[Gelöst] Monowall hinter Fritz!Box --> Einstellung Kindersicherung

[fant]

Hallo allerseits,

ich soll hier eine KabelBW Fritz!Box 6360 einrichten. Im Intranet ist ein Monowall mit einem AP, der einen Zugang mit Vouchures für Gäste macht. Diese Gäste erhalten von der Monowall einen eigenen IP-Bereich. Das WAN-Interface des Monowalls hängt an der Fritz!Box. Wenn ich nun dem Monowall in der Kindersicherung Vollzugriff einräume, dann gehorchen die Gäste nicht dieser Regel, sondern der Standard-Regel der Fritz!Box. Ich möchte aber für die Gäste nichts mehr beschränken, für die anderen Rechner an der Fritz!Box aber schon, was ich in der Standard-Regel auch so eingetragen habe.

Hat da jemand eine Idee, was ich falsch mache? Ich ärgere mich damit schon seit gestern rum.

Hawedieehre.
Fant.

 

[Telefonmännchen]

Du kannst Dich nicht waschen, ohne Dich nass zu machen. Soll heißen, für die FritzBox ist die M0n0wall ein einziges Gerät und diese routet und macht vermutlich NAT. Von der Verteilung der IPs hinter der Firewall bekommt die FritzBox nichts mit weil sie nur mit einer IP (der WAN-IP der Firewall/Router) spricht. Daher kann sie auch nicht unterscheiden, von wo der Traffic gerade kommt und wendet deshalb die Standardregel an. Eine mögliche Lösung wäre, der M0n0wall ein zweites WAN-Interface mit separater IP ausschließlich für Gästebereich zu verpassen. Dann könnte man auch mit zwei verschiedenen Berechtigungsstufen der Kindersicherung fahren. Von den Berechtigungen ist das aber dann etwa aufwändiger einzurichten und zu unterhalten. Ich betreibe ein ähnliches Konstrukt mit einer pfSense, habe aber nicht solche Anforderungen.

Gruß Telefonmännchen

 

[fant]

Es ist mir klar, daß die M0n0wall nur wegen dem NAT als einzelnes Gerät angesehen wird. Inzwischen habe ich es hinbekommen. Das komische Verhalten scheint daher zu kommen, daß ich das LAN- und das WAN-Interface des M0n0wall beide im Fritz-Netz hatte. Und da zickt es dann. Ich habe auch den Verdacht, daß im Webfrontend des M0n0walls die MACs für WAN und LAN vertauscht dargestellt werden. Aber das kann ich jetzt nicht checken, weil Hardware-Umbau ansteht.

Ich habe jetzt das LAN-Interface in ein virtuelles Netz auf dem VMServer gesteckt, das WAN-Interface an der Fritzbox. Jetzt geht es.

Danke für Deine Antwort.

Hawedieehre.
Fant.

 

[LPW]

Hallo,

Von der Verteilung der IPs hinter der Firewall bekommt die FritzBox nichts mit weil sie nur mit einer IP (der WAN-IP der Firewall/Router) spricht.

das scheint mir doch aber genau das hier Gewünschte zu sein. Alle Gäste hinter der Monowall sollen ja gleich behandelt werden, nur die direkt an der Fritz!Box angebundenen Regel sollen der Kindersicherung unterworfen werden. D.h. Nicht-Gäste sind direkt an die Fritz!Box anzubinden.

Mit freundlichen Grüßen
LPW

 

[fant]

Ja, genau das. Danke, es paßt jetzt alles.

Hawedieehre.
Fant.

 

[Telefonmännchen]

Wenn aber beide Schnittstellen (WAN und LAN im Netz der FritzBox hängen, dann ist es für Gäste meines Erachtens durchaus möglich, sich am Ticketsystem vorbeizuschmuggeln. Aber das ist ja nicht Gegenstand des Threads. Aber wenn es befriedigend funktioniert, dann soll es gut sein.

Gruß Telefonmännchen

 

[LPW]

Hallo Telefonmännchen,

Wenn aber beide Schnittstellen (WAN und LAN im Netz der FritzBox hängen, dann ist es für Gäste meines Erachtens durchaus möglich, sich am Ticketsystem vorbeizuschmuggeln.

verstehe ich nicht: Der AP wird nur über seinen WAN-Port mit der Fritz!Box beispielsweise an LAN4 verbunden, um ihn dort dann als Gastnetz zu separieren. Dann läßt die Fritz!Box keine Verbindungen mit den Clients des AP oder dem AP selbst (!) zu.

Selbstverständlich muß auchsichergestellt werden, daß die Gäste sich weder ins WLAN der Fritz!Box einbuchen noch sich mit einem ihrer LAN-Ports verbinden können. Ersteres erreicht man durch Verschlüsselung mit WPA2, letzteres durch geeignete Aufstellung der Fritz!Box. Wäre vielleicht nicht schlecht, wenn AVM hier noch neben den Energieeinstellungen für die einzelnen Ports auch deren Deaktivierung ermöglichen würde.

Mit freundlichen Grüßen
LPW

 

[Telefonmännchen]

Ich gehe nicht davon aus, dass die Firewall auf der LAN und der WLAN-Seite unterschiedliche Netze anbietet. Somit ist durchaus ein Weg aus dem WLAN über den LAN-Anschluss im gleichen Netz auf das LAN der FritzBox möglich. Sicherlich kann man das in den Einstellungen der M0n0wall verhindern, aber m.E. ist das nur unnötig kompliziert. Aber der TE wird wissen, was er tut. Ich habe den Abkömmling pfSense in Betrieb und finde die Konfiguration etwas gewöhnungsbedürftig. Ich treibe mich aber auch nicht täglich auf dem GUI rum, nur wenn neue Geräte in das Netz integriert werden müssen, die nicht über das Captive-Portal gehen. Ich betreibe weder die FritzBoxen noch die pfSense als Selbstzweck. Es soll einfach nur funktionieren. Die FritzBox vor der pfSense ist für mich sowieso nur Borderdevice. Sie stellt mir nur das Internet für die pfSense via exposed Host und die ISDN-Schnittstelle für die Telefonie zur Verfügung. Den Rest mache ich mit eigenen Geräten, weil mir mein Provider mal bei einer Fehlerbeseitigung meine ganze Netzwerkkonfiguration resettet hat (Reset der FritzBox auf Werkseinstellungen). Jetzt gibt es nicht mehr viel zu resetten. Nur eine geänderte IP-Range und einen exposed Host. Das ist im Wiederholungsfall in fünf Minuten geradegezogen.

Gruß Telefonmännchen