst wenn DAS sauber funktioniert sollte das CP aktiviert werden um ggf. zusätzliche Netzwerk Fehler vorher sicher ausschliessen zu können und Frust und überflüssige Fehlersuche zu vermeiden !!


Nächster Anlaufpunkt ist die Seite zur Einrichtung und Aktivierung des CAPTIVE-PORTALS also der Hotspot Funktion.
Man erstellt zuerst mit Klick auf "+" ein Captive Portal Profil, wo man das Interface festlegt auf dem das CP wirken soll und geht dann in die eigentliche CP Konfiguration.

Folgende Einträge müssen zwingend dabei gemacht werden:
  • Haken bei "Enable Captive Portal" setzen um die Captive Portal Funktion zu aktivieren !
  • Idle Timeout oder Hard Timeout auf den gewünschten Wert setzen. (Idle Timeout ist die Zeit der Inaktivität eines Benutzers ab wann das Portal den Zugang für eingeloggte Benutzer wieder sperrt, Hard Timeout ist ein fester Zeitwert nachdem der Benutzer vom Gastzugang zwangsweise getrennt wird und sich neu einloggen muss.)
  • Authentication sollte im ersten Schritt immer auf Local User Manager gesetzt sein. Im Local User Manager oder oben im Karteireiter "Users" kann man dann dort seine lokalen CP Benutzer anlegen oder für Hotels, Cafes, etc. eine VoucherID (Einmalpasswort) aktivieren. Später ist hier dann auch eine sehr komfortable Benutzerverwaltung und Accounting mit einem Radius Server möglich wie z.B. dem Microsoft NPS (ex IAS) oder Freeradius !
Hinweise zur Installations eines FreeRadius Servers gibt ein entsprechendes Security_Tutorial hier bei Administrator.de.
  • Bei Portal Page Contents. Kann man die Portalseite entsprechend anpassen um dort nur User/Passwort oder nur Voucher oder beide Optionen abzufragen.
Sinnvoll bei Gästen ist eine NUR Voucher Funktion mit Einmalpasswörtern die einem eine aufwendige User und Passwort Verwaltung erspart. Im HTML Code ist das dann entsprechend auszukommentieren oder zu löschen.
Entweder lebt man hier also mit dem Default, besser ist aber immer eine kleine, eigene HTML Datei zu importiertieren, die eine eigenes Logo, Bilder oder Informationen enthält, also auf seine Gastbesucher angepasst ist. Man sollte nicht vergessen das so eine Portalseite immer die "Visitenkarte" ist und einen ersten Eindruck vermittelt !

Der folgende HTML Code ist eine einfache HTML Login und VoucherID Abfrage (HTML Datei), die man einfach mit Klick auf Quelltext ( -> Oben rechts im Balken des Textblocks !) und dann cut and paste oder direkt mit in Speicher kopieren mit einem Editor in eine reine Textdatei sichert und diese dann z.B. login.html nennt.
Je nach Anforderung kann hier der Title Text und andere Texte im Editor den persönlichen Erfordernissen und Einsatzzweck angepasst werden.
(Achtung: unbedingt darauf achten das die Datei wirklich login.html heisst und nicht z.B. login.html.txt o.ä. !)
HTML Unkundige brauchen hier also keinerlei Angst zu haben und nur markieren und kopieren....
Mit einem einfachen Notepad Editor kann man die Texte in dieser Datei auf die eigenen Bedürfnisse umgestalten
Dann wird diese HTML Datei gesichert und mit dem Button Choose File/Datei auswählen im CP Setup im Menüpunkt "Portal Page Content" (Captive Portal Seite) über das Webinterface per Mausklick auf die Firewall hochgeladen.
Nun nur noch unten unbedingt den Save Button klicken um alles zu sichern !!
Sucht man bei Google nach "captive portal examples" findet man weitere grafisch ansprechnde Beispiele.
Wer will spart sich das, muss dann aber mit der relativ schlichten Default Seite leben.

Hier die zu kopierende HTML Beispiel Datei zur Portal Seite:

<HTML>
<HEAD>
	<TITLE>Administrator.de (Gast WLAN Zugang)</TITLE>
<style>
b, i {
	font-family: Helvetica;
}
i {
	font-size: 8pt;
}
</style>
</HEAD>
<BODY leftMargin=0 topMargin=0 marginwidth="0" marginheight="0">  
<TABLE height=15 cellSpacing=0 cellPadding=0 width=660 border=0>
<TR>
	<TD vAlign=top width=1 bgColor=#7F00B2>
	</TD>
</TR>
</TABLE>
<TABLE cellSpacing=0 cellPadding=0 width=700 border=0>
<TR>
	<TD vAlign=top width=303><IMG src="logo.jpg" border=0></TD>  
	<TD vAlign=center height="21" width="700">  
	
	<b style="font-size: 16pt"> WLAN Internet Gast Zugang</b><br>  
	<b style="font-size: 12pt">Bitte geben sie Benutzernamen und Passwort an</b><br>  
	<b style="font-size: 10pt">Beachten Sie das WLAN Verkehr über dieses Portal NICHT verschlüsselt ist !</b>  
	</font>
	</TD>
</TR>
</TABLE>
<TABLE height=15 cellSpacing=0 cellPadding=0 width=660 border=0>
<TR>
	<TD vAlign=top width=1 bgColor=#7F00B2>
	</TD>
</TR>
</TABLE>
<TR>
<TD vAlign=top width=200>
</TD>
<TD vAlign=top width=20></TD>
<TD vAlign=top width=398><br>
<form method="post" action="$PORTAL_ACTION$">  
<TD class=largetext vAlign=center width = 70>
		<b>User ID:</b>
<input name="auth_user" type="text">  
</TD>
<TD class=largetext vAlign=center width =70>
		<b>Password:</b>
<input name="auth_pass" type="password">  
</TD>

<TD class=largetext vAlign=center width =70>
		<b>Voucher ID:</b>
<input name="auth_voucher" type="text">  
</TD>

<br><br><br>
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">  
<input name="accept" type="submit" value="Continue">  
</form>
		<TR>
		<TD class=copytext vAlign=center colSpan=10>
		<i>Copyright &copy; 2015, Administrator.de</i>.</TD>
		</TR>
</TD>
<TD vAlign=top width=10></TD>
</TR>
<TABLE height=15 cellSpacing=0 cellPadding=0 width=660 border=0>
<TR>
<TD vAlign=top width=1 bgColor=#3300B2>
</TD>
</TR>
</TABLE>
</BODY>
</HTML>
Will man z.B. die Username / Passwort Abfrage komplett unterdrücken weil man NUR Voucher Zugang will kommentiert man diesen Part aus dem HTML Code aus (Zeile 48) oder löscht schlicht und einfach diese Zeilen !
<!-- //// Für nur Voucher so auskommentieren /// 
<TD class=largetext vAlign=center width =70>
		<b>Password:</b>
<input name="auth_pass" type="password">
</TD>
--> 
Der in der o.a. HTML Datei befindliche Logobild Dateiname (hier das abgeb. WiFi Logo) "logo.jpg" muss man ggf. mit einem individuellem Dateinamen seines eigenen verwendeten Firmen- oder persönlichen Logos ersetzen wie z.B. "firmenlogo.gif" oder "firmenlogo.jpg" wenn die Logo Datei so heissen sollte.
HTML Anfänger können aber auch hier wieder ihre Logo Bilddatei vom Dateinamen ganz einfach umbenenen in logo.jpg und ersparen sich so an der o.a. HTML Datei die Änderungen und können sie einfach übernehmen !
Über den Karteireiter "File-Manager" lädt man diese oder weitere Logo Dateien, die in der Portalseite verwendet werden sollen, auf die Firewall.

Vorsicht !!
Auch hier lauert der Teufel im Detail ! Vor dem Hochladen heisst eine Datei logo.jpg die dann nach dem Upload captiveportal-logo.jpg von der FW umbenannt wird !
Das muss man im HTML Text unbedingt beachten, denn sonst sieht man nachher statt des Bildes einen leeren Platzhalter im Browser !
Ein Rechtsklick auf den Platzhalter und "Informationen" enthüllt dann wie das Logo eigentlich heisst.
Der Logo Dateiname muss also im HTML Text immer korrekt eingegeben werden. Groß- Kleinschreibung ist hier relevant !

Diese Hotspot Login Seite kann jeder entsprechend nach individuellen Anforderungen HTML-technisch ausschmücken, so das Hotels, Cafes oder Firmen dort noch spezifische Informationen z.B. rechtlicher- oder anderer Art plazieren können.
Hotels / Campingplätze / Cafes etc. können so Benutzer auf Angebote, Aktivitäten usw. aufmerksam machen. Auch das Nachladen von externem Content, von remoten Webservern wie Grafiken oder wechselnde Texte ist problemlos möglich.
Ebenso eine Zwangs Weiterleitung nach dem Hotspot Login auf externer oder interne Firmen, Hotel, Cafe Webserver ist per Mausklick möglich um Kunden auf spezifischere Infos aufmerksam zu machen die evtl. dort gehostet und upgedatet werden.
HTML Webprogrammierern und HTML Spezies sind hier keinerlei Grenzen in der Gestaltung gesetzt !
Hilfe für HTML Anfänger bietet hier z.B. eine Seite wie Self-HTML
Unten in den weiterführenden Links befindet sich eine Anleitung zum automatischen Versenden der Vouchers per SMS auf Mobiltelefone der Anwender. Auch solch einen Link kann man in der Portalseite plazieren.

Wichtig ist nun unten unbedingt wiederum den SAVE Button zu klicken um diese Einstellungen zu sichern !
Spezifische Bilder wie z.B. die o.a. Logos und Bilddateien sind oben über die "File Manager" Funktion einfach upzuloaden. Wichtig ist das die Dateinamen mit denen im HTML File absolut übereinstimmen damit die Grafik angezeigt wird ! (Groß- Kleinschrift !)


back-to-topDer Hotspot Betrieb:
Sind nun Benutzer bzw. Voucher Zugang eingerichtet und das Captive Portal mit HTML Login Datei aktiviert, steht einem ersten Test nichts mehr im Wege !
Achtung: Ab der Version 2.1 der pfSense sind die Portaluser die man in der Userverwaltung einrichtet mit einem Attribut "User - Services - Captive portal login" zu versehen ! Am besten legt man dort eine extra Gruppe an für die Portaluser und definiert sie dort:
fbc8d2f5652d48665f57bdeb45d5f9e4
Vorher sollte man noch unbedingt den Browsercache löschen, damit Seiten nicht lokal aus dem Cache aufgerufen werden können !
Wenn man jetzt z.B. mit dem Browser auf www.administrator.de geht erscheint nicht Administrator.de sondern zuerst die Hotspot Login Seite des Captive Portals, die so aussieht wie in der Abb. unten. Verwendet man die o.a. HTML Datei mit Logo (Hier im Beispiel das WiFi Symbol als logo.jpg Datei !):

9527ceb4a4c447204f639cdf7594e209-login

(Die o.a. Seite bezieht sich vom Inhalt auf einen WLAN Zugang, gilt aber natürlich analog auch für einen Zugang über ein Kupfer/Kabel Segment (LAN).
Erst wenn man hier sauber mit Benutzernamen und Passwort (wie im User Manager gesetzt) authentifiziert ist, gelangt man automatisch weiter zu Administrator.de...oder eben anderen Webseiten.
Funktioniert alles, ist das Captive Portal damit einsatzbereit !


back-to-topBequeme Verwaltung: Einmal Passwörter (Voucher) für Gäste verwenden !
Eine sehr interessante und überaus nützliche Funktion des Portals ist die Verwendung von sog. Vouchers (Einmalpasswörtern) für Gastbenutzer !
Hotels, Campingplätze, Cafes oder Firmen die externe Gäste oder Benutzer haben, können so eine sog. einmalige Voucher ID vergeben, die einem Gast den einmaligen und zeitlich limitierten Zugang erlaubt. Danach verfällt das Passwort automatisch.
Nach Ablauf dieser Zeit wird der Zugang getrennt. So ist sichergestellt das Username und Passwort einzelner Benutzer nicht mißbräuchlich weitergegeben werden können und man hat ein Usertracking (Störerhaftung in D) um rechtlich abgesichert zu sein.
Es können mehrer Voucher Zeiten auf einmal installiert werden so das man Voucher mit 30 Min., 1 Std. usw. vergeben kann.
https://doc.pfsense.org/index.php/Captive_Portal_Vouchers
Nach der Generierung kann die Voucher Datei als Excel CSV Datei mit Klick auf das kleine blaue "i" im Voucher Setup exportiert werden.
Die komfortabelste und auch sinnvollste Lösung zur Verwaltung und Ausgabe dieser Voucher mit einer Web basierten Lösung bequem per Browser, beschreibt ein separates Tutorial hier im Forum:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Das beinhaltet sogar den automatischen Versand dieser Voucher ID auf ein Mobiltelefon per SMS.
So ist die Ausgabe dieser Einmal Passwörter auch für ungeübtes Personal kinderleicht.

Eine weitere Voucher Erstellung über ein externes Excel Sheet was man gut ausdrucken kann z.B. für den Verkauf etc., findet man hier im Download:
http://ts-telecom.net/voucherdrucker.xls
(Dank an Forumsmitglied ThorstenTS der es freundlicherweise zur Verfügung gestellt hat ! Siehe auch unten im Thread Verlauf)
Eine andere Möglichkeit ist die bequeme Voucheradministration und Druck mit einer MS Office Access Anwendung die Formumsmitglied SarekHL hier dem Forum dankenswerter Weise ebenfalls zum Download zur Verfügung gestellt hat.
Auch einen Möglichkeit des direkten Ausdrucks über die pfSense Webseite findet sich in den weiiterführenden Links unten.
(Bei Fragen zu diesen Tools bitte per Personal Mail direkt an die Verfasser wenden !)

Welcher Gast, wann und wie lange eingeloggt war, kann man bequem über die Benutzer Statusseite nachverfolgen:
dd15b17d08e29847e95f530e58cbd639-cap-user

Oder über das komfortable Dashboard der pfSense:
5f4e7342b8e7cbd79066be6c184aa0b2

Auch der aktuelle Interface Traffic und andere Betriebsdaten lassen sich ebenfalls über das einstellbare Dashboard beobachten.
Mit der Firewall ist ein TRAFFIC-SHAPING möglich, um Gast Benutzern nur eine bestimmte Bandbreite zuzuteilen um andere Nutzer und Anwendungen z.B. aus dem Firmennetz nicht zu beeinträchtigen !

Da das FW Setup auch aus dem Gastnetz zugänglich ist, empfiehlt es sich natürlich zwingend im Livebetrieb das Administratoren Passwort zu ändern und im GENERAL-SETUP ggf. auch den Setup Zugang mit einer HTTPS Verbindung und ggf. einem anderen Port wie dem Standardport bei HTTPS wie z.B. TCP 54443 abzusichern.
Am sichersten ist es den GUI Zugang zur Firewall aus dem Gastnetz ganz zu verbieten und nur vom Verwaltungsnetz an einem anderen Port zuzulassen !

  • Zu diesem Punkt der lokalen Administrator Zugriffsteuerung hat unser Forumuser "tikayevent" richtigerweise noch folgende bessere Variante vorgeschlagen:
Du verlagerst das Webinterface auf einen anderen Port. Es gibt aber eine andere und bessere Möglichkeit:
Wenn man im Advanced Menü die "Antilockout-Regel" abschaltet, kann man den Zugang per Firewall für das Gast-Netz blocken.
Bei sämtlichen Captive Portal-Installationen, die ich mit m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:
  • Antilockout-Rule deaktiviert
  • sämtlichen Traffic auf den Router geblockt
  • TCP/UDP 53 auf den Router erlaubt
  • TCP 8000 (Captive-Portal-Port) auf den Router erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man sucht und es funktioniert trotzdem alles.

Wer keine sichere DMZ Variante benötigt, kann auch ein etwas einfacheres Szenario aufbauen wie dieses hier:
b48fced1dd81f8544fa563baa6b5676b-mono2
Da, wie bereits oben bemerkt, pfSense ein kompletter DSL- oder auch Kabel Router mit PPPoE und PPTP Support ist, bietet sich auch ein Design ganz ohne extra DSL Router an, indem man den M0n0wall Rechner direkt an ein vorhandenes DSL- oder Kabel TV Modem anschliesst. Ein solches Netz zeigt die folgende Abbildung:
ec33544d82345e344520c425ba00fe27-mono3
(Ein separates zusätzliches DMZ Segment ist ebenfalls mit einer dritten Netzwerkkarte oder VLAN_Support möglich !)


back-to-topFirewall Regeln (Filter) richtig setzen !
Aufgrund vieler Threads zu diesem Thema folgt an dieser Stelle ein kleiner Exkurs zum richtigen Setzen der Firewall Regeln.
Für das Einstellen der Firewall Filter (Rules) auf den Interfaces gibt es immer 2 wichtige Grundbedingungen zu beachten:
  • 1. Die Regeln wirken nur auf eingehende Pakete IN die Firewall ! Also nur auf Pakete die IN das Interface hineingehen (Incoming)
  • 2. Das Regelwerk arbeitet nach dem sog. "First Match Wins" Verfahren ! (Der erste Treffer gewinnt)
Letzteres bedeutet das sobald eine Regel positiv ist (matched), die weiter folgenden Regeln NICHT mehr abgearbeitet werden.
Folglich ist damit die Reihenfolge der Regeln am Port nicht mehr trivial, also beliebig, sondern essentiell wichtig für die korrekte Funktion der Firewall Regeln am bereffenden Port !
Man kann also NICHT in der ersten Regel alles erlauben (denn das wäre ein "Match") und dann in weiteren Regeln Einschränkungen machen, sondern muss es genau andersrum machen:
Zuerst die Einschränkungen und dann erlauben.
Nicht vergessen: Ist KEINE Regel an einem Port definiert, blockt die Firewall im Default ALLES wie es für eine gute Firewall üblich ist !
Das folgende Beispiel (Screenshot pfSense) ist die klassische Anforderung und macht die Funktion klar:
Es wird ein Gastnetz betrieben (hier im Beispiel der Port VLAN-10) und am LAN Port ein privates Netzwerk auf das die Gäste keinerlei Zugriff haben dürfen:
8e5bd265abee2518a0161f9c81891c44
Das "x" an der ersten Regel zeigt das es eine BLOCK Regel ist. Pakete vom VLAN-10 IP Netzwerk, also dem Gastnetzwerk, mit dem Ziel privates Netzwerk (LAN Port) werden geblockt.
Desweiteren dürfen aus diesem Gastnetz nur Pakete zur Namensauflösung (DNS, UDP/TCP 53), zum Surfen (HTTP, TCP 80), zum sicheren Surfen (HTTPS, TCP 443) und die Portalseite (TCP 8000, ACHTUNG: 8002 ab Release 2.2 !!) des Hotspots passieren.
Ein recht restriktives Gastnetz also, in dem nur Surfen erlaubt ist. Alles andere wird geblockt.

back-to-topGastlogins zum Nachweis mitprotokollieren
Eine weitere zentrale Frage vieler Folgethreads ist die Lösung der Protokollierung der Gastlogins. Da die Störerhaftung rechtlich noch nicht abgeschafft ist, ist das immer eine Überlegung wert die jeder vor dem öffentlichen Betrieb eines Hotspots über einen Privatanschluss anstellen sollte.
Diese hier vorgestellte Firewall hat aber die bequeme Möglichkeit per Syslog alle diese Meldungen über einen sehr langen Zeitraum nachweissicher auf einen Logging Server im Netzwerk zu schreiben.
Viele preiswerte Heim NAS Systeme (QNAP, Synology usw.) die oft schon im privaten Netz als Medienserver usw. vorhanden sind, haben einen Syslog Server an Bord der nur per Mausklick im Setup aktiviert werden muss und so diese Meldungen aufzeichnet. Sie stellen die einfachste aber nicht immer preiswerteste Lösung dar.
Eine andere sehr kostengünstige und effiziente Methode zur Lösung wird mit diesem_Logging_Server_Tutorial hier im Forum beschrieben. Dieser Server arbeitet sehr sparsam im Netz im Nonstop Betrieb und hat keine beweglichen Teile. USB Ports für einen optionalen zusätzlichen Speicherstick sind gleich mit an Bord und bei Bedarf kann er noch weitere Aufgaben im Netz übernehmen.
Natürlich funktionieren auch andere Lösungen mit freier Syslog Server SW wie KiwiSyslog, Draytek Syslog, TFTP32 und dem Mikrotik Syslog, die man kostenfrei aus dem Internet laden kann.


back-to-topOptional: Erweiterung des Captive Portals mit einem integrierten WLAN Accesspoint :
Vorbemerkung zur WLAN Erweiterung:
Die Installation eines WLAN Moduls in das ALIX Board ist KEIN Muss um das Captive Portal im WLAN zu betreiben !!
Man kann genauso gut WLAN Accesspoints oder zum Accesspoint_gemachte_WLAN-Router direkt an die M0n0wall anschliessen (LAN oder OPT Port) um ein und dasselbe zu erreichen !
Bei größeren Hotspot Lösungen mit mehreren WLAN Accesspoints ist dann klar die technisch bessere Lösung !
Nun weiter mit der Integrationsanleitung....

Bei Verwendenung des o.a. ALIX Minimainboards (oder auch eines PCs mit WLAN PCI Karte) ist es möglich der M0n0wall Appliance gleich ein WLAN Accesspoint mit einzupflanzen. Man erhält so eine handliche "Allround Appliance" als eierlegende Wollmilchsau die universell einsetzbar ist.
Sie kann z.B. in kleinen Cafes, Restaurants usw. als integrierte "all in one" DSL Router mit gleichzeitiger Hotspot Funktion dienen, die lediglich für den Betrieb noch ein billiges passives DSL Modem am Provider Anschluss erfordert.

(Man sollte unbedingt beachten das bei größeren WLAN Installationen mit mehreren Accesspoints dies weniger Sinn macht, da die APs dann in einem eigenen Netz abgesetzt vom CP an der Monowall betrieben werden sollten. )

Diese WLAN Aufrüstung ist problemlos und sehr einfach möglich, da das o.a. ALIX 2Cx Minimainboard bereits einen entsprechenden miniPCI Sockel besitzt für die Aufnahme eine WLAN miniPCI Karte.
Ferner hat das o.a. Gehäuse gleich passend eine Bohrung für den WLAN Antennenanschluss so das keinerlei mechanische Arbeiten anfallen !
So liegt es nahe in kleineren Hotspot Installationen die Appliance gleich WLAN fähig zu machen und sich einen externen Accesspoint zu sparen, wenn man keine größere WLAN Infrastruktur (Ganze Hotels, Firmen oder Campingplätze etc.) mit dem Captive Portal absichern möchte.
Letzteres erfordert dann ja so oder so, wie bereits angemerkt, meistens mehrere externe WLAN Access Points.
Der Einbau ist auch von Laien sehr einfach zu bewerkstelligen.

Bei Verwendung von Standard PC Hardware für diese Firewall wird einfach statt einer miniPCI Karte eine ganz normale PC WLAN PCI Karte von der Stange in den PC eingebaut. M0n0wall oder pfSense erkennt diese beim Booten automatisch !
Damit eine korrekte Funktion sichergestellt ist, sollte die WLAN PCI Steckkarte am besten mit Atheros, Intel, PRISM, oder Ralink Chipsatz ausgerüstet sein !!

Kompatible WLAN PCI Karte Karten findet man z.B. HIER
Die im Firewall_Tutorial genannten Bezugsquellen bieten allesamt preiswerte zertifizierte WLAN miniPCI Steckkarten für das ALIX Board an.
http://varia-store.com/Hardware/MiniPCI-Karten:::637_67.html
Hier kann man beim Kauf also definitiv nichts falsch machen !

back-to-topLos gehts mit dem Zusammenbau...
Die Einbauschritte beim ALIX Mini Mainboard sind einfach zu erledigen:

1.) Ein passendes miniPCI WLAN Modul mit Atheros beschaffen wie z.B. dieses hier:

Diverse_Auswahl
oder
Wistron_DCMA81
(Dieses Modul bedient sowohl den 5 Ghz als auch den 2,4 Ghz WLAN Bereich !)

2.) Dazu passend wird ein Antennen Pigtail (Kabel mit U.FL Stecker auf R-SMA Buchse) benötigt:

https://shop.tronico.net/WirelessLAN/Pigtails/ oder http://shop.varia-store.com/index.php?cat=c174_RP-SMA--SMA--Clip.html
oder
http://varia-store.com/Zubehoer/Pigtails-Verbindungskabel:::638_68.html

und eine passende WLAN Aufsteckantenne:
https://shop.tronico.net/WirelessLAN/Antennen/ und http://shop.varia-store.com/index.php?cat=c85_Rundstrahl--Dipol.html

Oder jegliche andere WLAN Andenne intern oder auch extern die auf die verwendete Pigtail R-SMA Buchse passt !!
Eine Auswahl leistungsfähiger Antennen findet man z.B. hier:
http://www.wimo.de/uebersicht-wlan-antennen_d.html
Wer beide WLAN Bänder (2,4Ghz b/g und 5Ghz a) gleichzeitig bedienen will, nimmt eine Dual Band Aufsteckantenne wie diese:
http://www.wimo.de/wlan-dualband-antennen_d.html (Equipment antenna Dualband 2.4/5GHz)
die dann gleichzeitig das 2,4 Ghz und auch das 5Ghz Band bedient !
Wenn weitere Entferneungen überbrückt werden müssen oder für den Außenbereich dann eine externe Antenne.

back-to-topAlle Teile zusammensetzen
3.) Die Endmontage:
Das Pigtail (Kabel mit beiden Antennensteckern) schraubt man nun in die dafür vorgesehene Bohrung im Gehäuse und schliesst den kleinen U.FL Antennenstecker durch einfaches Aufdrücken an das miniPCI Modul an.
Die o.a. miniPCI WLAN Module haben 2 Antennenbuchsen (Diversity)
Das Wistron mit der Bezeichnung J2 (äußere Buchse) und J3 (innere Buchse).
Der U.FL Stecker des Pigtail Antennenkabels wird auf die innere Buchse (die am Abschirmkäfig, links !) gesteckt.
( Achtung: Hier im Bild ist der Antennenanschluss fälschlicherweise an der rechten Buchse angeschlossen muss aber auf die linke !!!)

Beim TP Link Modul ist es einfacher dort haben die Buchsen die Bezeichnung MAIN und AUX und der Anschluss erfolgt immer an die Buchse MAIN !
Im Zweifelsfall muss man beide Buchsen ausprobieren, sollte man ein anderes Modul verwenden.
Am einfachsten misst man dann die Feldstärke in einiger Entfernung mit dem WLAN Sniffer WLANINFO oder noch besser mit dem iSSIDer der eine bessere grafische Anzeige besitzt und prüft mit welcher Antennenbuchse die Funk Feldstärke und Reichweite am höchsten ist !
Der Unterschied ist meist drastisch und sofort sichtbar in der Anzeige !

44e28607411f912f907759c1a6f516c7-pci_sep
(Abbildung zeigt das ALIX Mainboard mit separatem WLAN miniPCI Modul)

Ist alles verbunden wird das miniPCI Modul in den entsprechenden Sockel auf dem ALIX Board gesteckt:

7d1d2cfbaf10089837aae0812a2236c0-pci_int
(Abbildung zeigt das ALIX Mainboard mit fertig montiertem WLAN miniPCI Modul und Antenne)

back-to-topFertig machen zum WLAN Funken !
4.) WLAN im Setup aktivieren
Jetzt ist nur noch das Web Interface aufzurufen im Browser und hinter Interfaces im Menü auf "assign" zu klicken. Danach klickt man im Menü rechts auf das + Zeichen und fügt so das Interface hinzu.
Die Monowall erkennt das Interface beim Starten automatisch selber. Im Menü taucht dann im Fenster "Network Port" sowas wie ath0 (Atheros 5212, 00:0b:6b:2e:1c:67 auf das die erkannte Karte und dessen Mac Adresse auflistet.
das OPT1 Interface nun im Interface Setup aktivieren und ihm eine IP Adresse zuweisen. In der "Description" kann man den Namen OPT1 gegen das sinnvollere WLAN ersetzen, damit gleich klar ist im Setup um welches Interface es geht !

3b51f99fd262393796423f6e68ba8e6c-monoint

Damit werden dann sofort die WLAN Settings aktiv.
Hier kann man nun nach Wahl die SSID (WLAN Kennung), Verschlüsselung usw. einstellen.
Achtung: Im DHCP Setting nicht vergessen DHCP für dieses Interface (OPT1) zu aktivieren damit IPs im WLAN automatisch von der M0n0wall vergeben werden !
Mit einem WLAN-Scanner(WLANINFO) oder iSSIDer kann man nun sein WLAN in der Luft sehen ebenso wie im WLAN Auswahlmenü und sich mit dem WLAN verbinden.
Zu beachten ist dann nur unbedingt einen Abstand von 5 Kanälen zu evtl. vorhandenen Nachbar WLANs zu halten um Störungen zu vermeiden ! Das o.a. inSSIDer Tool zeigt die Verteilung der Funkkanäle !
Die Schritte bei der Installation auf Standard PC Hardware sind identisch !


back-to-topLAN und WLAN im gleichen IP Netz betreiben mit einer Bridge:
Normal ist das WLAN ein eigenständiges Interface mit eigenem IP Netzwerk. Oft ist es aber wünschenswert wie bei den gängigen WLAN Routern den LAN und WLAN Port in einem gemeinsamen Netz zu betreiben. Das erreicht man mit einem Bridge Interface (Netzwerkbrücke).
Hier müssen die IP Adresse und die FW Regeln vom LAN Interface auf ein einzurichtendes Bridge Interface gelegt werden das LAN und WLAN Port mit einer sog. "Netzwerkbrücke" transparent verbindet ! Netzwerker nennen sowas eine "Layer 2 Bridge".
Dazu sollte man die folgenden Schritte möglichst genau der Reihe nach befolgen:

  • 1.) WLAN Interface wie oben beschrieben einrichten und aktivieren im "Access Point" Mode, Regulatory Domain ETSI, Country "Germany/ETSI" (ändern bei anderen Ländern !) und .11g Mode only (oder .11n) sowie SSID anlegen. Achtung: IPv4 Adressing bleibt hier auf none !

  • 2.) Nun ein Bridge Interface anlegen unter "Interface assign" mit Klick auf "Bridge". Hier wählt man den LAN und fügt mit gedrückter Shift Taste den WLAN Port hinzu. Beide Ports der Bridge werden blau unterlegt. Man ergänzt einen Namen und klickt "Save" zum Sichern:
abd6826e63e0d2ceeb4811317290c190
  • 3.) Jetzt fügt man das Bridge Interface wieder unter dem Menüpunkt "Interface assign" den Interfaces global hinzu mit Klick auf "+" rechts und klickt wieder "Save" zum Sichern:
c4f8fe80a42c5beb1d01690eec11fcad
  • 4.) Man wählt mit Klick auf das Bridge Interface dies aus und aktiviert es (Haken), gibt ihm einen eindeutigen Namen z.B. "WLAN Bridge" , stellt das IPv4 Adressing auf Static und vergibt der Bridge eine neue IP Adresse im gleichen 192.168.1er Netz z.B. 192.168.1.254 mit 24 Bit Maske und klickt "Save" (ggf. die IP Adresse an die eigenen Belange anpassen !)
0e1e27bc9199bb1685edcd1bcc35ce17
  • 5.) ! Achtung !: Um sich jetzt nicht selbst den (IP) Ast abzusägen auf dem man sitzt MUSS man jetzt unbedingt die Firewall Regeln für das Bridge Interface definieren, denn FW üblich ist hier alles verboten !
Hier im Beispiel ist jetzt analog zu den LAN Port Default Rules alles aus dem Bridge Netz erlaubt. Diese FW Regel muss man dann ggf. später anpassen will man hier Einschränkungen für den Zugang machen !:
7e0b5af6e55b65794bbddcc90f18f518
  • 6.) Da der DHCP Server noch auf dem LAN Interface verknüpft ist muss dieser dort unbedingt deaktiviert werden (Haken entfernen) und auf dem Bridge Interface wieder aktiviert werden:
468766ce365463f27a3f6de9edf646cb
  • 7.) Damit ist dann das IP Readressing vom LAN auf das Bridge Interface (LAN-WLAN Verbindung) abgeschlossen und man kann nun auch auf dem LAN Interface die .1er IP Adresse deaktivieren, was mit einem beherzten Klick auf none im Adress Setting dieses Interfaces geschieht !
Auch hier Achtung, denn wenn man auf "Apply Settings" geht ist die pfSense erstmal "weg" im Browser, da es die .1er IP ja nun nicht mehr gibt aber keinen Angst...
Man eröffnet einfach eine neue Browser Session auf die Bridge IP 192.168.1.254 und hat sie pfSense dann wieder hat man oben alles richtig gemacht face-wink

  • 8.) Fertig...das wars ! Sieht man sich jetzt das Dashboard an sieht man auch das aktive Bridge Interface:
ec778742022ad5107fbf8e7c8520eed1

Erschliesst sich einem nicht sofort wenn man es das erste Mal macht, denn es ist nicht sofort klar das die IP Adressen nun am Bridge Interface aufgehängt werden statt an einem der physischen Ports !
WLAN und LAN arbeiten nun im gleichen IP Segment wie man es von fast allen gängigen WLAN Routern kennt.
Will man ein Gast LAN über dieses Interface sowohl kabelbasiert als auch WLAN basiert betreiben muss das CP natürlich auch am Bridge Interface aktiviert werden.

back-to-topDual Band AP Betrieb bei einer WLAN miniPCI Karte die 2,4 Ghz und 5 Ghz WLAN supportet:
Der sog. Dual Radio Betrieb, also das der interne WLAN AP parallel sowohl im 2,4 Ghz als auch im 5 Ghz WLAN Bereich arbeitet, wird ähnlich wie oben auch über eine Bridge gelöst die beide WLAN Radios einer Mini PCI Karte zusammenfassen in ein gemeinsames WLAN Netz.
Aktuelle mini PCI Module sind heute oft sog. "Dual Radio" Module, die sowohl das 2,4 Ghz als auch das 5 Ghz WLAN Band parallel abdecken.
Bei Verwendung eines solchen Modules muss man das 5 Ghz Band mit einem Wireless "Parent Interface" aktivieren mit den folgenden Schritten (Beispiel mit pfSense OS !):
1.)
Nachdem man grundsätzlich das WLAN Modul bzw. Interface mit einem Klick auf "+" unter Interface -> assign aktiviert hat, muss man dieses fest auf 802.11g Betrieb setzen, Type auf "none", Mode auf "Accesspoint" Regulatory Domain "ETSI" und Country auf "Germany/ETSI" ! Danach aktiviert man das Interface mit Klick auf enable Interface.
Man kann den Interface Namen dann ggf. von "OPT2" auf "WLAN-2.4Ghz" ändern um die Bezeichnung eindeutiger zu machen.
Achtung: Ab der aktuellen 2.1.2 Firmware hat sich das Menü etwas geändert und die Wireless Parent Interfaces richtet man unter dem Karteireiter "Wireless" im Menüpunkt "Interface assign" ein. Die Installations Schritte sind aber identisch.
2.)
Jetzt klickt man wie bereits gesagt unter "Interface -> assign" auf den Reiter "Wireless" und dann auf "+" und fügt das Parent Interface für das 5 Ghz Band hinzu was man z.B. "WLAN-5Ghz" nennt.
3.)
Danach klickt man unter Interfaces -> assign wieder auf "+" und fügt dieses Parent Interface global zur Liste hinzu und aktiviert es mit Klick auf enable
4.)
In den WLAN Settings setzt man dieses Interface aber diesmal fest auf 802.11a (a = 5Ghz WLAN), der Rest, Type auf "none", Mode auf "Accesspoint" Regulatory Domain "ETSI" und Country auf "Germany/ETSI" bleibt identisch zu den Settings auf 2,4 Ghz.
ACHTUNG: Den 5 Ghz Funkkanal sollte man entweder auf Auto lassen oder immer die UNTERN 8 Kanäle unter Kanal 100 im 5 Ghz Bereich wählen wie z.B. den Kanal 48 wenn man feste Kanäle vergibt wie bei APs in der Regel üblich !
Grund ist das viele WLAN Karten und Module im 5_Ghz_Band nicht das ganze Band abdecken sondern immer nur die unteren 8 Kanäle. Hier also aufpassen !
Mit freien WLAN Scannern wie dem kann man immer die korrekte Sendefunktion in beiden Bändern kontrollieren !
Apple Mac hat einen Linux.
5.)
Nun wechselt man in die Bridge Konfiguration unter Interfaces assign und fügt man die 2 WLAN (oder 3 wenn man z.B. mit einem LAN Interface bridgen möchte) Interfaces zusammen WLAN-2,4, WLAN-5 und, wenn erforderlich, das entsprechende LAN Interface (3tes Interfaces) ! (Auswahl mit gedrückter Shift Taste)
Beide WLAN Interfaces und ggf. bei Bedarf ein LAN Segment, fügt man mit der Bridgefunktion zusammen wenn man sie gemeinsam in einem IP Netz nutzen will:
6.)
Auf Interfaces assign -> Bridges klicken und mit "+" eine Bridge bzw, Bridge Interface hinzufügen.
7.)
Interfaces auswählen die zusammen gebridged werden sollen. Hier die beiden WLAN Interfaces. Wer es mit einem LAN Interface bridgen will wählt dieses optional dazu (Shift Taste gedrückt halten und Klick)
8.)
Bezeichnung der Bridge eintippen z.B. "Bridge WLAN-LAN".
9.)
Unter Interfaces auf "assign" klicken und das neue Bridge Interface mit Klick auf "+" wieder global hinzufügen.
10.)
Jetzt auf Interfaces, das Bridge Interface auswählen und den Haken bei "Enable Interface" aktivieren ! Ggf. die Bezeichnung auf etwas sinnvolles wie "WLANBridge" statt OPTx ändern)

Mit einem WLAN Scan Tool wie dem bereits genannten inSSIDer oder WiFiInfoView kann man nun beide WLAN Signale senden sehen !
Wichtig hier falls es Probleme gibt die Kanal 48 Regel oben für 5 Ghz zu beachten.
Die Linksammlung unten verweist auf einen Forums Thread mit Screenshots dazu.


back-to-topZusatzfunktionen: VPN Zugang und LAN-LAN Kopplung per VPN, VLAN Integration
Als zusätzlichen Bonbon bietet die Monowall und auch die pfSense Firewall einen VPN Zugang zur VPN Kopplung mit anderen Monowalls, pfSense und allen IPsec fähigen Firewalls oder VPN Routern am Markt wie z.B. (Cisco, Fritzbox, Draytek etc.) zur Firmen Standortvernetzung mit einer LAN zu LAN Kopplung.
Oder natürlich auch die Kopplung von VPN Clients für den Netzzugriff von remoten, mobilen Benutzern mit Laptops oder Smartphones oder zur sicheren Fernwartung eines Netzes..
Wie dies zusätzlich zu realisieren ist erklären hier im Forum 2 separate Tutorials im Bereich Firewall und Sicherheit...

VPNs_mit_PPTP Protokoll. PPTP und IPsec Clients haben alle aktuellen Betriebssysteme und Smartphones heute von sich aus an Bord.
Eine Installation zusätzlicher VPN Clientsoftware ist bei PPTP somit nicht erforderlich ! Eine VPN Installation bzw. Funktion ist so im Handumdrehen auf der Firewall und Client quasi mit Bordmitteln installiert.

Wer etwas gehobenere Ansprüche an die Sicherheit stellt, verwendet das IPsec Protokoll für den VPN Zugang:
Für den VPN Zugang mit IPsec
Als IPsec VPN Client bietet sich alternativ zur einfacheren PPTP Variante der kostenlose Shrew IPsec VPN Client an. IPsec gilt gemeinhin als sicherer im Vergleich zu PPTP. Wie damit ein einfacher Zugriff auf die M0n0wall realisiert wird ist hier zu sehen:
http://www.shrew.net/support/wiki/HowtoMonowall
pfSense bietet zudem noch die Option eines OpenVPN Servers und Clients. Wie ein OpenVPN Server mit pfSense installiert und aktiviert wird erklärt wie ein separates Forumstutorial im Detail:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Last but not lease beschreibt das VLAN Tutorial die Integration in eine bestehende VLAN Umgebung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern


ACHTUNG: Wichtig um Frustrationen gleich zu vermeiden: !!
Wie bei einer Firewall allgemein üblich, sind zusätzliche Interfaces (Ausnahme nur das LAN Interface !) wie die zusätzlichen OPTx Interfaces per Default IMMER vollkommen geblockt. Kein IP Verkehr kommt also von diesen Interfaces durch die Firewall ohne das man die Firewall Regeln zu diesem Interface anpasst !!
Damit man nun nach der erfolgreichen Einrichtung des WLAN (oder auch eines DMZ/OPT Interfaces) keinen Riesenfrust erleidet weil nichts funktioniert muss VORHER immer eine Firewall Regel eingerichtet werden !
Für unser WLAN Interface wird also folgende Firewall Regel in den Firewall Rules für das WLAN Interface aktiviert um einige Standardfunktionen zu erlauben !!!:

95d7d358280a9d6210d29d285ba51c92-m0n0fw

Diese Regel öffnet nun folgende Ports für das neue, integrierte WLAN: (oder auch weitere optinale OPT Ports)
  • TCP/UDP 53 DNS für DNS Requests
  • TCP 80 für Webtraffic HTTP
  • TCP 443 für gesicherten Webtraffic HTTPS
  • TCP 21 für FTP
  • TCP 22 für SSH
  • TCP 8000 (ACHTUNG: TCP 8002 ab Release 2.2 !!) für das Captive Portal (wichtig wenn Hotspot hier aktiv sein soll !!!)
Ggf. sind für Email Verkehr noch SMTP und POP3 und IMAP und deren Secure SSL Varianten freizugeben nach demselben Schema !
Das sind dann die folgenden Ports
TCP 25 (SMTP), TCP 110 (POP3), TCP 143 (IMAP) bzw. deren Secure Varianten: Secure SMTP (SSMTP) - TCP 465 oder neuere Server benutzen auch TCP 587, Secure IMAP (IMAP4-SSL) - TCP 585, IMAP4 over SSL (IMAPS) - TCP 993, Secure POP3 (SSL-POP) - TCP 995
Wer noch andere Ports wie z.B. VPN Nutzung usw. oder auch generell alles freigeben will muss die FW Regel entsprechend anpassen !!!
(Siehe auch diesen_Thread zu dem Thema !)

Ein weiteres wichtiges Wort zu den Firewall Regeln da dies hier immer wieder Folgethreads eröffnet:
Firewall Regeln werden immer der Reihe nach (von oben nach unten) abgearbeitet und gelten NUR für eingehenden Traffic am Interface !
Das ist zwingend zu beachten und führt zu zahlreichen Fehlern wenn jemand z.B. gleich am Anfang allen TCP Traffic verbietet und nacher TCP 80 (HTTP, Web) wieder erlaubt ! Sowas funktioniert nicht, die logische Reihenfolge der Regeln ist also essentiell wichtig und sollte immer beachtet werden.


Wenns klemmt hilft in der Regel immer ein Blick ins Firewall Log oder Captive Portal Log. Dort wird immer angezeigt welche Ports geblockt sind und ggf. eine korrekte Funktion verhindern.
Ein Blick da rein kann also nie schaden zum Troubleshooting und schont die Nerven der Forumsuser. face-wink
Das obige Kapitel zum richtigen Setzen der FW Regeln hilft zusätzlich.
Bei Gastnetzen gilt generell besser erstmal alles verbieten und nur das öffnen was man wirklich erlauben will.


back-to-topWenn gar nichts mehr geht....(Troubleshooting)
Das ALIX Board hat einen seriellen Terminal Anschluss (9 polige DB-9 Buchse) den man mit einem seriellen Terminal Programm wie dem Windows eigenen Hyperterm oder besser TeraTerm, oder dem Klassiker PUTTY oder Linux Minicom oder Apple Mac Z-Term bedienen kann.
Seriellen COM Port am PC, Linux oder Apple Mac mit dem seriellen Port (9 pol Sub-D Buchse) mit einem seriellen RS 232 Nullmodem Kabel (DB-9 Weibchen an beiden Kabelenden) verbinden und im Terminal Programm die seriellen Parameter: 115.200 Baud bei pfSense
8 Datenbits
1 Stopbit
Keine Parity
Keine Flusskontrolle

einstellen für den COM Port (serieller Port)
Wer einen Apple Mac besitzt oder an neueren PC/Laptops keinen seriellen COM Port mehr hat, benutzt einfach einen preiswerten USB_Seriell_Adapter (andere Variante ) oder kabellos den jeder PC Shop um die Ecke für ein paar Euro hat.
Schaltet man dann das ALIX Board mit angeschlossenem Terminalkabel an, erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board konfigurieren und troubleshooten z.B. wenn man einmal das Zugangspasswort oder die Konfig IP Adresse vergessen hat.
Wichtig ist hier auch oft die Zuordnung der ALIX LAN Ports vr0 = LAN, vr1 = WAN bei der Erstinbetriebnahme.
Ebenso kann man das Board über das Terminal wieder auf seine Werkseinstellungen zurücksetzen !
Keine Angst: Das Terminal ist kein Muss !
Alles Management lässt sich auch bequem über das Webinterface einstellen und ist der Standard Konfigurations Zugang.
Die Konsole ist aber sehr hilfreich um dem ALIX Board etwas auf die Finger zu schauen und erleichtert die Fehlersuche, deshalb ist es generell immer empfehlenswert die paar Euro in einen USB-Seriell Adapter zu investieren.
Es gibt ebenfalls ALIX Boards inkl. VGA und Tastatur Port. Ist aber letztlich eine überflüssige Investition denn man nutzt diese nie im produktiven Dauerbetrieb.

31b268845e67e589ea1cbd0685c5ec07-monotermi


back-to-topUpdate zur unten folgenden Threadhistorie dieses Tutorials
Im Laufe der Zeit und bei der Fülle der Follow Up Kommentare unten zum hiesigen Tutorial sind noch einige Fragen offen geblieben oder können durch neue Features anders gelöst werden.
Es lohnt dennoch die Kommentar Threads hier zu lesen, da sie noch eine Fülle von Tips enthalten.
Für einige in den unten folgenden Threads angesprochenen Anforderungen, gibt es neue oder verbesserte Lösungsansätze:

ACHTUNG: Ab dem Release 2.2 ist der Captive Portal Port auf TCP 8002 geändert worden !
Bei allen die nach dem Update auf die 2.2 die Portalseite nicht mehr sehen unbedingt in den Firewall Regeln am Captive Portal Port die Regel von TCP 8000 auf TCP 8002 ändern !
Wer abwärtskompatibel bleiben möchte mit dem Setup setzt eine Range von Port TCP 8000 bis 8002 in der FW Regel !

1.) Mehrere CPs auf einer Firewall gleichzeitig aktivieren:
Ein Punkt der Folgethreads ist der Wunsch das Captive Portal auf mehrere Interfaces der Firewall zu aktivieren. Dies war bei der Erstellung des Threads in der Software nicht supported.
Diese Option ist aber seit längerem mit der Version 2.0 der pfSense gelöst. Hier hat man jetzt die Option mehrere Captive Portal Profile zu erstellen und so das Captive Portal auch für mehrere Interfaces gleichzeitig zu aktivieren um z.B. mehrere unabhängige Gastnetze auf einer Hardware zu betreiben.

2.) Isolation von Clients untereinander in Gastnetzen:
Öfter, und auch berechtigterweise, tauchte die Frage auf wie man WLAN oder auch LAN Clients untereinander in einem offenen Gast WLAN voneinander isolieren kann.
Clients bekommen ohne entsprechende Authentisierung ja erstmal keinen Zugang nach außen Richtung Internet, sind aber dennoch gemeinsam in einem IP Netz, „sehen“ sich also untereinander im Netz was "Spielkinder" reizt mal den Port Scanner anzuschmeissen und etwas zu schnüffeln.
Man muss vorab erst einmal generell für den Betrieb festlegen ob man sowas supporten will oder nicht in seinem Gastnetz. Bei JA ist nichts weiter zu tun. Auch in kommerziellen Hotspots in Hotels, Flughäfen ist solche Client Isolation leider nicht immer aktiv. Jeder kennt die damit verbundenen Gefahren.
Es gibt 2 Möglichkeiten einer Lösung wenn man es NICHT will das Gast Clients untereinander lokal kommunizieren können:
  • 1.) Fast alle modernen Access Points (auch billige) bieten im WLAN Setup eine sog. "Client Isolation“ Option. Diese muss man zwingend aktivieren, dann ist eine Client zu Client Kommunikation schon von vorn herein sicher ausgeschlossen.
  • 2.) Sind LAN Switches beteiligt, d.h. sind die Gäste auch per Kabel angeschlossen, aktiviert man auf diesen Switches die sog. PVLAN (Private- oder Isolated VLAN) Funktion !
Das bedeutet technisch das an Client Ports in diesem betreffenden VLAN keine Broadcasts und damit auch kein ARP an Client Ports geforwardet werden sondern nur auf dem dedizierten Uplink Port. Durch das dann fehlende ARP wird eine Client zu Client Kommunikation untereinander ebenfalls sicher unterbunden !
In einem PVLAN (Isolated VLAN) wird dann ein Uplink Port definiert der auf die Firewall geht und so den Zugang nach außen realisiert.
Auf den Support dieses PVLAN Features ist bei Anschaffung solcher LAN Switches zwingend zu achten wer das benötigt !

3.) User Logging und Voucher Verwaltung:
Für kleinere und mittlere Gastnetze lässt sich ein preiswertes User Logging z.B. mit einem Raspberry Pi erledigen. Logging kann auch auf ein bestehendes NAS (QNAP, Synology) gemacht werden oder auf einem remoten Server z.B. per VPN.
Ein kleiner lokaler Server wie z.B. der RasPi kann gleichzeitig noch ein Voucher Server sein der die Gast WLAN Voucher (Einmalpasswörter) bequem über eine Weboberfläche verwaltbar macht oder das Gäste dieses selber per SMS über die Portal Webseite anfordern können.
Damit können auch nicht ITler wie z.B. Empfangs- und Tresenpersonal usw. ganz einfach diese Voucher verwalten. Anleitungen dazu findet man hier:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
und hier
Netzwerk Management Server mit Raspberry Pi

4.) Funktions Erweiterung mit Plugins (pfSense):
Mittlerweile supportet auch die embedded Version von pfSense (nanobsd) über den Package Manager zuladbare Plugins oder Module. Hier kann man nun auch bei Bedarf Funktionen wie Proxy Server (Squid), Radius Authentisierung, dynamisches Routing (RIP, OSPF usw.) und diverse andere Zusatzoptionen zusätzlich laden.
Im Menüpunkt „Packages“ bekommt man bei der pfSense eine Übersicht.

5.) Virtualisierung:
Images für pfSense liegen nun auch als VM Image zum Download vor und können damit auch in virtuellen Umgebungen eingesetzt werden ! Ebenso ist ein schneller Test z.B. mit dem kostenlosen VmWare Player oder Virtual Box. um sich einen Überblick zu verschaffen nun keine Hürde mehr.
Ein Wort der Warnung: Generell sollte man sich den Einsatz von Firewalls in VMs sehr gründlich überlegen. Schaffen es Benutzer dort auszubrechen liegen ihnen ggf. sensible Daten wie auf dem Silbertablet vor der Nase, da dort meist auch zentrale Server laufen.
Generell gehört eine Firewall also immer auf separate HW die z.B. mit einem ALIX Board dann wirklich sicher und preiswert zu realisieren ist.

Es wird immer wieder Detailfragen zu dem Thema geben. Dafür dann einfach, wenn nicht schon geschehen, im Forum anmelden und einen neuen Thread erstellen mit Bezug auf dieses Tutorial !

Weiterhin viel Erfolg beim Betrieb dieses vielseitigen Gast Captive Portals !


back-to-topWeiterführende Links
Feste Appliance Lösung (ALIX)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Tips: Dual Radio WLAN Erweiterung mit 2,4Ghz und 5 Ghz WLAN miniPCI Karte
WLAN Karte in pfSense einrichten und aktivieren

Gast Passwörter (Voucher) per Webbrowser und SMS verwalten
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken

Gast Passwörter (Voucher) per Webbrowser und Ticket Drucker ausgeben
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden

Logging u. Voucher Server zum User Tracking
Netzwerk Management Server mit Raspberry Pi

VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs und Multi SSID:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zentrale Benutzer Authentisierung über Radius:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kommentar vom Moderator Dani am Oct 10, 2009 um 21:25:14 Uhr
Moin,
die Anleitung hat sich bewährt und ist auch entsprechend der Kommentaranzahl gewachsen. Bitte in Zukunft einen Fragebeitrag eröffnen und per Link auf diese Anleitung verweisen. Sonst wird es hier einfach unübersichtlich!

Content-ID: 91413

Url: https://administrator.de/contentid/91413

Printed on: October 7, 2024 at 03:10 o'clock

Dani
Dani Jul 07, 2008 at 09:15:20 (UTC)
Goto Top
Moin,
das ist einfach aqui ... Spitzensache wie immer ! Mehr brauche dazu nicht sagen.
Können sich einige Leute eine Schreibe abschneiden. face-wink


Gruss,
Dani
spacyfreak
spacyfreak Jul 07, 2008 at 12:45:51 (UTC)
Goto Top
Yo - RESPEKT! Das ist was was viele Leute brauchen können, aber kaum einer zu fragen wagt. face-wink
Zitruslimmonade
Zitruslimmonade Jul 07, 2008 at 16:02:00 (UTC)
Goto Top
Hallöle, ist denn jemandem eine software bekannt, die man kostengünstig auch auf nen w2k3 installieren kann und nich noch ne extra kiste braucht ?
danke im vorhinein

gruss
kingkong
kingkong Jul 07, 2008 at 18:24:51 (UTC)
Goto Top
Was ist für dich denn kostengünstig? Wenn du die Monowall zum Beispiel auf einem Alix2c3 betreiben würdest wärst du etwa 120 Euro los, aber extrem stromsparend und komfortabel unterwegs. Eine Alternative zu Monowall wäre übrigens auch IPCop. Kann mit einem Add-On auch eine Gastauthentifizierung und Isolierung des Gastnetzes.
tikayevent
tikayevent Jul 07, 2008 at 20:30:55 (UTC)
Goto Top
Hallo aqui,

schöne Anleitung.

Jedoch ein Hinweis: Du verlagerst das Webinterface auf einen anderen Port, es gibt aber eine andere und bessere Möglichkeit: Wenn man im Advanced Menü die Antilockout-Regel abschaltet, kann man den Zugang per Firewall für das Gast-Netz blocken.

Bei sämtlichen Captive Portal-Installationen, die ich mit m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:

Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router erlaubt

Damit kommt man nicht an das Webinterface dran, egal wie sehr man sucht und es funktioniert trotzdem alles.
aqui
aqui Jul 08, 2008 at 15:33:11 (UTC)
Goto Top
Richtig ! Das ist eine elegante Möglichkeit den Setup Zugang besser zu schützen.

Danke Thomas für diesen guten Tipp !!
ente
ente Jul 14, 2008 at 01:58:46 (UTC)
Goto Top
Hallo,

sollte doch auch in einer kleinen VM möglich sein, oder?
Gibts dazu schon Erfahrungen?

Gruß Heiko
kingkong
kingkong Jul 14, 2008 at 17:30:22 (UTC)
Goto Top
Eine Firewall in einer VM laufen zu lassen ist immer ein bißchen problematisch, vor allem vom Ansatz her...Wenn unter der Firewall ein Tunnel existiert, bricht irgendwann die ganze Firewall zusammen. Klar geht sowas prinzipiell (Stichwort c't Server, wobei hier eine Endian zum Einsatz kam), aber eigentlich sollte eine Firewall ja stand-alone bleiben...Und irgendeine alte Kiste wird man ja noch auftreiben können bzw. wenn man sowas professionell / kommerziell machen will, dann sollte man auch ein bißchen was investieren können.
tikayevent
tikayevent Jul 15, 2008 at 00:03:14 (UTC)
Goto Top
In jedem Fall solltest du die m0n0wall auf einem gesonderten Rechner laufen lassen.

m0n0wall braucht aber auch fast nichts an Leistung. Ich hatte meine hier bis vor 3 Wochen auf einem elf Jahre altem Rechner laufen, den ich mal von einer Versicherungsagentur geschenkt bekommen habe. Mit 128MB RAM und heruntergetaktet hat das Kistchen auf VLAN-Basis 11 Netzwerke verwaltet.
Aufgrund der Hitze hat helium (so hieß er) den Geist aufgegeben. Jetzt läuft alles übergangsweise auf nem x-beliebigen AT-Rechner von anno sonstwann.

Die Hardware für m0n0wall kannste dir aus dem nächsten Container ziehen, so wenig wird gefordert.

Und wenn du dir Gedanken um den Stromverbrauch machst, schau dir mal die WRAP-/ALIX-Boards an. Leistungsmäßig verbrauchen die soviel wie ein normaler Wald- und Wiesen-DummDAU-0815-Router für 20€ im Blödmarkt.
Kollisionskurs
Kollisionskurs Jul 17, 2008 at 10:30:03 (UTC)
Goto Top
@ aqui

Erstmal TOP Anleitung...wie immer steckt viel Mühe dahinter!

Was mich allerdings etwas verwundert ist das Du mir in diesem Thread:

Netzwerktrennung in einem kleinen Hotel - via DMZ und Captive Portal?

eher Zeroshell anstatt MONOWALL empfohlen hast bzw. die Anforderungen meinerseits sind ja genau die gleichen wie in deiner Anleitung beschrieben.

Mittlerweile habe ich mich auch nach kommerziellen Lösungen umgeschaut bzw. ein einfach bedienbares Captive Portal einrichten zu können mit welchem ich sämtlichen Internetverkehr der Hotelgäste mitloggen kann und historisch ablegen (rechtliche Absicherung). Meine Suche blieb erfolglos...diese teuren Hotspot Gateway Lösungen können vieles (was ich nicht brauche) - aber das Logging wird bei den meisten gar nicht unterstützt oder nur in Kombination mit z.Bsp. einem TFTP Server.


Deshalb meine alles entscheidende Frage:

Kann ich mit Monowall oder Zeroshell den Internetverkehr der Gäste mitloggen und direkt auf einem angeschlossenen Datenträger abspeichern??

Hat jemand Erfahrung in der Bedienbarkeit der Portale?

bzw. stelle ich mir vor das die Dame an der Rezeption sich aus dem Portal heraus aktuelle Zugangsdaten generieren lassen kann, die sie dem Gast anschliessend überreicht. Mit diesen Benutzernamen/Passwort hat der Gast eine bestimmte Zeit die Berechtigung über das Portal ins Internet zu gelangen. Im Logging finde ich dann genau diesen Benutzernamen und die von ihm besuchten Seiten etc. D.h. wenn dieser Dinge tut die am legalen Treiben vorbei segeln...kann ich nachweisen das es nicht der Hotelbesitzer bzw. "vorübergehende Provider" war sondern Gast XYZ.


Danke im Voraus!!!

Grüße
tikayevent
tikayevent Jul 17, 2008 at 10:34:54 (UTC)
Goto Top
Das mit den Zugangsdaten kannste einfacher haben. In der aktuellen m0n0wall-Beta ist der Voucher-Support enthalten.

Dieser erzeugt nen Haufen Zufallscodes die für eine stufenlos einstellbare Zeit gültig sind. Der Kunde bekommt so einen Code und keine Benutzername/Passwort-Kombination.

Wie das mit dem Logging ist, schau ich nochmal.
aqui
aqui Jul 18, 2008 at 17:42:34 (UTC)
Goto Top
@Kollisionskurs
Ob Zeroshell oder M0n0wall ist eigentlich egal. Nach etwas Experiementiererei kann man sagen das M0n0wall ein paar mehr Features fürs CP hat (Voucher "Einmalpasswörter" Support, bessere Userverwaltung etc.).
Abgesehen davon ist M0n0wall kinderleicht nur duch simples Kopieren der SW auf eine CF Flashkarte auf einer kleinen sehr preiswerten embedded Appliance installierbar (ALIX Board) wie oben im Tutorial beschrieben, was die Energiekosten erheblich senkt für den Dauerbetrieb.

Zeroshell kann wiederum selber als Accesspoint laufen und hat da wieder etwas die Nase vorn. Monowall supportet aber auch einige WLAN Karten und sogar miniPCI Karten auf der Appliance. Es sind halt nur Nuancen. Letztlich ist es Geschmackssache... wie immer.
Die Voucher Funktion und die Möglichkeit der Nutzung auf einem kleinen, flachen embedded_Mainboard macht M0n0wall etwas attraktiver für einen CP Funktion derzeit.

Alle deine Anforderungen supportet M0n0wall aber genau wie Zeroshell problemlos, wenn man von der Voucher Funktion die Zeroshell (noch) nicht hat einmal absieht. Das Einmalpasswort von der Empfangsdame (Voucher) wie tikayevent oben richtig bemerkt. Die Dame muss nichts mehr generieren, den sie hat eine Liste oder Zettel wo diese Voucher auf Vorrat gleich ausgedruckt sind die sie dem Gast geben kann. Das vereinfacht also die Sache erheblich.
Für das Protokollieren der besuchten Webseiten solltest du dann besser noch einen Squid-Proxy davorschalten, der das genau mitprotokolliert wenn dich das mehr beruhigt. Mit Hilfe der Benutzerdaten, die M0n0wall von sich aus schon archiviert ist dann eine Zuordnung von Gast zu besuchten Seiten sehr einfach möglich.
tikayevent
tikayevent Jul 18, 2008 at 20:51:59 (UTC)
Goto Top
So sieht ein Eintrag aus dem Log aus

Jul 18 22:40:47 VOUCHER LOGIN good for 120 min.: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:40:51 CONCURRENT LOGIN - REUSING OLD SESSION: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:40:51 VOUCHER LOGIN good for 119 min.: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:45:45 LOGOUT: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250

Damit sind alle Forderungen des TKG erfüllt.

Geloggt werden kann über einen Syslog-Daemon.

Ich hab für ein Café bereits eine solche Hotspot-Lösung eingerichtet und die Kostenersparnis gegenüber einer Fertiglösung ist enorm. Da muss man dann halt in Kauf nehmen, dass man spätestens alle 65535 Kunden einen neuen Stapel Ticket drucken muss. Wenn man sich aber etwas mit Word auskennt ist das kein Problem.

@aqui: Das TKG sieht kein Logging der besuchten Seiten und Inhalte vor. Daher ist es unnötig noch einen Squid einzusetzen. Wenn man das Gesetz so nimmt, wie es geschrieben ist, benötigt man noch nicht mal eine Zuweisung zwischen Käufer des Tickets und des Codes, denn das TKG fordert nur nach einer eindeutigen Kennung des Anschlusses, über welchen das Angebot genutzt wurde, was in diesem Fall die MAC ist.
Kollisionskurs
Kollisionskurs Jul 19, 2008, updated at Oct 23, 2012 at 09:51:48 (UTC)
Goto Top
@tikayevent

perfekt bzw. damit werden alle relevanten Daten geloggt - klar habe ich mich im Vorfeld bez. TKG informiert. Meines Erachtens wird man nicht 100%ig schlau daraus was man letztendlich für Rechte und Pflichten bez. "Internet/Hotspot-Anbieter" zu erfüllen hat. Von dem her (wer weiss was Schäuble & Co. noch einfällt) und auch zur Beruhigung/Absicherung des Hotspot-Betreibers hat das Logging doch einen wichtigen Stellenwert.

Bei Deiner Monowall-Café-Hotspot Implementierung:
Loggst Du sämtliche Verbindungen via Syslog? bzw. ich habe das Problem das ich (in diesem Mini-Hotel) keinen PC habe der 24/7 läuft. Ich möchte mir eine embedded Lösung (Alix) zusammenschrauben und dort die Monowall aufsetzen. Kann ich die Log-Daten dort auch "direkt" ablegen (z.B. über USB angeschlossenes Laufwerk)? Verstehe es nicht warum es noch keine NAS-Speicher (zumindest mir nicht bekannt) gibt die einen Syslog oder z.Bsp. TFTP Dienst von Haus aus anbieten - die Teile laufen 24/7 und wären doch zusätzlich als Log-"Speicher" perfekt, oder?... aber das ist ein anderes Thema.

@aqui

Bei mir steht immer noch die Sache aus mit der Trennung Gäste-Verwaltungsnetz via DMZ...Möglichkeiten habe ich ja genug bzw. entweder die Lösung "DMZ des kleines Mannes" mit zwei Routern...oder einer günstigen Firewall wie z.Bsp. der Zyxel Zywall 2 plus. Allerdings steht ja auch noch der Kauf des ALIX-Boards aus...die Teile gibt es doch auch mit 3 LAN-Schnittstellen - ist es nicht möglich direkt "dort" via Monowall die DMZ einzurichten? WAN-LAN-DMZ - damit hätte ich doch alles erschlagen ohne zusätzliche Peripherie, oder?

thx..an die Spezis!!
tikayevent
tikayevent Jul 19, 2008 at 11:47:31 (UTC)
Goto Top
Bei der Café-Anwendung logge ich nicht, weil der Wirt das nicht wollte.

Du könntest einzig die Menge der geloggten Daten von regulär 50 auf einen astronomisch hohen Wert einstellen. Dann loggt er komplett auf der m0n0wall.

Was meinst du mit der DMZ? Die Anleitung oben beschreibt ein komplett eigenständiges Netzwerk. Zwischen LAN und WLAN besteht so keine Verbindung. Du kannst zwar zwischen WLAN und LAN eine Kommunikation erlauben, aber halt auch verbieten. Die m0n0wall ist ja eine Firewall und daher kannst du das zwischen den Interfaces so handhaben, wie du willst.

Das Kistchen ist sogar so lustig, dass du mittels VLAN und solchen Spielereien alle Netzwerke über eine Schnittstelle schicken kannst. Oder du baust eine Mini-PCI-WLAN-Karte ein und sparst dir den Access Point.

Und was das TKG angeht: Der Schäuble hat damit nichts zu tun. Das war eine Anweisung der EU und bewirkte nur eine Verlängerung. Alles was jetzt für 6 Monate gespeichert wird, wurde vorher auch schon gespeichert, und zwar für maximal 80 Tage. Es soll nur bei der Strafverfolgung helfen, weil 80 Tage nicht sehr viel sind. Leute die sich so darüber aufregen haben entweder keine Ahnung oder was zu verbergen.
Kollisionskurs
Kollisionskurs Jul 19, 2008 at 12:15:39 (UTC)
Goto Top
OK...dann kann ich das komplette Logging über die Monowall handeln...d.h. mit genügend Speicherplatz und dem eingestellten hohen Wert, läuft alles autark im Monowall-"Kistchen" ab. Die Log-Daten werden dann auf der CF-Karte abgelegt und fungieren als Rundspeicher, oder? d.h wenn der Grenzwert an Logeinträgen erreicht ist gehts von vorne los?

Mit DMZ meinte ich:

Es wäre doch meines Erachtens elegant wenn ich aus der Monowall/ALIX-Kiste heraus einen LAN Anschluss mit dem Switch der Verwaltungs-PC's verbinde und den anderen mit dem Switch des Gäste-LAN's (an diesen möchte ich noch einen Speedport Router anschließen der lediglich als AP fungiert)
Die dritte Schnittstelle "hängt" an einem Modem im WAN. Die Frage war eher ob ich alle drei Schnittstellen aus der Monowall heraus bedienen/konfigurieren kann und ob Ihr dieses so empfehlen würdet.

Da ich relativ wenig Erfahrung mit solchen Szenarien habe etc. bin ich über jede Verbesserung/Kritik dankbar!

TKG: OK...vielleicht "unglücklich" in diesem Zusammenhang gewisse Personen zu nennen wenn diese unmittelbar nichts damit zu tun haben etc.
aqui
aqui Jul 19, 2008 at 13:31:04 (UTC)
Goto Top
Ja das klappt natürlich mit M0nowall. Auch 4 Schnittstellen würde es bedienen.

Wenn du es über das ALIX Board machst dann benötigst du dieses:

https://shop.tronico.net/tronico.php/sid/320c8baba27bbaf7278ca38e4bc6688 ...

Das hat 3 Schnittstellen die du so bedienen kannst wie du es möchtest. So wie du es vorhast müsste dein Netzwerk dann so aussehen:

d386e122bbefd4e53352796f3d0aa44c-mono4
spacyfreak
spacyfreak Jul 19, 2008 at 14:05:17 (UTC)
Goto Top
Übrigens bietet sich für grössere Installationen in Firmen der Einsatz von Cisco WLC WLAN Controllern an. Dort ist auch die Möglichkeit drin ein Gast-WLAN zu betreiben mit Web-Authentisierung. Die Cisco Access Point haben ein LWAPP Image drauf und kommunizieren über LWAPP Tunnel mit dem Controller. Am AP selber muss man nichts konfigurieren.
Ferner bietet die Lösung interne WLAN User per 802.1X in ihr Abteilungs-VLAN zu stecken, egal an welchem Access Point im Unternehmen sie sich anmelden. Gesteuert über Radius-Attribute werden sie in ihr VLAN gesteckt. Sehr schön.
aqui
aqui Jul 20, 2008 at 15:52:14 (UTC)
Goto Top
Wie immer kann das nicht nur Cisco sondern auch Trapeze und Meru Networks und und..... Auch solche spezifischen WLAN Hersteller bieten sich an, da die noch besser sind als Cisco im Bereich WLAN.... Woher kommt immer nur diese Cisco Blindheit...die kochen auch nur mit Wasser und das noch nicht mal mit gutem....
Jeder professionelle WLAN Hersteller hat eine Captive Portal Funktion auf seinen Controllern...nicht nur Cisco !
Die dynamische Zuweisung von VLANs per 802.1x ist heute ein Standard, und das supporten o.a. Hersteller selbstredend auch !
Nur sind solche Loesungen in einer komplett anderen Preiskategorie !!!

Haettest du dir die M0n0wall Installation mal schnell angesehen mit einer bootbaren CD waere dir sicher auch aufgefallen das M0n0wall VLANs unterstuetzt und auch die Zuweisung mit 802.1x ueber Radius ! Sogar ein Accounting ueber radius ist moeglich !
http://doc.m0n0.ch/handbook/ch12s02.html
Kollisionskurs
Kollisionskurs Jul 22, 2008 at 11:06:56 (UTC)
Goto Top
OK..werde das ganze so implementieren bzw. ALIX Board mit drei LAN Schnittstellen etc. Allerdings sind mir ein paar Dinge (trotz Recherche) teils noch unklar:

1. Logging...ich "stecke" ins ALIX Board eine mehr oder weniger alte CF Karte mit 2GB Speicherplatz. Abgesehen vom minimalen Speicherplatz den Monowall selber braucht, habe ich doch den Rest des Speichers übrig für die zu loggenden Daten, oder? Unabhängig davon ob das jetzt übertrieben ist oder nicht..ich habe keine kleinere Karte - oder gibt es diesbezüglich eine Größenbeschränkung?

2. An die DMZ bzw. übers Captive Portal möchte ich die Gäste ebenfalls via WLAN verbinden. Sollte zusätzlich zur Benutzerauthentifizierung auch die generelle WLAN Verschlüsselung am AP aktiviert werden? Ansonsten müsste ich doch alles blocken außer den http & https Port?

3. Ich verbinde die Monowall direkt mit einem Modem bzw. die Monowall soll sich um den PPOE kümmern. Hat jemand schlechte Erfahrungen damit bzw. ist es ratsam doch einen Router davor zu integrieren und der Monowall dann den "Rest" zu überlassen (Perfoemancegründe/Stabilität etc.??).

thx...again!
aqui
aqui Jul 22, 2008 at 11:28:10 (UTC)
Goto Top
ad 1.)
Nein, gibt es nicht, dann hast du halt 1,94 GB fürs Logging frei face-wink
So oder so bietet M0n0wall aber auch das Logging an einen externen rechner im Netz zu seden mit einem Syslog Server wie ihn Linux gleich an Bord hat oder Windows z.B. mit dem freien Kiwi Syslog Server:
http://www.kiwisyslog.com/kiwi-syslog-daemon-overview/

ad 2.)
Die Frage ist eigentlich überflüssig und kannst du dir selber beantworten:
Mit Verschlüsselung ist ein Captive Portal eigentlich völlig sinnlos. Du müsstest dann aus den Zugangsdaten oder Vouchers zusätzlich noch jedem Gast den WEP oder WPA oder WPA2 Schlüssel geben. Genau das was man eigentlich ja mit einem CP vermeiden will...
Bei jedem 2ten gibts Probleme mit dem Verständnis und der Eingabe usw. von den Fehlfunktionen mal ganz zu schweigen ! Du müsstest auch maximal WEP machen, damit alte Hardware noch supportet ist, denn du weisst niemals was Gäste noch so btreiben an Laptops. Wer soll und will sowas administrieren...das ist Blödsinn !
Damit konterkarierst du die Anwendung eines Captive Portals für Gäste, die es möglichst einfach haben sollen aber eben mit Überwachung. Für ihre Verschlüsselung sollen sie selber sorgen (VPNs)

ad 3.)
Das ist normalerweise überflüssig mit einem Router davor, denn die M0n0wall ist ja selber primär ein Firewall Router !! Die M0n0wall funktioniert eben genau wie so einer mit NAT und Firewall. Sogar ein PPTP Server ist aktivierbar für den VPN Fernzugriff.
Da wäre es vollkommen unsinnig davor nochmal einen Router zu stellen wenn man eine grüne Wiese zum Installieren hast wie du !

Der Router in der Zeichnung von oben bezieht sich nur auf ein bestehendes Netzwerk in dem ggf. ein solcher Router schon vorhanden ist.
Für dich ist das nicht relevant !
Kollisionskurs
Kollisionskurs Jul 22, 2008 at 11:45:17 (UTC)
Goto Top
zu 1.

OK...das mit dem externen Logging via Syslog wusste ich - allerdings habe ich keinen PC im Netz der 24/7 läuft. Generell möchte ich noch einen NAS ins Netzwerk integrieren - das wäre doch perfekt wenn diese eben einen Syslog-Daemon oder TFTP supporten würden. Das NAS läuft eben 24/7.

zu 2.

Mir ist klar das ich die Vorteile eines CP teils durch die Verschlüsselung des WLAN "auflösen" würde...aber noch mal:

Was ist wenn der "Nachbar" sich mit dem WLAN verbindet...klar kann er nicht online - da er keinen gültigen Voucher besitzt, aber was ist mit den anderen Diensten wie z.Bsp. FTP etc. Diese für die jeweiligen Dienste zuständigen Ports muss ich doch alle sperren, oder ;-( ? sorry Newbie

@aqui...du hast manchmal schneller die Antwort im Thread wie ich die Frage gestellt habe face-wink
aqui
aqui Jul 22, 2008 at 17:39:24 (UTC)
Goto Top
Nein, das ist unmöglich das der Nachbar sich einloggt. Dafür müsste er ein Passwort klauen oder eine Voucher ID !! Genau das gleiche wenn er an den WPA Key kommt, dann kommt er auch rein....
Er wird ohne einen Webzugriff (Captive Portal) der ihm den Zugang freischaltet nicht weiterkommen, da der Zugang auf basis der MAC Adresse freigeschaltet wird. Keinerlei Chance also auch bei anderen Ports und Anwendungen, das Portal ist da wasserdicht !!
Ohne die Authentifizierung am Captive Portal sind immer alle Ports (Anwendungen) generell geblockt bzw. gesichert, du musst alo nichts zusätzlich eintragen und der "Nachbar" hat keine Chance !

Probiers mit ner Boot CD erstmal einfach aus, das dauert 15 Minuten, dann siehst du wie es funktioniert face-wink
rs----
rs---- Aug 19, 2008 at 12:51:08 (UTC)
Goto Top
So Hallo zusammen, wenn auch etwas spät ich hoffe das noch jemand mitliest !
Schöner Post erstmal an den Schreiber !
Ich setze auch seit längerem auf die Monowall und bin vollkommen überzeigt. Habe auch bei Kunden das CP in Betrieb und es läuft super. Geloggt wird entweder auf der Mono selbst oder über den Kiwi auf einem extra PC wo ich ein Script ( nachts) zum Zippen benutze . Das spart einen haufen Speicherplatz und geht ganz Automatisch.
Soviel vorab.

Meine Frage ist eigentlich: Wie löst ihr in euren beschriebenen Netzwerken die verschlüsselung der CP-Anmeldung der Gäste über HTTPS ?
Habe da schon seit ewigkeiten versucht eine Lösung zu finden. Ich würde mich wirklich freuen mit euch die Erfahrungen zu teilen..

Oder was mir noch lieber wäre eine Lösung gemeinsam zu erarbeiten. ;)

Grüsse rs----
tikayevent
tikayevent Aug 19, 2008 at 12:59:24 (UTC)
Goto Top
Ich erzeug mir einfach ein Zertifikat und trage dieses ein.

Wenn du die Fehlermeldung verhindern willst, kannst du auch ein Zertifikat von Thawte oder Verisign signieren lassen.
rs----
rs---- Aug 19, 2008 at 13:04:40 (UTC)
Goto Top
nee auf die fehlermeldung kommts mir nich an.
erstmal danke für die schnelle antwort. was gibst du denn dann als https server ein ? benutze die neue beta der mono, womit erstellst du dir ein zertifikat ? ich hab das mit openssl versucht aber irgendwie scheint es nicht zu klappen .. benutzt du den dns-namen der monowall oder die ip ?

gruss
tikayevent
tikayevent Aug 19, 2008 at 15:13:10 (UTC)
Goto Top
Bei HTTPS-Server geb ich irgendeinen Namen an, bei mir z.B. der Hostname meiner Firewall. Ich erzeuge meine Zertifikate mit Plesk bei meinem Domainregistrar, weil ich mit OpenSSL nicht klarkomme.
rs----
rs---- Aug 19, 2008 at 15:43:47 (UTC)
Goto Top
hmm wenn ich das richtig verstehe muesste doch aber eine weiterleitung ob mit oder ohne richtiges zertifikat funktionieren.
habe eine anleitung gefunden und ein zertifikat erstellt. doch wenn ich meinen hostnamen ( ip der captive schnittstelle, wird auch aufgelöst)
eingebe und dann versuche zu verbinden sagt er verbindung fehlgeschlagen. nehm ich den haken bei https server weg funktioniert es super.

er leitet auch korrekt weiter ausser das es eben https://meinhostname.local:8001 statt http und 8000 ist.

hab die rules komplett aufgemacht aber 8000 oder 8001 öffnet er doch eh automatisch ...

oder kann es sein das er verbindung fehlgeschlagen wegen einem nicht passsenden zertifikat antwortet ? kann mit das nich vorstellen ...

bin schon völlig fertig ...
grüsse rs----
rs----
rs---- Aug 20, 2008 at 07:46:51 (UTC)
Goto Top
Hallo nochmal,

könnte mir nicht jemand (*schiel* auf tikayevent ;) ) das ganze kurz detailiert erklären wie es funktioniert ?
Brauch das dringend für die Arbeit.
Scheine irgendwie auf dem Schlauch zu stehn..
Hast du wirklich den Hostnamen deiner CP-Schnittstelle als https server genommen ? order die ip adresse ? hast du den hostnamen fest im dns forwarder hinterlegt ? benutzen deine user auch die url wie https://meinhostname.local:8001 wenn sie weitergeleitet werden. scheint als funktioniere bei mir die dnsauflösung nicht vor der anmeldung ... oder ähnlich. Oder kanns am fehlerhaften zertifikat liegen das er ( bei der weiterleiung auf die cp-seite ) im browser verbindung fehlgeschlagen anzeigt ?
Bitte hilf mir ich brauch mehr details.

Grüsse rs----
tikayevent
tikayevent Aug 20, 2008 at 09:04:43 (UTC)
Goto Top
Du brauchst nichts im Browser einzugeben, die Benutzer werden automatisch beim ersten Versuch per Browser auf irgendwas zuzugreifen, umgeleitet.

Mein Router hat die FQDN helium.tikay-event.local, diese wird vom DNS-Forwarder aufgelöst und die habe ich auch als HTTPS-Server eingetragen.

Gleichzeitig ist das der CN auf dem Zertifikat.

Wenn jetzt einer auf das CP umgeleitet wird, wird automatisch https://helium.tikay-event.local:8001 aufgerufen.
rs----
rs---- Aug 20, 2008 at 09:26:42 (UTC)
Goto Top
Super, vielen Dank ! Dann weiss ich jetzt das ichs vom Verständnis her begriffen habe.
Leider funktionierts nur noch nich. ;)

Grüsse rs
tikayevent
tikayevent Aug 20, 2008 at 09:33:48 (UTC)
Goto Top
Hast du eventuell für das Captive Portal die Bandbreitenbeschränkung eingeschaltet?
rs----
rs---- Aug 20, 2008 at 09:41:04 (UTC)
Goto Top
Nein hab ich nicht . Das Problem äußert sich eben darin das der Browser die anmeldeseite nicht anzeigt und sagt verbindung fehlgeschlagen.
Also die Verbindung zu https://meinhostname:8001.
Er kommt gar nich bis zum Zertifikat. Trotz aktivem DHCP und dnsforwarder eintrag der CP-Schnittstelle bei mir einer 192.168.XXX.254.

mit http funktioniert alles reibungslos. nur wenn ich auf https umstelle leitet er nich weiter.
gruss rs
tikayevent
tikayevent Aug 20, 2008 at 10:41:15 (UTC)
Goto Top
Eventuell ne Firewall-Regel erstellt, die einen Zugriff abblockt?
rs----
rs---- Aug 20, 2008 at 10:45:11 (UTC)
Goto Top
normal hab ich da alles dicht aber zu diesen testzwecken habe ich einfach mal alle ports/protokolle aus dem gästenetz geöffnet.
is echt verhext .. wenn da ein zertifikatfehler oder so stehen wuerde ok, aber das der browser verbindung fehlerhaft anzeigt.
is mir schleierhaft...

gruss und danke mal für die mithilfe
rs----
tikayevent
tikayevent Aug 20, 2008 at 11:28:00 (UTC)
Goto Top
Aber ein Zertifikat hast du eingetragen?`Denn ohne Zertifikat geht da nix.
rs----
rs---- Aug 21, 2008 at 12:01:53 (UTC)
Goto Top
Hi also vielen Dank nu funktionierts.... ja ich hatte zwar ein Zertifikat eingetragen, wie oben beschrieben, aber da war wohl ein Fehler drin. Deswegen Verbindung fehlgeschlagen.

So nun ein neues Problem. Hatte das alles über die Ip zu laufen.
Habe mir gedacht ich trage nun alles über einen Hostnamen ein. Also neues Zertifikat generiert etc ...

Um den Clients die Gästeschnittstelle bekanntzumachen habe ich nun einen eintrag unter dns forwarder gesetzt.
Diesen habe ich auch als https server eingetragen und später das Zertifikat angepasst.

Das witzige was ich nich verstehe is nun das er vor erscheinen der Anmeldemaske im Browser abbricht und scheinbar in ein Loop läuft. Denn nun steht in der URL 500.mal der redirect drin ... kann das mit dem forward zu tun haben ?


Wie um Gottes Willen gebe ich der Gäste-Schnittstelle der Mono einen Hostnamen ?

grüsse
Kollisionskurs
Kollisionskurs Aug 22, 2008 at 14:59:43 (UTC)
Goto Top
Hallo,

ich stehe kurz vor der Vollendung meine Monowall in einem kleineren Hotel einzusetzen. Ich hab die eierlegende Wollmilschsau auf einem Alix 2C3 Board laufen, und nach einigen Tagen der Testerei bin ich absolut zufrieden bzw. einfach genial. Allerdings quälen mich noch zwei Verständnisfragen, die eigentlich beide in die gleiche Richtung zielen:

1. Um das Webinterface bzw. das Mono-Setup zu schützen liest man entweder das man den Port fürs Webinterface ändern solle oder (von tikayevent)

Antilockout-Rule deaktivieren
sämtlichen Traffic auf den Router blocken
TCP/UDP 53 auf den Router erlauben
TCP 8000 (müsste der Captive-Portal-Port sein) auf dem Router erlauben

Die Gäste bewegen sich lediglich in der DMZ. Mit einer Firewallregel habe ich den kompletten Traffic "DMZ -ins-> LAN" geblockt. Ich kann aus der DMZ die Monowall mit ihrer LAN-Adresse nicht anpingen geschweige denn das Webinterface erreichen.
Auf welchem Wege kann also jemand aus dem DMZ-Subnetz etc. aufs Mono-Webinterface gelangen?

2. https-Anmeldung im Captive Portal

Ich überlege mir ob ich die Anmeldung im Captive Portal über https realisieren soll bzw. mir ein Zertifikat basteln etc. Allerdings erfolgt die Anmeldung der Gäste via Voucher.

Ist es dann Eurer Meinung nach überhaupt notwendig?

Wird dann nur die reine Anmeldung verschlüsselt übertragen? bzw. nach dem erfolgreichen Voucher-Login gehts dann ja logischerweisse wieder unverschlüsselt weiter, oder?

Danke im Voraus!
rs----
rs---- Aug 22, 2008 at 17:42:20 (UTC)
Goto Top
@tikayevent
Vielen Dank für die Hilfe läuft nun alles bestens ...
gruss

@k-kurs,

ja die Mono ist ein geiles Teil.

Zu 1. So niemand ... aber spielt die reihenfolge der rules nicht eine rolle ?
Zu 2. die ameldung sollte verschlüsselt sein, auch wenns nur mit eigens erstellten zertifikaten gemacht wird.
Das was man dadurch schützt ist das sniffen der eingabe von zugangsdaten fester benutzer ins cp... wär doch irgendwie doof wenn jemand mit deinem Benutzer mißbrauch betreibt. Solltest du schon machen!

btw ich hoffe du hast für das normale wi ebenfalls https eingestellt

gruss
rs----
Kollisionskurs
Kollisionskurs Aug 23, 2008 at 06:55:51 (UTC)
Goto Top
@rs----

thx für die schnelle Antwort.

Reihenfolge der Rules?? wenn von einen Subnetz in das andere absolut nichts erlaubt wird, was hat das dann mit einer Reihenfolge zu tun.

Bei der Benutzeranmeldung geb ich Dir Recht...allerdings habe ich keine Benutzer eingetragen, sondern nutze lediglich die Einmalcodes/Vouchers. Die sind max. 3 Tage gültig (nach dem Voucher-LogIn)

Hast du trotzdem eine gute Anleitung (Link etc.) bez. https/Zertifikate etc.

Gruß

KK
rs----
rs---- Aug 23, 2008 at 08:09:43 (UTC)
Goto Top
hi,

siehe priorisierung ... funktioniert das so ? ich dachte man muss erst öffnen und dann schliessen(blocken).
das meine ich mit reihenfolge.

geh auf die monoseite und suche dort nach openssl oder x.509 da ist die einfachste anleitung überhaupt drin.
zieh dir openssl, dann hastes schon.

Gruss
kingkong
kingkong Aug 23, 2008 at 08:25:05 (UTC)
Goto Top
Meinst du damit eine Anleitung, um SSL-Zertifikate zu erstellen? Oder um diese erstellten in die Mono einzubauen?

Zu ersterem findest du den Ablauf in der readme, die beim OpenSSL-Paket dabei ist (aber lade dir dann nicht irgendein Paket runter, sondern die aktuellste Version, bei älteren gibts ja diese oft erwähnte Lücke mit der Errechenbarkeit).
Zur zweiten Frage kann ich leider (noch) nicht weiterhelfen...
tikayevent
tikayevent Aug 23, 2008 at 10:43:31 (UTC)
Goto Top
Sämtliche Firewallregeln werden von oben nach unten abgearbeitet. Die erste Regel die zutrifft gilt.

Also wenn du an die erste Stelle die Regel "Deny any from any to any" setzt und dann an die nächste Stelle "Allow HTTP from LAN_Subnet to any" packst, hast du ein Problem, weil du nicht surfen kannst. Wenn du aber die Reihenfolge umdrehst, funktioniert es.
rs----
rs---- Aug 28, 2008 at 17:19:54 (UTC)
Goto Top
Hi Mono-Freunde,

ich habe noch eine Frage / Idee / Unklarheit.

Kann man die Benutzer des Captive Portal untereinander abschirmen ? D.h. kann die Monowall den Traffic unter den WLAN-Benutzern unterbinden.

Wie macht ihr das ? Ist jeder Wlan-Gast um seinen eigenen Schutz ( Desktop Firewall ) verantwortlich oder kann man das irgendwie anders realisieren ?

Wie siehts mit der rechtlichen Lage aus ?

Grüsse
rs----
tikayevent
tikayevent Aug 28, 2008 at 19:41:04 (UTC)
Goto Top
Die etwas besseren Access Points unterstützen Client Isolation. Eine andere Möglichkeit gibt es nicht. Wenn ich einen Hotspot nutze, schicke ich Passwörter und sensible Daten entweder über verschlüsselte Verbindungen oder direkt über einen VPN-Tunnel.
Kollisionskurs
Kollisionskurs Sep 24, 2008 at 16:13:47 (UTC)
Goto Top
Hallo,

seit ein paar Tagen teste ich mein Captive Portal bzw. die Anmeldung via Voucher. Ich habe die allerneuste Beta-Firmware auf meiner Monowall. Die Gäste bekommen über den DMZ-DHCP eine IP zugewiesen und müssen sich eben mit einem Voucher authentifizieren.

Alles klappt prima bzw. werden diese generell immer sauber auf die Portalseite geleitet...müssen dort den Einmalcode eingeben und es öffnen sich die Tore ins www.

Bei der falschen Eingabe eines Voucher's erscheint eine Fehlermeldung - wenn ich das Voucher-Eingabefeld allerdings komplett leer lasse und betätige dann den Anmelde-Button komme ich genauso "unreglementiert" online!! Im Log steht dann ACCEPT: Unauthenticated

Ist das Euch bekannt bzw. auf teils fehlerhafte Einstellungen zurück zu führen - verstehe dieses Verhalten überhaupt nicht! Ich habe keine Pass-through MAC oder IP definiert etc.

Grüße

Ko.

Problem gelöst:

Wenn die Authentifizierung via Voucher erfolgen soll muss in den Captive Portal Einstellungen die Option "local user manager" eingestellt sein. Das war anfangs etwas irritierend - da ich den User Manager in sofern ja nicht nutze bzw. keine Benutzer angelegt habe. Lediglich über die selbst generierten Voucher's erfolgt ja die Authentifizierung. Allerdings verriegle ich mit dieser Einstellung eben auch den "Unauthenticated" Zugang bzw. muss jetzt im Portal zwingend ein Code eingegeben werden und es kann sich keiner durch einfaches klicken auf den Anmelde-Button sozusagen "codefrei" anonym durch mogeln. Übrigens kam dieser Tipp vom Entwickler persönlich - Hut ab & Vielen Dank!

Grüße

Kollisionskurs
aqui
aqui Oct 13, 2008 at 19:19:01 (UTC)
Goto Top
Danke fuer das Feedback !!!
Cartman316
Cartman316 Nov 14, 2008 at 22:08:43 (UTC)
Goto Top
Sehr feine Lösung. Ich glaug das ist genau das was ich gesucht habe.

Wie jemand hier schon erwähnt hat, könnte es doch ein wenig problematisch sein wenn man die Clients nicht isolieren kann. So können die User doch eigentlich auf beispielsweise Ordner zugreifen die ein anderer User freigegeben hat?

Sofern ich den entsprechenden Abschnitt der offiziellen Monowall-Anleitung richtig verstanden habe, werden Logs nur im RAM oder auf einem Syslog-Server gespeichert. Da steht nichts davon dass diese auch auf der Compact-Flash Karte gespeichert werden können. (?) http://doc.m0n0.ch/handbook/config-diagnostics.html#id11625276
Kollisionskurs
Kollisionskurs Nov 15, 2008 at 08:42:24 (UTC)
Goto Top
Das mit den Logs stimmt leider bzw. habe ich genauso verstanden. Logs werden bis zu max. 1000 Einträgen auf der Mono gespeichert - da ich im Hotel keinen PC habe der 24/7 läuft, kann ich das Log via Syslog vergessen. Verstehe sowieso nicht warum es noch keinen Dienst im www gibt der als Syslog-Server fungiert, quasi gegen eine gewisse Gebühr kann man diesen Dienst bei irgend einem Anbieter in Anspruch nehmen - aber das ist ein anderes Thema.

Das mit der Isolation stimmt - meine Meinung ist allerdings die das die Clients selber dafür sorgen müssen das ihre Umgebung sicher ist. Ich hab diesen Punkt auf der Captive Portal Page verewigt bzw. darauf aufmerksam gemacht (in den AGB's) - und bin somit abgesichert. Wenn Dir dieser Punkt wichtig ist kommst du um eine zusätzliche Firewall/Appliance mit Layer 2 Isolation nicht herum - korrigiert mich wenn das falsch ist.

Übrigens...vorgestern bemerkt:

Hab die aktuelle Beta auf der Mono - m0n0wall 1.3b15 - und wunderte mich bzw. ein Gast bekam vor ca. 5 Wochen einen Voucher mit welchem er sich für 4 Tage einloggte. Nach 2 Wochen kam er wieder und fand wieder seinen alten Zettel mit dem alten längst abgelaufenen Voucher im Gepäck. Und prompt loggte er sich wieder mit diesem ein - was ja eigentlich nicht gehen sollte. Beim Generieren der Voucher gab es wohl ein Problem bzw. wer so ein Verhalten auch feststellt kann es ganz leicht überprüfen in dem ein Backup der Einstellungen erzeugt wird. In der generierten XML muss unter dem Abschnitt mit der "problematischen" Voucher-Roll zwischen dem Tag <used> </used> eine Bitfolge zu sehen sein. Ist dies nicht der Fall müsst ihr diese Voucher Roll neu generieren - sonst wird ein abgelaufener Voucher nie als abgelaufen markiert. Die Entwickler wissen Bescheid....

@Cartman316: ansonsten schnurrt die Mono 1A und verrichtet einen super Dienst...genial ist auch das die Entwickler ständig bemüht sind die Mono zu verbessern bzw. Probleme zu beheben

Grüße

Kollisionskurs
Cartman316
Cartman316 Nov 15, 2008 at 10:56:11 (UTC)
Goto Top
Übrigens:
Ich hab gesehen Monowall bietet eine Wake on Lan Funktion. Kann ich den Monowall Rechner (Alix Mini Mainboard) über das Web Interface eigentlich auch herunterfahren?
tikayevent
tikayevent Nov 15, 2008 at 11:05:26 (UTC)
Goto Top
Nein, herunterfahren nicht, aber das ist auch nicht nötig. Stecker ziehen geht hier voll in Ordnung. Das Dateisystem ist im Normalzustand read-only eingebunden und wird nur bei Konfigurationsänderungen für einen kurzen Moment in einen beschreibbaren Modus gebracht.
Sprich eine Zeitschaltuhr tuts auch face-wink
Cartman316
Cartman316 Nov 15, 2008 at 11:15:55 (UTC)
Goto Top
Danke für die Antwort.

Gib es eine Möglichkeit den Monowall Rechner, von einem Windows Rechner im Netzwerk aus, sonst irgendwie herunterzufahren oder sonstwie auszuschalten?

Kann ich das WLan über das WebInterface deaktivieren?
Cartman316
Cartman316 Nov 16, 2008 at 08:50:15 (UTC)
Goto Top
Monowall auf nem Alix Miniboard scheint wirklich eine sehr feine Lösung zu sein.

Einige Details sind mir aber noch nicht ganz klar:

1. Ist es wirklich zu empfehlen den Alix Rechner mit einer MiniPCI-Wlan-Karte als Access Point zu benutzen? Ich hab dazu das hier gefunden: http://doc.m0n0.ch/handbook/faq-ap.html - Der Kommentar ist von 2004, aber wie siehts aktuell aus?

2. Wie siehts nun tatsächlich mit den Zugangs-Logs aus? Können die auf der Compact-Flash-Karte gespeichert und dann einfach auf einen anderen PC übertragen werden oder werden die lediglich im RAM abgelegt und gehen beim nächsten reboot verloren?

3. Alix Miniboards (2c1) lassen sich über passives POE versorgen. Kann ich das Board auch über dieses Gerät http://www.amazon.com/TRENDnet-TPE-111GI-Gigabit-Ethernet-Injector/dp/B ... versorgen?

4. Lässt sich das TinyBios auf den Alix Boards so konfigurieren dass sich das Board automatisch einschaltet sobald Strom anliegt (über POE)?


Wär super wenn jemand der ne Monowall, (und eventuell ein Alix Miniboard) nutzt mir kurz weiterhelfen könnte. Danke im Voraus.
Kollisionskurs
Kollisionskurs Nov 16, 2008 at 10:30:51 (UTC)
Goto Top
1.

Ich habe das ALIX Board 2C3 - eine NIC im WAN, die zweite im LAN und die dritte für die DMZ (Gästenetz). An der DMZ habe ich einen separaten AP (Linksys WAP54G-DE) angeschlossen, ich hielt das für die viel bessere Lösung weil du den AP flexibel und zentral positionieren kannst. Außerdem kostet dieses Teil nicht viel. = meine Variante, zur MiniPCI Lösung kann ich Dir leider keine Infos geben...

2 + 4

Müsste ich noch einmal genauer prüfen...aber ich gehe davon aus das die Logs weg sind...Sobald die Kiste an der Spannungsversorgung hängt fährt sie hoch, zumindest via Netzteil über POE müsste das gleich sein. Kannst du auf die teuere POE Variante nicht verzichten bzw. keine Steckdose in der Nähe??
Cartman316
Cartman316 Nov 16, 2008 at 10:48:10 (UTC)
Goto Top
Danke für die Antworten.

Ich hab bereits den angegebenen Trendnet PoE Injektor, also kostet mich der nichts.

Noch was anderes:
Ist es nicht auch ein wenig problematisch Gäste unverschlüsselt über WLAN ins Internet zu lassen? Oder gibts da - abgesehen von ner WLAN Verschlüsselung - noch ne andere Möglichkeit das irgendwie abzusichern?
tikayevent
tikayevent Nov 16, 2008 at 11:16:57 (UTC)
Goto Top
Problematisch ist es schon, aber nicht dein Problem. Wenn er über unverschlüsselte Verbindungen irgendwelche sensiblen Daten verschickt, ist er selbst schuld.

Du könntest das per VPN regeln, denn die m0n0wall unterstützt das Windows-Bord-VPN (PPTP mit MPPE), aber damit machst du die Benutzung wieder Gäste-Inkompatibel.
Cartman316
Cartman316 Nov 16, 2008 at 17:48:31 (UTC)
Goto Top
Okay Danke.

Dann werd ich das einfach in die AGBs schreiben.

Ist es eigentlich möglich einen, sich bereits in Benutzung befindenden Voucher, zu verlängern bzw. zu verkürzen?

Für den Falle eines kurzen Stromausfalles, müsste ich die Bootzeit des Alix 2c3 künstlich verlängern (auf etwa 2 Minuten) - also bis bis der Syslog-Server wieder aktiv ist. Das müsste doch auch irgenwie zu machen sein?
Cartman316
Cartman316 Nov 16, 2008 at 19:58:55 (UTC)
Goto Top
Zitat von @Cartman316:

Für den Falle eines kurzen Stromausfalles, müsste ich die
Bootzeit des Alix 2c3 künstlich verlängern (auf etwa 2
Minuten) - also bis bis der Syslog-Server wieder aktiv ist. Das
müsste doch auch irgenwie zu machen sein?

Ich werd das jetzt versuchen das so zu lösen dass der Syslog-Server beim starten die Alix Box per Wake on Lan weckt - damit er keine Logs "verpasst".

Dazu müsste ich jedoch die Alix Box so einstellen dass sie nach einem Stromausfall nicht automatisch hochfährt, dass sollte doch irgendwie einstellbar sein?
spacyfreak
spacyfreak Nov 17, 2008 at 06:10:05 (UTC)
Goto Top
Ja ich hab auch schon Bastellösungen implementiert - mit Cisco WLC hab ich jedenfalls die Erfahrung gemacht dass es hervorragend skaliert, auch über WAN Strecken hinweg mit dezentralen Controllern die via EoIP angebunden sind - und man ernsthaften Support erwarten kann.
Ich hab hier halt ein paar tausend User die nach WLAN hungern, da muss was etabliertes professionelles her.
Klar gibts viele Wege nach Rom - und jeder muss den Weg gehen der ihm am sinnvollsten erscheint, das hängt von vielen Randbedingungen ab was das sein könnte.

face-wink
kingkong
kingkong Nov 17, 2008 at 07:41:52 (UTC)
Goto Top
Spacyfreak, arbeitest du für CISCO?! Warum so teuer, wenn man die ganzen Zusatzfeatures der Profigeräte gar nicht braucht. Für die knapp 150 Euro für das ALIX-Board bekommt man auf jeden Fall eine zufriedenstellende Lösung - und der Mehrpreis von einigen 100 Euro rechnet sich überhaupt nicht, wenn man nur eine ganz einfache Authentifizierung braucht... Keine Frage: Für Unternehmen ist die WLC-Reihe auf jeden Fall eine Überlegung wert, aber hier würde mit WLC-Geräten mit Kanonen nach Spatzen geschossen!
aqui
aqui Nov 17, 2008 at 10:27:42 (UTC)
Goto Top
Wenn, dann würde man auch bei solchen Größenordnungen zu Meru Networks greifen die die grössten WLANs weltweit betreiben. Da spielt Cisco dann wiederum nur eine Bastelerrolle !!
Durch deren Single Channel Verfahren ihre Lösungen da klar im Vorteil zu denen von Cisco die nur zugekauftes Know How von Aironet nutzen und zudem auch noch preiswerter.

Wie immer im Leben kommt es also auf den richtigen Blickwinkel an.
Deshalb sollten hier auch besser nur technische Themen zu dem o.a. Tutorial diskutiert werden und keine politischen !!
Kollisionskurs
Kollisionskurs Nov 17, 2008 at 11:21:11 (UTC)
Goto Top
@ aqui

so sehe ich das auch...warum überlegt man sich mittels Mono eine schlanke und vernünftige Lösung aufzusetzen??...um danach im dicken und teuren Cisco Katalog nach einer kommerziellen Lösung zu wälzen?

@ Cartman

zur Not müsstest du über externe Komponenten bzw. über ein Relais zu einer bestimmten Zeit (wenn dein syslog wieder auf den Beinen steht) deine ALIX einschalten:

http://www.bellequip.at/hw-group/ip_relay/ip_relay.htm = nur ein Beispiel

was anderes fällt mir nicht dazu ein - ob das gebastelt ist oder nicht, darüber lässt sich streiten...mit so einem Teil kannst z.Bsp. auch IP-Kameras ein/ausschalten
spacyfreak
spacyfreak Nov 17, 2008 at 18:45:05 (UTC)
Goto Top
Yo - doch was der "richtige" Blickwinkel ist hängt vom Einzelfall ab.
Ich bin bei Gott kein "Cisco"-Fan, und es gibt andere Hersteller die auch schöne Töchter haben - keine Frage.
Ich kann jedoch nur von meinen Erfahrungen berichten, und die Cisco WLC Lösung für WLAN im Enterprise Umfeld uneingeschränkt empfehlen.
Die ganzen Features die angeboten werden muss ich auch nutzen - ausgereiftes Reporting, Logging, Alarme, Syslog, Gast-User Verwaltung, Administrative Delegation...

Obs nun politisch ist weiss ich nicht - von mir aus kann der Hersteller auch "Dildo" heissen, wenn er etabliert ist am Markt und die Produkte funktionieren muss das nicht unbedingt Cisco sein.

Nur muss es wohl Gründe geben warum Cisco so verbreitet ist - wir haben im Corebereich auch schon auf andere Pferde gesetzt und sind bös auf die Schnauze gefallen.
Doch das ist wieder ein anders Thema.
Cartman316
Cartman316 Nov 18, 2008 at 19:08:12 (UTC)
Goto Top
Ist es eigentlich möglich sonen Alix Minirechner auch blos als Syslog-Server zu benutzen? Vom Energieverbrauch her wäre das ne feine Lösung.
aqui
aqui Nov 18, 2008 at 21:17:49 (UTC)
Goto Top
Ja klar, da kannst du ein embedded Linux drauf laufen lassen das einen Syslog gleich mit an Bord hat...das ist kein Problem.
Einfach mal Dr. Google nach Alix + Linux befragen face-wink
FreeBSD geht natürlich auch, hat auch nen Syslog Server an Bord !
Cartman316
Cartman316 Nov 18, 2008 at 21:26:31 (UTC)
Goto Top
Zitat von @aqui:
Ja klar, da kannst du ein embedded Linux drauf laufen lassen das einen
Syslog gleich mit an Bord hat...das ist kein Problem.
Einfach mal Dr. Google nach Alix + Linux befragen face-wink
FreeBSD geht natürlich auch, hat auch nen Syslog Server an Bord
!



Danke für die Info.

Ich bin ziemlicher Linux/Unix Newbie... Es ist aber nicht möglich dass Monowall die Syslogs an den den FreeBSD Syslog Server des eigenen Rechners schickt?
aqui
aqui Nov 18, 2008 at 21:42:08 (UTC)
Goto Top
Ja klar das geht natürlich auch vollkommen problemlos !
Dazu gehst du im M0n0wall Menü unter Diagnostics -> Logs und hier oben ganz rechts auf den Karteireiter "Settings" !

Unten unter Remote Syslog Server gibst du die IP deines Syslog Rechners ein und klickst an was für Syslog Messages du sehen willst.
Einen freien Windows Syslog Server findest du hier:

http://www.kiwisyslog.com/kiwi-syslog-daemon-overview/

Linux und FreeBSD bzw. Unix allgemein hat sowas (wie immer) von sich aus schon an Bord !
Cartman316
Cartman316 Nov 18, 2008 at 21:57:42 (UTC)
Goto Top
Zitat von @aqui:
Ja klar das geht natürlich auch vollkommen problemlos !
Dazu gehst du im M0n0wall Menü unter Diagnostics -> Logs und
hier oben ganz rechts auf den Karteireiter "Settings" !

Unten unter Remote Syslog Server gibst du die IP deines Syslog
Rechners ein und klickst an was für Syslog Messages du sehen
willst.
Einen freien Windows Syslog Server findest du hier:

http://www.kiwisyslog.com/kiwi-syslog-daemon-overview/

Linux und FreeBSD bzw. Unix allgemein hat sowas (wie immer) von sich
aus schon an Bord !


Eigentlich meinte ich sozusagen die Sendung der Syslogs an den localhost wo der Syslog-Server von FreeBSD die Logs dann auf die Compact Flash Karte speichert. Also praktisch alles auf dem selben Alix-Rechner: Monowall und Syslog Server, wäre das so irgendwie realisierbar?
aqui
aqui Nov 19, 2008 at 10:42:15 (UTC)
Goto Top
So ohne weiteres nicht. Ggf. solltest du mal im M0n0wall Forum sehen ob es da eine Lösung für gibt oder da nachfragen.
Vermutlich aber (..wie immer bei Unix) kann man das customizen !
Cartman316
Cartman316 Nov 27, 2008 at 22:15:42 (UTC)
Goto Top
So hab die Lösung mit Monowall auf dem Alix Board jetzt laufen und bin bis jetzt 1a zufrieden - danke vor allem an aqui.

Um das Hotspot-Projekt jetzt zu vollenden, fehlt mir noch ein Syslog-Server (auch hier in Italien müssen Zugangszeiten genau geloggt werden).
Ich hab gehört das soll über ein weiteres Alix Board mit FreeBSD gelöst werden können. Leider bin ich absoluter Linux-Newbie.

Vielleicht kann mir jemand bei folgenden Fragen ein wenig weiterhelfen:
1. Kann ich FreeBSD auf die selbe Weise auf die Compact Flash Karte speichern wie Monowall (über physiswrite unter Windows) ?
2. Wie kann ich den FreeBSD Syslog Server konfigurieren? Ist das so wie bei der Monowall über Netzwerk oder über einen WebGui möglich? Über einen Monitoranschluss verfügt das Alix-Board ja nicht.

Danke im Voraus und Grüße.
aqui
aqui Nov 28, 2008 at 16:52:18 (UTC)
Goto Top
Um nicht direkt an der Applikation zu frickeln solltest du einen externen Syslog Server laufen lassen.
Vermutlich ist das am stressfreiesten.
Ein Unix Derivat bietet sich da. Ob du FreeBSD oder Lunix nimmst ist eigentlich ehal, denn beide haben einen Syslog Server an Bord.
Wenn du den Syslog Server mit einem Filter customized kannst du dir allein rein die Login Daten in eine Textdatei laufen lassen.
Kauf dir eine kleine EEE Box:

http://www.alternate.de/html/product/PC-Systeme_Komplettsysteme_Desktop ...
http://www.alternate.de/html/product/PC-Systeme_Komplettsysteme_Desktop ...

Die ist klein und fällt nicht auf und reicht vollkommen dafür.
Mit einem entsprechenden Sylog GUI kannst du die Daten dann auch grafisch abfragen: z.B.
http://www.vermeer.org/projects/php-syslog-ng
Cartman316
Cartman316 Nov 30, 2008 at 12:08:56 (UTC)
Goto Top
Wäre es aber preislich nicht um einiges günstiger ein weiteres Alix-Board mit FreeBSD paralell zur Monowall als Syslog-Server laufen zu lassen? Das Würde alles in allem so in etwa die Hälfte kosten wie eine EEE Box. Ich hab gesehen ist gibt ja sogar ein Alix Board mit VGA Anschluss für etwa 110.- Euro.

Ich hoffe ich find für FreeBSD ne SyslogServer-Soft welche in etwa den Funktionsumfang von Kiwi liefert.
aqui
aqui Dec 01, 2008 at 08:30:40 (UTC)
Goto Top
FreeBSD ist Unix, da ist ein Syslog Server (wie bei allen Unixes) per se immer gleich mit an Bord !!! Da musst du nichts suchen und auch nichts zusätzlich installieren...
tikayevent
tikayevent Dec 01, 2008 at 09:48:07 (UTC)
Goto Top
Man könnte den Syslog-Server auch einfach in m0n0wall einbauen, die gesamten Quelltexte sind ja frei verfügbar und irgendwo findet sich eine Anleitung, wie man sein eigenes m0n0wall-Image basteln kann.

Problem ist dann, dass man bei jeder neuen Version ein eigenes Image bauen muss.
Cartman316
Cartman316 Dec 01, 2008 at 15:07:57 (UTC)
Goto Top
Das wäre sicher die beste Lösung von allen. Leider fehlen mir aber die nötigen Kenntnisse für so etwas.
raini08
raini08 Dec 01, 2008 at 21:36:00 (UTC)
Goto Top
Hallo zusammen,

erstmal ein dickes Danke an alle fleißigen Schreiber die dieses Thema unermüdlich auftrecht erhalten und so gut wie möglich Hilfestellung geben!

Soll dieses System bei einem Freund im Hotel incl. WLan und Freigabe über Captive Portal ermöglichen, was mir bei meinem privaten Netzwerk gelungen ist.

Leider bin ich zu diesem Thema ein blutiger Anfänger.

1. Gibt es schon eine Möglichkeit in Sachen "Daten loggen" - Internetaktivitäten aller Gäste ..... IP Adresse Gast, besuchte Seiten....
2. Url Filter

Absicherung für den Hotelier (Berichtspflichten/ Speicherungspflichten für Daten (§ 113a TKG, Vorratsdatenspeicherung).

Vielen Dank!

Gruß Raini08
aqui
aqui Dec 03, 2008, updated at Oct 18, 2012 at 16:36:37 (UTC)
Goto Top
Zu 1.)
Ja, über das CP Log in der Appliance kannst du das alles mitverfolgen.

Zu 2.)
Das ist nur bedingt möglich

Was die Absicherung anbetrifft bist du mit der Appliance voll abgesichert.
Siehe Kommentar von tikayevent:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Für eine Vollkontrolle mit kompletter Filterung musst du einen Proxy darorstellen wie z.B. einen Squid Cache:
http://www.squid-handbuch.de/hb/
bzw.
http://www.proesdorf.de/linux/squid_conf.php

Normalerweise ist es aber nicht sinnvoll freie Benutzer so disziplinieren zu wollen...
raini08
raini08 Dec 03, 2008 at 12:14:33 (UTC)
Goto Top
Hallo aqui,

danke für die schnelle Antwort.

Zu 1.) Aber bei einem Stromausfall bzw. Neustart der Monowall wären doch alle Daten futscht !?

Zitat: Normalerweise ist es aber nicht sinnvoll freie Benutzer so disziplinieren zu wollen...
Da geb ich dir vollkommen Recht. Die User sollen freie Nutzung des I-Netz haben, dennoch finde ich ist es eine riesengroße Gefahr für meinen Freund (Hotel).
Vielleicht seh ich das zu ernst!?

Sollte man jetzt wirklich einen Proxy / Squid aufsetzten wo müste der genau plaziert werden?
  • DSL - Squid - Monowall -
oder
  • DSL - Monowall - Sqid

Danke!

Gruß Raini08
noexen
noexen Dec 03, 2008 at 13:10:06 (UTC)
Goto Top
super anleitung, danke. ich hab aber mal eine frage zur generellen funktion der sache...

WAS GENAU PASSIERT DENN DA NUN DURCH DIE AUTHENTIFIZIERUNG?

ich hab schon das halbe internet abgegrast aber nicht gefunden welche funktion da eigentlich gegeben ist...

wird da via firewall ein port (80) freigeschaltet für den benutzer (dessen ip?), oder DNS oder wird der traffic (welcher?) zum nächsten gateway weitergeleitet... das ist mir alles völlig unklar. wie funktiniert denn diese sache überhaupt? ich wäre wirklich dankbar wenn mir das jemand erklären könnte...

mfg.
aqui
aqui Dec 03, 2008 at 13:12:41 (UTC)
Goto Top
Ersteres wäre die richtige Variante !

Zu Punkt 1.) hast du Recht. Wenn du aber so oder so unbedingt meinst einen Proxy laufen zu lassen, kannst du auf diesem einen Syslog Server installieren und die Benutzer Daten dorthin schreiben. Dann sind sie vor einem Ausfall sicher !
Die letzten Threads von Cartman hier behandeln das Thema !

Eine riesen Gefahr ist es nicht wenn du im CP Window ganz klar den Benutzern die rechtlichen Konsequenzen aufzeigst und sie darauf hinweist das Verbindungsdaten mitgeschrieben werden...
Kollisionskurs
Kollisionskurs Dec 03, 2008 at 14:58:52 (UTC)
Goto Top
Eine riesen Gefahr ist es nicht wenn du im CP Window ganz klar den
Benutzern die rechtlichen Konsequenzen aufzeigst und sie darauf
hinweist das Verbindungsdaten mitgeschrieben werden...

diese selbst gezimmerten AGB's (nach diversen Vorlagen) stehen auf meiner Monowall Captive Portal Anmeldung bzw. vielleicht dienen diese dem ein oder anderen als Vorlage. Für Verbesserungsvorschläge bin ich natürlich ebenfalls dankbar.

ins HTML File kopieren & anschließend "XYZ" über Suchen/Ersetzen mit dem korrekten Hotelnamen etc. tauschen...fertig


Allgemeine Geschäftsbedingungen (AGB) für
Hotel XYZ - HotSpot Dienstleistungen (WLAN & LAN)
Stand 01.01.2007

Beachten Sie bitte das jeglicher Verkehr über dieses Portal unverschlüsselt übertragen wird!

1. Vertragsgegenstand
Hotel XYZ HotSpot vermittelt dem Kunden den mobilen Zugang zum Internet unter Verwendung verschiedener geeigneter Endgeräte (Notebook, PDA, usw.) - Dem Kunden wird die Inanspruchnahme von Hotel XYZ HotSpot-Dienstleistungen (drahtlos und kabelgebunden) gemäß den nachfolgenden Bedingungen ermöglicht.

2. Zustandekommen des Vertrages
Der Vertrag über den Hotel XYZ HotSpot-Dienst kommt durch automatische Einräumung der Nutzungsmöglichkeit zustande, sobald der Kunde sich auf dem hauseigenen Webportal erfolgreich authentifiziert hat bzw. alle Internet spezifischen Dienste werden erst nach dem Eintragen des explizit für den Kunden generierten Zugangscodes (Voucher = Einmalcode) frei geschalten.

3. Nutzungsvoraussetzung Mitwirkungspflichten des Kunden / System- und Installationsvoraussetzungen
Zur Nutzung des Hotel XYZ HotSpot-Dienstes muss der Kunde selbst die erforderlichen Hard- und Softwareeinrichtungen bereitstellen, die er für die Verbindung zum Internet braucht (Notebook mit WLAN oder LAN Anbindung, PDA etc.).

4. Leistungsumfang
Hotel XYZ HotSpot erbringt ihre Leistungen unter Beachtung des Fernmeldegeheimnisses. Von Dritten übertragener Inhalt ist nicht Gegenstand der Leistung von Hotel XYZ HotSpot und wird von Hotel XYZ HotSpot nicht überprüft. Dies gilt auch im Hinblick darauf, ob der Inhalt schaden stiftende Software (z. B. Viren) enthält oder gegen Rechte Dritter verstößt.

5. Verfügbarkeit
Der Dienst Hotel XYZ HotSpot wird im Rahmen der bestehenden technischen und betrieblichen Möglichkeiten angeboten. Störungen oder Ausfallzeiten werden so schnell wie möglich behoben.

6.Verpflichtungen und Obliegenheiten des Kunden
6.1 Der Kunde hat seine eigenen Daten regelmäßig zu sichern, um sich vor Datenverlust zu schützen.
6.2. Der nach Anmeldung generierte Datenverkehr zwischen dem Endgerät des Nutzers und dem Hotel XYZ HotSpot wird unverschlüsselt übertragen. Daten der zwischen dem Kunden-Endgerät und dem Hotel XYZ HotSpot aufgebauten Verbindung können möglicherweise von Dritten eingesehen werden.- Eine Sicherung des Datenverkehres innerhalb der WLAN/LAN Versorgung kann erst durch Nutzung einer speziellen Sicherungssoftware durch den Nutzer erfolgen.
6.3. Der Kunde verpflichtet sich darüber hinaus, den Zugang zum Hotel XYZ HotSpot-Dienst selbst weder zur Verbreitung noch zum Abruf rechts- und sittenwidriger Informationen im Internet noch anderweitig missbräuchlich zu nutzen, insbesondere:
- Für die Einhaltung der gesetzlichen Bestimmungen, insbesondere auch der Vorschriften zum Schutze der Jugend zu sorgen und nationale und internationale Urheberrechte zu beachten; - keine belästigenden, verleumderischen, die Privatsphäre anderer verletzenden, missbräuchlichen, bedrohlichen, schädigenden, unerlaubten oder anderweitig rechtswidrige oder sittenwidrige Inhalte auf den Hotel XYZ HotSpot-Servern, insbesondere WWW-Server, shared anonymous FTP-Server (File Transfer Protocol) und E-Mail-Server, zu speichern bzw. speichern zu lassen oder auf solche Inhalte hinzuweisen; - keine Inhalte bereitzustellen oder auf solche hinzuweisen, die das Ansehen von Hotel XYZ HotSpot schädigen können;- keine Viren, "trojanischen Pferde", "Junk-Mails", "Spams" oder nicht angeforderte E-Mail- Massensendungen anzubieten, zu übertragen oder zu deren Übersendung aufzufordern; - keine Einrichtungen zu benutzen oder Anwendungen auszuführen, die zu Störungen / Veränderungen an der physikalischen oder logischen Struktur der Hotel XYZ HotSpot-Server, des Hotel XYZ HotSpot-Netzes oder anderer Netze führen oder führen können;- keine Filesharing-Dienste zu nutzen oder zu betreiben; - Hotel XYZ HotSpot-Daten ausschließlich unter Nutzung der gängigen Standards der Protokollfamilie TCP/IP zu übermitteln.

7. Haftungsfreistellung von Hotel XYZ HotSpot durch den Kunden
7.1 Der Kunde verpflichtet sich, Hotel XYZ HotSpot von sämtlichen Ansprüchen Dritter freizustellen, die sich aus einem Verstoß gegen die in Ziffer 6.2 genannten Verpflichtungen des Kunden ergeben.
7.2 Der Kunde ist für seine im Internet bereitgehaltenen eigenen oder fremden Inhalte im Verhältnis zu Hotel XYZ HotSpot voll verantwortlich. Er verpflichtet sich auch insoweit, Hotel XYZ HotSpot von sämtlichen Ansprüchen Dritter freizustellen.
7.3 Verstößt der Kunde gegen die Pflichten gemäß Ziffer 6.3, ist Hotel XYZ HotSpot berechtigt, alle erforderlichen Maßnahmen zur Beseitigung des Missbrauchs zu ergreifen. Hotel XYZ HotSpot ist insbesondere befugt, die Zugangsberechtigung des Kunden für WLAN/LAN-Dienste mit sofortiger Wirkung zu sperren und/oder die den Verstoß begründenden Inhalte und Daten von ihren Servern und Systemen zu löschen. Bei schuldhafter Pflichtverletzung haftet der Kunde gegenüber Hotel XYZ HotSpot auf Schadenersatz.

8. Nutzung von Daten
8.1 Hotel XYZ HotSpot speichert vorbehaltlich Verbindungsdaten zu Beweiszwecken.

9. Sonstige Bestimmungen
9.1 Mündliche Nebenabreden bestehen nicht.
9.2. Es gilt deutsches Recht.
9.3. Es gelten ausschließlich die Hotel XYZ HotSpot Geschäftsbedingungen.

Hotel XYZ
Inhaber: Pille Palle
Pille Palle 3
77777 St. Hausen
Tel. xxxxx
Fax xxxxx
Umsatzsteuer ID: DE xxxx/xxxx


Gruß

Kollisionskurs
raini08
raini08 Dec 11, 2008 at 06:13:48 (UTC)
Goto Top
Hallo zusammen,

hab mich die letzten Tage mit der Thematik Proxy Server auseinander gesetzt. Nach 2 Tagen nun endlich den Proxy am laufen.

Erstmal paar Punkte zu meinem Netzwerk.

  • DSL Router - DHCP aktiviert (IP Router 192.168.0.2 Sub 255.255.255.0)
  • Linux PC als Proxy (Squid) 2 Nics
- eth0 mit DHCP
- eth1 mit fester ip (10.0.0.1 Sub 255.255.255.0)
IP-Forward aktiviert
  • Client (Laptop) mit fester IP 10.0.0.3 Sub 255.255.255.0

So wie es im mom. ist läuft auch alles ;)

Aber......., nun soll ja noch die Monowall nach dem Proxy kommen.

  • DSL - Proxy - Monowall

Das Monowall Netzwerk ist ausgehend auf die 10.0.0.3 Sub 255.255.255.0 gesetzt.
Monowall sollte eth0 soll 10.0.0.2 werden.
eth1 DHCP Bereich z.b. 10.0.0.50 - 10.0.0.100

1. Wie setzte ich die Monowall eingehend auf 10.0.0.2
1. Wie bringe ich der Mono bei mit dem Proxy zu kommunizieren und natürlich umgekeht???
2. Möchte dann den Proxy noch Transparent setzen. Um den Gästen das einstellen im Explorer zu ersparen.
3. Clients dann mit DHCP

Kein Ping zwischen den beiden möglich!

Vielen Dank im vorraus.

Gruß Raini08
aqui
aqui Dec 11, 2008 at 13:42:18 (UTC)
Goto Top
Erstmal vorweg:
Die M0n0wall redet nicht mit dem Proxy für die Monowall ist der proxy ein ganz normales Endgerät.
Proxy ist nur was zwischen Endgerät und eben Proxy....
Wichtig ist nur das du für die MAC Adresse oder IP Adresse des Proxys im Captive Portal der M0n0wall einen Ausnahme erzeugst, damit der Proxy natürlich ohne CP durch die M0n0wall komm !!! Logisch....

Nun zu deinen Einstellungen:
1.) Die neue M0n0wall IP Adresse 10.0.0.2 /24 stellst du gleich direkt an der Konsole ein oder über das Webinterface. Das ist ja die einfachste aller Übungen !!
Denk dran wenn du letzteres machst sägst du dir den Konfig Ast selber ab auf dem du sitzt und verlierst die Verbindung zum Konfig PC der ja noch im alten M0nowall IP Netz arbeitet also satisch umstellen, dann klappts wieder !
Hier auch entsprechen den DHCP Server mit deiner Range aktivieren !!
2.) Nun Proxy in das Segment hängen, dessen IP ausserhalb der M0n0wall DHCP Range einstellen und die M0n0wall als Gateway einstellen. (Z.B.: 10.0.0.254 /24)

Fertig bist du ! Das solltest du jetzt wasserdicht testen auch die transparente Einstellung bevor du das CP auf der M0n0wall aktivierst (also erst OHNE CP laufen lassen !)
Erst wenn Client und transparenter Proxy sauber laufen dann das CP aktivieren und hier unbedingt zuerst eine Ausnahme für den Proxy einstellen und austesten. Internetzugang direkt vom Proxy muss nun ohne CP Popup laufen...

Der Rest ist dann Konfiguration wie oben im Tutorial beschrieben !!
raini08
raini08 Dec 11, 2008 at 20:28:23 (UTC)
Goto Top
Hallo aqui,

danke für die schnelle Antwort.

Wäre nett, wenn du die einzelnen Schritte für einen nicht so versierten Benutzer wie ich es bin erklären würdest (step by step) Momentan hab ich keinen Plan mehr face-sad
Denke, der eine oder andere wäre dir sehr dankbar.

Vielen Dank!!!

Gruß Raini08
raini08
raini08 Dec 14, 2008 at 14:09:48 (UTC)
Goto Top
Nachtrag:

Hab nun derzeitige Konfiguration.

  • DSL - SQUID - Client Rechner

DSL - Router IP 192.168.0.2)

SQUID eth0 DHCP via Router / eth1 statische IP 10.0.0.1 + DHCP Server (beschränkt auf 10.0.0.2)

Client via DHCP

SQUID läuft im Transparenten Modus einwandfrei auf meinen Client Rechner.

Jetzt kommt der Punkt wo die Monowall mit eingebaut werden soll.
Die Monowall holt sich doch normalerweise die IP via Router. Bei meinem Fall müsste sie anstatt meines
Clienten dann die IP 10.0.0.2 automatisch bekommen - oder !? Monowall ausgehend hab ich jetzt auf 10.0.0.3.
DHCP Bereich Monowall 10.0.0.50-10.0.0.100

Nur wo hinterlege ich in der Monowall den Squid oder hab ich jetzt komplett einen Denkfehler?!

Gruß Raini08
andihbm
andihbm Dec 16, 2008 at 00:28:43 (UTC)
Goto Top
Hallo, erstmal
ich lese aus gegebenem Anlaß mindestens zum 3ten Mal diesen Fred komplett durch und bin relativ unschlüssig, was ich machen soll:

Ich würde für ein kleines Hotel gerne eine Lösung über ein Alix-Board aufsetzen, was allerdings die Sache mit der Vorratsdatenspeicherung (6 Monate) voraussetzt.

wo ich immer noch nicht schlau geworden bin:
könnte ich über einen angeschlossenen PC z.B. 1 mal täglich das Logfile runterziehen und wegspeichern?
oder muss dazu 24/7 ein Syslog laufen, was wiederum einen zusätzlichen Rechner voraussetzt - und warum sollte ich dann überhaupt noch das Alix-Teil verwenden, wenn das ganze dann auch auf diesem Rechner laufen könnte?

die für mich komfortabelste Lösung wäre natürlich direkt aus der m0n0wall auf einen angeschlossen USB-Stick oder eine zusätzliche Speicherkarte zu sichern, doch das wird mir wohl nicht gegönnt sein

also, was soll ich jetzt machen?
wie schaut für Euch die beste Lösung aus?

ich danke Euch schon mal für die vielen kreativen Antworten face-wink
Gruß Andi
aqui
aqui Dec 17, 2008 at 10:53:21 (UTC)
Goto Top
Ja entweder stellst du eine kleine EEE PC Box mit auf und capturest das Syslog mit was am einfachsten ist oder du lässt das CP gleich auf so einem EEE PC oder was auch immer laufen.
Die Lösung mit den 2 Rechneren ist aber nicht verkehrt, da du so das Log immer 2 mal hast und einem Datenverlust vorbeugst.
So teuer ist eine EEE PC Box mit Linux oder Winblows nun auch wieder nicht....
uwcken
uwcken Jan 22, 2009 at 02:29:23 (UTC)
Goto Top
Hallo liebe Admins!

Ich hoffe ihr könnt mir hier weiterhelfen:

Wir setzen zur Zeit einen anderen kostenlosen Hotspot in unserem Hotel ein. Da ich als Sohn den ganzen Kram administriere muss ich natürlich auch die Voucher erstellen. Generell verkaufen wir nur Tagesvoucher, die auf gedruckten ausgeschnittenen DIN A4 Papier richtig schlecht aussehen (aber es funktioniert, DDWRT Lösung). Visitenkarten Papier ist umständlich muss extra angeschafft werden und kostet. Außerdem bin ich generell nie da wenn Voucher neu erzeugt werden müssen ;).

Zudem bevorzuge ich die eierlegende Wollmilchsau (ich bin auch bereit dafür was zu tun)

Ein Voucher Printer (Knopf drücken Ticket fährt aus auf Hardware Ebene) wurde ja schon im Internet diskutiert und nach meinem Empfinden abgelehnt (zu kompliziert/Treiber Anbindung an Monowall zu schwierig wegen verschiedener Druckermodelle u.ähn.).

Remote Tickets erzeugen funktioniert scheinbar schon durch einen Operator Zugang der nur Tickets erstellen darf (Keine Konfig. Möglichkeiten) -> Webinterface mit Login, für meine Begriffe und unsere Angestellen zu Anwender unfreundlich

Ich würde gerne auf die Monowall setzen, würde aber gerne Eure Meinung zu diesen Themen einholen und evtl. beide Projekte vorantreiben:

1)
Ticket Printer auf Anwendungsbasis als z.B. Java GUI auf einem Rezeptionscomputer. Diese greift auf die Voucherdatenbank/File (wie ist dies implementiert?) zu und kann Voucher einfügen. Natürlich kann man aus dieser GUI direkt Voucher auf den Lokal angeschlossenen Drucker z.B. Epson TM 80 (Thermodruck) drucken der diese gleich schön abschneidet.

2)
Kostenpflichtige Hotspots bieten Schnittstellen zu Hotelsoftware. Wie bei 1) stellt sich die Frage wie Voucher gespeichert werden und man diese einfügen kann. Mit einem kleinem Programm könnte man dann z.B. vollautoamtisch von jedem Hotelgast der angereist ist den Namen, Zimmernr und Abreisedatum als Voucher Code Meyer_120_23012009 übertragen. Durch eine Info auf der Captive Portal Startseite könnte Herr Meyer seinen Code zusammen puzzeln und sich einloggen (Diese Methode ist durchaus üblich in Hotels!!). Wenn Uwe Meyer diesen Code nutzt muss das Schnittstellenprogramm die zugehörigen Log Einträge auslesen können (ich glaube wird als syslog protokolliert oder) und dies an die Schnittstellensoftware übermitteln. Diese gibt es dann weiter an die Hotelsoftware die den Artikel WLan verbucht.

Was meint ihr dazu? Würde Euch sowas auch Nutzen bringen? Steigert dies den Wert für die Allgemeinheit?

Bitte bedenkt, dass wir als Privathotel mit 60 Zimmern für groß zu klein und für klein zu groß sind. Eine 3000 EUR Hotspot Lösung die das kann ist uns einfach 6x zu teuer (+ 1500 EUR für eine Schnittstelle extra zur Hotelsoftware).

LG

uwcken
kingkong
kingkong Jan 22, 2009 at 20:25:23 (UTC)
Goto Top
An einer Java-Applikation wäre ich auch sehr interessiert! Wir haben in unserer Firma öfters öffentliche Veranstaltungen, wo die Gäste dann auch ins Internet müssen und eine Zuordnung von Voucher zu Gast geht leider bisher nur "manuell". Die Rezeption sollte mit der Applikation also, damit es mir was bringt, die Voucher selbsttätig erstellen können, und außerdem sollte eine Datenbank gepflegt werden, die die Kombinationen automatisch speichert.
uwcken
uwcken Jan 22, 2009 at 20:56:40 (UTC)
Goto Top
Dann sind wir ja schon mal 2! face-smile

Du bräuchtest quasi keine zufällige generierte Erstellung (z.B. Kt74hs3jJH) für den Voucher, sondern einen expliziten Namen z.B. (GMeyer). Wäre auf der GUI ja nur ein Hacken (z.B. nicht generieren, manuell festlegen).

Im Moment habe ich noch Klausurzeit. Mitte Februar werde ich mal mit der Analyse starten.
ente
ente Jan 22, 2009 at 21:04:31 (UTC)
Goto Top
--- ich habs gelöscht --- ich wollte nur meine Gedanken äußern ... und niemanden "auf den Schlips treten" ...

Gruß Heiko
uwcken
uwcken Jan 22, 2009 at 21:21:39 (UTC)
Goto Top
Hallo Heiko,

das ist jedem selbst überlassen wie er es implementiert (kostenlos oder paid).

Der Gast benötigt bei 2) keine Abrechnungshardware/Software. Es soll Softwaretechnisch bloß dafür gesorgt werden, dass der Voucher in der Datenbank vom Mono vorhanden ist, sobald der Gast in der Hotelsoftware eingecheckt wurde.

Um gerade Provisionen etc. zu vermeiden bietet sich die Monowall ja an. Das System von dem ich geredet habe ist Provisionsfrei. Provisionssysteme sind oft mit gemieteter Hardware verbunden.

Wenn man Gästen das WLan kostenlos anbieten wlll, kann man Ihnen auch kostenlos die Voucher geben. Einfach generieren und in die Schublade legen. Das kann die mono out of the box. Das Problem ist hier das man erst csv Files exportieren muss mit den Codes und diese dann mit Word als Serienbrief auf dem Epson Thermodrucker drucken muss damit man schöne Voucher hat.

Mit 1) kann man direkt auf dem Rezeptionscomputer das Java Programm starten und Voucher erzeugen die gleichzeitig gedruckt und in die mono eingetragen werden.

gruß

uwcken
rs----
rs---- Jan 22, 2009 at 21:22:54 (UTC)
Goto Top
Hallo Freunde der m0n0,

ich muss mich wirklich zusammenreissen ABER: dieser Thread war und wird hoffentlich der Beste über Thema m0n0 & Captive Portal sein. Warum muss dann jemand der scheinbar nur 3 Posts gelesen hat seinen unnötigen senf dazugeben, zudem dieser auch noch völlig ohne jeglichen Hintergrund falsch erscheint. Bitte liebe Moderatoren löscht Ente´s Post. Ente lies, lies, lies dir bitte alles durch oder schweige. In Bezug auf "echte" kommerzielle Anbieter scheinst du in etwa Recht zu haben. Aber für Hotels ist das:
a) eine Möglichkeit die Anschaffungskosten und die von gesetzeswegen notwendige VDS umzulegen. Das halte ich für völlig legitim.
b) können dadurch die entfallenden Einnahmen für die Festnetztelefonie wieder eingeholt werden da heutzutage ja jeder ein Handy hat
Und Ente : wenn man keine Ahnung hat einfach mal die ***se halten.

@aqui vielen Dank ! Eine tolle Beschreibung für eine tolle Entwicklung. Ich bin dafür einen öffentlichen deutschen MonoAnwenderClub zugründen und ein eigenes Forum / Chat im IRC/Skype zu erstellen.

@ alle anderen
Danke auch an euch für die tollen Anregungen

Schönen abend
RS
uwcken
uwcken Jan 22, 2009 at 21:56:29 (UTC)
Goto Top
Ich kann RS nur zustimmen. Ein Telefon ist ein muss in einem Hotelzimmer, aber keiner nutzt es. Die Anschaffungskosten für so eine Anlage sind imens und auch ein 3* NTBA Anlagenanschluss kostet mit DSL und Telefonflatrate (4000min pro NTBA) gerade knapp 170 EUR im Monat.

Gibt es bei der VDS eigentlich eine Rückschlussmöglichkeit auf die Person? Man müsste ja zu jedem Voucher den Namen notieren....?!?

Die Beschreibung ist übrigens wirklich sehr gut und hilft auch Einsteigern einen Hotspot zu ermöglichen.
cyph75
cyph75 Jan 24, 2009 at 18:41:25 (UTC)
Goto Top
Hallo zusammen,

nach langem suchen bin ich auf dieses Forum gestoßen und bin wirklich begeistert!
An dieser Stelle Vielen Dank an den Thread Schreiber Aqui für diese ausführliche Anleitung.

Die Installation war in 30min. erledigt. Folgendes Zenario steht momentan im Keller und soll diese Woche im Geschäft eingebaut werden.

Internet | Router | Geschäftsnetz | Monowall | Gastnetz

Router 192.168.0.1/24
Geschäftsnetzwerk im DHCP Bereich 192.168.0.50/24 - 192.168.0.100/24

Monowall / Captive Portal 192.168.1.1/24

Gastnetz im DHCP Bereich 192.168.1.100/24 - 192.168.1.200/24

Ich möchte nun zur Absicherung einen Syslog Server integrieren. Mus dieser im Geschäftsnetz oder im Gastnetz eingebunden werden!?

Was mir derzeitig noch Kopfschmerzen bereitet ist die Thematik mit der Firewall. Mittlerweile funktioniert der Zugriff aus dem WAN(Geschäftsnetz) auf die Monowall.
Ich möchte nun im Gastnetz einen Laptop (fester IP) mit LAN betreiben, dieser soll in der Firewall so konfiguriert werden das dieser Zugriff auf das Geschäftsnetz bekommt.
Hilfe evtl. genaue Einstellung hierfür wäre nett.

Schönen Abend noch!

cyph75
kingkong
kingkong Jan 25, 2009 at 07:36:34 (UTC)
Goto Top
Du musst dir überlegen, was der Laptop alles dürfen soll. Falls du sagst, er soll Zugriff auf alles haben (also Netzwerkfreigaben genauso wie FTP, interne Webserver, etc), dann musst du in der Firewall fürs CaptivePortal eben die IP des Laptops freigeben. Destination ist dann dein LAN, und erlaubt sind alle Ports. Und diese Regel muss dann auch über der "Ins LAN alles verbieten"-Regel stehen, damit sie vorher verarbeitet wird! Allerdings müsstest du dann entweder im CaptivePortal die MAC bzw. IP deines Laptops freigeben für den dauerhaften Zugriff, oder du richtest ein Benutzerkonto ein, das man an diesem Laptop dann benutzen kann. Übrigens würde ich die feste IP mit einem statischen Eintrag im DHCP der Monowall lösen. Dann lässt es sich leichter verwalten, wenn vielleicht mal noch ein zweiter oder dritter Rechner/Laptop dazu kommt.

@uwcken: Eventuell wäre es eine Option, die Authentifizierung an der Monowall über einen Radius-Server laufen zu lassen, der auf dem PC der Rezeption installiert wird (oder eben im selben Netz auf einem anderen Rechner). Dieser Radius-Server bzw. seine Datenbank sollte doch leichter zu modifizieren sein, oder? Ein Problem wäre dann natürlich noch, dass die "Voucher generieren"-Funktion nicht mehr zur Verfügung stünde, was bspw. ich aber durchaus bräuchte. Vielleicht kann man ja den Teil des Source-Codes für einen anderen Rechner kompilieren
(der Syslog-Server läuft ja da auch irgendwo, also könnte man vll. auch den Rechner verwenden)...
spacyfreak
spacyfreak Jan 25, 2009 at 08:54:26 (UTC)
Goto Top
Bietet die Monowall Lösung eigentlich die Möglichkeit an, WLAN Gast Clients die Kommunikation untereinander technisch zu ´verhindern?

Es ist ja so dass JEDER der in Funkreichweite ist sich in das WLAN einklinken kann.

Ist er mal im Netz kann er problemlos Man-in-the-Middle Angriffe fahren und beispielsweise recht easy Passwörter abgreifen, selbst bei Einsatz von https, da gibts ne ganze Reihe von
einfach zu bedienenden Tools die die den ssl tunnel abfangen und dem user ein gefälschtes Zertifikat unterjubeln.
Die Gäste im WLAN Gastnetz sollten daher sich nicht gegenseitig sehen und angreifen können, jeder Gast sollte nur zum Gateway Verbindung aufbauen können wo er sich
authentisieren muss und dann weitergeroutet wird.

Wie löst man die Anforderungen von über mehrere Standorte verteilte Niederlassungen, wenn nur in der Hauptniederlassung Internetzugang möglich ist, und die anderen Niederlassungen keinen eigenen Internetzugang haben?
Der WLaN Gast muss dann in Niederlassung X über die WAN Strecke in der Hauptniederlassung rauskommen, wo das Authentisierungsportal steht an dem er sich anmelden soll
um dann ins Internet zu kommen. Doch wie sichert man dass der Gast nicht irgendwo auf der Strecke ins interne Netz kommen kann?
tikayevent
tikayevent Jan 25, 2009 at 11:30:43 (UTC)
Goto Top
Die Kommunikation untereinander kann nur der Access Point verhindern, dazu muss dieser das Feature Client Isolation unterstützen. Die professionellen Geräte können es. DDWRT unterstützt es aber auch.

Das Standortproblem kann man nur über ne ordentliche Firewall regeln, u.a. auch in der m0n0wall. Du musst dann einfach in der m0n0wall Regeln definieren, die Zugriffe vom CP-Netz auf alle andere Subnetze des Netzes verbieten.
spacyfreak
spacyfreak Jan 25, 2009 at 11:38:45 (UTC)
Goto Top
...ja mit Firewall Regeln kann man alles regeln. Wie gut das bei 300 Standorten skaliert ist jedoch so ne Sache. face-wink
Da erscheint es mir einfacher nen Cisco WLC (oder alternatives Produkt) zu nehmen und das Gastnetz via Mobility Anchor am Gast-Netz WLC in der Hauptniederlassung terminieren zu lassen.

Für kleinere Installationen würde ich jedoch auch zu Monowall greifen, das erfüllt den Zweck effektiv und wirtschaftlich.
kingkong
kingkong Jan 25, 2009 at 12:37:02 (UTC)
Goto Top
Womit wir wieder beim Thema "Cisco WLC" wären ... Was meinst du eigentlich mit

Doch wie sichert man dass der Gast nicht irgendwo auf der Strecke ins interne Netz kommen kann?

Wo soll der Gast rauskommen? Auf dem Weg durch ein Firmen-VPN?

Außerdem kann man ein und die selbe Konfiguration ja auf mehreren Firewalls laufen lassen. Wenn man um Einheitlichkeit bemüht ist, dann kauft man eben zehn Mal die selbe Firewall. Und wenns größer wird, dann nimmt man die Monowall ja wohl sowieso nicht mehr her. Sondern eben sowas wie oben bereits erwähnt (wer bei 300 Standorten noch Cisco kauft, ist selber schuld...aber es soll ja nicht schon wieder firmen- bzw. produktpolitisch werden...)
lepaule
lepaule Feb 19, 2009 at 15:37:24 (UTC)
Goto Top
Hallo ich brauche mal euere Hilfe irgenwie muß ich was total flasch machen.
Habe unter Interfaces -> VLANs ein VLAN hinzugefügt mit der "VLAN tag 2". Danach unter Interface assignments ein Interface hinzugefügt mit der Bezeichnung OPT1 was eine verbindung mit VLAN 1 und der LAN Netzwerkkarte macht. Danach habe ich noch unter DHCP für das Interface OPT1 den DHCP-Server eingerichtet. Soweit sollte ja eigentlich ersmal alles richtig sein?

Im Switch habe ich ein neues VLAN tag angelegt mit der tag id 2 und den Port von der Monowall sowie den Port vom Client dieser ID hinzugefügt. Sollte doch auch richtig sein ?

Wenn ich jetzt aber am Client eine IP haben möchte bekomme ich einfach keine aus dem VLAN. Sobal ich aber in der Monowall Konfiguration den DHCP server für das LAN Interface einschalte bekomme ich eine IP nur leider nicht ein aus dem VLAN.

2. Frage kann man das "Captice portal" auf mehreren VLANs laufen lassen.

Grund es geht um die vernetzung eines kleinen Hotels mit 10 Zimmern die über einen DSL gehen sollen. Und sich aber nicht im Netzwerk sehen sollen (daher das VLAN).

hoffe ihr könnt mir helfen
aqui
aqui Feb 20, 2009 at 17:20:26 (UTC)
Goto Top
Den VLAN Support musst du zuallererst nach dem Booten an der Console global aktivieren !!!
Hast du das gemacht ???

Ferner MUSS der VLAN Port am Switch TAGGED eingestellt sein ! D.h. der Switch muss an diesem Port das VLAN mit einem 802.1q VLAN Tag aussenden bzw. empfangen, weil die M0n0wall das auch so macht !
Wenn du nur den Port ins VLAN 2 gelegt hast reicht das nicht da dieser Port dann vermutlich untagged Frames aus dem VLAN 2 schickt und M0n0wall und Switch sich so im VLAN 2 nicht sehen.

Ist das ebenfalls geschehen ???

Wenn du das alles eingestellt hast funktioniert ein VLAN Zugriff auf einem tagged Switchport völlig ohne Probleme !!

Die genaue Einrichtung von M0n0wall und VLANs kannst du hier nachlesen:


Normalerweise löst man das aber auch nicht so und vermutlich hast du für das Hotel eine falsche Switchhardware beschafft wie so oft.

Hier setzt man gemeinhin Switches ein die die sog. Private VLAN Funktion supporten.
Dieses Funktion bzw. Feature unterdrückt das Flooding von Broad- und Unicast Paketen auf alle Ports im VLAN und macht dies nur auf dem VLAN Uplink !

Damit kann man alle Zimmer weiterhin in einem VLAN (oder auch ohne VLAN) betreiben und hat so eine Kommunikation unter den angeschlosenen Endgeräten sicher unterbunden !!!
Die Frickelei mit ein Zimmer pro VLAN kann man dann völlig vergessen bzw. ist überflüssig !!
Fatboy
Fatboy Feb 27, 2009 at 15:13:46 (UTC)
Goto Top
Vorweg erstmal vielen Dank für diese Anleitung, die hat mir bisher sehr gut beim Aufbau meiner Monowall für das Hotel meiner Ma geholfen.
Ein paar (Verständnis-) Probleme habe ich aber noch beim Aufstellen der Firewall-Regeln. Da ich den Hotelgästen über das Captive Portal Zugang zum Internet (nur bestimmte Ports) geben will, habe ich auf diesem Interface folgende Regeln erstellt:
Pass - TCP/UDP - Internetportal net - Http (80) - WAN address - Http (80)
Pass - TCP/UDP - Internetportal net - Https (443) - WAN address - Https (443)

Dies funktioniert leider nicht wie erhofft. Oder muss ich diese Regeln beim Inbound NAT erstellen?

Vielleicht kann mir ja jemand mal ein paar Screenshot von seiner Konfiguration schicken.

So sieht mein System übrigens aus:
DSL Router 192.168.0.1
WAN 192.168.0.2/24
LAN 192.168.1.1/24
I-Portal 10.0.0.1/24

Vielen Dank schonmal vorweg und ein Hoch auf die Monowall (geiles Teil auch wenn ich nur ein geringen Teil der Möglichkeiten nutze).
rs----
rs---- Feb 27, 2009 at 16:24:52 (UTC)
Goto Top
hi fatboy,

vom sinn her alles richtig ! allerdings musst du wissen das der quellport nahezu immer dynamisch ist.
vielleicht kommst du ja von alleine drauf. wenn du schweiss und blut geschwitzt hast und immer noch nich drauf gekommen bist
einfach nochmal nachfragen ;)
grüsse
aqui
aqui Feb 28, 2009 at 14:50:15 (UTC)
Goto Top
Richtig !
Also immer nur Zielport TCP 80 von CP Segment nach ALL sind eintragen ! Analog TCP 443 HTTPS und natürlich TCP/UDP 53 (DNS) nicht vergessen sonst klappt keine Namensauflösung !

Du musst vermutlich auf den Redirect Port vom CP freigeben, denn sonst siehst du die Login Page vom CP nicht !!!

Um ganz sicher zu gehen nimmst du ggf. nochmal einen Sniffer auf einem Client (Wireshark etc.) dann siehst du ganz genau welche Ports involviert sind beim Verbindungsaufbau !!!

Noch einfacher ist einfach mal ins Firewall Log auf der M0n0wall zusehen, denn dort werden alle geblockten Ports aufgelistet beim Client und da siehst du auch sofort was nicht geblockt werden sollte...
schrauberlutz
schrauberlutz Mar 17, 2009 at 12:31:02 (UTC)
Goto Top
hallo leute,

ich find diese anleitung super und hab ein alix 2d3 im hotel installiert.

verwaltungsnetz 192.168.xxx.xxx

dsl modem

dmz > cp 10.0.0.0 mit wlan

so weit so gut. läuft alles bestens und stabil, aber!!!

wie krieg ich das mit dem loggen hin? ich hab als dmz-ap ein alix 3d1 mit mono und lan/wlan bridge. normal könnte ich doch dorthin das syslog auslagern. nur wie komm ich an die daten und wie muß ich das eintickern?

wenn da jemand ne idee hätte, wär mir geholfen. das 3d-board bootet schneller und ist am gleichen netzteil wie die haupt-fw. dann bräuchte meine süße bei problemen einfach nur den stecker ziehn und neu einstöpseln und alles läuft wieder. ;-.)

oder sollte das mit nem free-bsd und webmin gehen? hmmm, bin mal auf eure tips gespannt

schon mal vorab vielen dank für eure mühe

lutz
JEDVWF
JEDVWF Mar 24, 2009 at 17:53:43 (UTC)
Goto Top
Zitat von @rs----:
nee auf die fehlermeldung kommts mir nich an.
erstmal danke für die schnelle antwort. was gibst du denn dann
als https server ein ? benutze die neue beta der mono, womit
erstellst du dir ein zertifikat ? ich hab das mit openssl versucht
aber irgendwie scheint es nicht zu klappen .. benutzt du den dns-namen
der monowall oder die ip ?

gruss

tolle Anleitung und ein super Teil
vielleicht bin ich etwas spät, bin aber erst jetzt auf m0n0wall und diesen Beitrag gekommen. Nachfolgend der Link zu einem feinem Tool zur Erzeugung des SSL-Zertifikates. Die Beschreibung dazu findet Ihr im m0n0wall-Handbuch. http://doc.m0n0.ch/handbook/ipsec-rsa-auth.html
http://sourceforge.net/project/showfiles.php?group_id=62274&package ...;
Bei mir hat es so wunderbar funktioniert. Besonderheit: Als https server habe ich einfach die LAN IP von m0n0wall angegeben. Als Organisation habe ich m0n0wall eingetragen


gruss Jürgen
aqui
aqui Mar 24, 2009 at 20:19:07 (UTC)
Goto Top
Lies dir weiter oben hier die Threads zum Thema loggen durch.
Direkt auf der M0n0wall zu loggen (Flash) geht nicht.

Besser du loogst mit einem externen syslog Server indem du auf der M0n0wall den Syslog aktivierst.
Das kann ein Nettop (EEE-PC) z.B. mit Linux sein, der hat einen Syslog gleich mit an Bord oder ein alter Winblows PC mit einem freien Kiwi Syslog:

http://www.kiwisyslog.com/
76955
76955 Mar 25, 2009 at 19:04:42 (UTC)
Goto Top
Hallo!

Ich bin soeben auf diese MonoWall gestossen,
Ich möchte für einen Gasthaus ein Netzwerk einrichten.
Die Rahmenbedingung ist folgende:

WLAN router befindet sich am telefonanschluss im keller, dies lässt sich nicht ändern, wlan empfang ist einzig und allein in dem Raum oben drüber möglich.

Mein Vorhaben:
WLAN-Router ~~~ [Dicke Decke] ~~~ WLAN-Repeater  ~~~ WLAN-Privat
                                              |  ~~~ WLAN-Hotel-Intern
                                              |  --- MonoWall ~~~ WLAN-Gäste

Den WLAN-Router möchte ich mit einer kräftigeren Antenne ausstatten z.B: Levelone 1112
Der WLAN-Repeater (Ich habe an einen D-Link DWL-G710 gedacht) muss ja eine andere Antenne bekommen (Mein Gedanke: D-LINK ANT-0501) und die MonoWall soll per Patch Kabel an den Repeater und selbst auch eine Starke antenne bekommen.

Nun meine Frage, wird das So funktionieren?
Oder was ist von dem Prinzip zu halten, die MonoWall mit 2 WLAN karten ausustatten, und damit den repeater einzusparen?
Das wichtige ist nur das das WLAn-Signal vom Router erstmal in den Darüberliegenden Raum gelangt, und von dort aus verteilt wird. Ein Kabel zu legen sit leider nicht möglich.
Ausserdem möchte ich den Internetzugang der Gäste Kontrollieren aber den Privaten-sowie den Hotel-Internen frei halten, aber vor den Gästen schützen am liebsten mit WPA2 verschüsselung.

Nun möchte ich noch auf diesen Link hinweisen: Dabei geht es um Das Logging auf lokale Datenträger, ich habe es nun nicht getestet.
https://www.ossim.net/forum/index.php?t=msg&goto=1514&S=c10c2a74 ...
Was haltet ihr davon? Ist es vielleicht ein Weg, das Problem mit der VDS zu lösen? Denn dies ist mir später auch wichtig, wenn jemand Mist mit der Internetvrbindung machen sollte. und einen externen Server möchte ich nicht auchnoch aufstellen.

Sonnige (?) Grüße
Merlin
mideastd
mideastd Mar 25, 2009 at 20:16:41 (UTC)
Goto Top
Ich habe monowall installiert. Funktionierte mit der Anleitung von aqui in wenigen Minuten. Super Programm und super Anleitung. Danke.
Mich interessiert hierbei hauptsächlich die Nutzung als Hotspot (Captive Portal und Voucher).
Ich habe zusätzlich den Kiwi Syslog-Server auf einem Rechner im Gäste-Netz installiert. Funktioniert auch hervorragend.
Nun habe ich aber die Idee, dass der Syslog-Server auf einem entfernten Rechner "irgendwo im Internet" laufen soll.
Wenn ich das nun so richtig gesehen habe, akzeptiert monowall jedoch nur IP-Adressen in der Einstellung für den Syslog-Server.
Wie kann ich es denn einrichten, dass monowall eine dynamische DNS als Adresse für den Syslog-Server akzeptiert.
Meine öffentlich IP wechselt ja ab und zu mal (bin bei Kabel Deutschland).
Ich hoffe, ich habe da nichts überlesen und dies wurde schon einmal woanders besprochen.
Über Tips und Tricks würde ich mich freuen.

Vielen Dank mideastd.
aqui
aqui Mar 26, 2009 at 09:10:21 (UTC)
Goto Top
@mideast
Mmmhhh, wenn M0nowall wirklich keine FQDNs akzeptiert in der Syslog einstellung (ich teste das !) dann hast du ein Problem mit DynDNS.
So kann man das dann nicht lösen es sei denn du investierst ein paar Euro mehr und lässt dir von deinem Provider (da wo es hin soll) eine feste IP geben !
aqui
aqui Mar 26, 2009, updated at Oct 18, 2012 at 16:37:55 (UTC)
Goto Top
@Merlin
Warum machst du dir es so schwer ??? WDS ist eine denkbar schlechte Lösung aus Perfromancesicht !! Das solltest du für ein CP Vorhaben im Gasthaus besser lassen. Hier steht etwas zum Warum:
Wireless Zugang über Radius Protokollieren

Gehe folgendermaßen vor:

1.) Schliesse die M0n0wall zentral im Keller an den DSL Anschluss direkt an. Dafür benötigst du lediglich ein Modem, denn die M0n0wall spricht wie ein Router von sich aus schon PPPoE !

2.) Bringe den (oder die) LAN Verbindungen mit deiner DLAN (Power LAN) Lösung dahin wo du sie hinhaben willst.

3.) Die WLAN Router machst du dann einfach zu doofen Accesspoints genau wie es in diesem Tutorial beschrieben ist:

Kopplung von 2 Routern am DSL Port

und schliesst diese (bzw. die Verwaltung) dann an die DLAN Segmente an. Das ist allemal besser als diese unsägliche Frickelei mit WDS repeatern die im Endeffekt nicht funktionieren wird !!

So könnte ein Design dann vereinfacht aussehen:

8c33960cae9cc4436c467236087f2de3-gastwlan

Besser und erheblich einfacher als das was du vorhast ! Und....das funktioniert auch zuverlässig !
76955
76955 Mar 26, 2009 at 10:45:27 (UTC)
Goto Top
Hallo aqui!
Vielen dank für deine Ausführliche Antwort!

Leider wird das mit dem DLAN nicht fuktionieren, das system wurde bereits erfolglos getestet, ich denke das Problem kommt daher, dass es keine diekte "Stromverbindung" zwischen den Bereichen im Haus gibt, es ist eine Mischung aus Alt-und Neubau, mit getrennten Strombereichen, sprich auf der Leitung wären Zähler und Schaltschänke zu finden.

Deine begründung mit dem WDS leuchtet mir ein, Das Gasthaus hat zwar nur 7 Zimmer, aber das ist auf diese Art sicher nicht die Lösung die ich möchte, vielen Dank für den Beitrag!

Nun stellt sich die Frage was habe ich noch für möglichkeiten, so wie ich das sehe, habe ich nur die Möglichkeit über Funk in den Anderen Raum zu kommen.

Gibt es WLAN Accesspoints, die ein WLAN-Netzwerk in ein Bestehendes einbinden können?

Dann könnte ich mir das so vorstellen:

Modem --- MonoWall ~~~ WLAN1 ~~~ AP ~~~ WLAN2

Gasthaus ist mir wichtig nach Möglichkeit allerdings gerne Privat Gasthaus
aqui
aqui Mar 26, 2009, updated at Oct 18, 2012 at 16:37:55 (UTC)
Goto Top
Ja, das funktioniert auch, allerdings muss der WLAN Accesspoint dann auch 802.1q VLANs supporten, das ist ja klar !
Die M0n0wall hat VLAN Support auf jedem Interface. Das ist konfigurierbar !

Wie du die M0n0wall für VLANs einstellst kannst du hier sehen:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Das wirklich Allerbeste ist, du besorgst dir einen Bohrer, bohrst ein paar Löcher und ziehst ein Kabel ins EG.

Die Frickelei mit dem WLAN hilft dir nicht wirklich und bricht sofort zusammen wenn du die ersten User drauf hast. Das Konzept ist nicht gut !

Oder...falls du noch alten Telefondraht leigen hast kannst du den Amtsanschluss mit DSL ggf. ins EG verlängern und dort Modem usw. plazieren. Das reine DSL Signal ist über einfache 2 Draht Telefonleitung übertragbar ?!
76955
76955 Mar 26, 2009 at 18:27:45 (UTC)
Goto Top
Hallo,
Bohren ist leider nicht drin, es sind zwar Leitungen vorhanden aber da soll wohl keine frei sein, ich werde mir das aber nochmal angucken und alles nachprüfen.

Es soll vor Ort ende des Jahres gebaut werden, dann wird natürlich auch ein Kabel verlegt, bis dahin muss (Wenn das Nachprüfen nichts ergibt) dann wohl die WLAN Lösung herhalten, das einzige was mich dabei (nach deinen Aussagen) noch tröstetist dass nicht ganz so viel Traffic auftreten wird.

Ich habe nun noch eine Frage zur MonoWall bzw. dessen WLAN unterstützung.
Die Alix Boards haben ja 2 MiniPCI Schnittstellen, kann ich die MonoWall mit der einen als Client in einem WLAN-Netz einrichten? mit Verschlüsselung? Ich habe dazu kine Einstellungen gesehen.

Und zu dem VLAN habe ich auch noch eine Frage, muss ich bei dem WLAN Modul auf etwas bestimmtes achten damit VLAN unterstützt wird??
Du hast oben das DCMA81 Modul erwähnt, funktioniert dies damit oder auch mit dem Compex WLM54SAG23 (Erhöhte Sendeleistung)?

Merlin
aqui
aqui Mar 27, 2009 at 10:52:45 (UTC)
Goto Top
"...dass nicht ganz so viel Traffic auftreten wird.
Ein frommer Wunsch der meist sofort zerstört wird in der Realität !!!

Zu deinen Fragen:
a.) Nein eine Client Funktion gibt es nicht in der M0n0wall SW. Die WLAN Implementation arbeitet rein im Infrastruktur Modus als als Accesspoint, was ja auch mehr oder weniger Sinn macht.
Klar das der AP auch Verschlüsselung kann was aber in einem CP Umfeld logischerweise meist nicht der Fall ist !

b.) Vorsicht: Nicht das du das missverstehst: VLAN Support würde laufen bedeutet aber dann das das 802.1q Tagging transparent an die WLAN Clients durchgereicht wird. Nur die allerwenigsten WLAN Clients supporten sowas. Da bist du also auf dem Holzwege !!

Was geht ist das du einen VLAN fähigen Accesspoint anschliesst. Diese supporten dann mehrere ESSIDs (WLAN Kennungen und damit Netze).
Die ESSIDs kannst du dann auf dem AP festen VLAN IDs zuordnen die die M0n0wall dann wieder unterscheiden kann durch VLAN Funktion. (Siehe obigen URL mit dem M0n0wall VLAN Tutorial !!)
Du kannst damit über einen einzigen AP mehrere WLANs bedienen, z.B. Gäste, Vorstand, IT-Abteilung usw. ohne das du dafür separate APs pro WLAN benötigst !!

c.) WLAN miniPCI Module:
Es ist völlig irrelevant was für ein Modul du nimmst. Wichtig ist (so steht es auch mehrfach im Tutorial !) das die Module einen Atheros oder PRISM WLAN Chipsatz haben, denn die werden von FreeBSD (Dem OS der M0n0wall) alle problemlos supportet !
76955
76955 Mar 27, 2009 at 11:40:35 (UTC)
Goto Top
Das ist ja geballtes Wissen, welches du hir zum besten gibst, das freut mich, denn selbstverständlich ist es nicht.
Vielen Dank schonmal dafür!

Das mit dem VLAN ist ein guter Hinweis, ich habe scon fast beschlossen dies so zu verwenden, aber davon lasse ich nun die Finger, und werde mich mal nach entsprechenden Accesspoints umsehen.

Das mit den Chipsätzen der miniPCI Module habe ich verstanden, aber ich war mir nicht sicher ob an diese spezielle Hardwae-Anforderungen gestellt werden. aber dies hat sich dann ja auch vorerst erledigt.

Ok, ich sehe ohne Kabel zur Anlage, bzw. Anlage zur MonoWall wird das nichts werden, mal sehen ob ich sie dann noch einsetzen kann, im Prinzip wäre es genau das richtige für uns.

Naja irgendwie müssen die Gäste ja langsam mal zuverlässiges Internet bekommen.

Also ich bedanke mich nochmal für deine Ausführliche Beratung, sie hat mir sehr geholfen!

Merlin
aqui
aqui Mar 27, 2009 at 12:04:30 (UTC)
Goto Top
Dein einziger Ausweg als Workaround ist dann einen AP einzusetzen der eine sog. WISP Funktion supportet.
APs wie diese:
http://www.21byte.de/pro-267c14/AP__Repeater/80211g_Multi-funktion_WLAN ...
http://www.alternate.de/html/product/Netzwerk_WLAN-Router/TP-LINK/TL-WR ..?
und andere supporten das z.B.

Diese APs können ihr WLAN mit WISP (eine NAT Funktion über WLAN) an ein bestehendes WLAN Netzwerk koppeln.
Solange du nur ausgehende Verbindungen hast funktioniert das einwandfrei und wäre ein gangbarer Weg wenigstens bis zur verfügbarkeit von Kabeln das Problem sicher zu überbrücken !!

Das könnte dann so aussehen:

c439a12362e08b1ca5836cc7bdf13f15-merlin

Solltest du aber wirklich nur als Workaround nehmen, denn technisch ist die Lösung nicht wirklich gut (Performance !)
Sie hilft aber dein Vorhaben zu realisieren !
76955
76955 Mar 27, 2009 at 14:14:30 (UTC)
Goto Top
Hallo, vielen Dank für den Hinweis!

Ich mache nun noch Überlegungen einen kleinen Syslog Server einzurichten, um dann die Internet-Daten zu speichern, nicht dass es da mal Ärger gibt.

So wie ich das sehe, dürfte dafür auch ein Alix board ausreichen, welches ich dann mit einer kleinen Notebook-Festplatte ausstatten möchte (in 6 Monaten kommen ja sicherlich ein paar Daten zusammen).

Meine Frage dazu, bootet das alix Board einwandfrei von einer festplatte?
Und muss ich dabei sonst noch etwas beachten?
aqui
aqui Mar 27, 2009 at 18:40:33 (UTC)
Goto Top
Nein, wenn du dir das Alix Board ansiehst dann erkennst du das das nur Flash Support hat damit wirst du nichts.

Besorg dir eine kleine Asus EEE-Box B202
http://www.alternate.de/html/product/PC-Systeme_Komplettsysteme_Desktop ..?
und gut ist.
Der ist absolut geräuschlos, verbraucht wenig Strom und hat gleich Linux und einen Syslog Server drauf.
Mit 160 GiG Festplatte kannst du da mehrere Jahre mitloggen face-wink
(Wenn du Angst vor Linux hast machst du halt Winblows mit drauf...)

Das ist stressfreier, billiger und schneller aufzusetzen !! Und....wenn die Mitlogg Verpflichtung für Privatpersonen in absehbarer Zeit ganz fällt hast du einen netten Desktop PC !
76955
76955 Mar 27, 2009 at 19:15:31 (UTC)
Goto Top
hm, 300€ für syslog finde ich ein bisschen viel...

wenn ich mir das Alix 2D0 ansehe hat es doch einen IDE anschluss, gut ich muss noch die Stiftleiste anlöten aber das ist ja kein hinderniss, oder sehe ich da etwas falsch?
Es muss ja nicht das neueste Alix board sein.

Mit Linux kenne ich mich bisher wenig aus, aber da habe ich keine Berührungsängste, für solche Zwecke setzte ich auch lieber Linux/Unix ein.
aqui
aqui Mar 28, 2009 at 10:00:51 (UTC)
Goto Top
OK, ansonsten tut es natürlich auch ein oller Uralt PC aus der Rumpelkammer. Aber wenn diese Alix Variante einen IDE Anschluss hat dann sollte das klappen, das ist in der Tat richtig.
Nur, Board, Gehäuse, Platte, Zeit bringen dich auch auf ca. 200 Euronen. Da lockt dann doch schon wieder die EEE-Box denn preislich ist das nicht weit.
Nun ja...letztlich ist das deine persönliche Entscheidung !!
76955
76955 Mar 28, 2009 at 20:49:17 (UTC)
Goto Top
ok,
mal sehen was daraus wird...

Nochmals vielen Dank für die Unterstützung!

Merlin
mideastd
mideastd Mar 30, 2009 at 20:29:30 (UTC)
Goto Top
Zitat von @aqui:
@mideast
Mmmhhh, wenn M0nowall wirklich keine FQDNs akzeptiert in der Syslog
einstellung (ich teste das !) dann hast du ein Problem mit DynDNS.
So kann man das dann nicht lösen es sei denn du investierst ein
paar Euro mehr und lässt dir von deinem Provider (da wo es hin
soll) eine feste IP geben !


@aqui
Wenn ich in dem Adressfeld für den Syslog-Server meine DynDns eintrage, dann schreibt monowall immer "a valid ip is required".
Aber nun noch einmal eine Frage für ganz blöde: wenn ich meine öffentliche IP dort eintrage, welchen Port muss ich denn an welchen Port weiterleiten?
Ich habe derzeit folgende Konfiguration : Kabelmodem-FritzBox-Switch-> Desktop-PC mit Kiwi.

Vielen Dank im Voraus
mideastd
aqui
aqui Mar 31, 2009 at 11:22:21 (UTC)
Goto Top
Stimmt, da sind nur IP Adressen erlaubt, keine FQDNs...leider !

Outgoing musst du natürlich nichts für den Syslog öffnen, das ist logisch. Allerdings dort wo der Syslog Server steht, das ist klar.

Wenn du mal googelst:

http://lmgtfy.com/?q=syslog+tcp+port

findest du mit dem ersten Eintrag gleich die IANA well known Port Liste und dort steht UDP 514 für Syslog den du dann freigeben musst im Port Forwarding !
mideastd
mideastd Mar 31, 2009 at 18:02:34 (UTC)
Goto Top
Danke apui,

schneller und besser als hier kann man keine Antworten finden.

Nochmals vielen Dank

mideastd
GabbaGandalf
GabbaGandalf Apr 16, 2009 at 16:40:27 (UTC)
Goto Top
Hi nochmal.
die Links zu tronico gehen nicht mehr. Kannst du dich bitte aktualisieren? Ich brauche auch eine Platine, Gehäuse und alles für WLAN.

MfG
Kollisionskurs
Kollisionskurs Apr 16, 2009 at 17:02:04 (UTC)
Goto Top
Google:

http://shop.tronico.net/

??

Grüße

Kollisionskurs
GabbaGandalf
GabbaGandalf Apr 16, 2009 at 18:47:28 (UTC)
Goto Top
Ich weiß aber nicht genau was ich nun alles brauche.
https://shop.tronico.net/Embedded-Computer/ALIX-by-PC-Engines/Mainboards ...
https://shop.tronico.net/Embedded-Computer/ALIX-by-PC-Engines/Gehaeuse/G ...
https://shop.tronico.net/Embedded-Computer/ALIX-by-PC-Engines/Zubehoer/S ...
https://shop.tronico.net/Embedded-Computer/ALIX-by-PC-Engines/Zubehoer/N ...
http://www.bestseller-computer.de/?ID=18781

So, und das ganze muss halt für WLAN funktionieren.
Was brauche ich noch?

Soll halt so sein, das ich den Rechner m0n0wall draufziehe, an den Router anschließe und 2 Clients sollen sich per WLAN einwählen können und halt zunächst erstmal vors Captive Portal kommen.
Obwohl theoretisch 1 LAN Anschluss reichen würde, wollte ich dennoch ein Board mit 3 LAN Anschlüssen, da evtl das WLAN Signal nicht ausreicht und ich dann doch ein Kabel legen muss.
aqui
aqui Apr 17, 2009 at 07:11:04 (UTC)
Goto Top
So alle Tronico Weblinks sind aktualisiert !!
Für die o.a. eierlegende Wollmilchsau benötigst du folgende Komponenten...
Hier die Einkaufsliste:

  • Mainboard ALIX 2D1, Art.Nr.: ALIX.2D1
  • Gehäuse dafür , Art.Nr.: CASE.21
  • Netzteil: Art.Nr.: NT18V0A8EU
  • CF Flashkarte aus der Bastelkiste
  • Wistron WLAN Modul DCMA-81, Art.Nr.: DCMA81
  • Pigtail U.FL auf R-SMA, Art.Nr.: PIG-SMA
  • Antenne, Art.Nr.: ANT-SMA

Damit kannst du dann ein voll funktionsfähiges Gerät im Handumdrehen aufbauen !!
GabbaGandalf
GabbaGandalf Apr 20, 2009 at 21:26:16 (UTC)
Goto Top
Vielen Dank. Für 170€ eingekauft face-smile
Naja die Stromrechnung macht sich ja dann am Ende bezahlt.

Kannst du mir bitte noch erklären was Roll IDs sind? Ich habs immer noch nicht verstanden.

MFG
GabbaGandalf
GabbaGandalf Apr 21, 2009 at 19:20:03 (UTC)
Goto Top
Und wie kann ich das machen das ich nun verschiedene Voucher IDs erstelle?
Also das 50 Voucher-IDs 1 Tag gültig sind (1440 Minuten), 50 Voucher IDs 2 Tage usw.

Wie mache ich sowas? Geht das mit verschiedenen Roll IDs? Sind Roll IDs dafür gedacht?

MfG
Fatboy
Fatboy Apr 21, 2009 at 19:44:56 (UTC)
Goto Top
Ich weiß nicht, wie es um dein Englisch steht, aber unter http://doc.m0n0.ch/handbook/ch12s04.html findest du eine Erklärung zum Thema Vouchers (als auch viele weitere hilfreiche Ansätze). Zur Not einfach in Google übersetzen lassen, obwohl dies wahrscheinlich nicht immer einen Sinn ergibt.
Zu deiner Frage: Ja, mit den verschiedenen Rolls kannst du Voucher mit unterschiedlichen Zeiten generieren und eine definierte Menge an Voucher pro Roll auch.
GabbaGandalf
GabbaGandalf Apr 21, 2009 at 20:31:29 (UTC)
Goto Top
Meine Englischkenntnisse sind in Ordnung - allerdings steht in der Anleitung nicht ausführlich genug beschrieben was Roll IDs sind.

Roll IDs sind also eine Art Kategorie und man kann halt einstellen wieviele Voucher mit welcher Dauer in dieser Kategorie gültig sein sollen.

Habe ich richtig verstanden ne?

mfg und thx
kingkong
kingkong Apr 21, 2009 at 20:47:29 (UTC)
Goto Top
So kann man das sagen, richtig.
mideastd
mideastd Apr 24, 2009 at 18:01:28 (UTC)
Goto Top
Ich habe doch schon wieder eine Frage.

Kann mir vielleicht jemand sagen, ob bzw. wie ich mit monowall einen walled Garden (also Internetseiten freigeben für den Zugriff auch ohne Codeeingabe) einrichten kann ?

Bei den freigegebenen IP's funktioniert das nur mit einmalig vergebenen IP's (z.B. Google -> 74.125.77.103 . Viele "private" Domains scheinen aber IP's mit Mehrfachnutzung zu haben. Dann heißt es immer >Seite kann nicht angezeigt werden<.

Vielleicht hat ja jemand eine Idee.

Vielen Dank
mideastd
GabbaGandalf
GabbaGandalf Apr 26, 2009 at 21:40:30 (UTC)
Goto Top
Ich habe bei mir das Problem, das wenn ich meinen Router neustarte die Logdatei leer ist.
Wie bekomme ich das hin das sie gespeichert bleibt?

MfG
aqui
aqui Apr 27, 2009 at 09:20:44 (UTC)
Goto Top
Indem du wie oben wie im Threadverlauf beschrieben einen Syslog Server aufsetzt der alle Daten sicher speichert !!

Bitte für solche Fragen einen separaten Thread mit URL Bezug auf dieses Tutorial aufmachen, da solche längeren Diskussionen das Tutorial hier nur unnötig zusätzlich aufblähen !!!
GabbaGandalf
GabbaGandalf Apr 27, 2009, updated at Oct 18, 2012 at 16:38:04 (UTC)
Goto Top
Würde mich freuen wenn du mir hier weiterhelfen könntest:
Ferienwohnung vermieten - wie Internetanschluss steuern?

Danke!!
GabbaGandalf
GabbaGandalf Apr 28, 2009 at 11:56:37 (UTC)
Goto Top
Ich habe schon wieder ein Problem :\
Ich habe Vista 64 Bit und wollte damit eine Speicherkarte bespielen. Wenn ich physdiskwrite.exe per Doppelklick öffne, öffnet sich die Kommandozeile kurz und schließt danach wieder. Aus eigener Erfahrung (Arbeit mit Robocopy) wusste ich, das man die physdiskwrite.exe auch in das System32-Verzeichnis kopieren kann und anschließend über

Start - Ausführen - [b]cmd[/b]

nutzen kann. Ich habe also die physdiskwrite.exe in c:\Windows\System32 kopiert und die Image-Datei embedded-1.3b16.img in c:\Users\GabbaGandalf kopiert.
Da meine Flash-Speicherkarte 4 GB groß ist, wollte ich diesen Befehl nutzen:

physdiskwrite -u embedded-1.3b16.img

Danach habe ich die 2 eingetippt (Laufwerk stimmt) und mit "y" bestätigt. Dann kommt allerdings der Fehler:
Error Writing after 0 bytes [.......]


Zweiter Versuch: Image Datei auf das Icon von physdiskwrite.exe gezogen. Allerdings kommt dann die Meldung das die Karte zu groß ist und das dieser Schutz eingreift.


Letzter Versuch: PhysGUI.exe runtergeladen, geöffnet und das Image auf die CF-Karte gezogen. Laut dem Programm hat das auch geklappt - im Arbeitsplatz wurde mir jedoch angezeigt das Laufwerk H: mit 0 b beschrieben ist. Dennoch habe ich den Speicher mal eingebaut und meinen Router (Alix Board) angeschmissen. Alle LAN-LEDs leuchten und von den Betriebs-LEDs leuchten zunächst 3, nach ein paar Sekunden nur noch eine (die ganz linke).

Habe dann mein Notebook mit dem Router verbunden, allerdings sendet mein Notebook nur Daten und empfängt keine.

Was kann ich tun?
aqui
aqui Apr 29, 2009 at 16:29:25 (UTC)
Goto Top
Warum machst du es denn so umständlich ???

Start -> Ausführen -> cmd

(Oder Programme -> Zubehör -> Eingabeaufforderung klicken !)
Nun hast du dein stabiles offenes "DOS" Fenster und gehst mit cd /Verzeichnis in das Verzeichnis wo dein physdiskwrite drinsteht und dein Image File

Dann tippst du ein:
physdiskwrite -u embedded-1.3b16.img

(-u weil dein CF größer als 800 MB ist !)

Achtung: im folgenden Dialog das richtige Laufwerk der CF Karte auswählen und los gehts...
Einfacher gehts doch nun wirklich nicht !!

Du solltest ferner immer beim Alix Bord am seriellen Anschluss (DB-9 Buchse) mit einem seriellen Kabel zum COM Port des PC ein Terminal anschliessen wie auch oben im Tutorial beschrieben !!!
Dann startest du ein Terminalprogramm wie Hyperterm oder besser TeraTerm und setzt den seriellen COM Port auf:
38400 Baud, 8 Bit Daten, keine Parity, ein Stop Bit, kein Flow Control
Über dieses Terminal kannst du dann alle Boot Meldungen mitlesen die das ALIX so von sich gibt. Dort erscheint das gleiche an Messages wie beim Booten eines PCs mit der M0n0wall SW.
Damit kannst du sicher kontrollieren ob dein Bord rennt !!!
Wenn du keinen COM Port mehr hast am Rechner tuts ein billiger USB auf COM Adapter:

http://finder.conrad.de/tipps_tricks2/view/Artikelinfos/elector_usb/usb ...
oder
http://www.amazon.de/2direct-USB-Seriell-Adapter-Konverter-Stecker/dp/B ...
GabbaGandalf
GabbaGandalf Apr 29, 2009 at 19:53:18 (UTC)
Goto Top
Hi aqui,
ich habe es über Nacht schließlich selber hinbekommen. Ich habe genau so gearbeitet wie es in den ganzen Tutorials steht aber bei Vista kam immer ein Schreibfehler. Ich habe das ganze dann nochmal mit XP 32 Bit probiert und das ging dann gleich beim ersten mal - alles fehlerfrei.

Ich kann mit meinem HyperTerm übrigens Befehle nicht mit ENTER bestätigen. Mit Tera Term geht alles einwandfrei.

So nun habe ich noch ein kleines Problem:
vr0 = LAN
vr1 = WAN
opt1 = ath0

Nun habe ich in den ganz rechten LAN Port (der neben dem Power-In) im Alix Board meinen Rechner angeschlossen mit dem ich m0n0wall im moment noch konfigurieren muss. Im mittleren (vr1) habe ich ein Kabel zum Router gelegt. Opt1 hab ich wie gesagt mit WLAN konfiguriert und auch im Webinterface alles konfiguriert. WLAN wird auch gefunden.

Leider komme ich weder per Rechner der per LAN angeschlossen noch mit meinem Notebook über WLAN ins Internet. Er sagt immer "Seite nicht gefunden".

Habe ich irgendwas falsch konfiguriert? Mit meinem alten PC, in den ich noch eine zweite Netzwerkkarte eingebaut habe ging alles.
GabbaGandalf
GabbaGandalf May 02, 2009 at 16:24:39 (UTC)
Goto Top
*push*
Ich wollte gerne die Sache jetzt zu Ende bringen. Aqui kannst du mir bitte nochmal helfen?

MfG
Kollisionskurs
Kollisionskurs May 02, 2009 at 17:04:11 (UTC)
Goto Top
@ GabbaGandalf

in Bezug auf Deine zuletzt gestellten Fragen kriegt man eine dezenten Anschein das Du Dir keinerlei Mühe machst auch mal die Monowall Doku anzuschauen bzw. Dich mal "schlau" in die Materie einzulesen. Ich war auch Gott froh das ich diverse Fragen im Forum stellen konnte - aber vieles steht auch in der gut gemachten Mono-Doku, hier in diesem genialen Tutorial oder auch sonst wo im www. Ohne Klug###en zu wollen, aber ein klein wenig sich "durchbeißen" sollte schon sein bzw. gerade bezüglich Deiner letzten Frage...was meinst Du wie viele Ursachen es haben kann das du nicht online kommst?...bitte konkreter. Und bitte ohne *push*
Kollisionskurs
Kollisionskurs May 02, 2009 at 17:05:22 (UTC)
Goto Top
GabbaGandalf
GabbaGandalf May 02, 2009 at 22:43:24 (UTC)
Goto Top
In der Doku steht es nicht drin. Habe es aber inzwischen selber hinbekommen.
Habe jetzt nur noch das Problem, das mein WLAN zwar erkannt wird, wenn ich aber eine Verbindung mit dem AP herstellen möchte probiert mein Lappi es zwar ziemlich lange, bleibt dann aber stehen auf "Eingeschränkte oder keine Konnektivität".
In meinem "richtigen" Router ist auch WLAN und damit klappt alles einwandfrei.

Hier mal ein Screenshot:
http://www.abload.de/img/wlanb08u.jpg

Wo könnte das Problem liegen?

MfG und vielen Dank. Sonst läuft im übrigen alles perfekt!
aqui
aqui May 03, 2009 at 15:18:38 (UTC)
Goto Top
Antwort bereits per PM verschickt, damit hier das Tutorial nicht unnötig aufgebläht wird.

Bitte generell technische Detailfragen per PM stellen !!

Gabba um nochmal den Text der PM kurz zu wiederholen:
Du hast vermutlich vergessen:

a.) Den DHCP Server für den Adapter "WLAN" zu aktivieren, das geht unter ""Services -> DHCP Server" !! Eingeschr. Conn. bedeutet immer das der Client keinen DHCP Server sieht !!

oder

b.) Vergessen der Firewall eine Regel einzutragen um Daten vom "WLAN" Interfac zu forwarden. Firewallüblich ist alles dort (im Gegensatz zum LAN Interface) geblockt !!

Oder a.) und b.)
Ist das berücksichtigt sollte alles sauber laufen. Bitte weitere Detailfragen per PM !!!
GabbaGandalf
GabbaGandalf May 08, 2009 at 22:03:50 (UTC)
Goto Top
Hallo nochmal,
eine Frage in die Runde:

Hat es jemand hinbekommen einen syslog Server lokal auf dem Alix aufzusetzen? Habe nicht so die Lust extra noch einen PC danebenzustellen nur fürs Logging. Habe extra eine 4 GB Flashkarte gekauft, damit ich ein paar Jahre loggen kann.
Finde aber im Internet keine vernünftigen Anleitungen.... per exec.php bekommt man ja Zugriff auf die Shell Konsole. Damit müsste man doch was machen können oder nicht?

vielen Dank schonmal für Antworten!
raini08
raini08 May 10, 2009 at 13:51:30 (UTC)
Goto Top
Hallo zusammen,

benötige Hilfe zum Thema Firewall Rules.

Anbei Screenshot, warum läst mir die Monowall aufgrund der FW Regeln das surfen nicht zu?!

http://img17.imageshack.us/img17/6974/48381564.jpg

Die Deny Regel hatte ich auch schon am Anfang der Liste gestellt, leider ohne Erfolg.

Vielen Dank für die Unterstützung.

mfg. Raini08
tikayevent
tikayevent May 10, 2009 at 15:49:25 (UTC)
Goto Top
Du musst den Sourceport auf any lassen, weil der immer zufällig ausgewählt wird.

Gehört aber zum Standardwissen.
GabbaGandalf
GabbaGandalf May 11, 2009, updated at Oct 18, 2012 at 16:38:10 (UTC)
Goto Top
Hi nochmal an alle.
Wär schön wenn ihr mir in meinem Thread nochmal hilfe geben könntet:

Ferienwohnung vermieten - wie Internetanschluss steuern?

Ich sitze immer noch bei ein und derselben Stelle fest. Es läuft sonst einfach alles perfekt, nur das mit dem sch... Syslogging gefällt mir ÜBERHAUPT nicht.

Hoffe auf Hilfe....
Danke!!!
MCClane
MCClane May 15, 2009 at 12:12:14 (UTC)
Goto Top
Hallo

ich habe mit Begeisterung diesen Beitrag gelesen und plane m0n0wall mal zu testen.

Folgender Gedanke zum Logging ist mir gekommen.

Ist es möglich m0n0wall in einer Virtuellen Maschine laufen zu lassen?
Hat das jemand mal versucht bzw. gibt es Erfahrungen?

Folgender Hintergedanke ist das der virtuelle m0n0wall einfach sein logging an den Host Rechner sendet auf diesem dann der entsprechenente Dienst läuft. Ist das möglich oder bekomme ich da Probleme mit der virtuellen Lösung wegen Netzwerk Einrichtung etc.

Danke für Tipps und Hinweise.
kingkong
kingkong May 15, 2009 at 15:29:03 (UTC)
Goto Top
Prinzipiell möglich ist es, aber es ist eine sehr schlechte Idee, eine Firewall in einer VM laufen zu lassen. Wenn du die m0n0 nur fürs Captive Portal brauchst (vll. mit einer anderen FW davor), dann solls mir Recht sein, ansonsten würde ich das nie machen!
aqui
aqui May 16, 2009 at 08:07:03 (UTC)
Goto Top
@maclane

kingkong hat da nicht ganz unrecht. Rein technisch ist das aber kein Problem zumal es M0n0wall schon fertig als VMware Image gibt:

http://m0n0.ch/wall/download.php?file=generic-pc-1.3b16-vm.zip

Es reicht also ein vmware Player um es zu testen.
Sicherheitstechnisch sollte man da aber wissen was man macht !!
RAINERR
RAINERR May 26, 2009 at 09:11:01 (UTC)
Goto Top
Hallo zusammen,

habe folgende Situation:

Firmennetzwerk: 10.0.0.0
DSL-Router (Gateway): 10.0.0.30
DHCP und DNS über Windows-Server: 10.0.0.1
Alle Netzwerkgeräte (Rechner, etc.) hängen an Switches. Ich möchte nun den kleinen Switch in unserem Besprechungsraum Kunden und Lieferanten zur Verfügung stellen. Habe dafür einen alten Rechner mit CF und Monowall drauf. Wie kann ich das ganze so konfigurieren, dass ich die Monowall einfach zwischen Besprechungsraum-Switch und Hauptswitch hänge und die Gäste dann von mir einen Zugang bekommen?
Hatte jetzt mal die Monowall als 10.0.0.199 im LAN angelegt und kann darüber auch konfigurieren, aber wie und wo konfiguriere ich den anderen Zugang für die Gäste? Schnall es leider einfach nicht, schonmal danke für die Hilfe.

Grüße

Rainer

P.S. Hat sich erledigt, wer lesen kann ist klar im Vorteil. Bin alles nochmal Schritt für Schritt durchgegangen.
aqui
aqui May 26, 2009 at 10:16:54 (UTC)
Goto Top
Deine Lokalnetz IP 10.0.0.199 auf dem LAN Interface ist natürlich falsch , denn dein LAN ist dein Gastnetz und die Besucher sollen ja gerade NICHT auf dein Firmennetz kommen !!

Die Lösung ist ganz banal und einfach:

  • WAN Interface mit der 10.0.0.199 /24 (WAN Interface hier auf static und Gateway auf 10.0.0.30 eintragen und DNS Server im General Setup eintragen (Server oder Router) !!!) in den Hauptswitch stecken. Alternativ kannst du es auch im Modus DHCP belassen, statisch wie du es derzeit hast mit der .199 ist aber IP kosmetisch besser ! Du darfst nur Gateway und DNS Server dann nicht vergessen einzustellen !
  • Besprechungsraum Switch in das LAN Interface stecken !
  • Auf dem LAN Interface im Setup eine IP Adresse in einem anderen Netzwerk anlegen (Interfaces -> LAN klicken ) z.B. 172.16.1.254 (Maske /24) und den DHCP Server auf der M0n0wall für diesen Bereich auf dem LAN Inteface aktivieren. (Services -> DHCP Server -> LAN klicken !) mit der Range von z.B. 172.16.1.100 bis 172.16.1.150 (mehr als 50 Besucher wirst du ja vermutlich nicht haben oder ??)

Wenn du alles richtig gemacht hast sieht dein Netzwerk so aus:

87d26eeabad380e35354d956ffa3527f-rainer

Damit sollte dann erstmal ein Internet Zugang ohne CP aus dem Besprechungsraum schon möglich sein !! Mit ipconfig -all in der Eingabeaufforderung kannst du hier prüfen ob der Besucher Client die korrekte 172.16.1er IP bekommen hat von der M0n0wall !
Wenn das klappt, dann kannst du gemäss Tutorial das Captive Portal aktivieren und alles sollte problemlos laufen !!

Um das Captive Portal aus dem 10er Netz von deinem PC aus per Weboberfläche customizen zu können solltest du über die Firewall einen Filter auf die WAN Adresse erlauben die einen HTTPS Zugang (Port TCP 443) erlaubt !
RAINERR
RAINERR May 26, 2009 at 12:43:25 (UTC)
Goto Top
Muss ich sonst noch was einstellen? In der Firewall (monowall) habe ich jetzt von 10.0.0.199 auf 172.16.xxx.xxx den Zugriff über https zugelassen. Ist das richtig so? Haut irgendwie nicht hin, dass ich über IE das CP customizen kann. Ich habe da ja mehrere Optionen, NAT, Inbound, etc. Muss ich da nicht irgendwo noch eine Route eintragen, dass die IP 10.0.0.199 auf die 172.16.xxx.xxx weitergeleitet wird?

Der Rest haut jetzt aber so hin.
aqui
aqui May 27, 2009 at 07:42:56 (UTC)
Goto Top
Nein, Routen usw. muss man NICHT eintragen.
Normalerweise lässt die M0n0wall sich NUR über das LAN Interface erreichen für das Setup !!
Das WAN Interface ist durch die Firewall gesperrt !!
Hier muss man eine Ausnahme in den Firewall Rules -> WAN Interface einstellen das der HTTPS Zugriff auf die Monowall erlaubt ist !!!

Das sieht dann so aus:

191e02ba45bb55f63d096a87ef7fdb32-httpsausn

Das erlaubt dann erstmal alle Zugriffe aus dem 10.0.0.0er Netz auf die M0n0wall
Später solltest du ggf. die FW Regel etwas ändern und als Desination Port dann HTTPS angeben, dann ist die M0n0wall vom 10er netz geschützt und nimmt dort dann nur HTTPS Zugriffe an.
Im Browser gibst du dann an https://10.0.0.199 . Mit der o.a. Regel geht derzeit auch TCP 80 also normaler HTTP Zugang !

Denk nochmals dran das du unter Interfaces -> WAN ganz unten den Haken bei "Block private networks" entfernst , denn dein WAN Interface liegt ja in einem RFC 1918 Private Network 10.0.0.0 !!
http://de.wikipedia.org/wiki/Private_IP-Adresse
RAINERR
RAINERR May 27, 2009 at 09:06:26 (UTC)
Goto Top
Super!!!! Vielen vielen Dank!!! Funktioniert traumhaft. Danke nochmal, dass Du Dich trotz meines Unwissens mit meinem Problem beschäftigt hast.
aqui
aqui May 27, 2009 at 18:10:31 (UTC)
Goto Top
Dafür ist ein Forum ja da !! face-wink
RAINERR
RAINERR Jun 09, 2009 at 11:03:12 (UTC)
Goto Top
Hallo Aqui,

habe jetzt gerade Mecker vom Chef, weil er über den Switch nicht mehr ins Firmennetz kommt. Ist es möglich für einen Internen eine besondere Kennung einzurichten, die dann ins Firmennetz kann?

Danke schonmal im Vorraus

Rainer
aqui
aqui Jun 09, 2009 at 13:47:10 (UTC)
Goto Top
Ja, natürlich !! Das ist ganz einfach !!

Gib einfach seine IP Adresse (vorher im DHCP Server fest mit seiner MAC reservieren, damit sie sich nicht ändert wenn du mit DHCP arbeitest !!) oder ganz generell seine MAC Adresse im Captive Portal frei !!

Das geht entweder unter Pass Through Mac (Nur Mac Adresse)
oder unter Allowed IP Adresses (IP Adresse) im Captive Portal Menü.

Damit sollte der Cheffe dann wieder zufrieden sein face-wink
RAINERR
RAINERR Jun 10, 2009 at 05:44:06 (UTC)
Goto Top
Hallo Aqui,

habe jetzt im Captive Portal unter Pass Through Mac die Mac Adresse eingegeben. Das Internet funktioniert hervorragend, nur auf das interne Firmennetz komme ich mit dem Rechner noch nicht. Kann man das bewerkstelligen? Brauche ich dafür static routes oder NAT?
Sorry für meine ewigen Fragen.

Grüße

Rainer
aqui
aqui Jun 10, 2009 at 13:48:14 (UTC)
Goto Top
Nein, dafür musst du schlicht und ergreifend eine Firewall Regel für seine IP Adresse mit any any einrichten auf das Firmennetz als Ziel !

Ebenso natürlich rückwärts von Firmennetz (WAN Interface) auf seine IP wenn du nicht so oder so schon den Haken bei WAN Interface unten //"Block private networks"/entfernt** hast !
RAINERR
RAINERR Jun 10, 2009 at 14:09:14 (UTC)
Goto Top
Hallo Aqui,

habe Ihm eine IP über die Mac-Adresse reserviert und eine Regel mit folgenden Optionen eingerichtet:

Pass
Interface: LAN
Protocol: TCP
Source: single host (seine IP)
Destination: Wan Adress

Habe ich das so richtig kapiert? Sorry bin da nicht so bewandert.

Danke nochmal und viele Grüße

Rainer
aqui
aqui Jun 10, 2009 at 14:18:58 (UTC)
Goto Top
Nein das ist falsch !! Richtig ist:

Pass
Interface: LAN
Protocol: any
Source: single host (seine IP)
Destination: WAN
Netzwerk: 10.0.0.0 mit 24 Bit

Bitte weitere Kommentare per PM um das Tutorial nicht aufzublähen !!
can-do
can-do Jun 14, 2009 at 22:51:19 (UTC)
Goto Top
sorry, aber die download links sind alle inaktiv
so ein mist
aqui
aqui Jun 15, 2009 at 16:01:44 (UTC)
Goto Top
OK, Danke. Problem ist gefixt !
Hätte man mit ein wenig eigener Suche aber auch selber auf der Monowall Webseite finden können face-wink
Error557
Error557 Jun 24, 2009 at 18:56:39 (UTC)
Goto Top
Wunderbare Anleitung. Echt Prima.

Hab das ganze ausprobiert und bin erstaunt.
Bin jedoch nicht an ein WAN angeschlossen.
Wenn ich eine namenadresse z.B. google.de eingebe, kommt Seite konnte nicht gefunden werden, nur bei eingabe einer IP Adresse werde ich zur
Portal Seite weitergeleitet.
Gibt es abhilfe dazu??
aqui
aqui Jun 24, 2009 at 21:51:44 (UTC)
Goto Top
Ja, natürlich !
Einfach unter System -> General Setup den/die DNS Server IP Adressen statisch eintragen !!
GabbaGandalf
GabbaGandalf Jul 03, 2009 at 23:45:03 (UTC)
Goto Top
Habe auch nochmal eine Frage.
Und zwar läuft mein System echt gut - danke nochmal an aqui. Was mich allerdings doch recht stört ist folgendes:
Ich habe zwei WLANs im Betrieb.

Nummer 1.: WLAN Privat
Ist nur für mich. Ich habe mein Passwort und kann mich damit einloggen. Das ganze ist mit WEP-Schlüssel 128 bit gesichert.

Nummer 2.: WLAN Gastzugang
Ist für die Gäste und läuft über den "selbstgebauten" Router. Hier habe ich KEINE Verschlüsselung, da der Gastrechner diese Verbindung automatisch herstellen soll und das Passwort des Gastes ja im Captive Portal eingegeben werden muss.
Windows XP gibt aber an, das diese Methode nicht sicher sei. Kann man das ausschalten? Oder reicht wenn ich als WLAN-Schlüssel "gast" verwende? Würde es echt lieber ohne PW halten, wie gesagt das Gast authentifiziert sich ja mit dem Captive Portal.

danke!
aqui
aqui Jul 05, 2009 at 10:20:37 (UTC)
Goto Top
Nein, das ist ein Windows spezifiches Problem und hat mit dem CP eigentlich nichts zu tun.

Windows warnt generell mit einem Popup wenn man sich in unverschlüsselte WLANs einbucht damit auch Dummie Benutzer nochmal wirklich merken das sie in nicht gesicherten WLANs arbeiten.
Das ist eine Funktion des Windows OS das sich vermutlich wie immer mit einem Registry Eintrag auch abschalten lässt. Andere OS machen das nicht. Ggf. mal Dr. Google befragen
GabbaGandalf
GabbaGandalf Jul 05, 2009 at 21:05:07 (UTC)
Goto Top
Soll ich das denn jetzt so lassen oder als Passwort "gast" nehmen?
Was ist professioneller und wie handhabst du das?
aqui
aqui Jul 06, 2009 at 08:41:51 (UTC)
Goto Top
Der tiefere Sinn eines Captive Portals ist doch das sich die Benutzer ohne viel Fummelei wie Passwort Schlüssel oder WPA Schlüssel einfach und schnell einen Zugang verschaffen.
Folglich lässt man das WLAN also offen und ohne Verschlüsselung !!!
Die Authorisierung und Überwachung macht ja das Portal und nur da gehört zenral die Authorisierung hin !!
Sonst wäre ein CP ja vollkommen sinnlos und du kannst einen doofen AP nehmen und an die die Eingangstür ein großes Schild mit der Aufschrift:"Das WPA Passwort lautet...." hinhängen ??!!
Entweder arbeitet man dann dort mit Vouchers oder mit einem Username/Passwort was man irgendwie handhabt.

Der Windows Warnhinweis das man sich mit einem öffentlichen, unverschlüsselten WLAN verbindet kommt ja nur ein einziges Mal. Ist man einmal assoziiert und das Profil gespeichert in Windows, erscheint die Meldung beim wiederholten Connecten nicht mehr.
Bei allen anderen OS und PDAs erscheint sie so oder so nicht.

Fazit also: WLAN offen ohne alles, Username/Passwort auf dem CP (oder Vouchers)....nichts mehr !
GabbaGandalf
GabbaGandalf Jul 06, 2009 at 18:53:45 (UTC)
Goto Top
Also so lassen wie bisher.
Danke für die ausführliche Antwort!
GabbaGandalf
GabbaGandalf Aug 12, 2009 at 22:10:06 (UTC)
Goto Top
Hi,
es ist gestern eine neue m0n0wall Version herausgekommen. Der Changelog auf der Seite zeigt aber anscheinend nicht die aktuellste Version. Weiß jemand was sich in der neuen Version geändert hat? Können Logs nun dauerhaft gespeichert werden?

Viele Grüße
tikayevent
tikayevent Aug 13, 2009 at 07:55:52 (UTC)
Goto Top
  • Known issue: IPsec broken (missing library); 1.3b18 will be released soon
          • WARNING: this version (any platform) no longer fits on 8 MB CF cards! (>= 16 MB required)
          • When upgrading from generic-pc 1.2x, you must install 1.3b7 first before you install this image. Other platforms are not affected.
          • Converted from BRIDGE to if_bridge. Removed multi-interface bridge check, and checkbox under System > Advanced for filtering bridge since member interfaces will now always be filtered
          • fixed a problem with ipnat refusing to create new RDR translation entries in the NAT table if a MAP entry exists for the same port, even though that check is probably only meant to check for existing RDR entries. This fixes issues with SIP communication when there is an inbound NAT mapping for port 5060. (see also http://marc.info/?l=ipfilter&m=121749272404107&w=2)
          • fixed problems when using advanced outbound NAT rules with destination matching (non-FTP connections were processed by the ipnat FTP proxy, leading to slowness, lost connections, rogue ICMP host unreachable messages etc. because ipfilter requires an additional match statement on the destination port when using proxies)
          • fixed DHCP lease page to only show the last lease for a given IP address (see dhcpd.leases(5))
          • fixed for IPv6 pages in user/group manager
          • show IPv4 gateway on Status: Interfaces page (was removed inadvertently)
          • fixed bug with IPv6 subnets in firewall rules
          • added device msk to kernel configuration
          • updated base system to FreeBSD 6.4
          • avoided PEAR dependency and fixed DHCPv6 range check when interface is not configured with a v6 address
          • put logging back in for anti-spoof block rule
aqui
aqui Aug 13, 2009 at 09:55:38 (UTC)
Goto Top
Danke für das Update tikayevent !
Das wichtigste ist wohl das der Bug mit der Fehlerhaften Konfig der IP Adressen übers Web im Beta Release gefixt ist.
Bis dato muss man immer über den Umweg gehen die Sicherungs XML Datei von Hand zu editieren.
Wichtig ist hier das VPN User diese Version NICHT einsetzen wegen des kaputten IPsecs.
Hier gilt also: unbedingt auf die 1.3.18 warten !
GabbaGandalf
GabbaGandalf Aug 17, 2009 at 02:15:27 (UTC)
Goto Top
Hat inzwischen jemand eine Lösung zu dem Problem gefunden, das die Logs nicht dauerhaft gespeichert werden? In meinem Fall bringt das ganze ja nichts wenn die Logins nicht dauerhaft gespeichert werden. Ich brauche ja den Zeitstempel und das Passwort damit ich (im Falle eines Falles) der Staatsanwaltschaft die Daten des Mieters geben kann.
tikayevent
tikayevent Aug 17, 2009 at 05:53:27 (UTC)
Goto Top
Wer sagt denn bitte schön, dass du das Passwort speichern musst in deinen Logs?

Irgendwo weiter oben ist die Voratsdatenspeicherung erklärt, müsste sogar ich gewesen sein, der das hier geschrieben hat, also ab nach oben und nochmal lesen.
mideastd
mideastd Aug 17, 2009 at 06:16:56 (UTC)
Goto Top
Hat jemand eine Idee, wie ich die zwei folgenden Punkte realisieren kann?

1.) Wie kann ich monowall dazu überreden, dass die Syslog-Daten an eine dynamische IP im Internet gesendet werden können (z.B. über DYNDNS), da ich den Kiwi-Syslog-Server nicht am selben Ort betreibe wie die m0n0wall

und

2.) wie kann ich es anstellen, dass die Online-Zeit bei der Nutzung von Voucher-Codes unterbrochen werden kann und nicht weiter läuft, auch wenn ich den "Disconnect"-Button anklicke.
esc444
esc444 Aug 19, 2009 at 10:22:21 (UTC)
Goto Top
Hi,

Habe mich mittlerweile schon ziemlich exzessiv mit der monowall beschäftigt und diesen Fred schon rauf und runtergelesen. Im Prinzip läuft auch alles wie es soll (auf einem Alix 2d1 board) nur hab ich das banale Problem dass der DHCP Server nach mehrfachen Anfragen aufhängt. Ich stecke das Kabel abwechselnd in 2 verschiedene PCs und lasse ihnen eine IP zuweisen. Das funktioniert dann etwa 3-6 mal und dann kommt plötzlich eingeschränkte Konnektivität und er bekommt keine IP mehr. "ipconfig /renew" nutzt dann auch nichts, selbst wenn ich die IP manuell vergebe bekomme ich keine Verbindung zur monowall hin. Nach einem reboot klappt dann wieder alles. Wenn er verbunden ist funktioniert auch alles über stunden hinweg perfekt, nur wenn ich ein paar mal IPs vom DHCP server anfordere hängt es sich nach einigen versuchen auf und dann geht bis zum reboot nichts mehr. Hab die monowall auch schon auf factory defaults gesetzt und alles auf standartkonfiguration gelassen aber trotzdem dasselbe Problem. Das Alixboard ist nagelneu, kann sich das jemand erklären oder hat ähnliche erfahrungen gemacht?
gruß
Esc444
aqui
aqui Aug 19, 2009 at 10:55:26 (UTC)
Goto Top
Hilfreich wäre noch die Info deiner SW Version die du benutzt ?? face-sad
Mit der Beta Version sind diese Probleme nicht bekannt !!
Benutzt du ggf. einen Vista Rechner und ist das:
http://support.microsoft.com/kb/928233/de
dein Problem ??
Kollisionskurs
Kollisionskurs Aug 19, 2009 at 11:02:26 (UTC)
Goto Top
was steht im Log??

steht dort: dhcpd: commit_leases: unable to commit: No space left on device ????

Bitte prüfe, wenn dies das nächste Mal vorkommt, die Grösse und ggf.
den Inhalt der Lease-Datei in /var/db/dhcpd.leases.

Du kannst über http://m0n0wall/exec.php
mit dem Befehl "ls -l /var/db" die Grösse sehen, und über die Downloadfunktion die Datei auch herunterladen, um zu sehen, was da alles drinsteht.

Grundsätzlich schreibt ISC-DHCP immer ans Ende der Leasedatei (dadurch gibt es natürlich Duplikate und der letzte Eintrag gilt jeweils); damit die aber nicht beliebig gross wird, wird sie von Zeit zu Zeit neu geschrieben (das sind dann diese sporadischen Logmeldungen). Ab der m0n0wall Firmware 1.3b16 haben die Entwickler auf ISC-DHCP 4.0 gewechselt (für DHCPv6- Unterstützung); möglicherweise hat diese Version ein Problem mit dem Neuschreiben der Lease-Datei bzw. oder die RAM-Disk ist zu klein. Sollte aber in der jetzigen Version behoben sein.
esc444
esc444 Aug 19, 2009 at 11:04:57 (UTC)
Goto Top
Hi,
also ich benutze das aktuelle image embedded-1.3b18.img

Den PC schließe ich als Fehlerquelle aus, da ich es sowohl auf einem Vista als auch XP rechner ausprobiere..

Habe gerade sogar nochmal die CF-Karte neu bespielt und nur die network ports assigned, sonst nichts eingestellt. Kabel rein, IP sofort da, perfekt. steck ich das kabel in den anderen PC um, klappt es schon nicht mehr. kabel wieder in den ersten pc, gehts da auch nicht mehr, irgendwas hängt sich da auf der Box auf.

Würde gerne auch mal eine ältere Version der monowall testen, auf m0n0.ch finde ich aber nur die neuste embedded. mit dem generic image bekomme ich am terminal nur kryptische zeichen, hast du vlt noch ein älteres embedded image rumfliegen oder ne ahnung wo ichs herbekomme? Für weitere Tipps bin ich natürlich auch offen, vlt gibts ja ne einstellung in der konfiguration mit der ich das problem umgehen kann...

gruß
esc444

@Kollisionskurs:
das problem ist, dass sobald der Fehler auftritt, ich ja nicht mehr auf die weboberfläche draufkomme, erst wenn ich die box reboote und dann sind die logs ja weg. Gibts ne Möglichkeit die über die Konsole anzeigen zu lassen? Nach einem reboot und den ersten noch funktionierenden dhcp leases sehen die logs noch normal aus, in der dhcpd.leases stehen ein paar einträge drin und die file ist auch nur wenige byte groß, kann mir nicht vorstellen dass es nach paar versuchen später zu Problemen wegen der Größe kommen kann..
aqui
aqui Aug 19, 2009 at 11:55:07 (UTC)
Goto Top
Das <edit>.17er Image </edit> solltest du nicht nehmen dort ist IPsec kaputt und noch anderes mehr.

Flashe dir das aktuelle Stable Image 1.2.35 und checke das nochmal. Mit einer Beta 1.3b16 tritt das Problem de facto auf dem gleichen Board nicht auf !
tikayevent
tikayevent Aug 19, 2009 at 12:04:21 (UTC)
Goto Top
1.3b17 war das kaputte, 1.3b18 ist das reparierte.
esc444
esc444 Aug 19, 2009 at 17:44:36 (UTC)
Goto Top
ist echt zum verzweifeln, habe jetzt mal die 1.3b15 draufgeflashed (hier gibts einige ältere images falls es jemand interessiert: http://m0n0.4nix.at ) und es hat auch viel länger funktioniert als bisher. dachte schon das Problem wäre gelöst aber auch hier ging irgendwann als ich umgesteckt habe die ip vergabe nicht mehr. Habe jetzt den zweiten Netzwerkport auch in Betrieb und festgestellt dass bei einem "absturz" auch nur der entsprechende Port betroffen ist, der andere port funktioniert trotzdem weiterhin. ist aber nicht immer derselbe port der abstürzt, mal geht der eine nicht mehr, mal der andere. Nach reboot laufen beide wieder.

Durch den zweiten funktionierenden Port konnte ich jetzt auch mal in die Logs schauen, nachdem ein Port abstürzt. Wenn der PC am "abgestürzten" Port eine IP anfordert, wird hier kein einziger Eintrag erstellt, es scheint also nichtmal die Anfrage bei der software anzukommen. Daher vermute ich fast dass es ein Hardware problem sein muss, was natürlich seltsam ist bei nem nagelneuen board.


@aqui: würde gern auch mal die stable ausprobieren, welches image muss ich denn da nehmen für mein alix board? auf der herstellerseite steht ja bei der stable "This version won't work on ALIX boards! Please use the latest 1.3b version."
Hab mal die generic-pc-1.235.img ausprobiert, bleibt er beim booten nach der hardwareinitialisierung aber stehen.

gruß
Esc444
aqui
aqui Aug 21, 2009 at 11:02:52 (UTC)
Goto Top
So, habe mal ein Alix Board mit der aktuellen 1.3B18 geflasht und alles auf Werkseinstellungen (Defaults) gesetzt.
Dann den Test gemacht wie du oben beschrieben hast:
  • 3 verschieden XP Rechner wechselweise auf den LAN Port aufgesteckt und wieder zurückgesteckt...DHCP Funktion einwandfrei !
  • Zwischendurch ein MacBook aufgesteckt und wieder zurückgesteckt...DHCP Funktion einwandfrei !
  • Eine Cisco Catalyst 2924 Switch als DHCP Client konfiguriert....DHCP Funktion einwandfrei !
  • Knoppix Live CD gebootet auf einem der XP Rechner und angeschlossen....DHCP Funktion einwandfrei !
  • Zum Schluss Vista probiert....DHCP Funktion einwandfrei !

Mehr Clients kann man vermutlich nicht testen an der gleichen Hardware die du verwendest und überall funktioniert die DHCP Adressvergabe tadellos !
Man kann also nur vermuten das an deinen Windows Clients irgendetwas nicht stimmt oder die Kartentreiber dort buggy oder nicht up to date sind.
esc444
esc444 Aug 21, 2009 at 11:41:17 (UTC)
Goto Top
hi aqui,

Danke für den ausführlichen test, aber bei mir funktioniert DHCP ja auch überall, 2 verschiedene xp, vista, knoppix, bartpe, bis dann nach einigen vergaben der port nicht mehr funktioniert, und dann funktioniert er für alle systeme nicht mehr. nach einem reboot gehts wieder, liegt also definitiv am board. Da ich auch schon die verschiedensten images probiert habe, alle auf default einstellung, muss es eigentlich an der hardware des alixboards liegen. Ich werds beim händler reklamieren und dann nochmal probieren..
gruß
Esc444
aqui
aqui Aug 21, 2009 at 16:45:09 (UTC)
Goto Top
OK, nach 5 Stunden kontinuierlicher Laufzeit des Bords alle o.a. Tests wiederholt und alles rennt fehlerfrei.
Da ist vermutlich wirklich was an deiner Hardware !
Tabaluga1
Tabaluga1 Aug 27, 2009 at 05:23:51 (UTC)
Goto Top
Hallo Zusammen, erst einmal vielen Dank für den super Thread hier!
Habe soweit alles in der Grundkonfiguration laufen.
Jetzt habe ich noch einige Fragen:
1. Ich habe zwei alte PCs getestet und alles funktioniert, leider bekomme ich aber auf keinem der beiden eine Ausgabe über den Com Port, weder mit Null-Modem, noch normalem Seriellen-Kabel, habe auch schon sämtliche Einstellungen des Com Ports durchexerziert, auch Hyperterm und Putty, ......, funktioniert das überhaupt mit einem normalen PC?
2. Hat jemand mal einen Screencopy von den Einstellungen hierfür:

Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man sucht und es funktioniert trotzdem alles.

Bin leider nicht besonders firm mit Firewall Einstellungen.

Viele Grüße

Ralf
tikayevent
tikayevent Aug 27, 2009 at 06:40:10 (UTC)
Goto Top
Die Umleitung auf die serielle Konsole schaltet der glaube ich nur, wenn der Bootloader keine Tastatur entdeckt.
Tabaluga1
Tabaluga1 Aug 27, 2009 at 08:32:59 (UTC)
Goto Top
Danke für die schnelle Antwort, aber es funktioniert immer noch nicht, hat jemand noch einen anderen Tip?
Sind bei der Installation der monowall die Parameter schon vorkonfiguriert? (Geschwindigkeit, Flusskontrolle)

Und evtl. noch Infos zu meiner 2. Frage?

Gruß
Ralf
tikayevent
tikayevent Aug 27, 2009 at 08:45:54 (UTC)
Goto Top
Ich schau gleich mal in meinem Postfach nach, da müsste das in einer der Mailinglist-eMails drinstehen
aqui
aqui Aug 27, 2009 at 14:33:32 (UTC)
Goto Top
Thema serielle Konsole:
Von Hyperterm solltest du besser die Finger lassen, denn das hat oft Probleme mit nicht funktionierendem Flow Control.
Nimm besser TeraTerm !
Leider ist die Doku nicht ganz klar was die Baudrate auf einer PC Hardware anbetrifft aber nach der Masse ist das 9600 Baud.
Ein Alix Board steht z.B. de facto auf 38400 Baud. Es gibt also Unterschiede scheinbar.
So oder so solltest du auch bei falsche Baudzahl wenigstens Hieroglyphen sehen auf dem Terminal.
Wichtig sind die anderen Einstellungen:
8 Datenbits
1 Stoppbit
keine Parity
KEINE Flusskontrolle weder Hardware noch Software !
Es ist möglich das ein Konsol Output wirklich nur ohne Tatstatur kommt normalerweise sollte es aber parallel kommen. Ggf. mal mit einem Schnittstellentester checken.
Ansonsten bleibt dir ja immer das Web Interface...
tikayevent
tikayevent Aug 27, 2009 at 19:31:12 (UTC)
Goto Top
Die serielle Konsole auf Standard-Hardware ist noch nicht so lange eingeführt und die kommt bei m0n0wall erst, wenn der Bootloader merkt, dass da keine Tastatur angeschlossen ist. Eine Ausgabe auf dem Monitor kann sein, aber aktiviert wird die Konsole erst bei fehlender Tastatur.
Tabaluga1
Tabaluga1 Aug 28, 2009 at 14:46:40 (UTC)
Goto Top
Allso auf dem einen PC (Compaq en 866) bekomme ich es nicht hin, das die Serielle Console mitloggt. Console ist ok, habe ebn mal meine Dreambox drangehängt.
Werde später mal den anderen PC testen.

Aber trotzdem nochmal zu der anderen Frage:

Was gebe ich hiermit frei und von wo nach wo:
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router erlaubt
ThorstenTS
ThorstenTS Aug 28, 2009 at 22:15:30 (UTC)
Goto Top
Hallo @ all,

ich beobachte den Fred hier jetzt schon einige Zeit und muss sagen, das mir viele Beiträge hier doch schon einiges an Zeit und Kopfzerbrechen erspart haben.

Da die Frage bzgl. Voucherausdruck hier schön öfters gestellt wurde, dachte ich mir auch mal etwas beizutragen und mein gebasteltes Excel File bereit zu stellen.

Der Downlink ist: http://ts-telecom.net/voucherdrucker.xls

Es ist eigentlich alles selbsterklärend, es können 12 Codes eingefügt oder automatisch gezogen werden und diese als Coupons etwas optisch schöner ausgedruckt werden.

Ich hoffe ich kann hiermit dem einen oder anderen helfen etwas Zeit zu sparen.

Thorsten
Tabaluga1
Tabaluga1 Aug 29, 2009 at 09:08:56 (UTC)
Goto Top
Hallo Thorsten,

vielen Dank, kann ich gut gebrauchen!

Ich werde nur langsam an diesen Firewalleinstellungen verrrückt, ich bekomm es nicht hin vom WAN aus auf die WEB-Gui zuzugreifen.

Hier meine Config: WAN Adressse der M0n0wall: 10.153.198.254 Router: 10.153.198.1 Netmask: 255.255.255.0

LAN Adresse der M0n0wall: 192.168.122.1

Was muss ich zusätzlich zur Standartinstallation an den Rules ändern, damit ich von der WAN Seite aus auf das Web-Gui zugreifen kann und von der LAN Seite aus dies unterbinde?
Ralf
aqui
aqui Aug 29, 2009 at 15:42:05 (UTC)
Goto Top
Hallo Ralf
Der Zugang ist ganz einfach einzurichten ! Folgende Schritte sind dafür notwendig:

1.) Menü Interface -> WAN hier unten unbedingt den Haken bei "Block private networks" entfernen, denn du benutzt ja mit deiner 10er Adresse ein RFC_1918_Privates Netz auf dem WAN Port !

2.) Im Menü Firewall -> Rules gibst du jetzt auf dem WAN Interface ganz einfach den Zugriff vom Netzwerk 10.153.198.0 /24 auf das WAN Interface frei für die Ports TCP 80 und TCP 443 !
Das sieht dann so aus:

8f00d8f11cf81d2dad26ab78abf86e18-monozugang

Das erlaubt dir mit http://10.153.198.254 oder https://10.153.198.254 auf die Monowall zuzugreifen !
Wenn du nur HTTPS erlauben willst, dann löschst du den Port 80 eben wieder. Falls du etwas mehr freigeben willst nimmst du als Zielport any any.

Auch hier gilt als goldenen Regel: Immer in das Firewall Log sehen !!
Damit sieht man immer welche Ports geblockt sind und wo es kneift, bzw. was man freigeben muss !!
Tabaluga1
Tabaluga1 Aug 29, 2009 at 17:28:24 (UTC)
Goto Top
Hallo Aqui,

vielen Dank, so funktioniert es!

Ich muss mir das noch mal durch den Kopf gehen lassen...........


soooo, jetzt hab ich verstanden........, vielen Dank für Eure Hilfe!


Viele Grüße

Ralf
christianW
christianW Sep 04, 2009 at 23:04:04 (UTC)
Goto Top
Hallo zusammen,
ich habe eben durch Zufall diese Anleitung/Beitrag gefunden. Ich habe schon für den hier gennanten Einsatzbereich Lösungen gesucht, die meist zu teuer waren. Von Lancom wurde auf der Cbit auch ein hauseigenes System vorgestellt.

Was mich aber bevor ich dies alles ausbprobiere interessiert ist, in der Anleitung ist oben erwähnt:

Zitat:"Eine sehr interessante und nützliche Funktion des Portals ist die Verwendung von sog. Vouchers (Einmalpasswörtern). Hotels, Campingplätze, Cafes oder Firmen die externe Gäste haben können so eine Voucher ID vergeben die einem Gast den einmaligen und zeitlich limitierten Zugang erlaubt. Nach Ablauf dieser Zeit wird der Zugang getrennt. Erst mit einer neuen Voucher ID ist der Zugang wieder benutzbar."

hier steht das ein Voucher sagen wir für 12Stunden gültig sein soll, wenn der Kunde allersings dieses nur pro Tag bei einem Aufenthalt von 10Tagen nur 1 Stunde nutzt ? Werden die einzelnen Logins zusammen addiert ?
Im Zitat aus der Anleitung steht EINMALIGEN UND ZEITLICH LIMITIERT ? Denn Kunden bleiben ja keine 12Stunden am Stück online sondern möchten dies verteilt nutzen.

Gruß
danke für Infos
Fatboy
Fatboy Sep 05, 2009 at 08:38:36 (UTC)
Goto Top
Die Gültigkeitsdauer des Vouchers kannst du selber auswählen und auch verschiedene Vouchersätze mit unterschiedlichen Zeiten erstellen (wir haben z.B. 1h und 24h zum Verkauf). Wenn das Voucher durch Eingabe ins Captive Portal aktiviert wird, beginnt die voreingestellte Zeit zu laufen. Eine Summation der tatsächlich gentzten Zeit findet nicht statt.
Alternativ kannst du aber auch Benutzer mit Passwort erstellen und sagen, an welchem Datum der Account auslaufen soll (Enddatum festlegen). Dies wäre dann was für Gäste die vielleicht mehrere Tage bleiben.
Tabaluga1
Tabaluga1 Sep 06, 2009 at 16:12:13 (UTC)
Goto Top
Hallo Leute, habe auch dank Eurer Hilfe alles ans Laufen bekommen.
Noch folgende Frage:

Vor der Firewall habe ich das 10.153.198.0 Netz, Admin PC ist der 10.153.198.251
Hinter der Firewall im Gastnetz befinden sich zwei Access Points mit den Adressen 192.168.1.150 und 192.168.1.160
Wie stelle ich die Firewall ein, dass keiner der Gäste an diese Adressen kommt, also zum Beispiel von 192.168.1.50 zu 192.168.1.150
und
dass ich nur aus dem Netz 10.153.198.0, bzw. nur vom PC 10.153.198.251 die Access Points administrieren kann (über http)?
Viele Grüße
Ralf

Leider hab ich keine Möglichkeit gefunden hier ein paar Screenshots hochzuladen, daher umschreibe ich einmal welche Einstellungen ich vorgenommen habe, die aber bisher erfolglos geblieben sind.

Inbound NAT:
WAN TCP 50080 192.168.1.150 80 (HTTP) Coniguration WN802Tv2 Foyer
Firewall Rule WAN:
TCP 10.153.198.0/24 * LAN net 80 (HTTP)
Firewall Rule LAN:
TCP LAN net * * 50080
aqui
aqui Sep 10, 2009 at 14:39:49 (UTC)
Goto Top
Die beiden APs kannst du nur über VLANs isolieren von den Gästen sofern sie das Feature supporten, was billige Consumer APs meist aber nicht tun.
Da bleibt dir dann nur im Setup das Pingen am LAN zu deaktivieren und ggf. den Webzugriff auf HTTPS umzustellen sofern die APs das supporten. Da die Management Interfaces der APs auf dem gleichen Draht sind wie die Gäste helfen da nur gute Passwörter wenn du die o.a. Festures nicht hast.

Zugriff aus WAN Netz:
Vergiss das NAT, das benötigst du nicht und solltest du wieder entfernen !
Eine Firewall Rule die Zugriff ohne Port Einschränkung auf die beiden APs aus dem 10.153.198.0 /24 Netz erlaubt sieht dann so aus :

c9f28148a2d9b56e64470318fd05ede8-monofilter

Damit klappt der Zugriff auf die .50 oder .150 dann problemlos !
tikayevent
tikayevent Sep 10, 2009 at 16:43:34 (UTC)
Goto Top
Die neueren m0n0wall-Versionen ermöglichen auch mehrere IPs auf einem Interface. Mit einem Mini-Subnetz, was parallel dazu liegt, könntest du das Management auslagern.

Sprich die APs bekommen eine komplette andere IP-Adresse als die Gäste, sollte am besten in unterschiedlichen Klassen liegen (na toll, damit macht man wieder das klassenlose InterDomain-Routing kaputt face-big-smile).

Wenn jetzt ein Gast sämtliche IPs in seinem IP-Bereich abscannt, sollte er den AP nicht finden. Das würde er nur können.

Die meisten APs ermöglichen es auch, den Port des Managementinterfaces zu verlagern.


Ich gebs ehrlich zu, ich nutz sehr gerne TP-Link-Router. Qualitativ zwar der letzte Dreck, aber die kosten nichts und haben im vergleich zu manch anderem LowBudget-Router etliche Funktionen. U.A. kann man das Webmanagement abschalten.
Tabaluga1
Tabaluga1 Sep 10, 2009 at 19:32:20 (UTC)
Goto Top
@tikayevent

Das wäre evtl. eine Möglichkeit, wobei der eine Access Point direkt per Kabel angeschlossen ist und der andere als Repeater arbeitet.

Viele Grüße

Ralf
Tabaluga1
Tabaluga1 Sep 10, 2009 at 19:38:45 (UTC)
Goto Top
@aqui

Super,

vielen Dank, werde es morgen gleich mal testen,

obwohl ich glaube, dass ich bei meinen vielen gestesteten Variationen diese auch schon dabei hatte......,

naja Hauptsache es funktioniert jetzt endlich! Habe mich die letzten Abende nur mit dieser Sache beschäftigt. ;-(

Ist ja auch kein Problem die Config wieder zurückzuspielen, falls jemand die Access Points als eine Herausforderung ansieht....

Viele Grüße

Ralf
Tabaluga1
Tabaluga1 Sep 10, 2009 at 20:16:52 (UTC)
Goto Top
tikayevent
tikayevent Sep 10, 2009 at 21:32:32 (UTC)
Goto Top
Sollte kein Problem darstellen.
maddin24
maddin24 Sep 11, 2009 at 21:37:43 (UTC)
Goto Top
Ich bin auch momentan dabei ein HotSpot Poral mit der hier beschriebenen Lösung einzurichten.
Zum Thema logging habe ich auch schon in den Beiträgen einiges gelesen...

Allerdings stellt sich mir noch eine Frage:
Ich drucke ja die Vouchers aus und gebe sie einem Gast XY in die Hand. Angenommen der jenige treibt illegale Sachen und mir flattert eine Abmahnung ins Haus, dann habe ich doch in dem SysLog nur stehen das eine bestimmte Voucher-ID zu einer bestimmten Zeit online war. Ich habe aber keine Verbindung zwischen Gast XY und Voucher-ID und weiß auch nicht welcher eingeloggte User mit welcher IP im Internet kommuniziert hat.
Wie sichere ich mich für sollch einen Fall ab? Reicht es vlt. eine Liste zuführen welcher Gast (Personalausweis zeigen lassen) welches Voucher gekauft hat? Was ist Richtig?

Dankeschön schonmal fürs Antworten und ein großes Lob an den Ersteller der Anleitung!

Gruß Martin
tikayevent
tikayevent Sep 12, 2009 at 00:06:14 (UTC)
Goto Top
Das ist nicht nötig. Du musst in dem Fall nur nachweisen, dass du selbst nicht der Verursacher warst.

Weiter oben habe ich geschrieben, was du gesetzlich loggen musst, darüber hinaus musst und darfst du auch nichts loggen (zumindest nicht ohne Zustimmung des Kunden).
maddin24
maddin24 Sep 12, 2009 at 14:01:17 (UTC)
Goto Top
Ahh danke für die Antwort, das ist doch Gut face-smile
Hast du dafür noch eine Quelle, wo ich das nachlesen kann?

Hätte nicht gedacht das man sich so einfach aus der Verantwortung ziehen kann...
tikayevent
tikayevent Sep 12, 2009 at 14:07:07 (UTC)
Goto Top
maddin24
maddin24 Sep 12, 2009 at 14:40:52 (UTC)
Goto Top
Das bezieht sich doch aber nur auf die Vorratsdatenspeicherung, oder?
Was ist mit diesen ganzen Sache bezüglich illegalem Filesharing? Das wurde doch auch vor dem (neuen) Gesetz schon verfolgt, weil die Provider gespeichert haben wann wer welche IP zugeteilt bekommen hat.

Sorry aber das ist mir noch nicht wirklich klar...
tikayevent
tikayevent Sep 12, 2009 at 14:55:10 (UTC)
Goto Top
Die Vorratsdatenspeicherung war nur eine Erweiterung der vorhandenen Verkehrsdatenspeicherung. Vorher wurden die nur für Abrechnungszwecke gespeichert, höchstens aber 80 Tage. Danach mussten die spätestens vernichtet werden. Bei Flatrate-Kunden direkt.

Jetzt müssen diese Daten einfach nur 6 Monate gespeichert werden, Umfang wie vorher auch.
maddin24
maddin24 Sep 12, 2009 at 15:22:00 (UTC)
Goto Top
Und der Umfang ist bei den Providern einfach so größer als bei mir als HotSpot-Anbierter?
Das habe ich aus dem Wikipedia Artikel noch nicht wirklich rausgelesen...
tikayevent
tikayevent Sep 12, 2009 at 15:34:42 (UTC)
Goto Top
Nö, die Provider halten sich genauso an die Richtlinien die ich dir geschickt habe wie du als Hotspotanbieter.

Identisch bei beiden Typen:

- die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse - Bei der Einwahl/der Anmeldung vergebene IP-Adresse (öffentlich oder privat)
- den Beginn und das Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone

unterschiedlich:

Provider:

- eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt - interne Anschlussnummer des Providers/Telefonnummer/Benutzername


Hotspotanbieter:

- eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt - Gutscheincode/Benutzername/MAC-Adresse des Notebooks

Zu mehr bist du nicht verpflichtet. Wenn du mehr machen oder sogar filtern würdest, könnte das sogar rechtliche Probleme für dich haben, wenn du den Kunden nicht darauf hinweist.
maddin24
maddin24 Sep 12, 2009 at 16:12:30 (UTC)
Goto Top
Aha ok, danke für die Antwort.

Mein Verständisproblem war halt, dass beim Provider die Daten bis auf den Namen/Anschrift des jeweiligen Users zurückverfolgt werden können, bei mir jedoch nicht...
tikayevent
tikayevent Sep 12, 2009 at 16:47:02 (UTC)
Goto Top
Das ist halt über die Verbindung der Verkehrs- und Bestandsdaten möglich. Müssen die nicht, können die aber.
GabbaGandalf
GabbaGandalf Sep 18, 2009 at 01:44:05 (UTC)
Goto Top
Hallo nochmal!
Ich habe nun schon den zweiten Auftrag bekommen eine m0n0wall mit Captive Portal einzurichten. Die Teile sind heute gekommen und funktionieren soweit.
Einziges Problem:
Ich habe 2 LAN Anschlüsse, ich müsste aber 4 haben da in 4 verschiedenen Räumen der Zugriff auf das Captive Portal ermöglicht sein muss.
Wie bekommt man soetwas hin?

Ich habe übrigens folgendes Board gekauft:
PC Engines ALIX.2D3

Hoffe auf Antwort!
Danke!
tikayevent
tikayevent Sep 18, 2009 at 06:24:44 (UTC)
Goto Top
Das Gerät heißt Switch, kost zwischen 5 und 20000€ und kann aus einem Port mehrere machen.
GabbaGandalf
GabbaGandalf Sep 18, 2009 at 06:50:31 (UTC)
Goto Top
Hallo,
das es soetwas gibt habe ich gewusst. Muss ich einfach den Switch anschließen und es funktioniert alles?
tikayevent
tikayevent Sep 18, 2009 at 07:02:32 (UTC)
Goto Top
Ja
aqui
aqui Sep 18, 2009 at 11:10:42 (UTC)
Goto Top
Und damit du auch alles richtig machst beim Zusammenstecken hier nochmal ein Bild für Anfänger...

1d38f134726e243373a1d45c96e19034-mono-switch

Einfach ein Ethernet Kabel vom LAN Port der Monowall in einen Switchport stecken und gut ist ! Auf die restlichen Switchports steckst du dann deine Geräte oder wieder Switches in den Räumen oder Accesspoints oder, oder, oder....
GabbaGandalf
GabbaGandalf Sep 18, 2009 at 17:48:10 (UTC)
Goto Top
ok angefangen von dem Stecker neben dem Netzteilanschluss:
1. neben dem Netzteilanschluss: Router
2. mittlere Buchse: Mein Office PC (soll nicht über m0n0wall surfen)
3. vom Netzteilanschluss am weitesten entfernt: Switch, von dort aus dann weiter an die Gästezimmer die das Captiveportal sehen sollen.

Ich benutze für ALLE Verbindungen Patchkabel, oder?

MfG und danke!
Fatboy
Fatboy Sep 18, 2009 at 18:05:07 (UTC)
Goto Top
Du hast wirklich keine Ahnung von Computern und Zubehör, oder? Kann garnicht verstehen, dass dich Leute beauftragen, irgendwas an Rechnern oder Netzwerken zu machen. Bei deinen Fragen, denke ich manchmal du willst uns verar.....!

Und ja, für die Netzwerkverbindungen nimmst du CAT5 Patchkabel und frag bitte nicht, was CAT5 bedeutet.
GabbaGandalf
GabbaGandalf Sep 18, 2009 at 18:27:42 (UTC)
Goto Top
Was willst du denn?
Das war eine ganz normale Frage....

Ich könnte es auch so machen:
Router Port 1: Office PC
Port 2: m0n0wall Router

m0n0wall Router Port neben Netzteilanschluss: Routerverbindung
mittlerer Port: Switch für die restlichen PCs im Netzwerk.

Ist denke ich mal die bessere Variante.
aqui
aqui Sep 19, 2009 at 10:46:28 (UTC)
Goto Top
So, nun nochmal eine Zeichnung für Dummies. Damit sollte dann wirklich nichts mehr schiefgehen....

69309b0ba5e11071194a9bbb2a51f0c1-gandalf

So ist es am sichersten !
Natürlich kannst du den Office PC auch ins WAN Segment setzen, allerdings ist er dann nicht mehr geschützt für Zugriffe aus dem Gastnetz.
Besser also das 3te Interface des Monowall Alix Boards dafür zu nehmen. (Auch hier darf natürlich wie oben am LAN Interface auch wieder ein Switch angeschlossen sein, wenn das Office etwas größer ist...!)

Achtung: Beim 3ten Interface hast du keine freie default Accessliste wie auf dem LAN
Interface !!! Hier ist alles geblockt wie bei einer Firewall immer üblich !
Du musst hier also in den Firewall Rules dein dort verwendetes IP Netz mit der Destination any Regel freigeben, damit der oder die Office PCs "raus" können !!
GabbaGandalf
GabbaGandalf Sep 19, 2009 at 13:41:56 (UTC)
Goto Top
Hallo aqui,
vielen Dank für deine Antwort.
Beim 3. Interface habe ich doch dann aber das Problem das ich auch ein Passwort eingeben muss um ins Internet zu kommen oder?
Warum ist deine Methode "sicherer" als diese:

Router Port 1: Office PC
Port 2: m0n0wall Router

m0n0wall Router Port neben Netzteilanschluss: Routerverbindung
mittlerer Port: Switch für die Gäste im Netzwerk.

Liebe Grüße!
maddin24
maddin24 Sep 20, 2009 at 09:49:15 (UTC)
Goto Top
Vielleicht kann auch ich dir die Fragen beantworten face-smile

Du legst immer nur ein Inferface fest, auf dem die Anmeldeseite erscheint. Beim 3. Interface kommst du also ganz normal ohne Passwort ins Internet.

Die Methode von aqui ist sicherer, weil dort der Netzwerkverkehr der Gäste nicht durch das Netz geleitet wird, in dem auch dein Office-PC steht. Das würde nämlich möglichmachen, dass einer der Gäste Zugriff auf deinen PC bekommt.


gruß martin
aqui
aqui Sep 21, 2009 at 08:07:24 (UTC)
Goto Top
Dank an maddin24 ! Besser hätte man es nicht beschreiben können face-wink
(@Gabba...nur ein Tip: Du solltest nochmal etwas besser das Grundlagen Handbuch der M0n0wall lesen !!)
http://doc.m0n0.ch/handbook/
Dort ist eigentlich das alles haarklein erklärt....
mangaman
mangaman Sep 23, 2009 at 06:32:47 (UTC)
Goto Top
Hallo vielleicht könnt ihr mir weiterhelfen, ich habe folgende Problematik, möchte die m0n0wall für einen Gastzugang einrichten, doch verstehe ich nicht ganz wie sich die Gäste connecten sollen, es soll das firmeninterne Netzwerk benutzt werden, ich habe dafür auch den APs eine zweite SSID eingerichtet die nicht über Radius läuft sondern normal über WPA 2, aber so müsste ich den Gästen den WPA2 Schlüssel geben und das möchte ich nicht!? Kann ich den WPA2 Key nicht irgendwie übergeben??? Oder wie gewährleiste ich das die Gäste ohne Eingriff in ihre Einstellungen auf das Captive Portal zugreifen können!?
Fatboy
Fatboy Sep 23, 2009 at 19:40:57 (UTC)
Goto Top
Wurde hier in dem Beitrag schon erörtert, siehe Frage 05.07.2009 und Aqui's unmissverständliche Antwort vom 06.07.2009. Also viel Spaß beim Lesen!
aqui
aqui Sep 26, 2009 at 09:45:31 (UTC)
Goto Top
@mangaman
Fatboy hats ja schon beschrieben. Nur nochmal soviel:
  • Ein Captive Portal/Hotspot wird in der Regel ohne Verschlüsselung betrieben. Gerade um die Administration möglichst gering zu halten. Eine Übermittlung des WLAN Schlüssels ist somit obsolet, da gar nicht verschlüsslt wird. Das WLAN ist offen !! Eine Verschlüsselung konterkariert den Sinn und Nutzen eines Hotspots ! Für die Datensicherheit sind die Nutzer des CPs/Hotspots dann immer SELBER verantwortlich mit VPNs etc. (Siehe Hinweis in der CP Webseite !) !
  • Ein Captive Portal ist sowas wie eine "Zwangswebseite" ! Deine Benutzer machen also nur ihren PC an, starten ihren Browser IE oder Firefox usw. und bekommen dann automatisch ohne deren Zutun die Login Webseite auf den Browser. Hier machst du dann eine Authorisierung wie oben beschrieben um Unbefugte nicht das offene WLAN zu lassen. Wie du die Authetisierung machst mit einem lokalen Usernamen, Passowrt, Radius Abrage oder mit den Einmal Passwörtern (Vouchers) bleibt dir dann überlassen...such dir das für dich schönste aus !!
warnket
warnket Sep 30, 2009 at 11:15:31 (UTC)
Goto Top
Hallo, ich will in einer Pension (4 Wohnungen) ein WLAN breitstellen. Generell wollte ich den WPA-Key an die jeweiligen Mieter verteilen, bin dann über das notwendige Logging in diesem Thread gelandet.

Dazu meine Frage: Hier ist in einem Beitrag vom 22.07.08 zu lesen, dass Logging wahlweise direkt auf dem Alix-Board/CF-Karte oder auf einem externen Rechner möglich ist. Weiter unten steht dann, es geht nur über externen Rechner/Syslog Server. CF-Karte wäre mein Favorit, da kein 24/7 PC vorhanden ist.

Was ist richtig?

Gruss
aqui
aqui Oct 01, 2009 at 10:29:16 (UTC)
Goto Top
Das Logging geschiht so im CP selber aber mit einem Round Robin Log. D.h. das hat einen begrenzten Speicher, was bei einer CF Karte ja auch Sinn macht und überschreibt dann ältere Log Einträge wenn die max. Grenze erreicht ist.
Du musst also Sorge tragen die Logs regelmässig zu sichern.

Die Alternative ist die Logs per Syslog wegzuschreiben. Dazu gibtst du im CP einfach nur die IP Zieladresse des Syslog Servers ein. Wo der steht ist egal sofern er übers Netz erreichbar ist.
Hier kannst du dann soviel Logs mitschreiben wie deine Festplattenkapazität hergibt. Also Syslog Server kannst du einen Linux Rechner verwenden der das gleich mit System an Bord hat oder eine freie Syslog SW für Winblows wie z.B. den Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
esc444
esc444 Oct 01, 2009 at 15:22:19 (UTC)
Goto Top
Hallo,

Kennt jemand eine Möglichkeit das Captive Portal auf 2 Interfaces laufen zu lassen? Mein Problem ist, dass das Hotel für das ich die Monowall einrichte sowohl WLAN anbietet, als auch Netzwerkdosen in den Zimmern hat. Falls jemand also Probleme mit WLAN hat oder vielleicht sogar gar kein WLAN Adapter im Laptop, bekommt er an der Rezeption ein Netzwerkkabel und kommt über den Weg rein.

Habe jetzt also den LAN Port an meinem Alix für das Gästenetz, daran hängt der Hauptswitch von welchem es in die Zimmer geht, funktioniert super. Jetzt ist noch eine minipci wlan karte dem OPT1 Interface zugewiesen, funktioniert auch. Problem ist, dass ich mich in den Captive Portal Einstellungen für LAN oder OPT1 entscheiden muss, will es aber auf beiden Interfaces betreiben. Mir ist klar, dass ich nen extra Accesspoint mit an den Hauptswitch hängen kann ergo über den LAN Port laufen lassen kann. Habe mich jetzt aber schon mit der Idee der eierlegenden Wollmichsau angefreundet, vorallem weil die wlan funktion ja auch schon einwandfrei über die monowall funktioniert. den OPT1 einfach mit LAN zu bridgen würd mir auch reichen, dann lässt sich das captive portal aber nicht mehr aktivieren, bzw bei aktivierten captive portal lassen sich die Ports nicht bridgen.

verzwickte Lage :D
tikayevent
tikayevent Oct 01, 2009 at 17:42:13 (UTC)
Goto Top
Auf 2 Interfaces ist es nicht möglich. Du könntest höchstens versuchen, 2 Interfaces zu bridgen. Technisch sieht es die Software aber nicht vor. Ist ein Limit des Betriebssystems und der Komponenten, die ins Captive Portal hineinspielen.
esc444
esc444 Oct 01, 2009 at 18:23:52 (UTC)
Goto Top
bridgen lässt er wie gesagt nicht zu, wenn das captive portal auf dem zu bridgenden interface aktiv ist. Schade, ist ein ziemliches manko, da hab ich schon nen accesspoint integriert und muss trotzdem noch einen externen dahinterschalten...naja sei's drum
aqui
aqui Oct 01, 2009 at 18:35:07 (UTC)
Goto Top
Ja das ist leider eine Limitierung der MW ! Im Tutorial wird aber oben darauf hingewiesen das man dann eine abgesetzte AP Installation verwenden sollte.
Bei einem derzeitigen Preis von nur 24 Euronen für einen simplen AP ist das ja auch leicht zu verschmerzen...
http://www.alternate.de/html/product/Netzwerk_Access_Points/TP-LINK/TL- ...
GabbaGandalf
GabbaGandalf Oct 07, 2009, updated at Jan 08, 2015 at 16:47:45 (UTC)
Goto Top
Hallo nochmal,
ich richte jetzt nochmal eine m0n0wall ein. Ich bin nach

69309b0ba5e11071194a9bbb2a51f0c1-gandalf

vorgegangen und habe dementsprechend meine Komponenten wie folgt verkabelt:

Rechts (LAN) habe ich im moment meinen Desktop angeschlossen, mit dem richte ich derzeit die MW ein. Ich kann problemlos auf den Router zugreifen. Später soll an diesen Port ein Switch angeschlossen werden, anschließend sollen die Gäste dann über das Captive Portal mit einem Voucherpasswort ins Internet gelangen.

Mittlerer Port (WAN) verbunden mit dem Router-Modem.

Linker Port: Per Crossoverkabel mit meinem Notebook verbunden. Später soll dieser Port dann für MEINEN Heimrechner dienen. Ich möchte natürlich direkt ins Internet gelangen ohne ein Passwort eingeben zu müssen.

Nun habe ich in der m0n0wall unter Interfaces -> OPT 1 eine Brücke mit WAN eingestellt.

Unter Captive Portal habe ich anschließend zunächst einen Haken bei "Enable captive portal" gemacht, danach bei den Radiobuttons "Local user manager" ausgewählt und zum schluss eine HTML Datei bei "Portal page contents" ausgewählt. Wenn ich nun auf Save klicke kommt folgende Meldung:

The captive portal cannot be used when one or more interfaces are bridged.

Wie behebe ich den Fehler? Natürlich könnte ich bei Interfaces -> OPT 1 einfach die Bridge rausnehmen, dann komme ich aber mit meinem Notebook (später meinem PC der NICHT über das Captive Portal surfen soll) ins Internet.

EDIT: Ich habe mir gerade nochmal das Tutorial durchgelesen.
Ich habe ja vor einiger Zeit gefragt was besser ist:
Meinen Heimrechner an den dritten Port der MW anschließen oder halt an das Router-Modem. Nachdem ich zuerst eine etwas patzige Antwort bekommen habe hat mir ja zum Glück ein User gut geholfen!!

Nun lese ich im Tutorial aber das hier:

" Wer keine sichere DMZ Variante benötigt, kann auch ein etwas einfacheres Szenario aufbauen wie dieses hier:
b48fced1dd81f8544fa563baa6b5676b-mono2

Nun frage ich mich aber: Benötige ich solch eine "sichere DMZ Variante"? Angenommen ich änder den Port um auf den Adminbereich der m0n0wall zuzugreifen und dazu änder ich die Logindaten. Meinem Routermodem verpasse ich ebenfalls andere Logindaten. Der Gast surft dann quasi nur über die m0n0wall (Captive Portal) und anschließend über das Router-Modem.
Wäre das unsicher?
aqui
aqui Oct 08, 2009 at 07:15:09 (UTC)
Goto Top
Erstmal vorweg: Du gehst vollkommen falsch vor und hast wohl auch ein paar Defizite im Verständnis von Firewalls, sorry !

1.) Das o.a. Szenario ist KEINE sichere Lösung für deinem Heim PC. Warum ??
Wie jeder Laie auf den ersten Blick sehen kann geht ja der gesamte Traffic der Gäste/Besucher auf das WAN Segment wo auch den Heim Rechner angeschlossen wäre. Es ist also ein leichtes damit deinem Heim Rechner aus dem Besucher Netz zu erreichen bzw. zu attackieren !
Fazit: Ein sicheres Heim Netz gehört an den 3ten OPT1 Eingang um ihn vom Internet Segment und auch vom Gast Segment sicher abzutrennen !!!

2.) Das OPT1 Interface mit dem WAN zu bridgen ist vollkommener Unsinn. Damit ist nichts gewonnen an Sicherheit, denn eine Bridge arbeitet nur auf MAC Adressen. Gast/Besuchertraffic kann so wiederum wie bei 1.) problemlos den Heimrechner erreichen da nur gebridged wird.
Fazit: Keinerlei Sicherheit ! Kein Bridging sondern ein weiteres IP Segment benutzen !

So gehst du richtig vor:
1.) Dem OPT1 Interface ein separates IP Netzwerk zuteilen was du NICHT verwendest auf der Firewall ! z.B.:
WAN: 192.168.1.0 /24
LAN: 172.17.1.0 /24 (FW = .254)
OPT1: 172.17.100.0 /24 (FW = .254)
Für das OPT1 Netzwerk wie fürs LAN den DHCP Server aktivieren unter Services -> DHCP Server Range für OPT1 eintragen usw.
Das Captive Portal wird NUR für das Gastnetz (LAN) aktiviert ! Du im OPT1 willst ja OHNE Captive Portal raus...was soll das also auf dem OPT1 Interface ??
Für dein OPT1 Interface musst du nun noch eine Firewall Rule definieren, das du raus darfst. Zusätzliche Interfaces außer dem LAN Interface sind wie bei Firewalls üblich immer gesperrt. Folglich ist hier eine Firewall Rule zwingend erforderlich damit dein Heim PC ins Internet kann !
Die Regel lautet: Pass, Interface OPT1, Source / Protokoll: any / any (Oder 172.16.100.0 / any), Destination / Protokoll: any / any.
Das wars !!
Damit ist dein Heimnetz (OPT1) sicher geschützt vor den Gästen !
So wird ein Schuh draus....nicht anders !
GabbaGandalf
GabbaGandalf Oct 08, 2009 at 14:30:32 (UTC)
Goto Top
Hallo nochmal,
wollte gerade den DHCP Server für OPT 1 einrichten. Leider weiß ich nicht was ich unter IP-Range eintragen soll. Habe schon mehrere IP Ranges probiert, leider immer derselbe Fehler:
"The specified range lies outside of the current subnet."

Hier mal nen Screenshot:
http://www.abload.de/img/iprange15l4.jpg

Sorry für die blöden Fragen face-confused-alt
Habe mich da noch nicht so richtig eingearbeitet.

VIelen Dank für die nette Hilfe!!!
Grüße,
Gabba

EDIT: Was sagt zB /24 etc aus? Das ist ja nicht der Port wie man zunächst denkt.
tikayevent
tikayevent Oct 08, 2009 at 14:45:45 (UTC)
Goto Top
Die Subnetzmaske ist falsch. Unter OPT1 im Menü musst du aus 255.255.255.254 was anderes machen. Standard wäre 255.255.255.0.
GabbaGandalf
GabbaGandalf Oct 08, 2009 at 17:12:18 (UTC)
Goto Top
Aber unter Interfaces -> OPT 1 steht bei IP gar nicht 255.255.255.254 sondern 172.17.100.0 /24

EDIT: Wenn ich doch 255.255.255.0 eingebe und dann bei DHCP Server eine IP Range eingebe kommt folgender Fehler:
http://www.abload.de/img/iprange2f4r3.jpg

Btw: Habe OPT 1 in Office umbenannt face-smile
Fatboy
Fatboy Oct 08, 2009 at 20:49:31 (UTC)
Goto Top
Subnet: 192.168.100.0 (z.B. oder 10.99.12.0)
Subnet Mask: 255.255.255.0 (= /24)

...halte dich doch lieber an die Anleitung als an Sachen rum zu spielen von denen du keine Ahnung hast (z.B. Bridge). Ausserdem hatten wir gesagt Patchkabel und KEIN CrossOver.

Also auch mal googeln und sich mit den Basics beschäftigen, sonst verstehst du das nie und wir schreiben uns die Finger wund, was du eintippen bzw. anhaken musst.

Hast du das mit dem Umbennen alleine hingekriegt oder hast du das bei http://forum.m0n0.ch erfragt face-wink Sorry der musste sein, aber da kannst du auch mal in Ruhe lesen.
GabbaGandalf
GabbaGandalf Oct 08, 2009 at 21:31:49 (UTC)
Goto Top
Aber ich kann doch nirgendswo Subnet eingeben ?!
Weder unter Interfaces -> OPT 1 noch unter Services -> DHCP Server.
tikayevent
tikayevent Oct 08, 2009 at 21:58:48 (UTC)
Goto Top
Die Subnetzmaske wird in der CIDR-Schreibweise angegeben.
255.255.255.0 := /24
255.255.0.0 := /16
255.0.0.0 := /8

Die IP-Adressen 255.0.0.0 - 255.255.255.255 sind keine korrekten IP-Adressen. Die ist für besondere Zwecke reserviert.
GabbaGandalf
GabbaGandalf Oct 08, 2009 at 22:55:46 (UTC)
Goto Top
Das wusste ich bereits. Ich weiß nur nicht WO ich das nun eingeben soll. Unter Interfaces -> OPT 1 muss bei IP Adresse was stehen?
172.17.100.0 /24
zB?
Wenn ja:
Was muss dann bei der DHCP Konfiguration bei IP-Range rein?
http://img1.abload.de/img/iprange15l4.jpg

Das ist ja das Problem das ich habe.
aqui
aqui Oct 09, 2009 at 07:45:16 (UTC)
Goto Top
Mensch Gabba, du bist aber ein besonders schwerer Fall...!! Dein Fehler ist deine falsche Subnetzmaske !! die du in der OPT Interface Konfiguration angegeben hast !
Dort muss 255.255.255.0 stehen also 24 Bit oder /24. Du hast dort aber 31 Bit (255.255.255.254) angegeben was vollkommener Unsinn ist, denn das Subnetz besteht so nur aus 2 Adressen was logischerweise Unsinn ist !! Klar das die M0n0wall dann meckert das die Range außerhalb des IP Netzes liegt.., tut es ja auch durch deinen Subnetzmaskenfehler !! Korrigier das und du hast dein Erfolgserlebnis !!
So hier nochmal die finale Erklärung für Dummies:

Interface aktivieren wie du es hier im Beispiel siehst, Bridge with none, IP Adresse eingeben 10.1.1.254 (Beispiel hier) Maske 24 Bit (255.255.255.0, 3 mal 255 = 3 mal 8 Bit = 24 Bit, das bedeutet auch ein "/24" !)
Das sieht dann in der Konfig im Menü Interfaces so aus:
70325938acdeb73563ec7cdbafcd96e1-mono1

So, nun wechselst du im Menü in Services -> DHCP Server !
Oben siehst du nun das Interface Heimnetz (Haben wir ja oben in der Description so genannt !) dann dieses Interface oben auswählen....
Nun rechts den Haken enable setzen !
Jetzt nur noch die Range eingeben mehr ist nicht zu tun !
Beispiel hier:
Netzwerk: 10.1.1.0 mit einer 24 Bit Maske also / 24 oder 255.255.255.0 !
Als Range (DHCP Bereich wo der DHCP Server Adressen vergibt !) nehmen wir dann mal die 10.1.1.100 bis zur 10.1.1.150.
Save klicken.... fertig bist du !!
Das sieht dann so aus wenn man es richtig macht:
726fdefdb49933f7e79e586a1c6cb742-mono2

Wenn du ehrlich bist kann das doch ein Erstklässler zusammenklicken, oder ??
Lies dir also dringend nochmals das Wiki zur IP Adressierung (speziell zum Thema Subnetzmasken) durch, damit sowas hier nicht wieder vorkommt !!
http://de.wikipedia.org/wiki/IP-Adresse
Okawango
Okawango Oct 10, 2009 at 09:07:25 (UTC)
Goto Top
Zitat von @aqui:
So gehst du richtig vor:
1.) Dem OPT1 Interface ein separates IP Netzwerk zuteilen was du
NICHT verwendest auf der Firewall ! z.B.:
WAN: 192.168.1.0 /24
LAN: 172.17.1.0 /24 (FW = .254)
OPT1: 172.17.100.0 /24 (FW = .254)
Für das OPT1 Netzwerk wie fürs LAN den DHCP Server
aktivieren unter Services -> DHCP Server Range für OPT1
eintragen usw.
Das Captive Portal wird NUR für das Gastnetz (LAN) aktiviert
! Du im OPT1 willst ja OHNE Captive Portal raus...was soll das also
auf dem OPT1 Interface ??
Für dein OPT1 Interface musst du nun noch eine Firewall Rule
definieren, das du raus darfst. Zusätzliche Interfaces
außer dem LAN Interface sind wie bei Firewalls üblich immer
gesperrt. Folglich ist hier eine Firewall Rule zwingend erforderlich
damit dein Heim PC ins Internet kann !
Die Regel lautet: Pass, Interface OPT1, Source / Protokoll: any / any
(Oder 172.16.100.0 / any), Destination / Protokoll: any / any.
Das wars !!
Damit ist dein Heimnetz (OPT1) sicher geschützt vor den
Gästen !
So wird ein Schuh draus....nicht anders !



Herzliches Grüßgott!

Situation ist folgende: Ich habe die Aufgabe eine Hotspot-Lösung aufzubauen. Vorgegangen bin ich nach obiger Anleitung (ganz oben) bis zu dem Punkt, wo es hieß das Firmennetz vom Gastnetz zu trennen, damit es sicher ist. Es liegt mir vor: Ein Kabelmodem von UPC für den Internet-Zugang, einmal ein DI-524 und ein Siemens SE551 WLAN Router und eine Alix m0n0wall Fertiglösung vom varia-store mit WLAN-Antenne. Das Firmennetz läuft über den Siemens Router, der direkt im Kabelmodem hängt. Zu Anfang habe ich die WLAN Schnittstelle eingerichtet, wie ganz oben, als würde ich das ALIX in den Gästeraum hängen und die Gäste würden über das ALIX die Verbindung mit dem Internet aufrufen, diese Idee habe ich allerdings dann verworfen, als ich zwar schon Zugang ins I-Net über das ALIX angesteckt am Siemens Router hatte, aber las, dass das keine gute Idee ist.

Ich habe also folgende Lösung vorgestellt: Kabelmodem | m0n0wall | Siemens SE551 als Bridge am LAN port des ALIX | der DI-524 als "Switch" für das Firmennetzwerk an OPT1 (DMZ Schnittstelle) | im WAN Port des ALIX das Kabelmodem für Internet

Das LAN Netzwerk der m0n0wall würde also als das Gastnetz fungieren, WLAN wäre für den Firmenbereich (weil im Büroraum das ALIX Board steht, beim Kabelmodem und DI-524), am LAN Port nach 50m Kabel hinge dann der SE551 im Bridge Modus, der das Signal im Lokal für die Gäste verteilt, die über CP ins Internet kommen.

Da fing die Schwierigkeit an: Ich habe nach Anleitung ganz oben das WLAN konfiguriert, als wäre das der AP für den Hotspot, LAN war 192.168.1.0 und Intranet war 192.168.100.0

Da ich nun zitiertes Posting las und mich das ähnlich betrifft habe ich umkonfiguriert, also WAN umgestellt auf 192.168.1.0 /24, LAN auf 172.17.1.0 /24 usw. mit dem Ergebnis, dass ich mich vom m0n0wall ausgesperrt habe unter https://192.168.1.1:54443 und nicht mehr auf das Webinterface komme. Die Reset-Taste am ALIX funktioniert nicht, ich kann die Einstellungen nicht mehr zurücksetzen.
Auch war es mir beim CP nicht möglich die logo.jpg irgendwo auf das Alix hochzuladen, nur als Bemerkung.

Netzwerkprofi bin ich zwar keiner, ich dachte mit etwas Tüftellei komme ich dahinter; vielleicht kann mir jemand anschaulich machen, wie ich noch zu einer Lösung komme. Ich könnte statt dem DI-524 für das Firmennetz auch einen 3Com Hub 8-Port verwenden, wenn das möglich ist.

PS: Wie resette ich mit Knopfdruck das ALIX, ohne es aufschrauben und die CF Karte neu flashen zu müssen?
aqui
aqui Oct 10, 2009, updated at Oct 18, 2012 at 16:39:36 (UTC)
Goto Top
Nein, natürlich musst du nicht neu flashen !! Schliess ein Terminal wie TeraTerm an, an den seriellen Port wie oben beschrieben (38400 Baud, N81) und setze die Monowall über das Terminal Menü auf die Werkseinstellungen zurück. (RESET)
Alternativ schliess einen PC am LAN Interface an und connecte von dort das Websetup, das sollte auch klappen sofern du keine ACL auf dieses Interface gelegt hast !

Nun zu deiner korrekten Umsetzung:
Der Siemens Router soll nur als dummer Accesspoint fürs Gastnetz arbeiten, richtig ??
Wie man das einstellt kannst du #comment-toc3 HIER nachlesen !
Dein Netzwerk sollte dann so aussehen:
d5d72afef260f32e1fe61f8268273758-firma2
..ist das so richtig ??
Was bei dir leider nicht ganz klar ist ist die Tatsache ob das Firmennetz auch per LAN angebunden wird ???
Folgende Punkte musst du machen: (Annahme: Firmen LAN hängt mit dran über Kupfer)
  • Alle Segmente bekommen ein eigenes IP Segment ! KEIN Bridging !!!
  • Die IP Adresse auf dem WAN Port kommt per DHCP automatisch vom Kabelprovider ! Wichtig ist hier das Modem einmal stromlos zu machen wenn die FW angeschlossen ist um den Mac Adresscache im Modem zu löschen !
  • Das eingebaute WLAN (Firmen WLAN) bekommt also auch ein eigenes Netz (hier: 192.168.10.0 /24) Damit gibt es keinen Stress das Firmen LAN und WLAN im gleichen IP Netz ist !!

So wird ein Schuh draus !! Nicht anders !
Achtung: Bedenke das das OPT1 Interface und auch das interne WLAN Interface immer vollkommen geblockt sind per default !!
Du musst zwingend für diese Interfaces also immer erst eine ACL (Firewall Regel !) zur Öffnung erstellen damit der Zugang ins Internet und auf die Konfigurations Webseite der FW erlaubt ist ! Wie das geht ist oben beschrieben !
Vergiss das nicht und sieh dir immer das Firewall Log an damit du weisst wo es kneift !!
Okawango
Okawango Oct 10, 2009 at 18:48:07 (UTC)
Goto Top
Zitat von @aqui:
Der Siemens Router soll nur als dummer Accesspoint fürs Gastnetz
arbeiten, richtig ??

richtig. Den habe ich in den Bridge-Modus konfiguriert. Ich habe bei MW dem LAN brav die IP 192.168.1.0 zugewiesen (war ja standardmäßig .1.1), frage mich aber, wie die Bridge dann 192.168.1.1 zugewiesen bekommt. Zugreigen kann ich auf ihn mit 1.1. nicht. ?

Was bei dir leider nicht ganz klar ist ist die Tatsache ob das
Firmennetz auch per LAN angebunden wird ???

Ja, auch mit LAN. Dank deinem erstklassigem Aufbau-Diagramm konnte ich MW im Handumdrehen konfigurieren. Vielen Dank an dieser Stelle für deine Unterstützung!!! LAN-Firmennetz: Das funktioniert wunderbar mit dem 3Com 8-Port Hub am OPT2 Eth-Port. Ich komme damit ins MW-Webinterface und auch ins Internet. Detto über das Firmen-WLAN.

Vergiss das nicht und sieh dir immer das Firewall Log an damit du
weisst wo es kneift !!

So, hier reibt sich der Kren: Ich habe den SE551 als Bridge nun am LAN Eth-Port des Alix hängen, kann über Endgeräte auch eine Verbindung mit dem zukünftigen Hotspot herstellen, aber ich komme nicht durch ins Internet. Was (zumindest für mich) interessant ist, ist auch, dass ich nachdem ich die LAN IP auf 192.168.1.0 änderte, über ein Ethernet-Kabel am LAN Port von einem Laptop aus nicht mehr ins MW-Webinterface einsteigen kann. Weder über 192.168.1.1 noch .0
So soll es eigentlich später auch sein, nur war das von mir "keine Absicht".

Beste Grüße soweit
aqui
aqui Oct 10, 2009, updated at Oct 18, 2012 at 16:39:36 (UTC)
Goto Top
Erstmal etwas Grundlegendes vorweg: 192.168.1.0 ist KEINE gültige IP Adresse !!!
Alle IP Adressen in denen alle Hostbits auf 0 sind bezeichnen das IP Netzwerk selber und nicht einen Host, dürfen folglich auch nicht als Hostardresse vergeben werden !!
Die .0 ist also vollkommen falsch als IP Adresse für die Firewall und das solltest du auch schleunigst wieder ändern auf die .1 um hier IP Adress konform zu werden !
Scheinbar hast du auch das #comment-toc3 Tutorial zum Einrichten deines SE551 Routers als normalen WLAN Accesspoint nicht wirklich gelesen, denn dann hättest du dem SE551 statisch im Setup eine feste IP Adresse außerhalb der DHCP Range der MW gegeben wie z.B. die 192.168.1.254 damit es nicht zum IP Konflikt am LAN Port kommt !
Es ist logisch und versteht sich von selbst das der DHCP Server auf dem SE551 ausgeschaltet wird in dessen Setup !

Die ganze Kren Problematik basiert also auf einer falschen und inkorrekten IP Adressvergabe deinerseits auf der MW ! .0er IP Adressen sind keine gültigen Host IP Adressen um es nochmal zu betonen.
Mit der als WLAN Accesspoint geschalteten SE551 (Übrigens: WLAN APs arbeiten immer als Bridge !) und dort deaktiviertem DHCP bekommen WLAN Clients automatsich über die MW von deren DHCP eine gültige IP.
Generell gilt die goldene Regel: ERST die korrekte Funktion des CP auf dem LAN Interface mit IP Adressvergabe usw. kabelgebunden testen und verifizieren....erst DANN den AP anschliessen und alles per WLAN checken !
Dann funktioniert es auch problemlos !
Okawango
Okawango Oct 11, 2009, updated at Oct 18, 2012 at 16:39:37 (UTC)
Goto Top
Zitat von @aqui:
Scheinbar hast du auch das #comment-toc3 Tutorial zum Einrichten deines SE551 Routers als normalen WLAN Accesspoint
nicht wirklich gelesen, [...] Es ist logisch und versteht sich von selbst das der DHCP Server auf dem SE551 ausgeschaltet wird in dessen Setup !

Stimmt, hatte ich nicht gelesen: Dummer Fehler mit eingeschaltetem DHCP und dynamischer IP am AP *doh*
Ich habe es jetzt hingekriegt und es funktioniert alles, wie es soll. Auch das logo.jpg habe ich einfach hochladen können, der Hotspot ist einsatzbereit.

edit: Ja, wird alles gut! face-devilish
aqui
aqui Oct 12, 2009 at 07:37:59 (UTC)
Goto Top
Alles wird gut !! face-wink
Woiabuer
Woiabuer Oct 14, 2009, updated at Oct 18, 2012 at 16:39:38 (UTC)
Goto Top
Hallo zusammen,

ich habe vor CP für unsere ferienwohnung einzurichten.

Palanung:
http://www.bild.me/bild.php?file=4199507neu.jpg
(gestrichtelt => WLAN)

Meine Fragen
1. Könnte ich auf dem Server mitloggen und gleizeitig andere Dienste darauf laufen lassen ???

2. Wie sieht es mit der IP-Vergabe aus

3. Welche Firewall - Regeln bräuchte ich ???

danke schon mal

gruß woiabuer

=> hier gehts weiter
tikayevent
tikayevent Oct 14, 2009 at 07:39:10 (UTC)
Goto Top
Lies dir bitte die Anleitung durch, dann sollten sich die Fragen 2 und 3 erübrigen.

Desweiteren solltest du dir als allererstes den Kommentar von Dani gaaanz oben anschauen. Noch über der Anleitung. Danach bitte beachten.
GabbaGandalf
GabbaGandalf Oct 24, 2009 at 12:09:27 (UTC)
Goto Top
Ich wollte nun die Firewall Settings für OPT1 konfigurieren.
Leider steht in dem Manual nix....
http://doc.m0n0.ch/handbook/firewall.html

Wie bekomme ich es hin das bei OPT1 NICHTS geblockt wird? Das das quasi genauso offen ist wie der LAN Port?
Halt ohne Einschränkungen nach draußen.

danke!
tikayevent
tikayevent Oct 24, 2009 at 12:29:35 (UTC)
Goto Top
einfach eine Pass any from any to any Regel einbauen

Desweiteren solltest du dir als allererstes den Kommentar von Dani gaaanz oben anschauen. Noch über der Anleitung. Danach bitte beachten.
Okawango
Okawango Nov 10, 2009 at 19:31:03 (UTC)
Goto Top
> Mein Netzwerk sieht so aus:
d5d72afef260f32e1fe61f8268273758-firma2

Ich habe nun auf einem Hub im IP Adressenbereich 192.168.100.1 einen MFC-7440N Drucker/Scanner von der Firma Brother hängen.
Wie kann ein Firmen-WLAN User (IP Bereich 192.168.10.1) nun dieses Gerät im Netzwerk finden und verwenden?

EDIT: Sorry, kann gelöscht werden - Aha-Ereignis. Bin selbst draufgekommen. Lösung hier auf Anfrage eines Users:

Nachdem ich im m0n0wall GUI alle attached devices (irgendwo ein Menüpunkt "DHCP ...") mir habe anzeigen lassen, konnte ich den Drucker im Netz identifizieren und recht simpel dessen Druckertreiber in Windows XP installieren und ihn somit nützen
http://666kb.com/i/be0ifsigi9ebhsn73.jpg

(ich habe es nicht geschafft innerhalb 8 Minuten Suchen ein Bild hochzuladen. Daher bitte anklicken.)

EDIT2: Manchmal reißt mir auf XP-Rechner im Firmen-LAN die Verbindung ab. Ohne für mich erkennbaren Grund. Hat es etwas mit der Vergabe der IP-Adressen über DHCP zu tun eventuell? Ein Firmenrechner mit Vista Home Basic zeigt bisher keine ähnlichen Symptome?!
Mann-IT
Mann-IT Nov 16, 2009 at 00:12:58 (UTC)
Goto Top
Hallo Leute,

erstmal sehr gute Anleitung.

Leider hat das ganz einen Hacken, in Hotels oder Ferienwohnungen oder sonst öffentlichen W-LAN wo man den Zugang an dritte per Voucher freigibt ist es leider nicht zu gebrauchen.

Warum? Ganz einfach es besteht keine Verbindung zwischen der Voucher ID und eine angeforderten IP Adresse und dies ist das wichtigste überhaupt.
Man kann zwar den Gast eine Eigene Voucher ID zuweisen, aber was nützt es dann wenn man diesem nicht den Rechtsverstoß z.b Ip Adresse die er angefordert hat zuordnen kann, so ist man leider wieder als Betreiber dran face-sad
Auch der Syslog Server macht dies nicht.

Vielleicht habe ich es auch nur übersehen, und jemand weiß wie es geht.
Gruß Mario
tikayevent
tikayevent Nov 16, 2009 at 07:36:50 (UTC)
Goto Top
Warum? Ganz einfach es besteht keine Verbindung zwischen der Voucher ID und eine angeforderten IP Adresse und dies ist das wichtigste überhaupt.

Tjaa, da vertust du dich. Das zu speichern ist ohne Einwilligung des Benutzers verboten, weil das unter den Datenschutz fällt. Um einen Hotspot zu betreiben brauchst du dich nur an den Gesetz der so genannten Vorratsdatenspeicherung halten, welcher ganz klar sagt, was du wie lange gespeichert haben musst. Mehr oder weniger ist verboten.

Du darfst dir noch nicht mal aufschreiben, welcher Kunde welche VoucherID bekommen hat, da Datenschutz.

Weiter oben hab ich irgendwo geschrieben, was laut Vorratsdatenspeicherung gespeichert werden muss und dies wird von der m0n0wall auch aufgezeichnet.
GabbaGandalf
GabbaGandalf Nov 16, 2009 at 15:36:25 (UTC)
Goto Top
hi,
bin nun mit der m0n0wall soweit fertig. Habe gerade noch ein paar Einstellungen gemacht, damit die Gäste nicht alle Ports nutzen können sondern nur bestimmte.
Einerseits funktionierts, wenn ich z.B. mit ICQ bzw QIP online gehen möchte geht das nicht (ist im moment gewollt um zu testen).
Andere Ports die ich freigegeben habe funktionieren auch, soweit alles gut.

Ich habe aber das Adminmenü auf Port 4643 gelegt. Obwohl der Port nicht frei ist komme ich über das Gästenetzwerk drauf?!??

Habe euch mal ein paar Screenshots gemacht:
http://www.abload.de/image.php?img=screen1nquv.jpg
http://www.abload.de/image.php?img=screen21tsb.jpg
http://www.abload.de/image.php?img=screen3tpyj.jpg
http://www.abload.de/image.php?img=firewall0s0o.jpg

Ich hoffe ihr könnt mir helfen.

Danke schonmal.

P.S. ich habe hier mal meine Konfig gepostet:
http://nopaste.info/3cf7676c28.html

Gibt es irgendwo sicherheitslücken?
Ich möchte halt am LAN Port einen Switch anschließen sodass dort die Gäste surfen können. Am OPT1 Port (den habe ich Heimnetz genannt) möchte ich meinen Office Rechner anschließen. Ich möchte natürlich ohne irgendwelche Beschränkungen im Netz surfen.

Gibts da noch etwas zu verbessern?
tikayevent
tikayevent Nov 16, 2009 at 16:37:47 (UTC)
Goto Top
Dazu steht etwas in der Anleitung von aqui und es gibt einen Kommentar dazu von mir:

Bei dir ist die Anti-Lockout-Regel noch aktiv, die musst du vorher abschalten.
GabbaGandalf
GabbaGandalf Nov 16, 2009 at 16:51:05 (UTC)
Goto Top
Hi,
das mit der Anti Lockout Regel habe ich noch nicht verstanden. Was genau bringt das? Die Gäste kommen doch [i]eigentlich[/i] ich in das Admin Interface, ich habe schließlich den Port nicht freigegeben. Was genau bewirkt die Anti Lockout Regel?
Und wie kommt das das ich aufs Webinterface zugreifen kann obwohl Port 4643 nicht freigegeben ist?
tikayevent
tikayevent Nov 16, 2009 at 16:57:43 (UTC)
Goto Top
Die m0n0wall denkt mit.

Es gibt eine Regel, welche du nicht über das normale Firewall-Rules-Interface bearbeiten kannst, die verhindert, dass du dich selbst aus dem Admin-Interface ausschließt.

Egal wie du den Port anpasst, diese Hintergrundregel wird automatisch mit angepasst.

Und wenn du dich mit m0n0wall etwas mehr als Anleitung umsetzen beschäftigt hättest, wär dir diese aufgefallen.

Disable webGUI anti-lockout rule
By default, access to the webGUI on the LAN interface is always permitted, regardless of the user-defined filter rule set. Enable this feature to control webGUI access (make sure to have a filter rule in place that allows you in, or you will lock yourself out!).
Hint: the "set LAN IP address" option in the console menu resets this setting as well.
esc444
esc444 Dec 08, 2009 at 16:34:54 (UTC)
Goto Top
Hallo zusammen!

Habe schon auf 2 Kisten M0n0wall am laufen und bin voll zufrieden. Nur die Sache mit dem DynDNS verwundert mich etwas, das Problem habe ich auf beiden Geräten, daher denke ich dass das noch ne Einstellungssache ist. Die Monowalls hängen hinter einem DSL Modem mit Router, das WAN interface ist statisch eingestellt. Wenn ich Dyndns über dyndns.org aktiviere, updated er auch die IP Adresse, schreibt da aber nicht die öffentliche IP rein, sondern die lokale IP des WAN Ports. Hatte jemand ein ähnliches Problem und weiß wie das zu umgehen ist? Oder ist das in dieser Konstellation (Monowall hinter Router und nicht direkt am Netz) gar nicht möglich?
mfg
Esco
tikayevent
tikayevent Dec 08, 2009 at 16:45:03 (UTC)
Goto Top
Das Problem ist, dass der DynDNS-Client auch nur die interne IP-Adresse kennt und daher auch nur diese übermitteln kann.

Entweder das Modem so einstellen, dass es einfach nur als dummes Modem agiert (PPPoE-Passthrough) oder den DynDNS-Clienten des Routers nehmen.
Kollisionskurs
Kollisionskurs Jan 08, 2010 at 16:24:33 (UTC)
Goto Top
Servus an alle,

Schilderung (m)eines Problems um hier vielleicht einen anderen Lösungsweg zu finden, oder um zu verhindern das andere in die gleiche Falle laufen. Seit ca. der Entstehungszeit dieser genialen Anleitung habe ich in einem kleinen Hotel eine M0n0wall --ALIX-Board Anschlüsse: WAN; LAN (Produktiv); DMZ (Gäste)-- samt Captive-Portal und Voucher LogIn erfolgreich am laufen. Das Produktiv-Netz wird direkt ins LAN gepatcht und das Gäste-Netz (DMZ) wird via WLAN angebunden - über einen Linksys Active Point.

Klappt alles wunderbar - nur...im Cafe nebenan lässt der WLAN-Empfang stark nach. Einen zweiten Acive Point zu setzen wollte ich umgehen, weil ich A. Kabel legen muss und B. soll es eine Lösung sein die quasi "on demand" eingesetzt wird. Ausserdem wollte ich nur ein einziges Funknetz. Wenn ein Gast im Cafe ins WLAN möchte, wollen wir einfach einen Repeater "in die Steckdose schieben" und die Sendeleistung wird aufpoliert - oberste Priorität.

Also, Schlau wie Schlange, habe ich mir den WLAN-Repeater von AVM besorgt - dieser erkennt das vorhandene Netz und klinkt sich dort auch wunderbar transparent ein. Der Repeater bekommt via DMZ DHCP eine IP zugewiesen und verrichtet seinen Dienst mit einer guten Funk-Leistung.

Aber: Das Teil hat seine (logisch) eigene MAC-Adresse. Angenommen drei Gäste haben sich erfolgreich via Voucher angemeldet - dann sehe ich in der Monowall (Captive Portal Log) zwar drei verschiedene zugewiesene IP-Adressen, aber nicht die drei MAC-Adressen der Gäste-Notebooks, sondern drei mal die interne MAC des AVM-Repeaters. Und das packt die M0n0wall manchmal nicht bzw. habe ich ein komisches Verhalten das manchmal gar keine Anmeldung am Portal erforderlich ist bzw. kommen die Gäste so ins Netz. Und ich will natürlich nicht meine Sicherheit durch die Portalanmeldung ausser Kraft setzen.

Genauso kann ich abhaken das die Pass-through MAC-Adressen berücksichtigt werden bzw. habe ich mein Notebook (neben dem Webradio etc.) eingetragen um vor Ort nicht jedesmal selbst einen Voucher zu verbraten / eintragen zu müssen. Verbindet sich mein Notebook allerdings über den Repeater (was automatisch passiert, der Repeater ist transparent - ich sehen nach wie vor nur ein Funknetz) dann "erbe" ich die MAC-Adresse des Repeaters - da eben jetzt einer zwischen drin sitzt. Wenn ich diese MAC-Adresse als Ausnahme eintrage würde, dann werden WLAN-User (welche den Repeater als "nähstes" Netz haben) direkt und ohne Anmeldung durchgeschleust.

DLAN/Power Lan - wie auch immer - (WLAN-Extender) ist auch keine Lösung da das Cafe an einem anderen Stromzähler hängt bzw. komme ich mit dem modulierten Signal über die Stromleitung nicht bis ans Ziel.

Seltsame Sache - hoffe das kam verständlich rüber bzw. habt Ihr vielleicht eine Idee an die ich noch nicht gedacht habe. Eine Lösung wird es schon geben (notfalls einen zweiten AP) - allerdings wäre das verstärken des vorhandenen Netzes mit einem transparanten Repater schon smart gewesen.

Grüße

Kollisionskurs
aqui
aqui Jan 09, 2010 at 12:45:24 (UTC)
Goto Top
Das ist ein normales Verhalten wenn man WDS Repeater Betrieb macht, da der WDS Repeater wie ein Papagei alle WLAN Pakete wiederholt mit seinen Daten.
Alternative wäre ein WISP fähiger Accesspoint aber auch der löst dein Problem nicht, da er NAT macht in das eigentliche WLAN und dann wieder alles hinter einer MAC versteckt. Diese Option fällt also auch weg, ebenso wie WLAN Bridging...dann bleibt nicht mehr viel und du ahnst schon wo das endet....
Power LAN wäre die zweitbeste aller Lösungen aber geht auch nicht bei dir wie du ja schreibst.
Bleibt also nur noch ein Kabel legen !! Technsich das beste aber du kommst ums Verlegen nicht drum rum.
Eine Lösung wäre aber für dich ganz flaches Ethernet Kabel wie dieses hier:
http://www.pearl.de/a-PE4199-1416.shtml?query=fibrionic%20kabel
Das kann man einfach und bequem hinter jeder Fussleiste und Bodenritze verstecken und mit Silikon sichern.
Ggf. ist auch ein Kombination denkbar, das du mit Power LAN irgendwo an die Grenze Hotel und Cafe gehst und dann mit diesem Kabel weitergehst. Es gibt auch pfiffige kombinierte Powerlan WLAN Adapter die sowas supporten.
Das würde dann deiner Option eines steckbaren WLAN auf Anforderung im Cafe sehr entgegen kommen:
http://www.devolo.de/consumer/9_dlan-wireless-extender_starter-kit_prod ...
Diese Kombination wäre perfekt wenn der WLAN/DLAN Steckadapter das Cafe noch ausleuchten kann !?!

Eine weitere Alternative wäre noch:
Nimm einen weiteren Accesspoint den du mit gleicher SSID aber 5 Funkkanälen Versatz über LAN zusätzlich ins Gast Segment in der Nähe des Cafes (soweit wie du rankommst) hängst.
Dieser AP sollte unbedingt eine externe Antennenbuchse haben wie diese APs hier oder hier z.B.
Daran schliesst du statt des Rundstrahlers eine Indoor Richtantenne an wie diese z.B.
Damit kannst du dann ggf. den Feldstärkepegel im Cafe erheblich erhöhen.
Für eins dieser Optionen musst du dich entscheiden, denn mehr Möglichkeiten hast du de facto nicht.
Sicherer und besser ist die Kabeloption denn die schafft dir im Cafe genug Feldstärke so das die Cafe Gäste auch draussen im Sommer auf der Terasse bequem surfen können face-wink
Ggf. noch die Option mit dem D-LAN/WLAN Kombiadapter (Extender) als Alternative.
Daraus folgt wie immer, das man schon VOR der Planung von Räumen sich Gedanken macht über eine gescheite Netzwerkverkabelung. OK, du hattest keine Chance da das Cafe ohne Kabel schon eher da war....vermutlich.
klingenm
klingenm Jan 10, 2010 at 00:49:46 (UTC)
Goto Top
Hallo,

hab das Teil gerade binnen 2h aufgesetzt, super Anleitung!!!!


Danke auch nochmla explizit für die Infos über die Vorratsdatenspeicherung!


Ihr habt ja echt Nerven, face-wink was hier manchmla für Fragen gestellt werden. z.b. welchen Port am Switch man nehmen muss (den Uplink jetzt mla außenvorgelassen)

Naja, jeder fängt mal klein an (zugegeben, ist auch mein erstes Linux Produktivsystem!)

Ein paar Infos zum Netzwerk:
Hab den monowallserver (alter P3( lüfterlos face-smile ) , 320MB)
und3 NIC's (z.Z. noch mit HDD, CF und Reader eben für knapp 20 Euro bestellt)
1.) PPPOE Verbindung
2.) Firmennetzwerk
3.) AP's

jetzt noch kurz die Loginpage an die CI anpassen und fertig ist das Ding.
Plane evtl noch eine slim Version der webGui zu erstellen, damit die Dame am Empfang einfacher Accounds/Voucers erstellen (und mir nicht in der config rumbastelt) kann zu proggen, ich poste es mal wenn es funktioniert.


Gibts es mitlerweile eigendlich eine Möglichkeit auf dem Server der monowall betreibt zu loggen?
Da mein Server ja noch (massig) Kapazitäten frei hat überlege ich eine VM mit eine kleinen Linuxdistribution (z.B. small linux, 50mb Gesamtgröße - mit grafischer Oberfläche und Anwendungen) zum loggen dort laufen zu lassen.
Oder evtl über exec.php n eigenen Dienst starten
Gibt es schon Ansätze in die Richtung oder wird das Ziel garnicht verfolgt? Evtl. gibt es ja einen mir z.Z. noch nicht ersichtlichen Grund lokal zu loggen :-?
kingkong
kingkong Jan 10, 2010 at 12:44:58 (UTC)
Goto Top
@Kollisionskurs: Ich frage mich gerade, warum Du nicht einfach einen x-beliebigen Router als Repeater benutzt. Denn eine Verschlüsselung hast Du ja sowieso nicht drin, wenn Du das ganze als Captive Portal betreibst, oder? Ich habs bei mir so eingerichtet, dass ein alter Sinus 154 SE die Basisstation ist und ein Sinus 154 Basic 3 der Repeater. Sind ziemlich alte Geräte, aber ohne Verschlüsselung reichen diese Geräte allemal. Und hier werden alle MAC-Adressen einwandfrei weitergeleitet.

Und vielleicht könnten zukünftige Poster den Hinweis von dani ganz oben beherzigen und jetzt hier keine neuen Posts mehr einfügen?!
tikayevent
tikayevent Jan 10, 2010 at 12:58:06 (UTC)
Goto Top
Und vielleicht könnten zukünftige Poster den Hinweis von dani ganz oben beherzigen und jetzt hier keine neuen Posts mehr einfügen?!
Ein Mod oder Admin soll hier einfach unten drunter noch einen Kommentar setzen und dann abschließen
aqui
aqui Jan 10, 2010 at 16:39:05 (UTC)
Goto Top
@kingkong
Du solltest den Thread von Kollisionskurs mal genau lesen: Ein WDS Repeater repeatet alle Frames mit seiner eigenen Mac Adresse, damit kommen dann alle Benutzer des CP mit einer gleichen Mac Adresse an und das hebelt das Login aus da das Mac basierend ist. Wenn einer drin ist kommen alle anderen ohne Login auch mit über das CP.
Deshalb scheidet ein WDS Repeater von vorn herein auswenn du keine Sicherheitslücke schaffen willst !!
Fatboy
Fatboy Jan 10, 2010 at 18:36:53 (UTC)
Goto Top
Kann vielleicht einer nochmal was zum Versions-Update sagen, um die Anleitung zu vervollständigen. Oder brauche ich nur die neue Version den Datenträger installieren und dann die "alte" Backup-Datei hochladen, um wieder alle Einstellungen zurück zu bekommen?
tikayevent
tikayevent Jan 10, 2010 at 19:00:51 (UTC)
Goto Top
Wenn man irgendein Image nimmt (Ausnahme: CD-ROM) kann man das Update direkt im Webinterface machen und die Konfiguration wird komplett übernommen. Wenn man die CD-Version nutzt einfach die CD austauschen.
kingkong
kingkong Jan 10, 2010 at 19:21:43 (UTC)
Goto Top
@aqui: Ich glaube, Du hast leider nicht verstanden, was ich meinte! Einen WDS-Repeater soll ja er eben NICHT benutzen! Mir ist schon klar, was ein WDS-Repeater macht. Aber den braucht man nur, wenn man eine Verschlüsselung drin hat, die höher ist WEP. Und für ein CP benutzt man für gewöhnlich keine Verschlüsselung. Übrigens: Genau das, was ich beschrieben habe, funktioniert bei mir so in der WG...
aqui
aqui Jan 11, 2010 at 11:08:28 (UTC)
Goto Top
@kingkong
Das ist technisch falsch was du sagst, sorry.
Erstmal hat WDS Repeating rein gar nichts mit Verschlüsselung zu tun !! Das Mac Verhalten ist so oder so immer gleich.
Zweitens geht genau das was du sagst technisch gar nicht, denn WDS Repeating ist gar nicht supportet mit WPA und WPA2 funktioniert also folglich gar nicht !
Du solltest also mal deine WDS Kenntnisse auffrischen und HIER nachlesen !
Was du meinst ist vermutlich ein LAN Bridging mit WLAN und das das klappt und die MACs erhalten bleiben steht außer Zweifel....nur ist das eben kein WDS sondern Bridging, was technisch völlig verschieden ist !

Bitte diese Diskussion hier NICHT weiter fortführen sondern per Personl Mail oder neuem Thread um ein weiteres Aufblähen dieses Threads hier zu vermeiten !!!
Dani
Dani Jan 11, 2010 at 17:49:53 (UTC)
Goto Top
Moin,
manchmal glaube ich das manche Kommentare von Moderatoren oder Editoren mit Absicht überlesen.
Nächstes Mal erfolgt mein Hinweis (ganz oben) in Rot und Schriftgröße 50!!


Grüße,
Dani
aqui
aqui Apr 15, 2014 updated at 17:24:09 (UTC)
Goto Top
Am Schluss des obigen Tutorials gibt es ein Update zu einem Gros der in den obigen Threads aufgetauchten Fragen und deren aktueller Lösung.
Es wird sicher weiter Detailfragen zu dem Thema WLAN für Gäste und dieser Anleitung zur Umsetzung geben. Dafür dann einfach, wenn nicht schon geschehen, im Forum anmelden und einen neuen Thread erstellen mit Bezug auf dieses Tutorial !