[Problem] Surfen, Mailen, VPN, DNS im Gast-Netzwerk

[burnersk]

Ich möchte neben dem Standard (Surfen, Mailen und DNS Anfragen erlaubt) auch noch VPN-Verbindungen im Gast-Netzwerk (LAN und WLAN) ermöglichen.

Dazu habe ich ein neuen Filter erstellt "alles außer Surfen, Mailen, VPN":

Protokoll	Quellport	Zielport
TCP	beliebig	1-24
TCP	beliebig	26-52
TCP	beliebig	54-79
TCP	beliebig	81-109
TCP	beliebig	111-142
TCP	beliebig	144-442
TCP	beliebig	444-464
TCP	beliebig	466-586
TCP	beliebig	588-942
TCP	beliebig	994
TCP	beliebig	996-1722
TCP	beliebig	1724-65535
TCP	1-1722	beliebig
TCP	1724-65535	beliebig
UDP	beliebig	1-499
UDP	beliebig	501-1193
UDP	beliebig	1195-1700
UDP	beliebig	1702-4499
UDP	beliebig	4501-65535
UDP	1-499	beliebig
UDP	501-1700	beliebig
UDP	1702-4499	beliebig
UDP	4501-65535	beliebig

Dannach habe ich im Reiter Kindersicherung beim Eintrag "Alle Geräte im Gastnetz" auf bearbeiten geklickt. Unter "Gesperrte Netzwerkanwendungen" alles entfernt und meine neue Liste (s.o.) eingetragen.

Problem: Wenn ich jetzt im Gast-Netzwerk (egal ob LAN oder WLAN) im "Captive Portal" die "AGBs" akzeptiere und nach der Erfolgsseite des Portals eine beliebige HTTP oder HTTPS Seite aufrufe bekomme ich immer "Die Internetnutzung ist gesperrt".

Den Gastzugang habe ich nicht zeitlich eingegrenzt.

 

[koyaanisqatsi]

Vielleicht DNS auf UDP erlauben :?:

TCP beliebig 53
UDP beliebig 53

 

[burnersk]

Habe gerade auch UDP 53 zugelassen. Leider keine Veränderungen.

 

[PeterPawn]

Was soll mit der Filterliste denn erreicht werden?

Ich würde ja bei TCP 1723 (das ist PPTP) darauf tippen, daß das eine "Positivliste" sein/werden soll ... das paßt irgendwie nicht zur "Negativliste", die das ursprüngliche AVM-Profil nun mal darstellt. Dort werden ja alle Ports angegeben, die zu sperren sind - fügt man da noch die Regel "jeder TCP-Verkehr außer Source-Port 1723" zu dieser Liste hinzu, kann ja nichts mehr funktionieren, außer eben Verbindungen vom internen Port 1723 auf einen der in der Liste nicht enthaltenen externen Ports.

 

[burnersk]

Entweder hast du mein Beitrag nicht gelesen oder ich versteh deine Frage überhaupt nicht....

Wie schon erwähnt ist die Liste eine Negativliste, weil so von der Kindersicherung gefordert. Die hier beschriebene Liste enthält alle Ports auf TCP und UDP welche NICHT für HTTP(S), SMTP, IMAP, POP3, VPN, DNS benötigt werden.
Ich lasse also, wie auch schon der Titel aussagt, nur Surfen, Mailen und VPN zu.

Dein 1723 steht NICHT in der Liste, wird also zugelassen. VPN ist hier aber auch nicht das Problembeispiel! Selbst HTTP funktioniert nicht.

Wo ist jetzt dein Verständnisproblem?

 

[PeterPawn]

Steht doch da ... jeder in der Liste enthaltene einzelne Eintrag führt bei einem "Treffer" dazu, daß die betreffende Verbindung nicht erlaubt wird (und die Einträge werden alle der Reihe nach geprüft).

Nun nimm Dir (auf dem Papier) irgendeine beliebige TCP-Verbindung eines LAN-Clients und spiele bei der mit dem Source- und dem Destination-Port durch, ob sie ein "match" in der Liste bewirkt oder nicht - dann kommst Du sicherlich irgendwann auch darauf, wo Dein Denkfehler liegt.

PS: Ich lese in aller Regel sehr gründlich, was da steht ... allerdings kann man auch nur das lesen, was da aufgeschrieben wurde und nach der Liste ist bei TCP-Verbindungen eben nur genau der Port 1723 des lokalen LAN-Clients als Quell-Port möglich. Jeder andere Quell-Port führt zu einem Treffer bei den hinzugefügten Regeln für TCP (1-1722 oder 1724-65535) und damit zum Abbruch dieser Verbindung bzw. zum Redirect zur Fehlerseite.

Ich verstehe nun wieder nicht, warum man das trotz meiner Erläuterung in #4 nicht sehen kann/will ... sollte ich tatsächlich einen Fakt übersehen haben, den Du auch aufgeschrieben und nicht nur gedacht hast, lasse ich mich gerne belehren, wo ich den überlesen habe.

 

[burnersk]

Oh wie dämlich von mir. Ich hab die source highports des Clients ausgeschaltet... Manchmal sieht man echt den Wald vor lauter Bäumen nicht mehr.

Danke!