Keine Vorschaltseite / Captive Portal bei WLAN Gastzugang im IP-Client Modus?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

fredlcore

Mitglied
Mitglied seit
17 Aug 2005
Beiträge
211
Punkte für Reaktionen
1
Punkte
18
Hallo zusammen,

ich habe meine 7490 im IP-Client-Modus hinter einem Speedport Hybrid Router laufen und würde gerne für unsere Feriengäste einen WLAN Gastzugang anbieten, und inzwischen ist es ja glücklicherweise auch in diesem Modus möglich, den Gastzugang anzubieten, selbst wenn man keine Fritz-Box als Hauptrouter hat.
Leider fehlt mir auch in der aktuellen Labor (113.06.69-41049) bei der Einrichtungseinstellung die Möglichkeit, eine Vorschaltseite zu aktivieren oder gar zu konfigurieren. Der letzte Menüpunkt ist die Einstellung der automatischen Deaktivierung nach einer bestimmten Zeit.

Im Forum habe habe ich einen Eintrag von Ende 2015 gefunden (http://www.ip-phone-forum.de/showth...ighlight=vorschaltseite+ip-client#post2133928), bei dem das Fehlen bemängelt wird, aber da sich das auf eine Labor-Version bezog und das Feature inzwischen ja regulär vorhanden ist, wollte ich fragen, ob a) die Möglichkeit einer Vorschaltseite im IP-Client-Modus generell nicht gegeben ist, und ob es b) vielleicht einen Workaround gibt (vorher in den Routermodus wechseln, Gastzugang konfigurieren, zurück wechseln auf IP-Client Modus o.ä.), mit dem man die Vorschaltseite aktivieren und idealerweise auf konfigurieren kann?

Die anderen Optionen (Beschränken auf Surfen und Mailen, Zeitschaltung) wären natürlich auch schön, aber die Vorschaltseite wäre mir am wichtigsten.

Vielen Dank und Gruß,


F.
 
Zuletzt bearbeitet:
Moin


Im IP-Klient Modus gibt es die Vorschaltseite nicht, da das (LAN) Netz des Routers benutzt wird.
Du müsstest sie so wie sie jetzt angeschlossen ist als Router mit eigener Firewall und eigenen Subnetz konfigurieren...
1. Internet -> Zugangsdaten -> Internetanbieter: Weitere Internetanbieter
2. Anderer Internetanbieter
3. Name: Beliebig
4. Anschluss: (o) Externes Modem oder Router
5. Betriebsart: (o) Internetverbindung selbst aufbauen
6. Zugangsdaten: Werden Zugangsdaten benötigt? (o) Nein
7. IP-Einstellungen: (o) IP-Adresse automatisch beziehen
...einen Hostnamen angeben, damit erscheint sie im Router.
8. [Übernehmen]
 
Danke für die schnelle Rückmeldung!

Die Vorschaltseite gab es zumindest einmal, das besagt ja auch der oben verlinkte Beitrag und auch die Changelogs der Labor-Firmwares. Die gesamte Gastzugangsfunktionalität war im IP-Client-Modus ja auch einige Zeit aus dem Grund "nutzt anderes Netz" deaktiviert, bis sie dann in 6.36 wieder freigeschaltet wurde (wenn eben auch nur rudimentär). Insofern spräche zumindest kein "harter" Grund dagegen.

Die FB als Router anstatt als IP-Client laufen zu lassen, würde größere Umstände erzeugen, weil auch an den SPH Endgeräte angeschlossen sind, auf die ich zugreifen können muss (SPH steht im Obergeschoss, wo mein Arbeitszimmer ist und mehrere LAN-only-Geräte stehen (Drucker, NAS etc.), es gibt nur eine LAN-Steckdose runter in den Keller, wo die FB steht, von wo aus dann über ein Patchfeld die weiteren Räume angeschlossen werden).
 
fredlcore schrieb:
Leider fehlt mir auch in der aktuellen Labor (113.06.69-41049) bei der Einrichtungseinstellung die Möglichkeit, eine Vorschaltseite zu aktivieren oder gar zu konfigurieren. Der letzte Menüpunkt ist die Einstellung der automatischen Deaktivierung nach einer bestimmten Zeit.
Zum Vergrößern anklicken....
Poste doch mal einen Screenshot davon. Du hast eine Fritzbox 7490, egal was in Text und Signatur steht.
 
Sorry, keine Ahnung, wie man sich zweimal so vertippen kann - hatte extra noch mal die Signatur up-to-date gebracht, aber so stiftet es natürlich nur noch mehr Verwirrung ;)...

Hier der gewünschte Screenshot:
Bildschirmfoto 2016-09-13 um 14.42.15.png
 
Vielleicht kann mir ja mal jemand von den Netzwerkspezialisten hier die Frage beantworten, wie eine solche FRITZ!Box als IP-Client denn beim Betrieb ohne einen entsprechenden Router, zu dem ein L2TPv3-Tunnel aufgebaut werden kann, überhaupt den Traffic der Clients im Gast-WLAN von dem anderer Geräte im LAN trennen kann und/oder will?

Bei einem passenden Router (keine Ahnung, ob der Speedport Hybrid das unterstützt oder nicht) wird dieser Verkehr von der FRITZ!Box im IP-Client-Mode mit einer zusätzlichen Kapselung versehen und an den Router gesendet, der diese "Umverpackung" wieder entfernt und das Paket anschließend so behandelt, als wäre es direkt bei ihm eingeliefert worden. Bis hierhin ist das für mich noch eingängig ... eine passende FRITZ!Box meldet sich auch regelmäßig mit UPnP-Multicasts (Port 1900) als L2TPv3-Gateway im Netz und kann als potentieller Router identifiziert werden.

Was passiert denn nun, wenn es einen solchen L2TPv3-Peer im Router gar nicht gibt?

Die FRITZ!Box als IP-Client mag zwar dann ihrerseits irgendwelches NAT für ein zusätzliches "Gastnetz" machen und die dort verwendeten Adressen auf ihre eigene LAN-Adresse "umschreiben", aber wie verhindert man denn jetzt, daß ein Client im Gastnetz auf andere IP-Adressen im LAN zugreift?

Das mag sogar auch noch gehen, indem man zusätzlich die Zieladressen einer Verbindung entsprechend in der FRITZ!Box ausfiltert (so daß keine Adressen aus der LAN-Seite in den Paketen als Ziel enthalten sein dürfen, die aus dem eigenen Gastnetz kommen) ... aber spätestens bei einem Zugriff auf eine IP-Adresse, die außerhalb des in der FRITZ!Box eingestellten LAN-Segments liegt und trotzdem über das eigentliche Gateway lokal erreichbar ist (also bei mehreren lokalen Netzsegmenten), ist es mit der "Isolation" im Gastnetz dann auch wieder vorbei.

Beispiel: Die FRITZ!Box als IP-Client hat die 192.168.192.10/24, dann ist gerade mal alles in 192.168.192.0/24 "lokal" und parallel verwendete Netze - meinetwegen 192.168.178.0/24 - wären dann (so darf man zumindest annehmen) wieder zugänglich.

Irgendwo sehe ich da ein paar denkbare Security-Probleme und es gibt (soweit ich weiß) wohl keine ausführliche Beschreibung der Einschränkungen und der Risiken/Gefahren, die aus einer solchen Konfiguration erwachsen und was man berücksichtigen muß, wenn man so etwas einrichten will. Gerade hier im Kontext von "Feriengästen" kann das (bei langweiligen Abenden für die Sprößlinge, wenn außer Hacken nichts Interessantes passiert in so einem Urlaub) schnell zu unangenehmen Überraschungen führen.

Ist eine FRITZ!Box (oder ein anderer passender L2TPv3-Server) vorhanden, ist das Problem nicht existent ... hier würde ich aber die Erreichbarkeit dieser Einstellung auch ohne passenden Router (nochmal: keine Ahnung, ob der SP Hybrid dafür herhalten kann, das würde es tatsächlich ändern, dann übernimmt aber auch der die Durchsetzung von Einschränkungen) fast für einen Fehler der Firmware halten.
 
Zuletzt bearbeitet:
@Pokemon20021: SPH = Speedport Hybrid, so wie's in meiner Sig steht.

@PeterPawn: Ich kann Deine Schlussfolgerung nachvollziehen, aber meine bisherige Lösung dieses Gastzugangs war so, dass ich hinter der am SPH hängenden IP-Client FritzBox noch eine weitere (alte) FB laufen hatte, die wiederum im Router-Modus lief. Über das dort aufgespannte WLAN konnten sich die Clients zwar ins Internet verbinden, aber nicht auf die Clients, die an der IP-Client FritzBox oder am SPH hängen, zugreifen. Ich vermute, dass der SPH nur Zugriff von Geräten aus "seinem" IP-Nummernkreis zulässt, und die "Gast-FB" hatte ja wiederum ein eigenes Subnetz.

Nun möchte ich eben nicht drei Router laufen lassen, denn zwei sind mir eigentlich schon zu viel. Habe jetzt die "Gast-FB" abgeklemmt und das Gastnetz der IP-Client FB aktiviert. Das wird auch aufgespannt, aber die Clients bekommen keine IP-Adresse zugewiesen und geben sich selber eine 169.254.x.x. Das Problem ist hier auch beschrieben, allerdings tritt es wohl nicht bei allen auf:
https://www.tobias-baeumer.de/fritzbox-gastzugang-im-ip-client-modus-nutzen/

In jedem Fall kam keine Landing-Page, was ja ein zweiter Hauptgrund für mich für den Wechsel auf das Gastnetz der IP-Client FB ist. Meine Eingangsfrage steht also weiterhin, ob es jemanden gibt, der hier einen Workaround gefunden hat - denn wie oben verlinkt scheint es ja mal gegangen zu sein...

Gruß,

F.

- - - Aktualisiert - - -

Nachtrag: Interessanterweise bekomme ich nach einem Restart u.a. folgenden Log-Eintrag von der IP-Client FB zugemailt:

14.09.16 19:38:07 WLAN-Gerät hat sich vom Gastzugang abgemeldet (2,4 GHz), iPhone-FH, IP 169.254.60.167, MAC F0:F6:1C:3A:10:02.

Die FB sieht also sogar die temporäre IP, aber gibt keine Adresse raus (bzw. leitet die Anfrage irgendwie nicht an den SPH weiter). Seltsam...
 
Das war ja mein Versuch der Klarstellung, daß diese Lösung ohne passende FRITZ!Box als Router eben nicht funktionieren wird ... soweit ich das überblicke.

Ich finde auch in der verlinkten Seite keine wirkliche Referenz, daß das mit einem anderen Router als einer FRITZ!Box jemals funktioniert hätte - daher ja auch die Überlegungen, wie das wohl funktionieren soll.

Auch die Texte in der GUI-Seite der Box bei der Übernahme des Gastzugangs handeln ja immer nur davon, daß die Einstellungen von einer FRITZ!Box als Router übernommen werden könnten.

Nicht einmal dann, wenn Du die FRITZ!Box nicht als IP-Client, sondern als Router betreibst, sind Deine eigenen Geräte vor einem Zugriff aus dem Gastnetz der FRITZ!Box sicher ... dann ist das LAN hinter dem Speedport für die FRITZ!Box das WAN und bei Kenntnis einer passenden Adresse oder mit einem Scanner ist es problemlos möglich, vom WAN-Interface der FRITZ!Box (nach NAT für den Gast) auf andere Geräte im LAN des Speedport zuzugreifen.

Nur dann, wenn der Border-Router tatsächlich eine FRITZ!Box ist, wird der Verkehr zwischen diesem Router und einer "Verlängerung" des Gastnetzes per L2TPv3 getunnelt und kommt damit niemals mit den LAN-Clients in Berührung.

Meine Behauptung ist also: Das Vorhaben ist schlicht zum Scheitern verurteilt oder von Beginn an unsicher - auf diesem Wege ist kein sicheres Gastnetz zu etablieren. Höchstens noch dann, wenn man in der FRITZ!Box eigene Software installiert, WLAN und LAN auftrennt und den gesamtem WLAN-Traffic nicht zum LAN oder WAN bridged, sondern über eine VPN-Verbindung (und das AVM-IPSec-VPN ist dafür ungeeignet) dergestalt irgendwohin sendet (das kann ggf. wieder der Speedport-Router sein, wenn der das beherrschen sollte), daß auch wieder die Clients im LAN damit nicht in Kontakt kommen können.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 619 (Mitglieder: 3, Gäste: 616)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,220,027
Mitglieder
371,604
Neuestes Mitglied
broekar
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück