Captive-Portal Login to MAC binding
Hallo zusammen,
ich bin gerade dabei ein Captive-Portal auf Basis von pfsense einzurichten. Dank dem Tutorial von aqui (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) eine super Sache. Das System wird in einem Mietshaus eingesetzt, dessen Wohnungen nur kurzzeitig an die Bewohner vermietet werden. Da es nicht viele Mietparteien sind, wollen wir die Nutzer über die eigene Benutzerverwaltung von pfsense anlegen. Soweit funktioniert das ganze auch schon.
Nun wollen wir aber zum Missbrauchsschutz eine Kontrolle einführen, damit wirklich nur derjenige Zugang zum Internet erhält, der auch dafür bezahlt hat. Es soll also nicht nur einer bezahlen, der dann seinen Zugang an beliebige Mitbewohner weitergibt. Ich habe schon Systeme gesehen, bei denen mit dem ersten Login dem Benutzer die MAC-Adresse zugeordnet wird, sodass er 1.) die Zugangsdaten nicht mehr eingeben muss und 2.) kein anderer sich mit diesem Zugang anmelden kann.
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt. Das verhindert aber noch keine Mitbenutzung, da man hier einfach nur den Login erneut an einem anderen Gerät angeben muss. Hat denn jemand von euch schon Erfahrungen mit so einer Lösung auf Basis von pfsense oder m0n0wall? Und falls ja, wird das nativ, mit einem Plugin oder einem externen Radius-System unterstützt?
Besten Dank schon einmal für eure Mithilfe.
Matthias
ich bin gerade dabei ein Captive-Portal auf Basis von pfsense einzurichten. Dank dem Tutorial von aqui (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) eine super Sache. Das System wird in einem Mietshaus eingesetzt, dessen Wohnungen nur kurzzeitig an die Bewohner vermietet werden. Da es nicht viele Mietparteien sind, wollen wir die Nutzer über die eigene Benutzerverwaltung von pfsense anlegen. Soweit funktioniert das ganze auch schon.
Nun wollen wir aber zum Missbrauchsschutz eine Kontrolle einführen, damit wirklich nur derjenige Zugang zum Internet erhält, der auch dafür bezahlt hat. Es soll also nicht nur einer bezahlen, der dann seinen Zugang an beliebige Mitbewohner weitergibt. Ich habe schon Systeme gesehen, bei denen mit dem ersten Login dem Benutzer die MAC-Adresse zugeordnet wird, sodass er 1.) die Zugangsdaten nicht mehr eingeben muss und 2.) kein anderer sich mit diesem Zugang anmelden kann.
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt. Das verhindert aber noch keine Mitbenutzung, da man hier einfach nur den Login erneut an einem anderen Gerät angeben muss. Hat denn jemand von euch schon Erfahrungen mit so einer Lösung auf Basis von pfsense oder m0n0wall? Und falls ja, wird das nativ, mit einem Plugin oder einem externen Radius-System unterstützt?
Besten Dank schon einmal für eure Mithilfe.
Matthias
Please also mark the comments that contributed to the solution of the article
Content-Key: 269936
Url: https://administrator.de/contentid/269936
Printed on: April 19, 2024 at 21:04 o'clock
6 Comments
Latest comment
Das ist bei pfSense ganz einfach:
Setze im CP Setup ganz einfach den Haken bei Disable concurrent logins damit verhinderst du sofort multiple Logins über das CP falls ein User z.B. seine Daten weitergegeben haben sollte !
Genau das Gegenteil also was du willst. Da trägst du z.B. dein privates Laptop ein wenn du das Gastnetz mal nutzen willst ohne User Eintrag oder wenn du von remote mal auf die Administrationsseite deiner Accesspoints oder Switches willst im Gastnetz.
Handbuch lesen !!
Keiner muss die Zugangsdaten mehr mehrfach eingeben wenn man sie im Browser speichert. Jeder Browser macht das heutzutage...wo ist also dein Problem ?
Du legst den User an, trägst die Zeitperiode für die Gültigkeit ein und gut iss.
Alternative ist Radius erhöht aber den administrativen Aufwand. Das muss nicht zwingend extern sein, denn über die Package Verwaltung kannst du auch einen Radius Server auf der pfSense laufen lassen.
Alternative dann sonst Raspberry Pi:
Netzwerk Management Server mit Raspberry Pi
Setze im CP Setup ganz einfach den Haken bei Disable concurrent logins damit verhinderst du sofort multiple Logins über das CP falls ein User z.B. seine Daten weitergegeben haben sollte !
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt.
??? Da verwechselst du wohl gefährlich etwas. Die Passthrough MACs sind die Adressen die das CP passieren dürfen OHNE jegliche Authorisierung !Genau das Gegenteil also was du willst. Da trägst du z.B. dein privates Laptop ein wenn du das Gastnetz mal nutzen willst ohne User Eintrag oder wenn du von remote mal auf die Administrationsseite deiner Accesspoints oder Switches willst im Gastnetz.
Handbuch lesen !!
Keiner muss die Zugangsdaten mehr mehrfach eingeben wenn man sie im Browser speichert. Jeder Browser macht das heutzutage...wo ist also dein Problem ?
Du legst den User an, trägst die Zeitperiode für die Gültigkeit ein und gut iss.
Alternative ist Radius erhöht aber den administrativen Aufwand. Das muss nicht zwingend extern sein, denn über die Package Verwaltung kannst du auch einen Radius Server auf der pfSense laufen lassen.
Alternative dann sonst Raspberry Pi:
Netzwerk Management Server mit Raspberry Pi
wenn zwei oder drei Personen in gegenläufigen Schichten arbeiten.
OK, das zu verifizieren ist schwierig.Wenn du deine Bank PIN rausgibst und einer nimmt dir die Karte wenn du schläfst kann der Bankoutomat auch nicht mehr unterschieden wer dran ist.
Dazu müsstest du mit Zertifikaten arbeiten oder Token Cards usw. was aber den Aufwand noch weiter erhöht. 100% wasserdicht ist das auch nicht, denn die kannst du auch weitergeben.
Du kannst auch Fingerabdrücke fälschen für Sensoren, da genügt Ponal Kleber und etwas Grafitspray.
Die Zertifikate sind an eine HW gebunden. Aber auch den Laptop kann man dem Freund geben. Wer will kann fast alles aushebeln.
Was du zusätzlich machen kannst:
Erfasse die Mac Adressen der Mieter Geräte und vergebe mit dem DHCP nur IPs an diese erfassten Macs (allow trusted only)
Diese IPs setzt du dann auch noch zusätzlich in eine Firewall Regel am Gastport.
Dann müsste ein Mieter sein Passwort UND seinen Rechner weitergeben. OK geht auch, aber die Hürden sind höher.
müsste ich Sonst pro Client eine Firewallregel auf dem Gastzugang anlegen (einen Adressbereich auf dem Netzwerk hab ich auf die Schnelle nicht gesehen).
Ja, das ist so ! Würde die Hürden aber noch etwas höher legen.Um die Sache zu vereinafchen könntest du den IP Adressbereich in 16, 32 oder 64 etc. Schritten legen und dann mit einer CIDR Maske in der Regel arbeiten. So hättest du nur eine einzige Regel pro Range.