Freeradius mit Captive Portal - ohne MSSID
Hallo zusammen!
Da dies mein erster Post ist, möchte ich und meine Rahmenbedingungen kurz vorstellen. Ich betreibe als End-User ein kleines Netzwerk in unserem Haus. Das Netzwerk besteht aus einer alten Fritzbox 7490 (davor ist ein Glasfasermodem), einem alten Cisco SG300 (28 Ports), mehreren Raspberries sowie vier Unifi-APs (die Raspberries laufen eh – insofern ist die Controller-Software kein wirkliches Problem für mich). Ich habe das Netz gemäß der Anleitung
Verständnissproblem Routing mit SG300-28
eingerichtet (der Cisco-Switch arbeitet also im Layer-3-Modus und kümmert sich auch um das Inter-Vlan-Routing). An dieser Stelle bereits: vielen Dank für die zahlreichen Tipps und Anleitungen!
Ich würde das Netz gerne (1) mit Radius absichern und (2) Gäste über ein Captive Portal abwickeln. Beide Punkte funktionieren auch bereits. Für (1) habe gemäß der Anleitung
Freeradius Management mit WebGUI
Freeradius und die Webgui Daloradius verwendet. Für (2) verwende ich das Captive-Portal, welches bereits in der Controller-Software (Unifi) enthalten ist. Leider muss ich bis jetzt jedoch 2 SSIDs verwenden. Gerne würde ich den Radiusserver so einrichten, dass bei nicht erfolgter Authentisierung das/ein Captive-Portal aufgerufen wird (wie auch im obigen Link - jedoch für Mikrotik APs). Ich sehe hier drei Ansätze, für die ich jedoch noch keine Lösung gefunden habe (eventuell aber einfach übersehen).
(1) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an das Unifi Captive-Portal weiterleiten
(2) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an neu einzurichtendes Captive-Portal weiterleiten (ggf. bereits in Daloradius integriert)
(3) Unifi-Controller-Lösung (natürlich ohne zusätzliche Hardware)
Über Hilfe und/oder Links würde ich mich freuen.
Jo
Da dies mein erster Post ist, möchte ich und meine Rahmenbedingungen kurz vorstellen. Ich betreibe als End-User ein kleines Netzwerk in unserem Haus. Das Netzwerk besteht aus einer alten Fritzbox 7490 (davor ist ein Glasfasermodem), einem alten Cisco SG300 (28 Ports), mehreren Raspberries sowie vier Unifi-APs (die Raspberries laufen eh – insofern ist die Controller-Software kein wirkliches Problem für mich). Ich habe das Netz gemäß der Anleitung
Verständnissproblem Routing mit SG300-28
eingerichtet (der Cisco-Switch arbeitet also im Layer-3-Modus und kümmert sich auch um das Inter-Vlan-Routing). An dieser Stelle bereits: vielen Dank für die zahlreichen Tipps und Anleitungen!
Ich würde das Netz gerne (1) mit Radius absichern und (2) Gäste über ein Captive Portal abwickeln. Beide Punkte funktionieren auch bereits. Für (1) habe gemäß der Anleitung
Freeradius Management mit WebGUI
Freeradius und die Webgui Daloradius verwendet. Für (2) verwende ich das Captive-Portal, welches bereits in der Controller-Software (Unifi) enthalten ist. Leider muss ich bis jetzt jedoch 2 SSIDs verwenden. Gerne würde ich den Radiusserver so einrichten, dass bei nicht erfolgter Authentisierung das/ein Captive-Portal aufgerufen wird (wie auch im obigen Link - jedoch für Mikrotik APs). Ich sehe hier drei Ansätze, für die ich jedoch noch keine Lösung gefunden habe (eventuell aber einfach übersehen).
(1) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an das Unifi Captive-Portal weiterleiten
(2) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an neu einzurichtendes Captive-Portal weiterleiten (ggf. bereits in Daloradius integriert)
(3) Unifi-Controller-Lösung (natürlich ohne zusätzliche Hardware)
Über Hilfe und/oder Links würde ich mich freuen.
Jo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8150828723
Url: https://administrator.de/forum/freeradius-mit-captive-portal-ohne-mssid-8150828723.html
Ausgedruckt am: 21.12.2024 um 14:12 Uhr
7 Kommentare
Neuester Kommentar
Hi Jo und willkommen im Forum! 😉
Du hast soweit alles richtig gemacht mit deinem Setup.
Es gibt generell 2 Optionen diese Anforderungen schnell und einfach zu lösen:
Das obige Radius Tutorial belässt die Option das nach der Datenbankabfrage auch zusätzlich noch die statische User Datei befragt wird. Diese statische User Datei hat ganz am Ende ein auskommentiertes „DEFAULT“ Statement was so aussieht:
Dieser Eintrag bedeutet das alle nicht authentisierten User automatisch in das VLAN 99 geschoben werden.
Wenn du jetzt auf deinem Switch bzw. Controller das VLAN 99 als Gast VLAN einrichtest mit einem Captive Portal, dann landen alle nicht authentisierten User in diesem Netzwerk Segment und müssen sich dann über das CP authentisieren.
Du hast soweit alles richtig gemacht mit deinem Setup.
Es gibt generell 2 Optionen diese Anforderungen schnell und einfach zu lösen:
- Deine APs bzw. der Controller haben eine sog. „Authentication Failure VLAN“ Option. Bedeutet das der AP oder Controller ein Feature hat was Nutzer bei einer fehlgeschlagenen Authentisierung automatisch in ein konfiguriertes VLAN legt.
- Fehlt diese Option im Featureset deiner Hardware gibt es einen einfachen Workaround über den Radius Server über das sog. DEFAULT Statement.
Das obige Radius Tutorial belässt die Option das nach der Datenbankabfrage auch zusätzlich noch die statische User Datei befragt wird. Diese statische User Datei hat ganz am Ende ein auskommentiertes „DEFAULT“ Statement was so aussieht:
DEFAULT Cleartext-Password := "%{User-Name}"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = 99
Wenn du jetzt auf deinem Switch bzw. Controller das VLAN 99 als Gast VLAN einrichtest mit einem Captive Portal, dann landen alle nicht authentisierten User in diesem Netzwerk Segment und müssen sich dann über das CP authentisieren.
Unklar ist mir, wie ich Clients im Default-VLAN an das Captive Portal weiterleite.
Als Tip einmal lesen wie ein Captive Portal generell funktioniert:WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mit anderen Worten: Du musst dort gar nichts einrichten bzw. nur die Captivel Portal Funktion aktivieren. Es reicht völlig das sich die Clients in diesem VLAN befinden. Der tiefere Sinn eines Captive Portal Segemtes...
Sobald die User dort einen Browser eröffnen fängt die Captive Portal Funktion (daher der Name 😉) allen TCP 80 bzw. 443 Traffic (HTTP bzw. HTTPS Browser Traffic) ab und redirected den Browser zwangsweise auf die lokale Portalseite zur Authentisierung.
Eigentlich eine sehr einfache Logik die hinter allen bekannten Captive Portal Funktionen steckt und primär erstmal nichts mit Radius und dynamischen VLANs zu tun hat. Diese Funktion dient ja erstmal einzig nur dazu deine unregistrierten User in eben dieses Captive Portal VLAN zu zwingen.
Der SG300 supported leider kein Web based Authentication bzw. Captive Portal Funktion wie die Catalyst Modelle. Dein CP VLAN darf deshalb keinesfalls eine IP Adresse auf dem Switch haben und muss dieses Netz zwingend als reines Layer 2 VLAN an das Unify Gerät durchreichen was die CP Funktion zur Verfügung stellt.
Kann es sein, dass dieses Captive Portal nur über die APs zu erreichen ist?
Das könnte sein. Entscheidend ist WELCHES Endgerät das CP realisiert. Im o.a. Tutorial macht es die Firewall und da ist dann die Infrastruktur völlig egal.Bei manchen WLANs ist das ein zentraler Controller oder eben die APs selber.
Wenn das der Fall ist kann man es natürlich nicht über die Switch, Router oder Firewall Funktion und damit unabhängig von der Infrastruktur lösen.
In dem Falle stellt sich dann die Frage ob das nur bei statisch zugewiesenen SSIDs klappt oder auch bei dynamisch zugewiesenen mit einer MSSID Infrastruktur.
Das aber kann dir dann letztlich nur das Unify Handbuch oder der Hotline beantworten.
In jedem Falle ist es designtechnisch immer am besten dafür einen Router oder Firewall zu wählen um eben immer unabhängig von der Infrastruktur zu sein.
OPNsense/pfSense u d auch Mikrotik Router und Switches bieten diese Funktion onboard.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Captive Portal Gastnetz mit Mikrotik