6
Wlan, Möglichkeiten zur Abrechnung und Useradministration
Hallo miteinander!
Ich werde ein kleines kostenpflichtiges Wlan Netzwerk erstellen. Das heisst, jeder Nutzer wird über ein Captive Portal (pfsense) einloggen müssen. Bevor dies jedoch möglich ist muss vorher eine Zahlung eingehen...
Es werden ca. 5 Access Points zum Einsatz kommen (Hardware noch nicht klar). Diese sollen alle über Switch an eine Alix-Box (pfsense) laufen um so den Zugriff ins Internet ermöglichen. Zum Anmelden muss vorher der User freigeschaltet werden (laut dem Super Tutorial was ich auf eurer Homepage gelesen habe). Nun habe ich gesehen, dass man 3 URL's für das Captive Portal aktivieren kann. Ist es möglich per HTML skript auf der Login Seite eine Registration einzurichten, dass sich die User zuerst einfach nur registrieren können mit eigenem Username und Passwort. Die Informationen sollten dann auf einer Datenbank gespeichert werden (natürlich mit MAC adresse) sodass ich nur noch per Mausklick den Account aktivieren kann. Gibt es da ein Package in pfsense und eben die "offline" Registration bis freischalten des Accountes?
Oder muss für diese Zwecke ein RADIUS Server laufen damit man das realisieren kann?
Eine weitere Frage meinerseits, eben auf der Anmeldungsseite des CP, kann mann da ein Bereich einfügen: E-Mail an den Admin...?
Vielen Dank
liebe Grüsse da_n0n3
Oder muss für diese Zwecke ein RADIUS Server laufen damit man das realisieren kann?
Eine weitere Frage meinerseits, eben auf der Anmeldungsseite des CP, kann mann da ein Bereich einfügen: E-Mail an den Admin...?
Vielen Dank
liebe Grüsse da_n0n3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 155213
Url: https://administrator.de/contentid/155213
Printed on: April 23, 2024 at 13:04 o'clock
6 Comments
Latest comment
nabend,
ich kenne einwenig pfsense, ist echt genial, nur ich finde das es auf nem alix doch sehr träge reagiert.
ich würde die registrieung nicht mit der mac adresse machen sondern mir was anderes über legen.
denke du solltest wirklich überlegen einen radius server einzusetzen.
mit welcher anzahl clients rechnest du denn?
gruß michael
ich kenne einwenig pfsense, ist echt genial, nur ich finde das es auf nem alix doch sehr träge reagiert.
ich würde die registrieung nicht mit der mac adresse machen sondern mir was anderes über legen.
denke du solltest wirklich überlegen einen radius server einzusetzen.
mit welcher anzahl clients rechnest du denn?
gruß michael
Du kannst IP-Adressen freischalten, auf die Benutzer auch ohne Anmeldung zugreifen dürfen. Dadrüber kannst du Seiten zur Registrierung, Kontaktformulare und son Kram auch ohne Anmeldung zulassen. In Unternehmen nutzt man diese Funktion normal, um die eigene Internetseite frei verfügbar zu machen.
MAC-Adresse ist doof, kann man zu einfach fälschen. Du benötigst einen RADIUS-Server und eine Möglichkeit, auf diesen zu schreiben. Gängige Praxis ist PHP mit der RADIUS-Erweiterung. Der Benutzer landet im CP, klickt auf den Link, gibts seine persönlichen Daten an, die in irgendeiner Datenbank landen, bekommt die Aufforderung zur Zahlung, du sitzt auf dem RADIUS-Server, wartest darauf und mit einem Klick werden Zugangsdaten im RADIUS hinterlegt und dem Benutzer irgendwie mitgeteilt (wobei du da Probleme bekommst, da du ja nicht 24/7 auf irgendwelche Anmeldungen warten kannst, müsstest du die Zugangsdaten per eMail verschicken, was nicht geht, da sich die Benutzer ja am CP anmelden müssen, um die eMails abzurufen)
Aber schonmal direkt eine Warnung vorweg: Du bietest eine kostenpflichtige Leistung an, also musst du dafür sorgen, dass die Leistung auch erbracht werden kann. Das bedeutet, dass du wissen musst, wie das System funktioniert. Da du ja noch nicht mal ein genaueres Konzept hast (es ist mehr als nur 5 Access Points, ein ALIX mit pfSense und ein RADIUS-Server), solltest du es sein lassen oder eine Fertiglösung (LANCOM-APs + LANCOM WLC-4006) nehmen.
Eine kostenlose Software macht keine Geldquelle.
MAC-Adresse ist doof, kann man zu einfach fälschen. Du benötigst einen RADIUS-Server und eine Möglichkeit, auf diesen zu schreiben. Gängige Praxis ist PHP mit der RADIUS-Erweiterung. Der Benutzer landet im CP, klickt auf den Link, gibts seine persönlichen Daten an, die in irgendeiner Datenbank landen, bekommt die Aufforderung zur Zahlung, du sitzt auf dem RADIUS-Server, wartest darauf und mit einem Klick werden Zugangsdaten im RADIUS hinterlegt und dem Benutzer irgendwie mitgeteilt (wobei du da Probleme bekommst, da du ja nicht 24/7 auf irgendwelche Anmeldungen warten kannst, müsstest du die Zugangsdaten per eMail verschicken, was nicht geht, da sich die Benutzer ja am CP anmelden müssen, um die eMails abzurufen)
Aber schonmal direkt eine Warnung vorweg: Du bietest eine kostenpflichtige Leistung an, also musst du dafür sorgen, dass die Leistung auch erbracht werden kann. Das bedeutet, dass du wissen musst, wie das System funktioniert. Da du ja noch nicht mal ein genaueres Konzept hast (es ist mehr als nur 5 Access Points, ein ALIX mit pfSense und ein RADIUS-Server), solltest du es sein lassen oder eine Fertiglösung (LANCOM-APs + LANCOM WLC-4006) nehmen.
Eine kostenlose Software macht keine Geldquelle.
Vielen Dank für die konstruktive Rückmeldung!
Das Konzept ist auf dem Weg der Entstehung - genaue Hardware, Software-Lösung und die räumlichen Gegebenheiten etc..! Aber totzdem Danke der Warnung. Sollte ich mein Projekt realisieren können wird sicher eine kostenlose Testphase ins Leben gerufen um Stolpersteine und Probleme zu erkennen! Bevor ich aber nun dieses Projekt bezüglich Investitionen vorantreibe, wollte ich eine Software technische die Rückmeldung von erfahrenen Administratoren einholen!
Zu den versch. Punkten:
- MAC Adressen spoofing:
Ich weiss, dass das möglich ist, bzw. ich habe Erfahrung in WEP WLAN hacking etc (keine Angst, natürlich mit Authoristation... Linux Backtrack und den dazugehörigen Tools). Ich bin mir der Lage sehr wohl bewusst. Es gibt auf CP (pfsense) die Möglichkeit nur eine Session pro Client zuzulassen... Würde das an Sicherheit nicht reichen mit Username, Passwort, MAC-Addr. Kontrolle? Das Problem ist, dass das so einfach wie möglich sein sollte, ohne zusätzliche Installation von Zertifikaten (freeradius). Gibt es da noch eine sicherere Methode ohne "Manipualtion und Zusatzinstallation" von Software auf dem Client (PPP)?
- freeradius und PHP Datenbank.
Habe ich das richtig verstanden, dass man auf Freeradius server auch das CP aktivieren kann? So wie ich gelesen habe gibt es das Package freeradius auf pfsense was dann ähnlich ist? Ich weiss, dass diese Methode - Firewall und RADIUS auf einer Maschine nicht state of the art ist!
Die von dir vorgeschagene Methode mit Radius server (wenn denn CP unterstützt) und zugriff auf den Server selber mit PHP (dialup admin??) finde ich gut.
Nur als Bemerkung: \"Ein skript, welches nach erhalt des Betrages automatisch den Zugangauf dem freeradius server freischalten würde, wäre natürlich die Musterlösung, würde aber den initialen Aufwand sprengen....\"
- wie geschrieben: \"Du kannst IP-Adressen freischalten, auf die Benutzer auch ohne Anmeldung zugreifen dürfen.\"
Meinst du es gibt diese Mgl. in Pfsense oder ist das auch freeradius?
freundliche Grüsse da_n0n3
Das Konzept ist auf dem Weg der Entstehung - genaue Hardware, Software-Lösung und die räumlichen Gegebenheiten etc..! Aber totzdem Danke der Warnung. Sollte ich mein Projekt realisieren können wird sicher eine kostenlose Testphase ins Leben gerufen um Stolpersteine und Probleme zu erkennen! Bevor ich aber nun dieses Projekt bezüglich Investitionen vorantreibe, wollte ich eine Software technische die Rückmeldung von erfahrenen Administratoren einholen!
Zu den versch. Punkten:
- MAC Adressen spoofing:
Ich weiss, dass das möglich ist, bzw. ich habe Erfahrung in WEP WLAN hacking etc (keine Angst, natürlich mit Authoristation... Linux Backtrack und den dazugehörigen Tools). Ich bin mir der Lage sehr wohl bewusst. Es gibt auf CP (pfsense) die Möglichkeit nur eine Session pro Client zuzulassen... Würde das an Sicherheit nicht reichen mit Username, Passwort, MAC-Addr. Kontrolle? Das Problem ist, dass das so einfach wie möglich sein sollte, ohne zusätzliche Installation von Zertifikaten (freeradius). Gibt es da noch eine sicherere Methode ohne "Manipualtion und Zusatzinstallation" von Software auf dem Client (PPP)?
- freeradius und PHP Datenbank.
Habe ich das richtig verstanden, dass man auf Freeradius server auch das CP aktivieren kann? So wie ich gelesen habe gibt es das Package freeradius auf pfsense was dann ähnlich ist? Ich weiss, dass diese Methode - Firewall und RADIUS auf einer Maschine nicht state of the art ist!
Die von dir vorgeschagene Methode mit Radius server (wenn denn CP unterstützt) und zugriff auf den Server selber mit PHP (dialup admin??) finde ich gut.
Nur als Bemerkung: \"Ein skript, welches nach erhalt des Betrages automatisch den Zugangauf dem freeradius server freischalten würde, wäre natürlich die Musterlösung, würde aber den initialen Aufwand sprengen....\"
- wie geschrieben: \"Du kannst IP-Adressen freischalten, auf die Benutzer auch ohne Anmeldung zugreifen dürfen.\"
Meinst du es gibt diese Mgl. in Pfsense oder ist das auch freeradius?
freundliche Grüsse da_n0n3
Du kannst das problemlos mit einem Radius Server machen, der dann aber dazukommt. Ob als VM oder real ist kosmetisch. Eine Grundlegende Konfig findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Für dich ist letztlich nur der Radius Teil relevant. Die MS spezifischen Anpassungen musst du nicht unbedingt machen, da du nur nach Username/Passwort authentisierst, die schaden aber nicht wenn man ihn universal haben will.
Die pfSense kannst du entsprechend einstellen das sie nicht über die lokale User Datenbank geht sondern den Radius nimmt.
Ein pro User Accounting ist ebenfalls möglich über Radius !
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Für dich ist letztlich nur der Radius Teil relevant. Die MS spezifischen Anpassungen musst du nicht unbedingt machen, da du nur nach Username/Passwort authentisierst, die schaden aber nicht wenn man ihn universal haben will.
Die pfSense kannst du entsprechend einstellen das sie nicht über die lokale User Datenbank geht sondern den Radius nimmt.
Ein pro User Accounting ist ebenfalls möglich über Radius !
Danke für die Antwort!
Ich habe das jetzt mal getestet:
- pfsense mit CP funktionniert
- freeradius unter ubuntu 10.04 erfolgreich installiert und authentifizierung mit radtest erfolgreich!
- pfsense mit freeradius package noch nicht geklappt (testing...)
- wenn ich pfsense und freeradius gleichzeitig laufen lassen will (VM-player) kann ich freeradius nicht starten da von pfsense gehindert:S --> ich denke das liegt an MV player, aber ich teste weiter...
Meine entscheidung fällt auf dieses setup:
client --> AP --> (switch) --> pfsense (CP) und freeradius datenbank --> internet
dafür brauche ich 2 rechner richtig? (pfsense und freeradius)?
--> Nun will ich, dass sich noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense
1. registrieren können also: username, PW angeben über einen Link auf CP-seite --> Diese Daten sollten dann in freeradius direkt geschrieben werden (mit MAC adresse) und dann von mir aktiviert werden können. wie geht das?
2. weitere Links auf der Anmeldeseite öffnen können, welche Informationen etc. enthalten (ähnlich Intranet). wie geht das?
braucht es dafür einen webserver?? und welche software??
Danke für Rückmeldungen und Denkanstösse
Grüsse da_n0n3
Ich habe das jetzt mal getestet:
- pfsense mit CP funktionniert
- freeradius unter ubuntu 10.04 erfolgreich installiert und authentifizierung mit radtest erfolgreich!
- pfsense mit freeradius package noch nicht geklappt (testing...)
- wenn ich pfsense und freeradius gleichzeitig laufen lassen will (VM-player) kann ich freeradius nicht starten da von pfsense gehindert:S --> ich denke das liegt an MV player, aber ich teste weiter...
Meine entscheidung fällt auf dieses setup:
client --> AP --> (switch) --> pfsense (CP) und freeradius datenbank --> internet
dafür brauche ich 2 rechner richtig? (pfsense und freeradius)?
--> Nun will ich, dass sich noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense
1. registrieren können also: username, PW angeben über einen Link auf CP-seite --> Diese Daten sollten dann in freeradius direkt geschrieben werden (mit MAC adresse) und dann von mir aktiviert werden können. wie geht das?
2. weitere Links auf der Anmeldeseite öffnen können, welche Informationen etc. enthalten (ähnlich Intranet). wie geht das?
braucht es dafür einen webserver?? und welche software??
Danke für Rückmeldungen und Denkanstösse
Grüsse da_n0n3
"kann ich freeradius nicht starten da von pfsense gehindert."
Nein, das liegt vermutlich an deiner falschen Konfiguration der VM Netzwerkadapter. bedenke das diese nicht alle im Bridge Modus arbeiten dürfen !!
2 müssen im Host Modus arbeiten, da sie ein isoliertes LAN emulieren müssen. Wenn du das richtig einstellst und die FW Regeln der PfSense beachtest funktioniert das tadellos.
"...noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense"
Klappt ist aber ein ungleich schwerer Aufwand das umzusetzen.
Nimm dafür lieber die Voucher Funktion und vergib diesen Clients einfach einen Zettel vom Voucher Abreisblock mit einem Einmal Passwort.
Das erspart die ne Menge graue Haare.
"....weitere Links auf der Anmeldeseite öffnen können"
Das ist recht einfach: Dafür customized du die Portalseite per HTML ganz nach deinen Wünschen für diese Links usw. wie es auch im Tutorial steht.
Bedenke aber das du diese Webserver IPs wo diese Links raufzeigen, sollten sie hinter dem Portal liegen, in die Ausnahmeliste eintragen musst, sonst werden deren URLs ja durch das Portal ebenso geblockt.
Wenn man das entsprechend customized klappt das wunderbar !
Nein, das liegt vermutlich an deiner falschen Konfiguration der VM Netzwerkadapter. bedenke das diese nicht alle im Bridge Modus arbeiten dürfen !!
2 müssen im Host Modus arbeiten, da sie ein isoliertes LAN emulieren müssen. Wenn du das richtig einstellst und die FW Regeln der PfSense beachtest funktioniert das tadellos.
"...noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense"
Klappt ist aber ein ungleich schwerer Aufwand das umzusetzen.
Nimm dafür lieber die Voucher Funktion und vergib diesen Clients einfach einen Zettel vom Voucher Abreisblock mit einem Einmal Passwort.
Das erspart die ne Menge graue Haare.
"....weitere Links auf der Anmeldeseite öffnen können"
Das ist recht einfach: Dafür customized du die Portalseite per HTML ganz nach deinen Wünschen für diese Links usw. wie es auch im Tutorial steht.
Bedenke aber das du diese Webserver IPs wo diese Links raufzeigen, sollten sie hinter dem Portal liegen, in die Ausnahmeliste eintragen musst, sonst werden deren URLs ja durch das Portal ebenso geblockt.
Wenn man das entsprechend customized klappt das wunderbar !
