Falsche IP/MAC im Captive Portal



  • Hallo,

    Ich möchte die Zugangskontrolle von einem kleinen WLAN mit mehreren Lancom LG-54 und einem LC-1511 ins Internet mit dem Captive Portal von pFsense etwas komfortabler gestalten (bisher werden die MAC-Adressen der Client PCs über LanConfig in alle Geräte manuell eingetragen).

    9 x Lancom L-54G (teilweise über Switch und WDS)
    |
    |(192.168.1.0)
    |
    |.251
    +–-----------------+
    | Lancom LC-1511 | Fw. 5.06
    +-------------------+
    |.10 ETH1
    |
    |(192.168.2.0)
    |
    |.1
    +---------+
    | pFsense | v2.01RC1
    +---------+
    |.200
    |
    |(192.168.0.0)
    |
    |.1
    +-----------+
    | SpeedPort |
    +-----------+
    |
    | DSL/Internet
    |

    Problem: Die Clients kommen am pFSense-Rechner mit der IP+Mac des LC-1511 an.

    IP address    MAC address        Username  Session start
    192.168.2.10  02:a0:57:0f:ce:4d  wlanuser  04/13/2011 22:01:23

    Dadurch funktioniert die dauerhafte Freischaltung einiger Clients über ihre Mac Adresse nicht und auch die Zuordnung von Voucher zu Client geht in die Hose: ein Voucher schaltet alle Clients frei, weil ja Alle mit der selben Mac-Adresse am pFsense-Rechner ankommen.

    Die Einstellung unter Service>Captive-Portal hat leider nix gebracht:

    Disable MAC filtering
    If this option is set, no attempts will be made to ensure that the MAC address of clients stays the same while they're logged in.This is required when the MAC address of the client cannot be determined (usually because there are routers between pfSense and the clients). If this is enabled, RADIUS MAC authentication cannot be used.

    Fragen:

    Muss der pFsense-Rechner „tiefer“ in die Pakete reinschauen, um die IP+Mac Adresse der Clients zu sehen?

    Oder muss ich im Lancom LC-1511 etwas anders einstellen, damit am pFsense-Rechner die MAC des Clients erscheint.

    Oder muss der LC-1511 raus aus dem Netz und die AccessPoints müssen über einen Switch direkt im LAN hinter dem pFsense-Rechner hängen. Dann wäre allerdings das Roaming zwischen den APs nicht mehr möglich.

    Oder liegt es an der alten Firmware des LC-1511. Allerdings funktioniert mit der aktuellsten Version 7.08. von Januar 2010 kein DHCP über WLAN. Ob eine der 26 Versionen zwischen der 5.06 und der 7.80 besser ist habe ich bisher nicht getestet.

    Bin für jeden Hinweis dankbar!

    Herzliche Grüße
    Eifelman



  • Hallo,

    im Status vom Captive Portal steht der "wlanuser" mit der IP-Adresse vom LC-1511 und mit der MAC-Adresse von xl0, also dem LAN-Interface des pFsense-Rechners!?

    Das ist mir jetzt erst aufgefallen, weil sich die MAC vom LC-1511 und xl0 nur im ersten Byte unterscheidet. Sachen gibt´s  ???

    Und weil hier immer die selbe MAC Steht ist das Captive Portal für die Tonne, weil ein User alle anderen freischaltet.

    Also: Was habe ich wo falsch eingestellt? Oder liegt´s an pFsense? What´s going wrong???



  • hi
    der Lancom LC-1511  ist bei dir ein Router ergo MAC vom Client futsch -> Mac Adressen werde nicht geroutet
    OSI Layer3 zB.: Router (IP,ICMP,..)
    OSI Layer2 zB.: Switch (Ethernet,…)  --> hier gibts noch MAC

    kannst du testen mit ARP -a unter Windows da siehts du die IP + MAC deiner Netzwerkpartner aber nicht die MAC von zB. www.pfsense.org da das über Router geht.

    Kannst du den Lancom als Bridge only konfigurieren oder hau den raus. Client-Client Traffic sollte bei AP's im selben Pysikalischen Netzwerk immer gehen sind ja nur eine Bridge vorausgesetzt die Lancom L-54G sind so konfiguriert/angeschlossen.

    Lg Markus



  • Hi,

    ich habe jetzt das WAN-Interface ausgeschaltet und auch alle Interface-Einstellungen auf dem WAN Interface deaktiviert. Der LC-1511 ist jetzt auch kein DHCP-Server mehr sondern er und alle L-54G leiten ihre Anfrage weiter an 192.168.1.1. Das ist die IP-Adresse der LAN-Schnittstelle vom pFsense-Rechner (bzw. m0n0wall-Rechner, mit dem ich gerade teste - ist ja aber fast identisch), die jetzt mit ETH1 vom LC-1511 verbunden ist.

    Im Prinzip nutze ich also im Moment nur den Switch des LC-1511, aber damit scheint es zu funktionieren:

    IP address  MAC address  Session start  Download  Upload  Username 
    192.168.1.150 00:40:d0:30:5a:36  04/14/2011 09:39:19 65 KB 27 KB wlanuser1
    192.168.1.149 00:07:ca:01:6e:4b  04/14/2011 09:48:49 209 KB 65 KB wlanuser1

    Jetzt vielleicht noch Mehrfachanmeldung ausschalten und mal mit den APs am LC-1511 testen …

    Was mir bei der m0n0wall-Version besser gefällt ist die Benutzerverwaltung innerhalb des Captive-Portals und das man in der eigentlichen Benutzerverwaltung eine Gruppe einrichten kann, (und einen User dieser Gruppe zuweisen kann) die nur die Seiten der Benutzerverwaltung des Captive Portals sehen kann (plus vielleicht noch Vouchers und MAC-Freischaltung). Oder habe ich dieses Feature bei pFsense übersehen.

    Herzliche Grüße
    Eifelman



  • Bei 2.0 is das zu finden unter "System –> User Manager"


Log in to reply