smb500
Goto Top

Pfsense Captive Portal - Eine MAC pro Voucher

Hallo,

gemäß WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) und anderen / ähnlichen artverwandten Thread und Tutorials wollte ich ein Gäste-WLAN aufbauen.

Unglaubliche fünf Tage hat es gedauert, bis ich mal ein funktionierendes Testszenario (mit Router, LAN, PC mit zwei Netzwerkkarten, WAP und zwei wireless Clients) aufgebaut hatte und vermutlich dabei jedes nur erdenkliche Problem serviert bekommen habe face-sad
Nun läuft es gerade mal technisch grundsätzlich ansatzweise soweit, dass ich Testläufe machen kann. Aber...

Habe ich das richtig verstanden, dass man mit der pfSense und Captive Portal keine Voucher je MAC-Adresse (mehr?) vergeben kann?

Ich wollte Folgendes erreichen: User1 bekommt einen einfachen Vouchercode (q3zt8q3tzq3487tz8 o.ä.) welcher z.b. 2 Tage gültig ist. Er gibt den Voucher-Code auf der Portalseite ein und seine MAC-Adresse wird in der Datenbank gespeichert. Fortan hat diese MAC-Adresse Zutritt zum Netzwerk, bis das Voucher abgelaufen ist.

Wenn User1 seinen Code an User2 gibt, sollte dieser ungültig sein, sprich die Bindung an die MAC Adresse soll nicht mehr geändert werden.
Ich habe die Option mit den concurrent logins gesehen, aber mir fehlt dort ein wenig die Einsicht, dass dies sinnvoll ist. Wenn jemand (aus dem Ausland z.b.) keine mobilen Daten hat und mit seinem Tablet surft, ist die Verbindung auf dem Handy weg und es können zb auch keine Messages von WA, Viber und Co mehr empfangen werden.

Wie macht ihr das?

Gruß
smb

Content-Key: 387454

Url: https://administrator.de/contentid/387454

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
Lösung aqui 27.09.2018 aktualisiert um 09:57:36 Uhr
Goto Top
Unglaubliche fünf Tage hat es gedauert, bis ich mal ein funktionierendes Testszenario
Mmmhhhh, sollte dir zu denken geben.... Hier hat es nicht einmal 50 Minuten gedauert !
und vermutlich dabei jedes nur erdenkliche Problem serviert bekommen habe
Oha...das sollte dir noch mehr zu denken geben...?!
Habe ich das richtig verstanden, dass man mit der pfSense und Captive Portal keine Voucher je MAC-Adresse (mehr?) vergeben kann?
Nein, das hast du dann grundsätzlich komplett falsch verstanden ! Wundert einen nicht bei den obigen Aussagen von dir face-sad
Gerade darauf basiert das ganze Captive Portal der pfSense. Die Mac Adsresse eines CP Clients wird solange nicht in die Mac Forwarding Database der pfSense übernommen solange dieser Client sich nicht authentisiert hat.
Erst nach der Authentisierung wird sie dort eingetragen und dann kann auch L2 und L3 Traffic an diese Mac fliessen.
Technisch betrachtet wird also jedem Voucher durch die Authentisierung auch immer eine dedizierte Client Mac zugewiesen.
Warum hast du hier anderes verstanden...eigentlich doch ganz logisch ?!
Wenn User1 seinen Code an User2 gibt, sollte dieser ungültig sein, sprich die Bindung an die MAC Adresse soll nicht mehr geändert werden.
Das funktioniert auch fehlerlos, allerdings musst du dann logischerweise im CP Setup den "Concurrent Client Login" auf 1 setzen, so das sich jeder Voucher eben nur gerade 1mal einloggen kann !! Das verhindert ja gerade das User einfach ihr Einmalpasswort an andere weitergeben.
Hast du also richtig erkannt aber wohl nicht gesetzt ?!
Mitglied: Snowman25
Lösung Snowman25 27.09.2018 um 13:31:38 Uhr
Goto Top
Vorsicht! Beim Weitergeben von Passwörtern wird die alte Verbindung abgeschossen und die neue wird aktiv. Der Voucher ist also nicht an die MAC gebunden!
Mitglied: aqui
Lösung aqui 27.09.2018 aktualisiert um 13:36:19 Uhr
Goto Top
Beim Weitergeben von Passwörtern wird die alte Verbindung abgeschossen und die neue wird aktiv.
Nein, das ist nur bedingt richtig !
Oder besser gesagt nur dann richtig wenn das Concurrent Login auf 1 gesetzt wurde. Bei einem Wert > 1 können sich dann mehrere einloggen.
Ansonsten stimmt es dann gilt immer das was sich zuletzt eingeloggt hat. Gibt einer also seinen Voucher weiter sägt er sich selber den Ast ab wenn der andere sich einloggt face-wink
Will man all das nicht und fest Geräte bezogen arbeiten muss man mit Zertifikaten und Radius arbeiten mit dem CP.
Mitglied: smb500
smb500 27.09.2018 aktualisiert um 16:20:09 Uhr
Goto Top
Hallo,

Mmmhhhh, sollte dir zu denken geben...

das hat es auch, ich war tagelang ausgelastet face-big-smile

Tatsächlich hat es zwar auch Unklarheiten zum Aufbau und zur Funktionsweise gegeben, aber die meiste Zeit haben mich andere Steinchen gekostet die im Weg lagen..

<offtopic>
Die hatten das aber nicht nur mit der pfSense an sich zu tun, sondern vor allem mit allerlei Inkompatibilitäten und Seitenausflügen.
Die mal eben in einem USB-Adapter verwendeten microSD-Karten die hier herumlagen, hat es beim Setup gleich zwei Mal verbraten. Erst ein Setup von USB-Stick1 (source) auf USB-Stick2 (install) hat funktioniert. Dann wurde die Netzwerkkarte nicht erkannt. Bis ich verstanden hatte, dass es an keiner config lag, sondern an der Karte brauchte es eine Weile. Eine andere Netzwerkkarte hat dann funktioniert.
Auf der LAN-Seite wollte ich (alles testweise..) eine wlan-Karte in den PC setzen. Leider liess sich die Karte, was erstmal erlesen werden musste, sich nicht im AP-Mode betreiben. Der daraufhin versuchte Alfa-USB-Adapter hat sich ebenfalls als inkompatibel mit pfsense herausgestellt. Ich hatte noch eine Netzwerkkarte, irgendwo im Schrank, nach langem Suchen gefunden. Die funktionierte dann endlich. Dort ran sollte ein Wireless AP, ich hatte noch einen alten WAP54G, jedoch mit uralter Firmware. Ich wollte die Firmware "noch schnell" auf eine neuere oder andere Version flashen, musste aber nach langem hin und her festellen, dass dies bei diesem alten Modell v1.08 nur mit Lötarbeiten auf der Platine möglich ist. Dann irgendwann mal, konnte ich überhaupt anfangen mit der pfSense zu arbeiten, gleich kam das Problem mit dem unable to edit Interface because of IPv6 (https://redmine.pfsense.org/issues/5328) was auch nochmal eine Stunde gerissen hat.
Also jeden Mist habe ich mitgenommen.. macht nix, das übt face-sad
</offtopic>

Ich denke das mit den Vouchers habe ich schon verstanden. Lässt man das Concurrent Login deaktiviert, könnten sich mit dem zeitbegrenzten Voucher beliebig viele User einloggen. Wenn ich das Concurrent Login auf "1" setze, kann sich nur ein User einloggen. Dessen MAC-Adresse wird dann in die Datenbank der FW geschrieben.

Was ich erwartet oder erhofft hatte, war dass sich nach den erfolgreichen Login von User1 niemand mehr mit diesem Voucher einloggen kann, es sozusagen ungültig wird. Tatsächlich aber kann sich auch ein User-2 damit einloggen, nur wirft er dabei die MAC-Adresse des User-1 aus der Datenbank und die MAC-Adresse des User-2 wird anstelle dessen eingetragen - User-2 übernimmt quasi das Voucher.

Ich hätte das Voucher lieber ungültig gehabt nach einmaliger Verwendung. Allerdings habe ich gerstern Abend noch eine Weile darüber nachgedacht und auch verschiedene Themen auf netgate.com und pfsense.org gelesen, die dieses Thema betreffen. Die Concurrent Logins wurden wohl (zumindestens in Verbindung mit Vouchers?) erst nach einem Feature Request 2012 eingebaut, weil es inzwischen üblich ist, dass Benutzer mehrere Devices nutzen.

Wie gesagt, ich hatte gehofft eine Möglichkeit übersehen zu haben, die einmal benutzten Voucher für einen erneuten Login ungültig zu machen. Sicherlich gibt es eine Möglichkeit die Scripts zu verändern (a la "if exist $firewalltable['MAC'] where Voucher-ID gleich XY then go to error-page"), aber das geht mit dann doch zu weit für einen Test sonst sitze ich in zwei Wochen immer noch hier dran.

Will man all das nicht und fest Geräte bezogen arbeiten muss man mit Zertifikaten und Radius arbeiten mit dem CP

Ok, danke @aqui für die Info und danke auch @Snowman25

Grüsse
smb
Mitglied: aqui
aqui 27.09.2018 um 18:12:20 Uhr
Goto Top
Oha...da hast du ja das volle Programm mitgenommen. Aber du hast recht, das übt und die Erfahrung kann dir keiner mehr nehmen. face-wink