WLAN-Gastnetzwerk mit Authentifizierung und Mitloggen der Verbindungen
Hallo ihr Administratoren,
ich stehe hier seit eine Weile von einem Problem: Meine Aufgabe ist die Einrichtung eines Gastnetzwerkes über einen einfach ADSL-Anschluss.
Dafür habe ich bisher eine Firewall (PIX 501) für die DSL-Einwahl und DHCP konfiguriert. Der WLAN-AP (Aironet 1200) verschlüsselt die Daten bisher mit WPA-TKIP.
Nun besteht aber folgendes Problem:
Dieses kleine Netzwerk soll ja ein Gastnetzwerk werden. Meine Idealvorstellung wäre, dass jeder Gast ein Login (bestehend aus Username und Passwort) abholt und dieses für die Authentifizierung im Netzwerk verwendet. Dafür würde ein ACS/RADIUS (?)-Server an das Gastnetzwerk angebunden werden. Im Sekretariat würde er seinen Namen und Firma hinterlegen und das ganze mit einer Unterschrift bestätigen.
Hintergrund der Sache ist folgende: Es muss genau festgestellt werden können, welche Person am Anschluss der Firma welchen Traffic verursacht hat. Es wäre je vorstellbar, dass sich Leute in das Gastnetzwerk begeben, die auf ihrem Rechner SPAM-Programme installiert haben und nun von dem DSL-Anschluss, für den meine Firma zur Verantwortung gezogen werden kann. Auch diverse andere Szenarien sind theoretisch möglich, sodass auf jeden Fall genau feststellbar sein muss, welche Person zu welcher Zeit welchen Traffic verursacht hat.
Hat jemand eine Idee, wie ich dies realisieren könnte?
Wenn noch Fragen offen sind, bitte fragen.
Vielen Dank schon im Vorraus.
ich stehe hier seit eine Weile von einem Problem: Meine Aufgabe ist die Einrichtung eines Gastnetzwerkes über einen einfach ADSL-Anschluss.
Dafür habe ich bisher eine Firewall (PIX 501) für die DSL-Einwahl und DHCP konfiguriert. Der WLAN-AP (Aironet 1200) verschlüsselt die Daten bisher mit WPA-TKIP.
Nun besteht aber folgendes Problem:
Dieses kleine Netzwerk soll ja ein Gastnetzwerk werden. Meine Idealvorstellung wäre, dass jeder Gast ein Login (bestehend aus Username und Passwort) abholt und dieses für die Authentifizierung im Netzwerk verwendet. Dafür würde ein ACS/RADIUS (?)-Server an das Gastnetzwerk angebunden werden. Im Sekretariat würde er seinen Namen und Firma hinterlegen und das ganze mit einer Unterschrift bestätigen.
Hintergrund der Sache ist folgende: Es muss genau festgestellt werden können, welche Person am Anschluss der Firma welchen Traffic verursacht hat. Es wäre je vorstellbar, dass sich Leute in das Gastnetzwerk begeben, die auf ihrem Rechner SPAM-Programme installiert haben und nun von dem DSL-Anschluss, für den meine Firma zur Verantwortung gezogen werden kann. Auch diverse andere Szenarien sind theoretisch möglich, sodass auf jeden Fall genau feststellbar sein muss, welche Person zu welcher Zeit welchen Traffic verursacht hat.
Hat jemand eine Idee, wie ich dies realisieren könnte?
Wenn noch Fragen offen sind, bitte fragen.
Vielen Dank schon im Vorraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68818
Url: https://administrator.de/forum/wlan-gastnetzwerk-mit-authentifizierung-und-mitloggen-der-verbindungen-68818.html
Ausgedruckt am: 06.04.2025 um 03:04 Uhr
13 Kommentare
Neuester Kommentar
Normalerweise löst man heute sowas in WLANs mit einer Zwangswebpage die dem Gast präsentiert wird. Also genau das gleiche Verhalten wie du es vom Flughafen oder Bahnhof an öffentlichen Hotspots kennst.
Gute WLAN Lösungen renomierter Hersteller haben sowas immer mit an Bord. Bei Cisco sollten deren Lösungen das aber auch können...bei den Preisen
.
Das Feature heisst Captive Portal. Es ist viel einfacher zu administrieren und die Authentifizierung geschieht ebenfalls über den klassischen Radius Server. Gäste werden dann von einer Webseite des captive Portals mit eurem Firmenlogo und rechtlichen Hinweisen (wichtig!) zur Benutzung dieses Anschlusses begrüsst. So ein Gast WLAN ist ja immer auch eine Visitenkarte des Unternehmens !
Der authentifizierende Radius Server lässt sich dann auch mit einem einfachen Web GUI versehen, der dem Empfangssekretariat es einfach macht temporäre Passwörter für die Gäste auszugeben. Das geschieht mit einem Einmalpasswort mit der Eingabe des Namens, was nach einer Zeitspanne ungültig wird. Die generierten Passwörter werden automatisch auf den Radius übertragen.
Falls dein Cisco Umfeld dies wider Erwarten nicht realisieren kann was eigentlich unwahrscheinlich ist, dann gibt es auch außer kommerziellen Lösungen einige Freeware Lösungen wie z.B. Chillispot.
Gute WLAN Lösungen renomierter Hersteller haben sowas immer mit an Bord. Bei Cisco sollten deren Lösungen das aber auch können...bei den Preisen
Das Feature heisst Captive Portal. Es ist viel einfacher zu administrieren und die Authentifizierung geschieht ebenfalls über den klassischen Radius Server. Gäste werden dann von einer Webseite des captive Portals mit eurem Firmenlogo und rechtlichen Hinweisen (wichtig!) zur Benutzung dieses Anschlusses begrüsst. So ein Gast WLAN ist ja immer auch eine Visitenkarte des Unternehmens !
Der authentifizierende Radius Server lässt sich dann auch mit einem einfachen Web GUI versehen, der dem Empfangssekretariat es einfach macht temporäre Passwörter für die Gäste auszugeben. Das geschieht mit einem Einmalpasswort mit der Eingabe des Namens, was nach einer Zeitspanne ungültig wird. Die generierten Passwörter werden automatisch auf den Radius übertragen.
Falls dein Cisco Umfeld dies wider Erwarten nicht realisieren kann was eigentlich unwahrscheinlich ist, dann gibt es auch außer kommerziellen Lösungen einige Freeware Lösungen wie z.B. Chillispot.

Ich würde noch den Hinweis auf den juristischen Aspekt lenken. Ggf. trittst du bzw. die Firma als Zugangprovider auf und bist entsprechenden Auflagen verpflichtet. Dies betrifft einerseits das Übertragen von privaten Daten (die du vielleicht nicht loggen/speichern darfst) und andererseits die Auflagen für Provider (Verbindungsdaten, etc.).
Eine ähnliche Gratwanderung ist im Übrigen generell bei privater Kommunikation in der Firma zu beachten.
Eine ähnliche Gratwanderung ist im Übrigen generell bei privater Kommunikation in der Firma zu beachten.
Für die Coova Lösung oder die z.B. von Wifidog.org benötigst du einen Accesspoint mit der freien OpenWRT Firmware. Die läuft dann auf preiswerter Consumer AP Hardware von z.B. Linksys, Buffalo, Asus usw. zusammen mit einem Linux Rechner der dann zugleich Radius Authentifizierungsserver und Portal Webserver ist.
Das kannst du selber auch sehr schnell. Dr. Google ist dein Freund 
OpenWRT hat eine eigenen Webseite !
Hier ist eine Liste der supporteten Hardware:
http://wiki.openwrt.org/TableOfHardware
Die OpenWRT Seite ist hier: www.openwrt.org
OpenWRT hat eine eigenen Webseite !
Hier ist eine Liste der supporteten Hardware:
http://wiki.openwrt.org/TableOfHardware
Die OpenWRT Seite ist hier: www.openwrt.org
Klasse, danke für das Feedback ! Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !

Hallo.
wir haben einen Cisco-WLAN-Controller für den Gast-Access.
Diesen nutze ich als Captive Portal. Danach gehts durch die BBSM (ist fürs Billing, und macht die Abfrage ans ActiveDirectory) ins Internet.
Da die BBSM (Building Broadband Service Manager) als proxy leider nicht alle Dienste unterstützt, mußte ich den proxy deaktivieren.
Dieser loggt nun natürlich nicht mehr!
Hat da wer ne Idee, wie man die besuchten Web-Seiten dennoch mitloggen kann?!
Evtl Syslog? Ein Account reicht nicht aus!
danke & mfg
florian
wir haben einen Cisco-WLAN-Controller für den Gast-Access.
Diesen nutze ich als Captive Portal. Danach gehts durch die BBSM (ist fürs Billing, und macht die Abfrage ans ActiveDirectory) ins Internet.
Da die BBSM (Building Broadband Service Manager) als proxy leider nicht alle Dienste unterstützt, mußte ich den proxy deaktivieren.
Dieser loggt nun natürlich nicht mehr!
Hat da wer ne Idee, wie man die besuchten Web-Seiten dennoch mitloggen kann?!
Evtl Syslog? Ein Account reicht nicht aus!
danke & mfg
florian
Hallo,
ich beschäftige mich derzeit mit einem ähnlichen Thema. Und zwar möchte ich meine beiden Ferienwohnungen mit Internet versorgen. Ich habe mir das so vorgestellt, das der Mieter zu mir kommt und ich (zB über ein Webapplikation im Browser) einen Account für beispielsweise 7 Tage erstelle und ich ihm Username und Passwort gebe. Über seinen selbst mitgebrachten PC/Notebook gelangt er über ein normales DSL-Kabel ans Internet. Sobald er den Browser öffnet, startet ein Login-Feld und der Mieter kann sich mit den von mir gegebenen Daten einloggen.
Was muss ich dazu tun? Das ganze soll möglichst einfach einzurichten und zu bedienen sein. Max. Kosten sollten sich auf etwa 250€ belaufen. Ich möchte kein Geld für die Internetnutzung, es soll einfach nur Kunden anlocken und ein gutes Feature sein.
Was gibt es für Möglichkeiten um mich selber noch abzusichern? Was passiert wenn der Mieter illegale Aktivitäten macht? Eine Logfunktion, beispielsweise über einen Proxy, würde zu tief in die Privatsphäre eingreifen. Andererseits muss ich selber auch geschützt werden, da ich keine Lust habe wegen anderer Leute Strafe zu zahlen oder noch schlimmeres.
Ich bitte um schnellstmögliche Rückantwort.
Viele Grüße
Michael
ich beschäftige mich derzeit mit einem ähnlichen Thema. Und zwar möchte ich meine beiden Ferienwohnungen mit Internet versorgen. Ich habe mir das so vorgestellt, das der Mieter zu mir kommt und ich (zB über ein Webapplikation im Browser) einen Account für beispielsweise 7 Tage erstelle und ich ihm Username und Passwort gebe. Über seinen selbst mitgebrachten PC/Notebook gelangt er über ein normales DSL-Kabel ans Internet. Sobald er den Browser öffnet, startet ein Login-Feld und der Mieter kann sich mit den von mir gegebenen Daten einloggen.
Was muss ich dazu tun? Das ganze soll möglichst einfach einzurichten und zu bedienen sein. Max. Kosten sollten sich auf etwa 250€ belaufen. Ich möchte kein Geld für die Internetnutzung, es soll einfach nur Kunden anlocken und ein gutes Feature sein.
Was gibt es für Möglichkeiten um mich selber noch abzusichern? Was passiert wenn der Mieter illegale Aktivitäten macht? Eine Logfunktion, beispielsweise über einen Proxy, würde zu tief in die Privatsphäre eingreifen. Andererseits muss ich selber auch geschützt werden, da ich keine Lust habe wegen anderer Leute Strafe zu zahlen oder noch schlimmeres.
Ich bitte um schnellstmögliche Rückantwort.
Viele Grüße
Michael