Messages

Hallo Cava,

Was genau geht denn nicht?
Kannst du von der LAN Seite aus irgendwohin pingen?
Oder geht alles nur über WAN1 oder alles nur über WAN2?

Schöne Grüße :)

Hallo Jakob und Franco,

das wär echt super, wenn man das irgendwie in nächster Zeit mit einbauen könnte.
(Abhängig davon wie schwer sich das implementieren ließe natürlich) :)
Ich meine im meinem Fall wäre es zwar jetzt "nur" das Impressum,
aber andere Captive Portal Betreiber, haben vielleicht bessere Einfälle dafür.
Die Fahrplan Idee klingt natürlich sehr reizvoll.
Denke dafür werden es viele nutzen wollen am Ende.
Bzw. "Datenschutz" und "Impressum"'s Seiten, falls Firmen Webserver dafür nutzen.
Das wäre bei Webseiten ja nicht unüblich.

Beste Grüße :)

Hallo liebe OPNsense Gemeinde,

Mein Captive Portal läuft soweit prima und macht bis lang immer das was es soll.
Die User landen auf einer schönen Landing Page und können sich dort anmelden.
Nun ist es aber Pflicht auf jeder Webseite ein "Impressum" anzubieten.
Bei uns im Betrieb geschieht dies über einen Webserver der in einer DMZ sitzt,
also demnach eine öffentliche IP Adresse besitzt.
In meinem Captive Portal Template habe ich also an der unteren Stelle der Seite
einen Link zum "Impressum" hingelegt.
Da das Captive Portal jedoch sämtlichen Traffic abfängt und zur Landing Page redirected,
habe ich das Problem, dass dieses Impressum eigentlich "durchgelassen" werden müsste.

Demnach also in einfach:
Jeder User der im WLAN Netz eine IP vom DHCP Server bekommt
und auf die Landing Page redirected wird, soll trotzdem auf besagter Seite über den Link zum Impressum
eine ganz bestimmte öffentliche IP (Webseite) aufrufen dürfen.
Ist das überhaupt möglich?

Was ich bereits probiert hatte:
1) Diese IP bei "Allowed addresses" bei Captive Portal > Administration eingetragen -> ohne Erfolg
2) Eine Rule auf der WLAN Seite gelegt, welche am Anfang matched und besagt
Proto   Source    Port     Destination   Port           Gateway Schedule   Description
IPv4 TCP   WLAN net      *     x.x.x.x           443 (HTTPS)   *                           Impressum Freischaltung
-> ohne Erfolg

Schöne Grüße :)

Hey hey,

du meintest ja das die DSL Leuchte am Modem blinkt und aktiv ist,
nur nicht die WAN Ethernet Verbindung zwischen Modem und Firewall funktioniert. Soweit richtig?
Dann müsste es ja ne Einstellung am WAN Interface sein.
Was sich mir selber noch nicht so ganz erschließt ist,
dass es zwei Stellen für PPPoE gibt zum konfigurieren.

Einmal, ganz wichtig, die Einstellung direkt am WAN Interface, also:
Interfaces > [WAN] > IPv4 Configuration Type (PPPoE)

Und dann gibt es unter "Interfaces" nochmal PPPoE einzeln,
wo man auch nochmal ein Interface zuweisen kann.
(Für mich nicht logisch, aber vielleicht überseh ich was)

Was du noch testen kannst ist, dass du mit nem Lappi dich am LAN ranhängst
(ipv4 Einstellung natürlich so einstellen, dass du im richtigen LAN Subnetz bist)
und bei der Firewall von der LAN Seite ausgehenden Traffic mal komplett erlaubst test-weise.
Kannst du dann 8.8.8.8 anpingen?
So kannste schon mal die Rules als Fehlerquelle ausschließen.
Wenn du am NAT manuell nichts verändert hast, sollte das auch soweit alles OK sein.

Hoffe das hilft irgendwie und vielleicht kann ja mal wer schlaues erklären,
warum man zweimal PPPoE konfigurieren kann. Das wäre super. :)

Viele Grüße und viel Glück :)

Kann am Gerät liegen. (Muss aber nicht)
Das Problem hatte ich bei mir aber auch schon.
Bei meinem alten Sony Handy war ich immer sofort ausgeloggt,
wenn ich die Verbindung zum AP verlor oder ab und zu "sporadisch" ohne ersichtlichen Grund.
Bei meinem Samsung hingegen, kann ich außer Reichweite gehen, tun und lassen was ich will und werde nur einmal am Tag ausgeloggt. (Müssten die Default Einstellungen sein, da ich sie noch nicht angefasst hatte)
Beim Laptop/Rechner und/oder iOS konnte ich noch keine Tests machen.

Ps. Ist nun aber auch schon wieder nen halben Monat her,
seit ich das Sony hatte. Kann auch wirklich an OPNsense liegen am Ende.

Hey hey,

ich nochmal. :)

Was mich persönlich mal interessieren würde is, ob du mit ner Windows VM
(Netzwerkeinstellung bei Virtual Box "NAT")
oder mit nem komplett anderen Rechner (anderes OS) mehr erfolg hast.
Schwieriges Thema. Viel mehr fällt mir auch nicht mehr ein. :-/
Da du den NTP Server ja von der LAN Seite aus her erreichst,
kann es ja eigentlich schon gar kein Problem mehr mit den Rules geben.
Die Session kann von OPNsense ja anscheinend aufgebaut werden.
Der Quellport ändert sich ja bei jeder erneuten Anfrage jedes mal soweit ich weiß.

Vielleicht trotzdem mal zu Testzwecken die Floating Rules überprüfen und bei der LAN Seite einmal ALLES erlauben. Wenn es dann immer noch nicht klappt liegt es zu mindestens schon mal nicht an den Rules. :-/

Vielleicht hat noch wer anders eine Idee. :-)

EDIT:
Mir ist gestern noch was eingefallen, woran es auch noch liegen könnte.
OPNsense erstellt die NAT Einträge ja by default automatisch für einen.
Falls du vielleicht manuelle Einträge eingestellt hast, kann es sein,
dass du dir dadurch das NAT zerschossen hast.
Was man machen könnte, wäre einmal die Config xml zu sichern. OPNsense neu aufzusetzen.
Dann zu schauen ob es frisch installiert vielleicht plötzlich funktioniert und dann die Config zurückzusetzen und die Unterschiede zu vergleichen. (Insbesondere bei den NAT Einträgen.)

Hey t0mc@,

vielleicht hilft dir das hier: http://superuser.com/questions/141772/what-are-the-iptables-rules-to-permit-ntp

Ansonsten vielleicht einmal probieren auf der LAN Seite ausgehenden Traffic auf UDP port 123 (NTP) zu erlauben.
Auf der Seite, die ich hier angehangen habe steht, dass bei nicht veränderter iptables Config auf der Client Seite her aus es zu keinerlei Probleme kommen sollte.

Von daher vielleicht mal schauen, ob irgendwas bei iptables stört, ansonsten wie gesagt vielleicht mal die LAN Rule ausprobieren. Vielleicht klappt es. :)

Grüße

Hey wurmloch,

vielen vielen Dank für diese Dokumentation.
Ich hatte schon fast aufgegeben mit der APU, weil ich mir einfach echt nich vorstellen konnte,
wie man das Teil ordentlich eingerichtet kriegt.
Im Netz findet man diverse Anleitungen mit VM und was auch immer, die wirklich sehr absurd klingen.
Also am Ende doch 3 Interfaces für mich *Jubel*.

EDIT: meine Frage hat sich erledigt. :P

Hallo,

vielen Dank euch beiden. Mehr wollt ich gar nicht hören. Dann passt das ja alles soweit. Supi. :)
Danke auch für den Link, den werd ich mir sicherheitshalber trotzdem nochmal durchlesen.
Kann ja nie schaden :)

Mit freundlichen Grüßen
StuckInTheLoop

Hallöchen Liebe OPNsense Gemeinde,

ich bins mal wieder. :)
Ich bin zurzeit dabei, mir nun auch Zuhause mit OPNsense eine Netzumgebung aufzubauen.
Nun folgende Frage zum Thema "Inter VLAN Routing und Trunking" zwischen dem Interface von OPNsense und dem VLAN fähigen Switch. Zur Verdeutlichung ist ein Bild in den Attachements.
Wie ich gesehen hatte kann man unter Interfaces > Other Types > VLAN dem Interface VLANs zuordnen.
Meine Frage is jetzt ob OPNsense somit Pakete vom Switch mit VLAN IDs verstehen kann und weiterleiten kann oder ob ich das komplett anders aufsetzen muss? Preislich bedingt, kann ich mir nämlich keinen Server leisten, der mehr als 2 Interfaces zur Verfügung hat. Das dürfte doch trotzdem umsetzbar sein, trotz mehrerer VLANs (Lan, wlan usw.) oder? :)


Vielen Dank schon mal im voraus. :)

Mit freundlichen Grüßen
StuckInTheLoop

Hey,

danke für die schnelle Antwort. :)

Stimmt, da könnte ich zum Voucher noch die Local Database hinzufügen.
Na mal schauen ob das so alles klappt. Trotzdem danke erstmal ;)

LG
StuckInTheLoop

EDIT: Man kann ja auch nen Microsoft AD als "Authenticate" nehmen. Das is natürlich ne feine Sache.
Ich denke dann werde ich da mal mein Augenmerk hinlegen, um das auf die Beine zu stellen.
Danke für die Gedankenstütze. :D

Thema kann dann damit geschlossen werden. Passt alles. :)

[Hallo liebe OPNsense Gemeinde :)]

Hallo liebe OPNsense Gemeinde :)

Ich kämpfe mich derzeit durch die Einstellungen und das Einrichten des Captive Portals an der WLAN Schnittstelle.
Soweit wie ich gekommen bin, funktioniert auch alles erst einmal einwandfrei.

Mein eigentliches Problem ist, dass vor dem großen Update von 15.x.x auf Vers. 16.1.17 die Möglichkeit bestand,
User einzurichten die die Voucher Prozedur umgehen konnten.
Also anstatt den Voucher einzutragen konnte man z.B. Username: Test PW: Test1234 definieren und sich somit ebenfalls einloggen.
Da ich darauf leider ziemlich angewiesen bin, dass beide Varianten möglich sind frag ich mich nun wie das umgesetzt werden kann.

Ich hatte vergeblich versucht über "User" und "Groups" Benutzer einzurichten,
denen ich das Privileg gebe sich am Captive Portal anzumelden,
bis ich sah dass es sich ja um die Webcfg Services:Captive Portal handelt und nicht um den eigentlichen Zugang über die WLAN Schnittstelle.
Einen neuen Local User Manager Server einzurichten,
genauso wie man den Voucher Server einrichtet, war nicht möglich,
da die Option dafür nicht zur Verfügung stand. :/

Kann mir jemand vielleicht auf die Sprünge helfen? :)
Vielen Dank schon mal im Voraus. :)

Schöne Grüße
Euer StuckInTheLoop