5
Eigenes Captive Portal oder Firmenweiter WPA2-Login
Hallo,
ich würde gerne ein eigenes Captive Portal oder einen firmenweiten WPA2-Login (WPA2-Enterprise) erstellen, ohne eine vorgefertigte Software zu verwenden (ich will das ganze ja auch verstehen können). Nun ist die Frage, wie man das ganze realisiert. Natürlich möchte ich eigene Benutzer und Benutzergruppen erstellen, die verschiedene Berechtigungen haben (mit anderen Clients kommunizieren, bestimmte Websiten aufrufen, bestimmte Websites nicht aufrufen, ...).
Nur leider habe ich überhaupt keine Ahnung, welche Hardware ich brauche (ich denke, ein Raspberry Pi sollte eigentlich als Server reichen). Nur stellt sich dann wieder die Frage, wie die Request beim Einloggen aussieht, wie ich sie beantworte, akzeptiere oder abbreche, wie ich den Traffic kontrolliere und all sowas.
Am liebsten wäre Mir ein Firmenweiter WPA2-Login, da die Leute Benutzernamen und Passwort so direkt eingeben müssen und dann nicht direkt im WLAN sind, sollte ein Captive Portal einfacher sein, wäre dies auch okay.
Hat jemand eine Idee?
Danke im Voraus.
PS: Damit wir uns richtig verstehen: Das ganze ist eher für den privaten Gebrauch gedacht, also für's heimische WLAN und nicht auf Arbeit oder so.
ich würde gerne ein eigenes Captive Portal oder einen firmenweiten WPA2-Login (WPA2-Enterprise) erstellen, ohne eine vorgefertigte Software zu verwenden (ich will das ganze ja auch verstehen können). Nun ist die Frage, wie man das ganze realisiert. Natürlich möchte ich eigene Benutzer und Benutzergruppen erstellen, die verschiedene Berechtigungen haben (mit anderen Clients kommunizieren, bestimmte Websiten aufrufen, bestimmte Websites nicht aufrufen, ...).
Nur leider habe ich überhaupt keine Ahnung, welche Hardware ich brauche (ich denke, ein Raspberry Pi sollte eigentlich als Server reichen). Nur stellt sich dann wieder die Frage, wie die Request beim Einloggen aussieht, wie ich sie beantworte, akzeptiere oder abbreche, wie ich den Traffic kontrolliere und all sowas.
Am liebsten wäre Mir ein Firmenweiter WPA2-Login, da die Leute Benutzernamen und Passwort so direkt eingeben müssen und dann nicht direkt im WLAN sind, sollte ein Captive Portal einfacher sein, wäre dies auch okay.
Hat jemand eine Idee?
Danke im Voraus.
PS: Damit wir uns richtig verstehen: Das ganze ist eher für den privaten Gebrauch gedacht, also für's heimische WLAN und nicht auf Arbeit oder so.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 312042
Url: https://administrator.de/contentid/312042
Printed on: April 16, 2024 at 05:04 o'clock
5 Comments
Latest comment
Guckst du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und für die bequeme Vergabe der Einmalpasswörter:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
Das sollte alle deine Fragen zu dem Thema beantworten.
Im VLAN Umfeld sind hier die wichtigsten Schritte dokumentiert (Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und für die bequeme Vergabe der Einmalpasswörter:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
Das sollte alle deine Fragen zu dem Thema beantworten.
Im VLAN Umfeld sind hier die wichtigsten Schritte dokumentiert (Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Danke für die Antwort, aber ich möchte wie oben erwähnt nicht auf vorgefertigte Software zurückgreifen. Ob es nun pfSense ist, ist ja egal, aber ich möchte nach Möglichkeit die Software selber schreiben, um die Funktionen selber einfach erweitern zu können und verstehen möchte ich den ganzen Ablauf ja auch.
OK, das war nicht so ganz ersichtlich aus der Formulierung, sorry.
Dann ist ein Raspberry Pi zum Erstellen deiner Lösung erstmal der erste Schritt. Für den Hausgebrauch reicht der allemal.
Raspian drauf und schon kannst du loslegen. Um ihn als Gateway zu konfigurieren benötigst du ggf. noch einen 2ten Ethernet Adapter für ein paar Euro. Details dazu findest du hier:
Netzwerk Management Server mit Raspberry Pi
Es gibt 2 Optionen das zu lösen. Als Gateway mit 2 Adaptern oder indem du TCP 80 Traffic vom Router mit PBR Routing zwangsredirectest auf so ein System. Das sind die gängigen Verfahren.
Das CP blockt normal HTTP(S) Traffic und lauscht auf diesen Traffic. Erkennt es ihn sendet es über einen Webserver eine Zwangswebseite zum Abfragen der User Daten. User / Pass oder Einmalpasswort was eine zeitliche Laufzeit hat.
Passt das dann wird die Mac Adresse des Clients in den ARP Cache eingetragen und damit dann die Kommunikation freigegeben. Passt es nicht wird die Mac Adresse nicht übernommen und es kann dein kein Layer 2 Forwarding im CP gemacht werden für den User.
Eigentlich ein ganz einfaches Prinzip.
Da du auch noch nach IP Adressen, URLs und Inhalten filtern willst brauchst du noch sowas wie einen HTTP Proxy. Squid ist hier das Mittel der Wahl.
WPA2 zu verwenden ist natürlich technischer Unsinn, denn das ist kein Login. Weiß man aber eigentlich auch als Laie " WPA2 sorgt lediglich für die Verschlüsselung der WLAN Verbindung.
In einem Captive Portal Umfeld ist das natürlich Blödsinn, denn wie willst du das handhaben ??? Jedem User verraten und dann alle 3 Tage ändern ?? Wenn du es einmal verräts weiss es ja die Welt und wegen der Störerhaftung ist das ein gefährliches Unterfangen und nicht managebar.
Deswegen sind CP Netze auch immer offen ohne Verschlüsselung.
Grundsätzlich gibt es schon sowas was du willst im Ansatz. Nennt sich WPA-Enterprise und ist ein Zertifikatsgesteuerter Zugang mit einem Radius Server:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das müsstest du dann nr noch an einen Filter Proxy adaptieren.
Auf alle Fälle reicht ein RasPi zum Entwicklen von sowas erstmal allemal aus.
Dann ist ein Raspberry Pi zum Erstellen deiner Lösung erstmal der erste Schritt. Für den Hausgebrauch reicht der allemal.
Raspian drauf und schon kannst du loslegen. Um ihn als Gateway zu konfigurieren benötigst du ggf. noch einen 2ten Ethernet Adapter für ein paar Euro. Details dazu findest du hier:
Netzwerk Management Server mit Raspberry Pi
Es gibt 2 Optionen das zu lösen. Als Gateway mit 2 Adaptern oder indem du TCP 80 Traffic vom Router mit PBR Routing zwangsredirectest auf so ein System. Das sind die gängigen Verfahren.
Das CP blockt normal HTTP(S) Traffic und lauscht auf diesen Traffic. Erkennt es ihn sendet es über einen Webserver eine Zwangswebseite zum Abfragen der User Daten. User / Pass oder Einmalpasswort was eine zeitliche Laufzeit hat.
Passt das dann wird die Mac Adresse des Clients in den ARP Cache eingetragen und damit dann die Kommunikation freigegeben. Passt es nicht wird die Mac Adresse nicht übernommen und es kann dein kein Layer 2 Forwarding im CP gemacht werden für den User.
Eigentlich ein ganz einfaches Prinzip.
Da du auch noch nach IP Adressen, URLs und Inhalten filtern willst brauchst du noch sowas wie einen HTTP Proxy. Squid ist hier das Mittel der Wahl.
WPA2 zu verwenden ist natürlich technischer Unsinn, denn das ist kein Login. Weiß man aber eigentlich auch als Laie " WPA2 sorgt lediglich für die Verschlüsselung der WLAN Verbindung.
In einem Captive Portal Umfeld ist das natürlich Blödsinn, denn wie willst du das handhaben ??? Jedem User verraten und dann alle 3 Tage ändern ?? Wenn du es einmal verräts weiss es ja die Welt und wegen der Störerhaftung ist das ein gefährliches Unterfangen und nicht managebar.
Deswegen sind CP Netze auch immer offen ohne Verschlüsselung.
Grundsätzlich gibt es schon sowas was du willst im Ansatz. Nennt sich WPA-Enterprise und ist ein Zertifikatsgesteuerter Zugang mit einem Radius Server:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das müsstest du dann nr noch an einen Filter Proxy adaptieren.
Auf alle Fälle reicht ein RasPi zum Entwicklen von sowas erstmal allemal aus.
Danke erstmal für den Beitrag, mittlerweile hab' ich Mir überlegt, würde ich tatsächlich Firmenweiten WPA2-Login bevorzugen, ich weiß nicht warum, in jedem Fall bevorzuge ich das irgendwie.
Mit "firmenweitem WPA2" meinte ich im übrigen die Enterprise/RADIUS und ich weiß, dass Captive Portale immer offen sind.
;)
Ich schaue Mir Mal Deine Links zum Thema Enterprise/RADIUS an, danke.
Im Übrigen habe ich schon einen Raspberry Pi, in dem Fall aber mit UBUNTU mate, da dort in der Regel die Updates schneller verfügbar sind (war für Mich vor allem bei MYSQL wichtig).
Zitat von @aqui:
WPA2 zu verwenden ist natürlich technischer Unsinn, denn das ist kein Login. Weiß man aber eigentlich auch als Laie " WPA2 sorgt lediglich für die Verschlüsselung der WLAN Verbindung.
In einem Captive Portal Umfeld ist das natürlich Blödsinn, denn wie willst du das handhaben ??? Jedem User verraten und dann alle 3 Tage ändern ?? Wenn du es einmal verräts weiss es ja die Welt und wegen der Störerhaftung ist das ein gefährliches Unterfangen und nicht managebar.
Deswegen sind CP Netze auch immer offen ohne Verschlüsselung.
WPA2 zu verwenden ist natürlich technischer Unsinn, denn das ist kein Login. Weiß man aber eigentlich auch als Laie " WPA2 sorgt lediglich für die Verschlüsselung der WLAN Verbindung.
In einem Captive Portal Umfeld ist das natürlich Blödsinn, denn wie willst du das handhaben ??? Jedem User verraten und dann alle 3 Tage ändern ?? Wenn du es einmal verräts weiss es ja die Welt und wegen der Störerhaftung ist das ein gefährliches Unterfangen und nicht managebar.
Deswegen sind CP Netze auch immer offen ohne Verschlüsselung.
Mit "firmenweitem WPA2" meinte ich im übrigen die Enterprise/RADIUS und ich weiß, dass Captive Portale immer offen sind.
;)
Ich schaue Mir Mal Deine Links zum Thema Enterprise/RADIUS an, danke.
Im Übrigen habe ich schon einen Raspberry Pi, in dem Fall aber mit UBUNTU mate, da dort in der Regel die Updates schneller verfügbar sind (war für Mich vor allem bei MYSQL wichtig).
würde ich tatsächlich Firmenweiten WPA2-Login bevorzugen, ich weiß nicht warum, in jedem Fall bevorzuge ich das irgendwie.
Ist wie gesagt in Kombination mit einem Captive Portal Schwachsinn aus den oben genannten Gründen das Schlüsselpasswort vertraulich zu halten...unmöglich wenn man das mit einem Gastnetz macht. Aber egal...Mit "firmenweitem WPA2" meinte ich im übrigen die Enterprise/RADIUS
OK, dann aber nur entweder das eine (CP) oder das andere (WPA-Enterprise) beides zusammen geht nicht und macht auch keinen Sinn.Welches OS auf dem RasPi werkelt ist egal. Hauptsache kein Winblows ...
