Hotspot-Anbieter mit Möglichkeit zu WPA2-Enterprise anstelle von bzw. zusätzlich zu Captive Portal
Guten Abend zusammen,
ich betreue für einen Verein einen Hotspot, über den die Vereinsmitglieder per WLAN und personalisiertem Nutzernamen plus Passwort Zugang zum Internet haben. Der Hotspot selbst läuft dabei aktuell über einen kommerziellen Hotspot-Anbieter, der den Verkehr über seine Server routet, sodass der Verein nicht für etwaige Rechtsverletzungen der Mitglieder zur Verantwortung gezogen werden kann.
Das Problem mit der aktuellen Lösung ist leider, dass bei Verlassen des WLAN-Einzugsbereichs nach kurzer Zeit eine erneute manuelle Anmeldung am Captive Portal notwendig wird. Eigentlich ist gewünscht, dass Clients sich automatisch anmelden, sobald sie in Reichweite des Hotspots sind, und dann sofort einen Internetzugang haben. Bestimmte Endgeräte (u.a. iPhones) sind zwar prinzipiell in der Lage, auch die Anmeldung an Captive Portals selbst abzuschließen, aber zusammen mit dem aktuellen Hotspotanbieter klappt das leider nicht - und Geräte ohne diese Funktion sind sowieso ausgeschlossen.
Deshalb liebäugele ich nun damit, das ganze per WPA2 Enterprise abzuwickeln, wobei die Benutzerdaten per RADIUS vom Hotspotanbieter besorgt werden. Gibt es Anbieter kommerzieller Hotspots, die so etwas ermöglichen, ansonsten aber die gleichen Dienste liefern (d.h. vor allem, Routing über eigene Server abzuwickeln und den Hotspotbetreiber zu verschleiern)?
Vielleicht habt ihr aber auch andere Ideen, was die automatische Anmeldung ermöglichen würde, ich freue mich über alle Vorschläge.
Danke.
ich betreue für einen Verein einen Hotspot, über den die Vereinsmitglieder per WLAN und personalisiertem Nutzernamen plus Passwort Zugang zum Internet haben. Der Hotspot selbst läuft dabei aktuell über einen kommerziellen Hotspot-Anbieter, der den Verkehr über seine Server routet, sodass der Verein nicht für etwaige Rechtsverletzungen der Mitglieder zur Verantwortung gezogen werden kann.
Das Problem mit der aktuellen Lösung ist leider, dass bei Verlassen des WLAN-Einzugsbereichs nach kurzer Zeit eine erneute manuelle Anmeldung am Captive Portal notwendig wird. Eigentlich ist gewünscht, dass Clients sich automatisch anmelden, sobald sie in Reichweite des Hotspots sind, und dann sofort einen Internetzugang haben. Bestimmte Endgeräte (u.a. iPhones) sind zwar prinzipiell in der Lage, auch die Anmeldung an Captive Portals selbst abzuschließen, aber zusammen mit dem aktuellen Hotspotanbieter klappt das leider nicht - und Geräte ohne diese Funktion sind sowieso ausgeschlossen.
Deshalb liebäugele ich nun damit, das ganze per WPA2 Enterprise abzuwickeln, wobei die Benutzerdaten per RADIUS vom Hotspotanbieter besorgt werden. Gibt es Anbieter kommerzieller Hotspots, die so etwas ermöglichen, ansonsten aber die gleichen Dienste liefern (d.h. vor allem, Routing über eigene Server abzuwickeln und den Hotspotbetreiber zu verschleiern)?
Vielleicht habt ihr aber auch andere Ideen, was die automatische Anmeldung ermöglichen würde, ich freue mich über alle Vorschläge.
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296868
Url: https://administrator.de/forum/hotspot-anbieter-mit-moeglichkeit-zu-wpa2-enterprise-anstelle-von-bzw-zusaetzlich-zu-captive-portal-296868.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
also die Verbindung herstellen (anmelden) tut in der Regel immer der Klient und nicht der HotSpot
habe ich zumindest so noch nie gesehen. Man kann auch alle Vereinsmitglieder eine Vereinbarung
unterschreiben lassen und auf der HotSpot Anmeldeseite dann noch einmal explizit darauf hinweisen
das jeder für sich selber verantwortlich ist und auch für sein Verhalten und dann kann man sicherlich
auch mittels eines CaptivePortals und Vouchers die ganze Sache mittels WPA2-Enterprise (AES-GCM)
abwickeln bzw. absichern.
pfSense hat dazu alles an Board und ist auch recht flott dabei alles abzusichern mittels Klienttrennung
(Client Isolation) und alles in VLANs für Gäste und Vereinsmitglieder aufzuteilen, gar keine Frage, nur
ist das eben auch immer nicht umsonst denn Hardware für pfSense sollte schon vorhanden sein und
zum anderen sollte man sich das alles vorher einmal schriftlich von einem Anwalt aufsetzen lassen
und sich zusätzlich beraten lassen, das kostet heute nicht mehr all zu viel und ist dann auch für den
Verein Wasserdicht!
PC Engines APU oder APU2 Bundle
mSATA SSD mit 60 Gb oder 120 GB
Compex WLE200NX oder
Ubiquiti (UBNT) SR71-E WLAN Karte
die richtigen WLAN Antennen dazu
Alternative kann man auch auf fertige kleine Lösungen setzen je nach dem was man denn
und vor allem für wie viele Benutzer man denn das alles anbieten möchte.
Anleitungen hier im Forum für den Zusammenbau gibt es auch zur genüge von dem Mitglied
@aqui also sollte dem nichts im Wege stehen.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich nicht um eine fachliche und/oder Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern.
also die Verbindung herstellen (anmelden) tut in der Regel immer der Klient und nicht der HotSpot
habe ich zumindest so noch nie gesehen. Man kann auch alle Vereinsmitglieder eine Vereinbarung
unterschreiben lassen und auf der HotSpot Anmeldeseite dann noch einmal explizit darauf hinweisen
das jeder für sich selber verantwortlich ist und auch für sein Verhalten und dann kann man sicherlich
auch mittels eines CaptivePortals und Vouchers die ganze Sache mittels WPA2-Enterprise (AES-GCM)
abwickeln bzw. absichern.
pfSense hat dazu alles an Board und ist auch recht flott dabei alles abzusichern mittels Klienttrennung
(Client Isolation) und alles in VLANs für Gäste und Vereinsmitglieder aufzuteilen, gar keine Frage, nur
ist das eben auch immer nicht umsonst denn Hardware für pfSense sollte schon vorhanden sein und
zum anderen sollte man sich das alles vorher einmal schriftlich von einem Anwalt aufsetzen lassen
und sich zusätzlich beraten lassen, das kostet heute nicht mehr all zu viel und ist dann auch für den
Verein Wasserdicht!
PC Engines APU oder APU2 Bundle
mSATA SSD mit 60 Gb oder 120 GB
Compex WLE200NX oder
Ubiquiti (UBNT) SR71-E WLAN Karte
die richtigen WLAN Antennen dazu
Alternative kann man auch auf fertige kleine Lösungen setzen je nach dem was man denn
und vor allem für wie viele Benutzer man denn das alles anbieten möchte.
Anleitungen hier im Forum für den Zusammenbau gibt es auch zur genüge von dem Mitglied
@aqui also sollte dem nichts im Wege stehen.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich nicht um eine fachliche und/oder Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern.
Zitat von @kingkong:
Ist im Prinzip tatsächlich so.
Sofern sich Nutzer mit einem Ticket einloggen und eine Zuordnung zu einem Namen vorhanden ist (ist bei uns absichtlich der Fall), kann natürlich ein bestimmter Nutzer zur Rechenschaft gezogen werden - aber da der Nutzer die Bedingungen vorher akzeptiert hat, ist das auch kein Problem. Und der Verein an sich bzw. dessen rechtliche Vertreter bleiben unbescholten.
Aber dafür braucht ihr ja keinen externen Anbieter?Ist im Prinzip tatsächlich so.
Sofern sich Nutzer mit einem Ticket einloggen und eine Zuordnung zu einem Namen vorhanden ist (ist bei uns absichtlich der Fall), kann natürlich ein bestimmter Nutzer zur Rechenschaft gezogen werden - aber da der Nutzer die Bedingungen vorher akzeptiert hat, ist das auch kein Problem. Und der Verein an sich bzw. dessen rechtliche Vertreter bleiben unbescholten.
Wenn ihr das bei euch intern auch so handhabt, ändert sich ja nix daran, oder versteh ich etwas nicht?
Die eindeutige Zuordnung ist ja mittels Radius auch so möglich.
Gruß
Also die einfachste Variante wäre einen Freifunkrouter einzurichten und aufzustellen. Da wird der gesamte Traffic per VPN zu einem externen Anschluss weitergeleitet, sodass man aus der Haftung draußen ist. Und praktischerweise gibt es kein Anmeldeverfahren für die Clients. Also kommt es auch nicht zu den erwähnten Problemen.
Vorgehen:
- Einen der empfohlenen Router besorgen, z.B. TP-Link 1043n-nd-v2
- passendes Freifunkimage besorgen und auf den Router laden (Freifunk Stuttgart: http://gw01.freifunk-stuttgart.de/gluon/stable/factory/)
- beliebigen Knotennamen vergeben
- Angezeigten Key bei der Freifunk-community zur Freischaltung einreichen
- Surfen.
(https://wiki.freifunk-stuttgart.net/anleitungen:router_flashen)
Klar, so kann man die Kosten nicht umlegen. Aber im Gegensatz zu den professionellen Hotspot-Lösungen, kostet die Freifunknutzung nichts. Es fallen also lediglich die Kosten des Internetzugangs an.
Vorgehen:
- Einen der empfohlenen Router besorgen, z.B. TP-Link 1043n-nd-v2
- passendes Freifunkimage besorgen und auf den Router laden (Freifunk Stuttgart: http://gw01.freifunk-stuttgart.de/gluon/stable/factory/)
- beliebigen Knotennamen vergeben
- Angezeigten Key bei der Freifunk-community zur Freischaltung einreichen
- Surfen.
(https://wiki.freifunk-stuttgart.net/anleitungen:router_flashen)
Klar, so kann man die Kosten nicht umlegen. Aber im Gegensatz zu den professionellen Hotspot-Lösungen, kostet die Freifunknutzung nichts. Es fallen also lediglich die Kosten des Internetzugangs an.