kingkong
Goto Top

Hotspot-Anbieter mit Möglichkeit zu WPA2-Enterprise anstelle von bzw. zusätzlich zu Captive Portal

Guten Abend zusammen,

ich betreue für einen Verein einen Hotspot, über den die Vereinsmitglieder per WLAN und personalisiertem Nutzernamen plus Passwort Zugang zum Internet haben. Der Hotspot selbst läuft dabei aktuell über einen kommerziellen Hotspot-Anbieter, der den Verkehr über seine Server routet, sodass der Verein nicht für etwaige Rechtsverletzungen der Mitglieder zur Verantwortung gezogen werden kann.

Das Problem mit der aktuellen Lösung ist leider, dass bei Verlassen des WLAN-Einzugsbereichs nach kurzer Zeit eine erneute manuelle Anmeldung am Captive Portal notwendig wird. Eigentlich ist gewünscht, dass Clients sich automatisch anmelden, sobald sie in Reichweite des Hotspots sind, und dann sofort einen Internetzugang haben. Bestimmte Endgeräte (u.a. iPhones) sind zwar prinzipiell in der Lage, auch die Anmeldung an Captive Portals selbst abzuschließen, aber zusammen mit dem aktuellen Hotspotanbieter klappt das leider nicht - und Geräte ohne diese Funktion sind sowieso ausgeschlossen.

Deshalb liebäugele ich nun damit, das ganze per WPA2 Enterprise abzuwickeln, wobei die Benutzerdaten per RADIUS vom Hotspotanbieter besorgt werden. Gibt es Anbieter kommerzieller Hotspots, die so etwas ermöglichen, ansonsten aber die gleichen Dienste liefern (d.h. vor allem, Routing über eigene Server abzuwickeln und den Hotspotbetreiber zu verschleiern)?

Vielleicht habt ihr aber auch andere Ideen, was die automatische Anmeldung ermöglichen würde, ich freue mich über alle Vorschläge.

Danke.

Content-ID: 296868

Url: https://administrator.de/forum/hotspot-anbieter-mit-moeglichkeit-zu-wpa2-enterprise-anstelle-von-bzw-zusaetzlich-zu-captive-portal-296868.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

108012
108012 21.02.2016, aktualisiert am 22.02.2016 um 14:50:03 Uhr
Goto Top
Hallo,

also die Verbindung herstellen (anmelden) tut in der Regel immer der Klient und nicht der HotSpot
habe ich zumindest so noch nie gesehen. Man kann auch alle Vereinsmitglieder eine Vereinbarung
unterschreiben lassen und auf der HotSpot Anmeldeseite dann noch einmal explizit darauf hinweisen
das jeder für sich selber verantwortlich ist und auch für sein Verhalten und dann kann man sicherlich
auch mittels eines CaptivePortals und Vouchers die ganze Sache mittels WPA2-Enterprise (AES-GCM)
abwickeln bzw. absichern.

pfSense hat dazu alles an Board und ist auch recht flott dabei alles abzusichern mittels Klienttrennung
(Client Isolation) und alles in VLANs für Gäste und Vereinsmitglieder aufzuteilen, gar keine Frage, nur
ist das eben auch immer nicht umsonst denn Hardware für pfSense sollte schon vorhanden sein und
zum anderen sollte man sich das alles vorher einmal schriftlich von einem Anwalt aufsetzen lassen
und sich zusätzlich beraten lassen, das kostet heute nicht mehr all zu viel und ist dann auch für den
Verein Wasserdicht!

PC Engines APU oder APU2 Bundle
mSATA SSD mit 60 Gb oder 120 GB
Compex WLE200NX oder
Ubiquiti (UBNT) SR71-E WLAN Karte
die richtigen WLAN Antennen dazu

Alternative kann man auch auf fertige kleine Lösungen setzen je nach dem was man denn
und vor allem für wie viele Benutzer man denn das alles anbieten möchte.

Anleitungen hier im Forum für den Zusammenbau gibt es auch zur genüge von dem Mitglied
@aqui also sollte dem nichts im Wege stehen.

Gruß
Dobby


: Hinweis : Hierbei handelt es sich nicht um eine fachliche und/oder Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern.
kingkong
kingkong 21.02.2016 um 12:27:37 Uhr
Goto Top
Hi Dobby,

erstmal danke für Deine Antwort. Technisch ist das an sich kein Problem, das ist mir klar. Und pfSense auf Alix-Board habe ich in der Vergangenheit auch schon selbst für ein Captive Portal genutzt. Tatsächlich geht es in meiner Antwort aber um etwas anderes.

Entsprechend Vorstandsbeschluss darf der Verein in keinem Fall für "Verfehlungen" seiner Mitglieder haften. Das heißt zum Beispiel, dass Urheberrechtsverletzungen nicht auf den Verein zurück fallen dürfen. Dazu wurde beschlossen, den Hotspot von einem kommerziellen Anbieter betreiben zu lassen, wie es ja mittlerweile einige gibt (zum Beispiel MeinHotspot, Sorglosinternet, Hotsplots, usw.). Dieser routet sämtlichen Verkehr per VPN-Tunnel über seine Server nach außen, und Abmahnungen etc. gehen an diesen Anbieter - der Verein ist also nicht greifbar.

Und jetzt das technische Problem: Sämtliche Anbieter, die ich kenne, bieten lediglich eine Authentifizierung über eine Webseite an, auf der entweder nur die Nutzungsbedingungen akzeptiert oder auch Nutzername und Passwort (respektive Ticketname und Code) eingetragen werden müssen. In jedem Fall können Androidgeräte das bisher offenbar nicht vernünftig automatisieren, und auch iPhones (die die Funktion standardmäßig an Bord haben) sind bei uns nicht zur automatischen Anmeldung in der Lage.

Mit dem WLAN allerdings können sich Endgeräte ja automatisch verbinden, und nun war mein Plan, die Ticketdaten einfach direkt per WPA2 Enterprise über RADIUS zur Netzwerkanmeldung zu nutzen und dann auf die Vorschaltseite zu verzichten - die Nutzungsvereinbarungen müssen die Vereinsmitglieder sowieso unterzeichnen, bevor sie einen Zugang zum Netz bekommen. Da die meisten Hotspot-Anbieter im Hintergrund sowieso eine AAA-Lösung auf RADIUS-Basis betreiben, dürfte die einzige Schwierigkeit doch nur darin bestehen, die RADIUS-Daten durch den VPN-Tunnel zum Anbieter zu routen.
Möglich wäre ja sogar, zwei Netze parallel zu betreiben - eins ohne Verschlüsselung mit Vorschaltseite und eins mit Verschlüsselung ohne Seite - und den alternativen Zugang per WPA2 erst freizugeben, wenn der Nutzer mindestens einmal die Nutzungsbedingungen akzeptiert hat (bei den Hotsplots-Geräten zum Beispiel kommt OpenWRT auf TP-Link-Geräten zum Einsatz und es wäre kein Problem, zwei WLAN-Netze durch jeweils separate VPN-Tunnel zu leiten, die im Backend unterschiedlich behandelt werden.)

Dennoch finde ich keinen Anbieter, der auch das ermöglicht. Und deshalb hier die Frage...
michi1983
michi1983 21.02.2016 um 12:43:46 Uhr
Goto Top
Hallo,

und die bist dir 100% sicher das die Nutzungsbedingungen eures kommerziellen Anbieters sagen: WIR übernehmen jede Haftung falls IHR Mist baut?
Das kann ich mir irgendwie nicht vorstellen um ehrlich zu sein.

Gruß
kingkong
kingkong 21.02.2016 um 13:06:50 Uhr
Goto Top
face-smile Ist im Prinzip tatsächlich so.

Sofern sich Nutzer mit einem Ticket einloggen und eine Zuordnung zu einem Namen vorhanden ist (ist bei uns absichtlich der Fall), kann natürlich ein bestimmter Nutzer zur Rechenschaft gezogen werden - aber da der Nutzer die Bedingungen vorher akzeptiert hat, ist das auch kein Problem. Und der Verein an sich bzw. dessen rechtliche Vertreter bleiben unbescholten.

Wenn es keine Zuordnung von Ticket zu Name gibt oder die Nutzung ohne Ticket möglich ist (wie z.B. bei MeinHotspot), ist natürlich gar niemand mehr zu ermitteln - aber der Hotspotbetreiber wird dann trotzdem nicht zur Kasse gebeten.
Die ganzen Hotspotbetreiber nehmen für sich selbst das Providerprivileg in Anspruch, haften also auch nicht. Wenn sie natürlich Kenntnis davon erlangen, dass über einen bestimmten Hotspot laufend Rechtsverletzungen begangen werden, könnten sie sich ggf. dazu entscheiden, dem jeweiligen Kunden den Zugang nicht mehr bereit zu stellen. Das müssten sie aber eben nur tun, wenn sie davon Kenntnis erlangen.

Such' einfach mal nach "Hotspot VPN-Routing", wenn Du mehr wissen willst ...
michi1983
michi1983 21.02.2016 um 13:28:51 Uhr
Goto Top
Zitat von @kingkong:

face-smile Ist im Prinzip tatsächlich so.

Sofern sich Nutzer mit einem Ticket einloggen und eine Zuordnung zu einem Namen vorhanden ist (ist bei uns absichtlich der Fall), kann natürlich ein bestimmter Nutzer zur Rechenschaft gezogen werden - aber da der Nutzer die Bedingungen vorher akzeptiert hat, ist das auch kein Problem. Und der Verein an sich bzw. dessen rechtliche Vertreter bleiben unbescholten.
Aber dafür braucht ihr ja keinen externen Anbieter?
Wenn ihr das bei euch intern auch so handhabt, ändert sich ja nix daran, oder versteh ich etwas nicht?
Die eindeutige Zuordnung ist ja mittels Radius auch so möglich.

Gruß
kingkong
kingkong 21.02.2016 um 14:49:14 Uhr
Goto Top
Doch, brauchen wir trotzdem. Wenn wir als Verein direkt einen Zugang anbieten würden, würde ja unsere IP-Adresse im Internet sichtbar und wir müssten uns selbst mit der rechtlichen Geschichte auseinander setzen (d.h. Anwalt beauftragen, etc. - Stichwort eben: Störerhaftung). Außerdem könnte der Verein das Providerprivileg nicht in Anspruch nehmen, würde also ggf. selbst in Regress genommen. Das könnte nur dann vermieden werden, wenn der Nutzer klar und rechtssicher benannt werden könnte. Und das wiederum ist uns ohne weiteres nicht möglich, weil eine Protokollierung - selbst wenn es sie gibt, was datenschutzrechtlich u.U. auch schon problematisch ist - revisionssicher erfolgen muss. Das aber ist ein Textlog, wie es zum Beispiel auch die pfSense erstellen könnte, auf gar keinen Fall. Vor Gericht taugt es also gar nicht.

Um all diesen Nachteilen aus dem Weg zu gehen, brauchen wir einen externen Anbieter.

Und nochmal: Ja, die eindeutige Zuordnung per RADIUS ist immer gegeben, - die Anbieter nutzen das ja auch per Webportal -, aber da die Benutzerdaten bzw. Tickets beim externen Dienstleister in der Datenbank liegen, müsste der uns also in irgendeiner Form einen Zugriff per RADIUS ermöglichen.

Ich habe mir jetzt auch schon Gedanken gemacht, ob man evtl. ein Proxyskript verwenden könnte, welches zum Access Point hin RADIUS spricht, die Daten aber "nach hinten" in die Loginmaske füttert - und, wenn es feststellt, dass die Daten nicht gültig sind, den AP dazu bringt, die Anmeldung abzulehnen. Aber vielleicht gibt es ja noch andere Ideen...

Ach ja, personalisierte Zugänge muss es übrigens deshalb geben, weil jedes Mitglied sich an den Kosten beteiligen soll, wenn es den Hotspot nutzen will. Ansonsten zahlt keiner, aber alle nutzen ihn.
Peter1000
Peter1000 21.02.2016 aktualisiert um 19:27:57 Uhr
Goto Top
Also die einfachste Variante wäre einen Freifunkrouter einzurichten und aufzustellen. Da wird der gesamte Traffic per VPN zu einem externen Anschluss weitergeleitet, sodass man aus der Haftung draußen ist. Und praktischerweise gibt es kein Anmeldeverfahren für die Clients. Also kommt es auch nicht zu den erwähnten Problemen.
Vorgehen:
- Einen der empfohlenen Router besorgen, z.B. TP-Link 1043n-nd-v2
- passendes Freifunkimage besorgen und auf den Router laden (Freifunk Stuttgart: http://gw01.freifunk-stuttgart.de/gluon/stable/factory/)
- beliebigen Knotennamen vergeben
- Angezeigten Key bei der Freifunk-community zur Freischaltung einreichen
- Surfen. face-smile
(https://wiki.freifunk-stuttgart.net/anleitungen:router_flashen)

Klar, so kann man die Kosten nicht umlegen. Aber im Gegensatz zu den professionellen Hotspot-Lösungen, kostet die Freifunknutzung nichts. Es fallen also lediglich die Kosten des Internetzugangs an.
kingkong
kingkong 21.02.2016, aktualisiert am 22.02.2016 um 22:10:01 Uhr
Goto Top
Hatte ich mir persönlich auch schon umgelegt überlegt (den von Dir genannten Router haben wir schon ;)) , aber dafür bekomme ich vom Vorstand höchstwahrscheinlich kein OK, weil nicht offiziell garantiert wird, dass der Verein selbst nicht in Erscheinung tritt (*).
Die Umlage wäre vielleicht auch auf Spendenbasis machbar, das habe ich noch nicht versucht.

(*) Die Berliner Freifunker haben ja zum Beispiel Acess-Provider-Status und bieten auch VPN-Zugänge an - haben die irgendwo eine mehr oder weniger offizielle Erklärung, die ich dem Vorstand präsentieren könnte?
Peter1000
Peter1000 23.02.2016 um 21:28:22 Uhr
Goto Top
Ich weiß von mehreren Städten in der Gegend, die die Flüchtlingsunterkünfte mit Freifunkroutern absichern. Die scheiben drauf zu vertrauen, dass sie nicht haftbar gemacht werden für illegale Aktionen.