xsiggix
Goto Top

Wie Gäste ins Internet bringen?

Guten Tag

als erstes entschuldigt bitte, wenn ich fachlich ziemlichen Quatsch rede. Ich bin kein Fachinformatiker und auch nicht in der Ausbildung dazu. Ich hab damals leider keine Lehrstelle gefunden. Allerdings engagiere ich mich Ehrenamtlich in einem Jugendzentrum, wo ich mich um den ganzen Computerkram kümmere.

Ok nun zu meinem Problem. Ich habe den Auftrag bekommen, es im Jugendzentrum zu realisieren, dass die Jugendlichen Internetzugang über W-Lan bekommen können. Außerdem sollte die Möglichkeit bestehen, auch Gästen zeitlich Begrenzt Zugang geben zu können. Ideal wäre wenn ich den Sozialpädogen sowas hinstellen könnte wie der ZyXEL UAG50 und dann gibts ein Knopf für Jugendliche für zeitlich unbrenzten Zugang und einen Knopf für Zugang für 1 Tag oder so.

Derzeit gibt es einen 16er Anschluss mit einer veralteten Fritzbox. Allerdings ist schon ein 100er Anschluss mit einer Fritzbox 7490. Und ich hab ca ~2500€ Budget.

Nun bieten viele Herrsteller (Lancom, ZyXEL, TP-Link etc) Captive Portale, schon eingebaut in ihre Hardware, an. Auf der anderen Seite Lese ich unter anderem hier auf der Seite, dass Captive Portale bei https aufrufen nicht funktionieren. Nun haben aber besonders die großen beliebten Seiten (google, youtube, twitter, twitch etc) längst alle auf https umgestellt. Kann ja auch sein, dass diese Hersteller bereits andere Lösungen parat haben.

Ich bin grad etwas verwirrt wegen dieser https-Sache und weiss nicht wirklich wo ich überhaupt ansetzen soll. Daher die Frage, wie macht man sowas heute? Kann doch nicht sein, dass das nicht mehr geht. Ich habs grad gestern beim Besuch im Krankenhaus wieder genutzt.

Gruß
Siggi

Content-ID: 329791

Url: https://administrator.de/forum/wie-gaeste-ins-internet-bringen-329791.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

maretz
maretz 17.02.2017 um 17:56:09 Uhr
Goto Top
Moin,

zuerst mal bist du bei Captive Portal schon mal richtig... Da gibt es diverse, eines davon hier als tutuorial von Aqui...

ABER: Wenn du dich damit nicht auskennst würde ich überlegen ob du das wirklich willst... Ich stelle deine Frage mal anders: Ich möchte morgen eine Herz-OP bei dir durchführen... Bin zwar kein Arzt und auch kein Medizin-Student, aber ggf. kann mir hier im Forum das ja jemand erklären. Fühlst du dich bei dem Gedanken wohl? Normal haben Jugendliche heute ein recht gutes Verständnis von den Dingen. D.h. du solltest da schon einige Kenntnisse mitbringen sonst hast du in 14 Tagen Post wg. illegaler Filmdownloads, die Leitung wg. Pornodownloads ständig blockiert usw.... Hier kommt dann der Bereich "Firewall" und "Contentfilter" zum Tragen. Ebenfalls musst du davon ausgehen das in dem Fall auch Spassvögel interne Systeme erreichen wollen (und nicht immer nur auf die nette Art). Hier wäre es dann VLAN bzw. Gästenetz.

In jedem Fall nichts was man mal eben nebenbei hinstellt - Fritte an und gut. Hier gibt es Lösungen "von / bis" - sowohl von den Fähigkeiten als auch Preislich...Wenn du das schon aufbauen willst Frage einen befreundeten Fachmann (und sei es eben nur eine Gruppe von den Jungs/Mädels die da betreut werden bei denen du glaubst das die halbwegs intelligent sind) um einen Test bevor du das live schaltest...
xSiggix
xSiggix 17.02.2017 um 19:10:32 Uhr
Goto Top
Moin,

ich habe jetzt nicht den Plan das jetzt bis übermorgen fertig zu haben. Aber ich finde das sehr spannend und möchte das lernen. Und das Jugendzentrum gibt mir die finanziellen Mittel dafür. Ich habe auch nicht vor, dass dann live zu schalten, bevor ich mir nicht ganz sicher bin, dass das auch alles vernünftig ist.

Das mit den Downloads hatte ich schon auf dem Plan, aber erstmal möchte ich, dass das W-Lan an sich läuft. Ich war bisher erstmal davon ausgegangen, dass es nachher eine Filterlösung gibt, wo ich Seiten sperren kann. So kann man womöglich die großen bekannten Angebote rausfiltern. Was es sonst noch für Möglichkeiten gibt, wird noch später recherchiert. Was Angriffe auf interne Systeme angeht, hab ich erstmal die fritzbox 7490, die auf port 4 ein zweites Netz (Gastnetz) legen kann, welches keine Zugriffe auf das Hauptnetz zulässt. Allerdings weiss ich nicht, wie das Umgesetzt ist und ob das reicht. Allerdings stand das auch erstmal weiter hinten auf der Agenda. Aber natürlich auch ein Punkt für vor der live schaltung face-wink


Was das Tutorial von Aqui angeht meinst du das auf Basis von pfSense? Das habe ich mir die Tage schonmal durchgelesen. Dazu hab ich zwei Fragen.
1. Das Problem, dass Captive Portal nicht auf https Seiten funktioniert, tritt dass mit der Lösung auf?

2. Captive Portal ist ja wie gesagt bei von Herstellern inszwischen direkt in deren Geräte implementiert worden. Kann ich das dahin übertragen? Das Tutorial bezieht sich ja auf pfSense
Kraemer
Kraemer 17.02.2017 um 19:15:03 Uhr
Goto Top
Moin Siggi,

ich finde es gut, wenn sich Leute wie du und ich sozial engagieren. Deswegen möchte ich dir auch gerne trotz mangelndem Wissen versuchen zu helfen. Wie @maretz schon ganz richtig erwähnt hat, ist das Thema Illegal und Co. nicht unproblematisch. Und hier hätte ich einen Ansatz wie du das Thema und evtl. auch gleich das Kompetenzthema mit einer Klappe erschlagen kannst. Guck dir mal die Freifunk-Bewegung an. Evtl. gibt es bei dir auch schon eine Gruppe. Im allgemeinen findet man unter denen immer Leute, die einem mit Rat und Tat zur Seite stehen. Und das Thema Haftung hat man dann auch noch gleich erschlagen.
Leider gibt es gerade im öffentlichen Bereich immer wieder Einrichtungen, die nichts von Freifunk halten - aber das kannst du ja abklären.
Auf jeden Fall kannst du mit deinen 2,5k Kohle dann ein wirklich gutes Wlan-Netz aufbauen.
Einen Haken hat die Sache aber: Freifunk ist für alle da - das heißt, dass man ein solches Wlan eigentlich nicht reguliert.

Gruß Krämer
Kraemer
Kraemer 17.02.2017 um 19:17:10 Uhr
Goto Top
Zitat von @xSiggix:
1. Das Problem, dass Captive Portal nicht auf https Seiten funktioniert, tritt dass mit der Lösung auf?
Das Problem gibt es nicht, sofern man es richtig konfiguriert hat face-wink
108012
108012 17.02.2017 aktualisiert um 19:41:49 Uhr
Goto Top
Hallo Siggi,

für den privaten Bereich gibt es eben immer das Eine oder Andere was man umsetzen kann, aber in einem Jugendzentrum,
zumindest wenn es kein freies autonomes Jugendzentrum ist, sollte man auch darauf achten, das der Jugendschutz eingehalten
wird, denn wenn es einmal zu eine Überprüfung durch das städtische Jugendamt kommt ist es schnell aus mit der Haftung und wenn
erst einmal die Eltern sich dort beklagen was denn die Jugendlichen alles auf Ihrem Hany oder Smatphones haben. Und ja auch dort haben
die Jugendlichen sicherlich viel Zeit sich mit dem Router bzw. der Firewall auseinander zusetzen und Schwachstellen zu finden die es
eventuell gibt.

als erstes entschuldigt bitte, wenn ich fachlich ziemlichen Quatsch rede. Ich bin kein Fachinformatiker und auch nicht in der
Ausbildung dazu. Ich hab damals leider keine Lehrstelle gefunden.
Was bist Du denn dann dort? Ehrenamtlich, angestellt, Praktikum, Nullrunde (freiwilliges Jahr), usw.......

Allerdings engagiere ich mich Ehrenamtlich in einem Jugendzentrum, wo ich mich um den ganzen Computerkram kümmere.
Ok, und wie sieht es mit der Haftung aus? Was ist wenn ein Elternteil das Jugendzentrum verklagt!? Wie bist Du abgesichert!?

Ok nun zu meinem Problem. Ich habe den Auftrag bekommen, es im Jugendzentrum zu realisieren, dass die Jugendlichen
Internetzugang über W-Lan bekommen können.
Ok, das mag ja alles sein aber von welcher Größe der Installation reden wir denn hier?
Wie viele WLAN APs?
Wie viele und welche Klienten und geräte müssen bzw. sollen denn versorgt werden?
Was ist die Ziel- oder Altersgruppe der Klienten? (12 - 17 Jahre alt oder 15 - 16 Jahre)

Außerdem sollte die Möglichkeit bestehen, auch Gästen zeitlich Begrenzt Zugang geben zu können. Ideal wäre wenn ich den
Sozialpädogen sowas hinstellen könnte wie der ZyXEL UAG50 und dann gibts ein Knopf für Jugendliche für zeitlich unbrenzten
Zugang und einen Knopf für Zugang für 1 Tag oder so.
Ok das mag sein aber das kann man sicherlich auch anders regeln, denn eines sollte vorab klar sein, das zum Einen die Betreuer
ein Radius Zertifikat bekommen und immer ins Internet kommen, und die Kinder und Jugendlichen dann eben via Captive Portal
und Voucher System ja nach dem so lange surfen können wie sie wollen und/oder dürfen, entweder pro Tag, Woche oder
Monatskontingent. Man kann auch Gruppen anlegen und dann damit die "Eintagsfliegen" wie erwachsene Gäste versorgen.

Derzeit gibt es einen 16er Anschluss mit einer veralteten Fritzbox. Allerdings ist schon ein 100er Anschluss mit einer Fritzbox 7490.
Gut das geht ja schon einmal aber noch einmal wie viele Leute sollen denn damit versorgt werden!? Sollen denn auch Telefone und
Faxgeräte dort dran angeschlossen werden? Von wem ist denn der Internetschluss also von welchem ISP?

Und ich hab ca ~2500€ Budget.
Das klingt recht gut nur kommt es auch die Fläche die abgedeckt werden soll an und dann auf die Anzahl der Klienten

Nun bieten viele Herrsteller (Lancom, ZyXEL, TP-Link etc) Captive Portale, schon eingebaut in ihre Hardware, an.
Kommt immer darauf an was man, und für wen man und wie viele man etwas erledigen muss.
Ich würde hier einmal auf folgendes gehen wollen,
- um ganz sicher zu sein SchulRouterPlus und SchulFilterPlus
Ist abgesegnet von der untern und oberen Schulbehörde!
- Alternative 1 = APU2C4 mit pfSense und OpenLDAP, Radius Server und Cpative Portal mit Vouchers und kleinem Bondrucker
Drei Bücher gibt es dazu und ein Forum neben diesem hier.
- Alternative 2 = MikroTik Router und WLAN APs
Auch hierzu gibt es drei Bücher und ein Forum neben diesem hier.
- UBNT EdgeRouter und WLAN APs mit Controller Software.
Alles aus einem Guss und von einem Hersteller

Auf der anderen Seite Lese ich unter anderem hier auf der Seite, dass Captive Portale bei https aufrufen nicht funktionieren.
Das kann man mittels eines Proxy Servers schnell erledigen und oder abändern.

Nun haben aber besonders die großen beliebten Seiten (google, youtube, twitter, twitch etc) längst alle auf https umgestellt.
Kann ja auch sein, dass diese Hersteller bereits andere Lösungen parat haben.
Kann sein muss aber nicht. Mittels eines Proxy Servers ging das auch aber dann kommt es auch immer darauf an ob Du das
alles konfiguriert bekommst!

Ich bin grad etwas verwirrt wegen dieser https-Sache und weiss nicht wirklich wo ich überhaupt ansetzen soll.
Man kann da nicht viel machen, sicherlich kann man dort rudimentär etwas versuchen nur die Möglichkeiten hinsichtlich
https sind da auch nicht überall gleich gut.

Daher die Frage, wie macht man sowas heute?
SchulrouterPlus und/oder SchulFilterPlus, damit ist man auf der sicheren Seite! Allerdings kann man auch mittels
einer pfSense Firewall mit Squid, SquidGuard, Snort, OpenDNS und pfBlockerNG schon recht gute Erfolge erzielen.

Kann doch nicht sein, dass das nicht mehr geht. Ich habs grad gestern beim Besuch im Krankenhaus wieder genutzt.
Dort sind dann aber auch ein echter WLAN Controller und WLAN APs von ein und dem selben Hersteller im Einsatz und
das kostet dann eben auch so sein Geld!

Ein PoE Switch von Cisco aus der SG220 oder SG350 Serie
Ein normaler Switch für alle anderen Geräte im LAN (falls nötig)
Ein kleiner RaspBerry PI 3.0 mit Linux drauf und dem UBNT WLAN Controller
Eine pfSense die stark genug ist alles abzuhandeln (Pakete, Klienten, Durchsatz)
WLAN APs von UBNT die dann auch zum Software basierenden WLAN Controller (kostenlos) passen
Aus der UniFi Serie von UBNT würde ich mal anfangen zu schauen, aber was brauchen denn alle Deine Klienten?
a/b/g/n oder nur N oder was wird denn genau benötigt oder soll angeboten werden!?

Gruß
Dobby


: Hinweis : Hierbei handelt es sich nur um einen lockeren Erfahrungsaustausch zwischen Forumsteilnehmern und nicht um eine sachliche oder fachliche bzw. eine rechtliche Beratung und um mehr nicht!!!
Lochkartenstanzer
Lochkartenstanzer 17.02.2017 um 20:00:06 Uhr
Goto Top
Moin,

Unser lieber @aqui hat speziell für Dich eine Anleitung:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

lks
tikayevent
tikayevent 17.02.2017 um 20:20:42 Uhr
Goto Top
aqui
aqui 18.02.2017 aktualisiert um 00:02:27 Uhr
Goto Top
xSiggix
xSiggix 18.02.2017 um 17:36:12 Uhr
Goto Top
Zitat von @Kraemer:
Wie @maretz schon ganz richtig erwähnt hat, ist das Thema Illegal und Co. nicht unproblematisch. Und hier hätte ich einen Ansatz wie du das Thema und evtl. auch gleich das Kompetenzthema mit einer Klappe erschlagen kannst. Guck dir mal die Freifunk-Bewegung an.
Die haben Montag hier in der Stadt ein Community treffen. Dummerweise hab ich Zeitgleich einen Termin. Naja mal sehen ob ich das noch hinbekomme.

Einen Haken hat die Sache aber: Freifunk ist für alle da - das heißt, dass man ein solches Wlan eigentlich nicht reguliert.
Das könnte allerdings Problematisch werden - weiss ich noch nicht. Auf jedenfall wurde mal erwähnt, dass man den Jugendlichen bei Bedarf den Zugang auch wieder weg nehmen kann.

Ich werd das auf jedenfall als Option checken.
xSiggix
xSiggix 18.02.2017 um 18:23:43 Uhr
Goto Top
Zitat von @108012:

Hallo Siggi,

für den privaten Bereich gibt es eben immer das Eine oder Andere was man umsetzen kann, aber in einem Jugendzentrum,
zumindest wenn es kein freies autonomes Jugendzentrum ist, sollte man auch darauf achten, das der Jugendschutz eingehalten
wird, denn wenn es einmal zu eine Überprüfung durch das städtische Jugendamt kommt ist es schnell aus mit der Haftung und wenn
erst einmal die Eltern sich dort beklagen was denn die Jugendlichen alles auf Ihrem Hany oder Smatphones haben. Und ja auch dort haben
die Jugendlichen sicherlich viel Zeit sich mit dem Router bzw. der Firewall auseinander zusetzen und Schwachstellen zu finden die es
eventuell gibt.
Werde ich nächste Woche auf jedenfall mal thematisieren.

Was bist Du denn dann dort? Ehrenamtlich, angestellt, Praktikum, Nullrunde (freiwilliges Jahr), usw.......
Ehrenamt face-smile

Allerdings engagiere ich mich Ehrenamtlich in einem Jugendzentrum, wo ich mich um den ganzen Computerkram kümmere.
Ok, und wie sieht es mit der Haftung aus? Was ist wenn ein Elternteil das Jugendzentrum verklagt!? Wie bist Du abgesichert!?
OK jetzt gehts aber los :-O Warum ich? Ich sehe das so, ich mache was mir gesagt wird, Risiken und Probleme nenne ich immer und damit ist das in meiner Welt dann das Problem des Jugendzentrums.

Ok, das mag ja alles sein aber von welcher Größe der Installation reden wir denn hier?
Wie viele WLAN APs?
Wie viele und welche Klienten und geräte müssen bzw. sollen denn versorgt werden?
Was ist die Ziel- oder Altersgruppe der Klienten? (12 - 17 Jahre alt oder 15 - 16 Jahre)
Ich gehe von maximal 20 gleichzeitig aktiven Usern aus. Maximale Anzahl an gleichzeitig anwesenden Jugendlichen, die ich je gezählt hab während der Regelöffnungszeiten, lag bei 33 Jugendlichen. Im Schnitt sind es 15 bis 20 gleichzeitig. Es gibt 3 Veranstaltungen im Jahr wo es mehr sind. Dann sind es ~50Jugendliche. Allerdings sind ja nicht alle gleichzeitig am surfen etc.

Die Altersgruppe ist 12 - 17 Jahre mit 18 ist man raus.

Wir fangen in dieser Runde an mit einem AP im Jugendcafe. Wenn es später neues Geld gibt, sollen noch APs dazukommen. 4x Indoor und 2x oder 3x Outdoor. Ich bin mir da noch nicht so sicher wie weit die APs dann funken.

Außerdem sollte die Möglichkeit bestehen, auch Gästen zeitlich Begrenzt Zugang geben zu können. Ideal wäre wenn ich den
Sozialpädogen sowas hinstellen könnte wie der ZyXEL UAG50 und dann gibts ein Knopf für Jugendliche für zeitlich unbrenzten
Zugang und einen Knopf für Zugang für 1 Tag oder so.
Ok das mag sein aber das kann man sicherlich auch anders regeln, denn eines sollte vorab klar sein, das zum Einen die Betreuer
ein Radius Zertifikat bekommen und immer ins Internet kommen, und die Kinder und Jugendlichen dann eben via Captive Portal
und Voucher System ja nach dem so lange surfen können wie sie wollen und/oder dürfen, entweder pro Tag, Woche oder
Monatskontingent. Man kann auch Gruppen anlegen und dann damit die "Eintagsfliegen" wie erwachsene Gäste versorgen.
Ich hatte gedacht für die Betreuer bleibt erstmal alles beim alten. In dem Netz ist jetzt schon über das ganze Haus ein WLAN gespannt und warum sollte ich die Hardware austauschen? Auf dem zweiten Netz (Gastnetz der Fritzbox) soll dann das WLAN für die Jugendlichen mit dem Captive Portal laufen. Zumindest war das bisher die Idee. Ich lasse mich aber da gerne belehren. face-smile
Wenn ich mir recht überlege, ist das mit dem Monatskontingent also zeitlich begrenzter Zugang für die Jugendlichen besser. Hält das System sauber face-big-smile

Derzeit gibt es einen 16er Anschluss mit einer veralteten Fritzbox. Allerdings ist schon ein 100er Anschluss mit einer Fritzbox 7490.
Gut das geht ja schon einmal aber noch einmal wie viele Leute sollen denn damit versorgt werden!? Sollen denn auch Telefone und
Faxgeräte dort dran angeschlossen werden? Von wem ist denn der Internetschluss also von welchem ISP?
Die Telefonanlage kann ich laut ISP einfach vom alten auf den neuen Router einstöpseln. Zur Not lass ich von denen nen Service Techniker kommen.
Der ISP heisst Osnatel: https://www.osnatel.de

Und ich hab ca ~2500€ Budget.
Das klingt recht gut nur kommt es auch die Fläche die abgedeckt werden soll an und dann auf die Anzahl der Klienten
In diesem Schritt nur ein AP erstmal am zentralen Treffpunkt. Später wird mit neuem Geld erweitert. Mag wer Sponsor werden? xD

Nun bieten viele Herrsteller (Lancom, ZyXEL, TP-Link etc) Captive Portale, schon eingebaut in ihre Hardware, an.
Kommt immer darauf an was man, und für wen man und wie viele man etwas erledigen muss.
Naja ich frage mich warum ich das nicht nutzen sollte, wenn ich ja sowieso neue Hardware einkaufen muss.

Ich würde hier einmal auf folgendes gehen wollen,
- um ganz sicher zu sein SchulRouterPlus und SchulFilterPlus
Ist abgesegnet von der untern und oberen Schulbehörde!
- Alternative 1 = APU2C4 mit pfSense und OpenLDAP, Radius Server und Cpative Portal mit Vouchers und kleinem Bondrucker
Drei Bücher gibt es dazu und ein Forum neben diesem hier.
- Alternative 2 = MikroTik Router und WLAN APs
Auch hierzu gibt es drei Bücher und ein Forum neben diesem hier.
- UBNT EdgeRouter und WLAN APs mit Controller Software.
Alles aus einem Guss und von einem Hersteller
Werd ich mir anschauen. Was sind denn das für Bücher? Wäre dankbar für Titel und/oder ISBN Nummer

Auf der anderen Seite Lese ich unter anderem hier auf der Seite, dass Captive Portale bei https aufrufen nicht funktionieren.
Das kann man mittels eines Proxy Servers schnell erledigen und oder abändern.
Werd mich mal schlau googlen. Irgendwelche Tips, wo ich dazu informationen finde?

Nun haben aber besonders die großen beliebten Seiten (google, youtube, twitter, twitch etc) längst alle auf https umgestellt.
Kann ja auch sein, dass diese Hersteller bereits andere Lösungen parat haben.
Kann sein muss aber nicht. Mittels eines Proxy Servers ging das auch aber dann kommt es auch immer darauf an ob Du das
alles konfiguriert bekommst!
Ich bin gespannt face-big-smile Bisher hab ich immer alles zusammengefummelt bekommen. Aber ich seh schon. Wird diesmal kompliziert. O.o

Ich bin grad etwas verwirrt wegen dieser https-Sache und weiss nicht wirklich wo ich überhaupt ansetzen soll.
Man kann da nicht viel machen, sicherlich kann man dort rudimentär etwas versuchen nur die Möglichkeiten hinsichtlich
https sind da auch nicht überall gleich gut.
O.o

Daher die Frage, wie macht man sowas heute?
SchulrouterPlus und/oder SchulFilterPlus, damit ist man auf der sicheren Seite! Allerdings kann man auch mittels
einer pfSense Firewall mit Squid, SquidGuard, Snort, OpenDNS und pfBlockerNG schon recht gute Erfolge erzielen.
Ne Menge Hausaufgaben :-o Diese SchulrouterPlus find ich interessant.

Kann doch nicht sein, dass das nicht mehr geht. Ich habs grad gestern beim Besuch im Krankenhaus wieder genutzt.
Dort sind dann aber auch ein echter WLAN Controller und WLAN APs von ein und dem selben Hersteller im Einsatz und
das kostet dann eben auch so sein Geld!

Ein PoE Switch von Cisco aus der SG220 oder SG350 Serie
Ein normaler Switch für alle anderen Geräte im LAN (falls nötig)
Ein kleiner RaspBerry PI 3.0 mit Linux drauf und dem UBNT WLAN Controller
Eine pfSense die stark genug ist alles abzuhandeln (Pakete, Klienten, Durchsatz)
WLAN APs von UBNT die dann auch zum Software basierenden WLAN Controller (kostenlos) passen
Aus der UniFi Serie von UBNT würde ich mal anfangen zu schauen, aber was brauchen denn alle Deine Klienten?
a/b/g/n oder nur N oder was wird denn genau benötigt oder soll angeboten werden!?
Naja ich denke N können so ziemlich alle Smartphones heute.
aqui
aqui 18.02.2017 um 19:16:32 Uhr
Goto Top
Auf dem zweiten Netz (Gastnetz der Fritzbox) soll dann das WLAN für die Jugendlichen mit dem Captive Portal laufen.
Wenn du ein Captive Portal mit z.B. der pfSense betreibst ist das ja dein Gastnetz. Da braucht man dann logischerweise kein separates Gastnetz mehr.
Das FB Gastnetz ist so oder so ein Witz und in Sekunden ausgehebelt. Das ist was für Oma Gretes Wohnzimmer WLAN aber nicht für so ein Projekt wie deines.
Dort sollte man schon etwas subtiler filtern mit dem Captive Portal und es so wasserdicht wie möglich machen.
Das Gastnetz Tutorial erklärt hier ja alles im Detail.
xSiggix
xSiggix 18.02.2017 um 20:26:30 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Unser lieber @aqui hat speziell für Dich eine Anleitung:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

lks

Hab ich schon gesehen und werd ich ausprobieren. An dem Tutorial kommt man ja nicht vorbei wenn man nach Captive Portal googled face-big-smile
xSiggix
xSiggix 18.02.2017 um 20:28:40 Uhr
Goto Top

Danke face-smile leider hab ich keine Lancom Hardware zum testen.
xSiggix
xSiggix 18.02.2017 um 20:30:37 Uhr
Goto Top
pfSense ist aber komfortabler. Zumal man die Einmalpasswörter mit Browser oder SMS versenden kann...
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken

Ich seh schon. pfSense werd ich auf jedenfall antesten müssen face-big-smile
aqui
aqui 18.02.2017 aktualisiert um 21:32:32 Uhr
Goto Top
Besser ist das !!! face-smile Und zudem kannst du kostenlos testen wenn du noch irgendwo einen alten PC rumfliegen hast...
xSiggix
xSiggix 21.02.2017 um 11:46:55 Uhr
Goto Top
Bekomme nachher noch nen RAM Riegel und dann kann ich erstmal ausprobieren. Mal sehen wie weit ich komme face-big-smile

Was mich aber immer noch interessiert. Warum nicht die Lösungen benutzen, welche die Hersteller in Ihre Geräte bereits eingebaut haben z.B. ZyXEL, Lancom etc.?
aqui
aqui 21.02.2017 aktualisiert um 12:27:29 Uhr
Goto Top
Klar kannst du machen wenn du das Geld ausgeben willst. Zudem bindest du dich dann immer fest an diesen Hersteller und musst zwangsweise HW von dem einsetzen.
Sowas macht ja heutzutage keiner mehr der nachdenkt und frei in der Entscheidung bleiben will weil er auf nrmale Standards setzt !
Mal sehen wie weit ich komme
Wenns kneift einfach fragen hier !
eagle2
eagle2 21.02.2017 um 17:43:31 Uhr
Goto Top
Moin Siggi,

noch kurz zu deinen HTTPS-Fragen: Das Problem liegt darin, dass alle Hotstpot-Lösungen jegliche Anfrage vor der Anmeldung auf das Captive Portal umleiten. Bei normalem HTTP ist das kein Problem, es gibt aber Zertifikatsfehler wenn jemand eine Seite mit HTTPS aufruft - das kannst du nur mit einer eigenen Certificate Authority oder einem Proxy umgehen, das sind aber beides keine Lösungen für fremde Geräte wie an Hotspots üblich.

Daher geht es inzwischen nur darum, das als entsprechende Fehlerquelle beim Nutzer identifizieren zu können. Früher hieß es immer "öffnen Sie eine beliebige Seite im Browser um zur Anmeldung zu gelangen" - da viele Seiten aber heutzutage auf https setzen und so im Verlauf/Favoriten oder als Startseite eingestellt sind, funktioniert das nicht mehr. Man muss also ggf. den Nutzern empfehlen, eine Seite ohne https zu öffnen ("gehen sie mal auf hotel-xyz.de").

Glücklicherweise ist das aber kaum ein Problem, da moderne Betriebssysteme eine sog. Captive Portal Erkennung haben und dann automatisch die Anmeldeseite öffnen oder eine entsprechende Benachrichtigung ("hier klicken zum Anmelden") ausgeben - in 90% der Fälle musst du dich also um nichts kümmern ;).

Viele Grüße
eagle2
xSiggix
xSiggix 07.03.2017 um 20:23:48 Uhr
Goto Top
Hallo

nachdem ich jetzt ne Weile garkeine Zeit hatte, hab ich jetzt pfsense ausprobiert und hab das captive portal am laufen face-smile

Jetzt suche ich noch nach einer guten Möglichkeit, damit auch Zugänge erstellt werden können. Und zwar von den Betreuern und Sozialpädagogen.

Bisher finde ich die Lösung von 117162 am besten:
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
Allerdings find ichs schon etwas gruselig die Betreuer in die Weboberfläche der Firewall zu lassen.

Außerdem fehlt mir eine Möglichkeit festzustellen, wer denn wer ist: Es ist Vorgabe, dass man einzelnen Jugendlichen den Zugang auch wieder entziehen können soll, wenn diese dadurch negativ auffallen.

Dann zur Hardware:
Da ich grad ziemlich begeistert von pfSense bin, wollte ich nun das gesamte Netzwerk darüber laufen lassen. Dafür dachte ich daran folgene Netze einzurichten:
-Verwaltung
-DMZ
-Jugendarbeit
-WLAN

Damit suche ich dann eine Hardwarelösung mit 5 NICs. Am liebsten wäre mir ein 19" Gerät. Da habt ihr doch bestimmt Tips für? face-smile

Gruß
Siggi
BirdyB
BirdyB 07.03.2017 um 21:07:16 Uhr
Goto Top
Hi Siggi,

mit VLANs brauchst du nicht unbedingt 5 NICs, da tut es dann auch ein ALIX-Board. Und mit Multi-SSID-fähigen APs hast du auch getrennte WLANs für die Verwaltung, etc.

Beste Grüße!


Berthold
aqui
aqui 08.03.2017 um 12:09:39 Uhr
Goto Top
Allerdings find ichs schon etwas gruselig die Betreuer in die Weboberfläche der Firewall zu lassen.
Das Captive Portal ist NICHT die Weboberfläche !!!
Oder wie meintest du das ??

Wenn die Betreuer keine Voucher brauchen, dann kannst du die mit ihren Mac- oder IP Adressen beim Captive Portals in die Ausnahmeliste eintragen. Damit kommen diese dann OHNE das CP ins WLAN !
Einfacher gehts nicht !

Wenn du MSSID fähige APs einsetzt kannst du dir auch überlegen die Betreuer in ein eigenes WLAN / VLAN zu legen ohne ein CP. Genau wie Kollege BirdyB das oben schon anspricht.
Es gibt mehrere Möglichkeiten das sinnvoll zu lösen, dazu müsste man aber verstehen was du genau willst...
xSiggix
xSiggix 26.04.2017 um 13:31:50 Uhr
Goto Top
Moin nochmal.

Bin wieder dabei und hab nun aber ein Problem.

Bei der Installation von Captive Portal Plus zur Voucher Erzeugung, bekomme ich am Punkt 2. "Generate the menu link" die Meldung:
"cannot find the correct line in fbegin.inc. please insert the menu link manually"

Ich hab bisher gelesen, dass die automatische Erzeugung nicht mehr geht. Aber wie mache ich denn das mit dem Link manuell erstellen?

Gruss
Siggi
aqui
aqui 26.04.2017 um 13:47:33 Uhr
Goto Top