Captive Portal gehackt?

MaxHeadroom

Wieso sind  auf deinem WLAN IF  Internet IP's  als Source sichtbar ???

da ist was schräg und DHCP sollte laut Log  auf WLAN nicht gehen da gedroped.

Hast du eine bridge gebastelt ?

mrsunfire

Ja, das ist ja das was ich mich auch frage.

Ich habe DHCP (67,68) gegen LAN geblockt, da dort auch ein DHCP Server läuft. Der DHCP auf dem WLAN Interface weißt die IP's einwandfrei zu. Und nein, eine Bridge habe ich nicht.

MaxHeadroom

Irgendwie schaut es so aus als ob da eine loop ins wan gibt .
Dein DHCP auf dem WLAN kann nicht gehen, deine IP's kommen von woanders..

…need more input ...
Also bitte deine config/Firewall rules von LAN/WAN/WLAN

Hardware Aufbau wären auch hilfreich zb. so wenn du eine wlan karte in der pfsense hast

DSL_modem----wan-pfsense-lan
                                          |
                                          --wlan

mrsunfire

Ja, ich habe die WLAN Karte in meiner pfsense. Also

ISP - [WAN] pfsense [LAN] - Switch -> Endgeräte
                            [WLAN] - Hotspot

Hier noch die Regeln für den Hotspot

Im WAN habe ich nur ein paar Serverspezifische Regeln, sowie volle Freigabe aufs LAN für IPsec und OpenVPN.
Im LAN sind nur die IPsec und OpenVPN Freigaben, sowie HTTP, DNS und FTP freigegeben.

Nachtfalke

Das ist wirklich etwas komisch, warum am WLAN interface fremde IPs zugelassen werden.
Zumal die Firewall Regel als Source ja nicht "*", aly "any" angeben sondern auch nur WLAN Subnet.

Das CP hast du nur am WLAN interface aktiv?
Hast du squid als proxy laufen?
Hast du diese "Source IPs" mal überprüft, auf welchen DNS diese lauten?
Wieso hast du DHCP auf diesem WLAN interface geblockt?
Hast du pfsense als Bridge laufen?
Nutzt du pfsense 2.0.x oder 2.1?
Hast du allowed MAC addresses oder allowed IP addresses beim CP konfiguriert?

@MaxHeadroom
Ja, freeradius2 betreue ich

MaxHeadroom

Also da gibts dann was nicht …
Was sagt den pfsense welche rule zieht wenn du auf den grünen pfeil drückst auf der Log Seite ?

Wan ist eine öffentliche IP ?

1 rule ist eigentlich sinnlos ...da sollte eh nur 192.168.2.x/24 rein/raus gehen (24 ist eine Annahme)

Floating rules gibts auch nicht oder interface groups ?

wenn nicht dann hilft nur mehr das config.xml ... oder alle screenshots...

MaxHeadroom

das mit dem geblockten DHCP auf der WLAN ist was mich schon seit dem Anfang stört, woher bekommt der Client dann die IP Adresse da gibts was nicht….

mrsunfire

@Nachtfalke:

Das ist wirklich etwas komisch, warum am WLAN interface fremde IPs zugelassen werden.
Zumal die Firewall Regel als Source ja nicht "*", aly "any" angeben sondern auch nur WLAN Subnet.

Das CP hast du nur am WLAN interface aktiv?
Hast du squid als proxy laufen?
Hast du diese "Source IPs" mal überprüft, auf welchen DNS diese lauten?
Wieso hast du DHCP auf diesem WLAN interface geblockt?
Hast du pfsense als Bridge laufen?
Nutzt du pfsense 2.0.x oder 2.1?
Hast du allowed MAC addresses oder allowed IP addresses beim CP konfiguriert?

Ja, CP ist nur am WLAN aktiv.
Nein, Squid ist zwar installiert, jedoch nicht konfiguriert.
Die Source IP's kommen fast alle von Facebook (bin ich selbst nicht angemeldet, nutze ich nicht) und teilweise aus dem Netz meines ISP.
Ich hatte ursprünglich DHCP geblockt, damit mir der DHCP Server aus dem LAN Interface nicht reinfunkt, was allerdings Quatsch ist, daher habe ich die Regeln nun entfernt.
Die pfsense hat am WAN eine öffentliche IP.
Nutze Version 2.0.1
Am CP sind keine MAC, oder IP reserviert oder eingetragen.

EDIT:

Gerade jetzt ist wieder das Androidgerät aktiv, die PFSense kann es jedoch nicht anpingen. Es werden wieder willkürliche IP's abgearbeitet in den Logs.

EDIT2: Verfolgt man die IP's sind es die Adressen von Amazon, Facebook und Google, die bei "If" aufgelistet sind?!

Nachtfalke

Also mir erschließt sich kein Sinn, wieso auf dem lokalen WLAN interface globale adressen zu sehen sind und diese erlaubt werden.

Jetzt mal blöd gefragt - kannst du auf pfsense 2.0.3 aktualisieren?

mrsunfire

Finde ich auch äußerst unlogisch. Ich habe mich vertan, 2.0.3 ist drauf, also die aktuellste.

mrsunfire

Heute wurde die ganze Nacht durch diese Regeln abgearbeitet. Seltsamerweise sind es immer die gleichen Adressen. Zu 90% Facebook. Ich frage mich wieso.

MaxHeadroom

Wenn es Smartphones sind ist oft facebook aktiviert daher 90% diese adressen

Hast du mal WLAN / WAN  umbenannt ? (Klar einmal von opt3 auf WLAN zählt nicht …)

Kannst du mir mal die config.xml ohne privaten Daten schicken, dann spiel ich die mal bei mir auf der Testmaschine ein.

mrsunfire

Nein, noch nicht. Ich habe ganz eventuell das Tablet meiner Frau in Verdacht. Forsche in diese Richtung später mal.

Nachtfalke

Die Problematik die ich nicht verstehe ist, wieso die Firewall öffentliche Adressen zulässt, denn:

Das WLAN Subnet hat IP Adresse 192.168.x.x/24
Die Firewall-Regel sagt, nur Zugriffe aus Subnet 192.168.x.x/24 zulassen nach any.
Das bedeutet doch, dass eine öffentliche IP-Adresse nicht zugelassen sein dürfte und damit geblockt werden müsste (als source). Sie wird aber explizit durchgelassen.

Was ich überlege ist, ob eventuell das Smartphone über Mobilunk Daten versendet und online ist und manchmal auf WLAN zurück fällt. Du könntest mal probieren, Datenverbindungen am Smartphone komplett zu deaktivieren und dann nur über WLAN online zu sein. Tauchen dann die öffentlichen Source-IPs immernoch auf?

Ansonsten würde ich dir empfehlen, diese Frage auch mal im englischsprachigen Teil des Forums zu stellen, den n dort hat man zum einen die Entwickler mit dabei die mitlesen als auch viele andere die sich mit pfsense gut auskennen.

Auch wenn mich das Problem nicht betrifft, interessiert mich die Ursache  ;D

mrsunfire

Ja, ich werde an dem Tablet ansetzen und dann ggfs. nochmal im englsichen Forum posten. Ich halte Euch auf dem Laufenden.