9
Captive Portal - open und Radius gleichzeitig?
Hi zusammen,
ich bin gerade dabei ein neues Captive Portal aufzusetzen. An sich nicht so schwierig, aber ich stehe mit dem neuen Konzept ein bissl auf dem Schlauch, was die Umsetzung angeht.
Ich habe ein Captive Portal mit nocat für WLAN-Hotspots unter linux am laufen. Das möchte ich erweitern oder duch aktuellere Software ersetzten (M0n0wall oder PFSense machen einen guten Eindruck).
Ich möchte nämlich Netze auf 3 verschiedene Arten behandeln: eins ohne CP, eins open und eins mit Radius.
Bisher läuft das bei mir auf NoCat so, dass per iptables ein Netz direkt durchgelassen wird ( "Allowed Networks" ) und alle anderen auf einer Splash-Seite ohne Authentifizierung landen.
Jetzt will ich aber noch ein 3. Netz ins Spiel bringen, wo sich per CP über einen Radius angemeldet werden soll. Aber irgendwie geht immer nur entweder open, oder mit Auth., aber nicht beides.
Die Anleitungen hier sind alle total prima, aber passen nicht auf mein Problem - wie ich eben alle 3 Arten mit einem Gateway umsetze.
Zusätzlich steht der Gateway nicht beim Hotspot, sondern in einem entfernten Netzwerk. Das Routing funktioniert schon so. Wichtig ist mir nur die Umsetung am Gateway.
Hier erstmal der Netzplan:
Bisher ist es so, das WLAN_open eine splash-Seite bekommt und WLAN_intern am CP vorbeigewunken wird. WLAN_secure soll jetzt neu dazu kommen und sich über das CP am Radis anmelden können.
Kann man da irgenwas tricksen oder muss ich möglicherweise 2 CP-Server aufsetzen?
Ich möchte nämlich Netze auf 3 verschiedene Arten behandeln: eins ohne CP, eins open und eins mit Radius.
Bisher läuft das bei mir auf NoCat so, dass per iptables ein Netz direkt durchgelassen wird ( "Allowed Networks" ) und alle anderen auf einer Splash-Seite ohne Authentifizierung landen.
Jetzt will ich aber noch ein 3. Netz ins Spiel bringen, wo sich per CP über einen Radius angemeldet werden soll. Aber irgendwie geht immer nur entweder open, oder mit Auth., aber nicht beides.
Die Anleitungen hier sind alle total prima, aber passen nicht auf mein Problem - wie ich eben alle 3 Arten mit einem Gateway umsetze.
Zusätzlich steht der Gateway nicht beim Hotspot, sondern in einem entfernten Netzwerk. Das Routing funktioniert schon so. Wichtig ist mir nur die Umsetung am Gateway.
Hier erstmal der Netzplan:
Bisher ist es so, das WLAN_open eine splash-Seite bekommt und WLAN_intern am CP vorbeigewunken wird. WLAN_secure soll jetzt neu dazu kommen und sich über das CP am Radis anmelden können.
Kann man da irgenwas tricksen oder muss ich möglicherweise 2 CP-Server aufsetzen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163981
Url: https://administrator.de/contentid/163981
Printed on: April 18, 2024 at 21:04 o'clock
9 Comments
Latest comment
Es gibt eine Anleitung die zu 100% auf dein Szenario passt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist mit Abstand die beste und effektivste Art das umzusetzen. Wenn du keinen VLAN fähigen Switch hast dann musst du das halt mit deditierter HW machen.
Letztlich beschreibt das aber dein Szenario genau. Was du brauchst sind ESSID fähige Accesspoints wie z.B. den Edimax_EW-7416n und andere die ESSID supporten.
Alles dann über ein tagging fähigen Firewall/Router abbilden wie z.B. hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit ist dein Szenario dann ein Kinderspiel.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das ist mit Abstand die beste und effektivste Art das umzusetzen. Wenn du keinen VLAN fähigen Switch hast dann musst du das halt mit deditierter HW machen.
Letztlich beschreibt das aber dein Szenario genau. Was du brauchst sind ESSID fähige Accesspoints wie z.B. den Edimax_EW-7416n und andere die ESSID supporten.
Alles dann über ein tagging fähigen Firewall/Router abbilden wie z.B. hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit ist dein Szenario dann ein Kinderspiel.
Danke schonmal für Deine Antwort.
Ob sich das mit VLANs realisieren lässt weiss ich nicht, weil die Hardware schon vorhanden ist.
Also als Hotspots kommen linksys wrt54gl zum Einsatz. Diese wählen sich per PPPoE ins MPLS ein. Dann wird der Traffic ans CP weitergeleitet und kommt dort ohne dot1Q an.
Aber ob jetzt mit oder ohne VLAN: ich konnte jetzt nichts genaues finden, wie man für verschiedene Netze auch unterschiedliche CP einrichtet.
http://m0n0.ch/wall/images/screens/services_captiveportal.png - da kann man ja nicht einstellen, für welche Netzbereiche oder VLANs das gelten soll, noch weiss ich nicht, wie man das ganze dort 2x einrichtet (open + radius)?? Würde ich bei eingerichteten VLANs dort als interfaces enstprechend die VLANs auswählen können? Das wäre natürlich genau das was ich suchte....
Auf die Gefahr hin, dass das auch schon irgendwo steht: Kann ich bei M0n0wall statt VLANs auch virtuelle Interfaces konfigurieren und die wieder bei der CP-Konfig auswählen?
Das würde mir ja schon reichen, wenn ich das nach Netzbereichen trennen könnte.
Ob sich das mit VLANs realisieren lässt weiss ich nicht, weil die Hardware schon vorhanden ist.
Also als Hotspots kommen linksys wrt54gl zum Einsatz. Diese wählen sich per PPPoE ins MPLS ein. Dann wird der Traffic ans CP weitergeleitet und kommt dort ohne dot1Q an.
Aber ob jetzt mit oder ohne VLAN: ich konnte jetzt nichts genaues finden, wie man für verschiedene Netze auch unterschiedliche CP einrichtet.
http://m0n0.ch/wall/images/screens/services_captiveportal.png - da kann man ja nicht einstellen, für welche Netzbereiche oder VLANs das gelten soll, noch weiss ich nicht, wie man das ganze dort 2x einrichtet (open + radius)?? Würde ich bei eingerichteten VLANs dort als interfaces enstprechend die VLANs auswählen können? Das wäre natürlich genau das was ich suchte....
Auf die Gefahr hin, dass das auch schon irgendwo steht: Kann ich bei M0n0wall statt VLANs auch virtuelle Interfaces konfigurieren und die wieder bei der CP-Konfig auswählen?
Das würde mir ja schon reichen, wenn ich das nach Netzbereichen trennen könnte.
Doch, natürlich du kannst ganz genau einstellen für welches Interface das CP aktiviert werden soll:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Es ist also sehr wohl möglich auf VLAN Basis das CP auszuwählen !!
Eine Selektion auf Basis der Source IP Adressen ist nicht möglich, bei keinem CP derzeit. Ausnahme ist ggf. das du den CP Traffic per Policy Based Routing dediziert über eine ACL der MPLS Router an das CP sendest.
Mit deinen MPLS Routern dürfte das problemlos möglich sein. So könnte man das VLAN möglicherweise umgehen.
Das ist aber keineswegs eine sinnvolle und gute Lösung, da du den Traffic deiner gemeinsamen WLANs so zusammen transportieren müsstest !
Aus Sicherheitssicht macht das dann deine eigentlich sehr sinnvolle Trennungsplanung der WLANs vollkommen zunichte.
Am besten ist du installierst in deinem MPLS Backbone 3 einzelne VPLS Tunnel indem du die einzelnen WLANs in dedizierten VLANs über das MPLS per Layer 2 an die CP Firewall so heranführst. Die MPLS Router supporten sowas problemlos.
Dort kannst du dann ganz einfach wie im o.a. Tutorial beschrieben diese 3 WLANs auf einer CP/Firewall Infrastruktur zentral behandeln. Mit WRT54er die als AP laufen ist das aber nur schwerlich möglich, da die keine ESSID zu VLAN Trennung supporten wie der o.a. Edimax z.B.
Ohne ESSID fähige APs musst du die gesamte WLAN Infrastruktur 3 mal aufbauen was eigentlich vollkommen sinnlos ist und auch so heutzutage kein Mensch mehr macht.
Mit der bestehenden WLAN HW ist das also nicht ganz so einfach und erfordert erhebliche Klimmzüge auf Seiten der Konfiguration und auch der späteren Administration von deiner Seite. Das sollte man nicht unterschätzen.
Stellt sich die Frage ob das bei den Preisen von ESSID fähigen APs überhaupt Sinn macht... Realistisch gesehen nicht wirklich !
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Es ist also sehr wohl möglich auf VLAN Basis das CP auszuwählen !!
Eine Selektion auf Basis der Source IP Adressen ist nicht möglich, bei keinem CP derzeit. Ausnahme ist ggf. das du den CP Traffic per Policy Based Routing dediziert über eine ACL der MPLS Router an das CP sendest.
Mit deinen MPLS Routern dürfte das problemlos möglich sein. So könnte man das VLAN möglicherweise umgehen.
Das ist aber keineswegs eine sinnvolle und gute Lösung, da du den Traffic deiner gemeinsamen WLANs so zusammen transportieren müsstest !
Aus Sicherheitssicht macht das dann deine eigentlich sehr sinnvolle Trennungsplanung der WLANs vollkommen zunichte.
Am besten ist du installierst in deinem MPLS Backbone 3 einzelne VPLS Tunnel indem du die einzelnen WLANs in dedizierten VLANs über das MPLS per Layer 2 an die CP Firewall so heranführst. Die MPLS Router supporten sowas problemlos.
Dort kannst du dann ganz einfach wie im o.a. Tutorial beschrieben diese 3 WLANs auf einer CP/Firewall Infrastruktur zentral behandeln. Mit WRT54er die als AP laufen ist das aber nur schwerlich möglich, da die keine ESSID zu VLAN Trennung supporten wie der o.a. Edimax z.B.
Ohne ESSID fähige APs musst du die gesamte WLAN Infrastruktur 3 mal aufbauen was eigentlich vollkommen sinnlos ist und auch so heutzutage kein Mensch mehr macht.
Mit der bestehenden WLAN HW ist das also nicht ganz so einfach und erfordert erhebliche Klimmzüge auf Seiten der Konfiguration und auch der späteren Administration von deiner Seite. Das sollte man nicht unterschätzen.
Stellt sich die Frage ob das bei den Preisen von ESSID fähigen APs überhaupt Sinn macht... Realistisch gesehen nicht wirklich !
Hmm ich wusste doch, da ist der Wurm drin. Ich werde das mal evaluieren und mich nochmal melden,. Danke aber trotzdem schonmal für Deine ausführliche Hilfe!
Also das mit dem VLAN wäre ja toll, lässt sich aber nur wie beschrieben umbiegen. Die fehlende Trennung durch VLANs ist jetzt auch sicherheitstechnisch nicht so kritisch, weil sich der Traffic an keinen Punkt durch Dritte abfangen lässt - ausser halt im offenen WLAN. Das WLAN_Secure ist aber dann verschlüsselt. Dazu richte ich eine Radius-Authentifizierung in den einzelnen Hot-Spots ein und nicht über ein CP.
Da ich eine eindeutige Zuordnung bei den IP-Adressen der Hotspots habe, werde ich mir schon irgendeine Seite basteln, die je nach IP was anderes anzeigt. Damit umgehe ich dann das Problem mit den Interfaces für verschiedene Spalshseiten.
Da ich eine eindeutige Zuordnung bei den IP-Adressen der Hotspots habe, werde ich mir schon irgendeine Seite basteln, die je nach IP was anderes anzeigt. Damit umgehe ich dann das Problem mit den Interfaces für verschiedene Spalshseiten.
Ein Gästenetz ist aber in der Regel nicht anders handlebar. Dort mit Encryption zu arbeiten ist eigentlich Unsinn und ja auch nicht ser Sinn der Sache dann das ist nicht mangebar auf Dauer da man permanent Passwörter wechseln müsste. Ob das nun lokal oder am Radius passiert ist dabei unerheblich. Praxistauglich ist das keinesfalls, daher sind Gästenetze immer offen und Gäste haben für die Sicherheit selbst zu sorgen.
Damit musst du aber eine zwingende Trennung der Gäste SSID und SSID für interne und encryptete WLANs schaffen.
Das geht dann nur über ESSIDs und VLANs bzw. bei deinem MPLS Backbone dann mit einem VPLS Mapping wo du die VLANs über den MPLS Backbone transparent im Layer 2 (Bridging) überträgst.
Mit den entsprechenden ESSID APs ist das unproblematisch und sehr schnell umsetzbar...und sehr sicher !
Wenns das war
How can I mark a post as solved?
nicht vergessen.
Damit musst du aber eine zwingende Trennung der Gäste SSID und SSID für interne und encryptete WLANs schaffen.
Das geht dann nur über ESSIDs und VLANs bzw. bei deinem MPLS Backbone dann mit einem VPLS Mapping wo du die VLANs über den MPLS Backbone transparent im Layer 2 (Bridging) überträgst.
Mit den entsprechenden ESSID APs ist das unproblematisch und sehr schnell umsetzbar...und sehr sicher !
Wenns das war
How can I mark a post as solved?
nicht vergessen.
Also das WLAN_Secure ist ja kein Gästenetz, sondern soll Leuten, die schon einen Account haben, einen zusätzliches Vorteil bieten, idem eben das WLAN verschlüsselt ist. Da würde es sich halt anbieten, gegen den RADIUS zu authentifizieren, da ja halt die Accounts im Grunde schon da sind bzw. vom Nutzer selbst angelegt werden können.
Ich muss zugeben, ich bin jetzt auch nicht so der Netzwerkspezialist, sondern bin eher mit der Umsetzung des Gateways an sich beschäftigt. Deshalb muss ich nochmal ganz blöd fragen, warum WLANs mit verschiedenen SSID und verschiedenen (virtuellen) Interfaces nicht getrennt sind, wenn man kein VLAN benutzt? Soweit ich weiß, kann ich es ja verbieten, das eine bridge zwischen den Interfaces gemacht wird.
Ausserdem hängen die Linksys in keinem anderen Netzwerk sondern direkt an einem DSL-Modem.
Ich muss zugeben, ich bin jetzt auch nicht so der Netzwerkspezialist, sondern bin eher mit der Umsetzung des Gateways an sich beschäftigt. Deshalb muss ich nochmal ganz blöd fragen, warum WLANs mit verschiedenen SSID und verschiedenen (virtuellen) Interfaces nicht getrennt sind, wenn man kein VLAN benutzt? Soweit ich weiß, kann ich es ja verbieten, das eine bridge zwischen den Interfaces gemacht wird.
Ausserdem hängen die Linksys in keinem anderen Netzwerk sondern direkt an einem DSL-Modem.
Ja, generell hast du Recht. Wenn deine folgenden Geräte (Switch, Router etc.) sowas zulassen, dann kann man das blocken.
Meist ist es aber so das Accesspoints basierend zur ESSID WLAN Kennung (SSID Name) ein VLAN Tag setzen.
D.h. diese Pakete aus diesen SSID WLANs haben ein IEEE 802.1q VLAN Tag (VLAN ID) am Paket. Folglich müssen diese Pakete auch entsprechend auf ein tagged Interface am Switch oder Router gehen.
Billige APs für den Consumerbereich supporten zwar ESSIDs also virtuelle SSIDs auf dem WLAN, bridgen diese dann aber beide gemeinsam auf den LAN Port.
Damit hast du dann keinerlei Möglichkeit mehr diese beiden WLAN zu trennen oder zu filtern.
Nur mit unterschiedlichen IP Adressen in diesen WLANs und einem High End Router der entsprechende ACLs supportet wäre dann eine Trennung noch mit Aufwand möglich.
Es ist also nicht trivial WELCHEN AP man beschafft. Ein genauer Blick ins Handbuch bzw. Featureliste sollte hier dann zwingend sein !
Ein Tutorial zur Radius Authentifizierung findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Meist ist es aber so das Accesspoints basierend zur ESSID WLAN Kennung (SSID Name) ein VLAN Tag setzen.
D.h. diese Pakete aus diesen SSID WLANs haben ein IEEE 802.1q VLAN Tag (VLAN ID) am Paket. Folglich müssen diese Pakete auch entsprechend auf ein tagged Interface am Switch oder Router gehen.
Billige APs für den Consumerbereich supporten zwar ESSIDs also virtuelle SSIDs auf dem WLAN, bridgen diese dann aber beide gemeinsam auf den LAN Port.
Damit hast du dann keinerlei Möglichkeit mehr diese beiden WLAN zu trennen oder zu filtern.
Nur mit unterschiedlichen IP Adressen in diesen WLANs und einem High End Router der entsprechende ACLs supportet wäre dann eine Trennung noch mit Aufwand möglich.
Es ist also nicht trivial WELCHEN AP man beschafft. Ein genauer Blick ins Handbuch bzw. Featureliste sollte hier dann zwingend sein !
Ein Tutorial zur Radius Authentifizierung findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
In meinem Fall wird der Traffic ja direkt ins MPLS geleitet. Wäre da jetzt noch ein LAN, an dem die Hotspots mit dranhängen, dann wäre ohne physikalische Trennung ein trunking fähiger Switch definitiv notwendig.
Ein Cisco 7200 Series würde, glaube ich, so ziemlich keine Wünsche offen lassen, aber das ist auch nicht meine Baustelle. ;)
Danke noch für den Link für das Radius Tut..
Ich setz den Thread dann mal auf grün.
Ein Cisco 7200 Series würde, glaube ich, so ziemlich keine Wünsche offen lassen, aber das ist auch nicht meine Baustelle. ;)
Danke noch für den Link für das Radius Tut..
Ich setz den Thread dann mal auf grün.
