5
WatchGuard XTM26W Gast WLAN mit Autorisierung
Hallo,
ich habe folgende Frage, bin eher auf der Suche nach einer Lösung für folgende Situation:
IST Situation:
WatchGuard Firewall XTM26" regelt den kompletten Traffic im Unternehmen und gibt ein WLAN für die Mitarbeiter frei.
IP der Firewall: 10.0.1.1/24
DHCP Server IP: 10.0.1.254/24 (Windows Server 2008R2 Standard DC)
WLAN "intern" im Netzwerk Bereich 10.0.1.0/24
WLAN "Gast" im Netzwerk Bereich 10.0.2.0/24 (komplett getrennt vom internen LAN) mit DHCP der Firewall
Nun möchte ich erreichen, dass die Personen die sich mim Gast WLAN verbinden eine Seite davor
geschaltet bekommen, worauf sie sich mit ihrer E-Mailadresse anmelden müssen.
Sprich der User meldet sich mit seiner E-Mailadresse an, dann ist die Internetverbindung für 5 Minuten frei, sodass
er sich mit seinem E-mail Account verbinden kann un die E-Mailadresse bestätigen kann.
Die Frage ist nur, wie kann ich dies realisieren, da ich die entsprechenden http Logs aufbewahren muss,
falls die Staatsanwaltschaft mal vor der Tür stehen würde.
Danke!
ich habe folgende Frage, bin eher auf der Suche nach einer Lösung für folgende Situation:
IST Situation:
WatchGuard Firewall XTM26" regelt den kompletten Traffic im Unternehmen und gibt ein WLAN für die Mitarbeiter frei.
IP der Firewall: 10.0.1.1/24
DHCP Server IP: 10.0.1.254/24 (Windows Server 2008R2 Standard DC)
WLAN "intern" im Netzwerk Bereich 10.0.1.0/24
WLAN "Gast" im Netzwerk Bereich 10.0.2.0/24 (komplett getrennt vom internen LAN) mit DHCP der Firewall
Nun möchte ich erreichen, dass die Personen die sich mim Gast WLAN verbinden eine Seite davor
geschaltet bekommen, worauf sie sich mit ihrer E-Mailadresse anmelden müssen.
Sprich der User meldet sich mit seiner E-Mailadresse an, dann ist die Internetverbindung für 5 Minuten frei, sodass
er sich mit seinem E-mail Account verbinden kann un die E-Mailadresse bestätigen kann.
Die Frage ist nur, wie kann ich dies realisieren, da ich die entsprechenden http Logs aufbewahren muss,
falls die Staatsanwaltschaft mal vor der Tür stehen würde.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236858
Url: https://administrator.de/contentid/236858
Printed on: April 19, 2024 at 09:04 o'clock
5 Comments
Latest comment
Moin,
Suchfunktion "Wlan Hotel" hilft, die Frage kommt hier in schöner Regelmäßigkeit. Aber es ist ja schon fast Wochenende, daher hier:
Aquis tolles Tutorial zum wasserdichten Einrichten eines Gastnetzes
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und meine webbasierte Voucherverwaltung
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Viele Grüße,
Eagle2
Suchfunktion "Wlan Hotel" hilft, die Frage kommt hier in schöner Regelmäßigkeit. Aber es ist ja schon fast Wochenende, daher hier:
Aquis tolles Tutorial zum wasserdichten Einrichten eines Gastnetzes
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und meine webbasierte Voucherverwaltung
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Viele Grüße,
Eagle2
Hallo,
vielen Dank für die Links, welche ich mir soeben mal durchgelesen habe, jedoch ist dies nicht wirklich das was ich suche,
da ich keine Voucher austeilen kann.
Ich möchte einen reinen Login schaffen der in Verbindung mit der Autorisierung der E-Mailadresse funktioniert.
Der Endkunde (Gast) soll kein Ticket erhalten worauf die entsprechenden Login Daten stehen.
Die WatchGuard Firewall kann bei der Installation eines Gastnetzwerks eine Autorisierungsseite nach extern weiterleiten.
Ich benötige somit eine Software welche zum Beispiel auf einem internen Server oder auf einen FTP Server läuft, welche die Anmeldung
realisiert. Nach erfolgreicher Anmeldung leitet die Seite die Anfrage dann an die WatchGuard Firewall weiter.
Ich hoffe es ist verständlich was ich meine.
vielen Dank für die Links, welche ich mir soeben mal durchgelesen habe, jedoch ist dies nicht wirklich das was ich suche,
da ich keine Voucher austeilen kann.
Ich möchte einen reinen Login schaffen der in Verbindung mit der Autorisierung der E-Mailadresse funktioniert.
Der Endkunde (Gast) soll kein Ticket erhalten worauf die entsprechenden Login Daten stehen.
Die WatchGuard Firewall kann bei der Installation eines Gastnetzwerks eine Autorisierungsseite nach extern weiterleiten.
Ich benötige somit eine Software welche zum Beispiel auf einem internen Server oder auf einen FTP Server läuft, welche die Anmeldung
realisiert. Nach erfolgreicher Anmeldung leitet die Seite die Anfrage dann an die WatchGuard Firewall weiter.
Ich hoffe es ist verständlich was ich meine.
Hallo demetz,
du könntest das mit einem Radius-Server mit MySQL-Datenbank lösen, in dessen Datenbank deine Website dann schreibt. Initial gibst du dem neuen Account eine Zeit von 5 Minuten, innerhalb dieser die E-Mail-Adresse bestätigt werden muss. Sobald das passiert ist, verlängerst du die Gültigkeit des Accounts um die gewünschte Dauer. Aber selbst wenn du das so entwickelst, ist die Lösung mit "innerhalb von 5 Minuten muss die E-Mail-Adresse bestätigt werden für den Nutzer nicht wirklich komfortabel. Sinnvoller ist da bei einem unbeaufsichtigtem Hotspot eine Lösung mit SMS-Auth (siehe 2. Link im Beitrag oben) oder eine Lösung mit "Login with Facebook"/"Login with Google"/... (kann man selber bauen, gibt es aber auch fertig zB von Cloudessa). Für eine Selbstregistrierung der Nutzer ohne E-Mail-Verifikation zu nutzen gibt es im pfSense Wiki.
Viele Grüße,
Eagle2
du könntest das mit einem Radius-Server mit MySQL-Datenbank lösen, in dessen Datenbank deine Website dann schreibt. Initial gibst du dem neuen Account eine Zeit von 5 Minuten, innerhalb dieser die E-Mail-Adresse bestätigt werden muss. Sobald das passiert ist, verlängerst du die Gültigkeit des Accounts um die gewünschte Dauer. Aber selbst wenn du das so entwickelst, ist die Lösung mit "innerhalb von 5 Minuten muss die E-Mail-Adresse bestätigt werden für den Nutzer nicht wirklich komfortabel. Sinnvoller ist da bei einem unbeaufsichtigtem Hotspot eine Lösung mit SMS-Auth (siehe 2. Link im Beitrag oben) oder eine Lösung mit "Login with Facebook"/"Login with Google"/... (kann man selber bauen, gibt es aber auch fertig zB von Cloudessa). Für eine Selbstregistrierung der Nutzer ohne E-Mail-Verifikation zu nutzen gibt es im pfSense Wiki.
Viele Grüße,
Eagle2
Abgesehen davon ist das rechtlich sehr bedenklich ohne eine Authorisierung zu arbeiten sei es nun Voucher oder feste passwörter.
Wenn nun jemand statt seiner Mail Adresse einfach eine Phantasie Adresse ala spongebob@test.de eingibt oder einer der berühmten Einmal Mailer wie spongebob@mailinator.com bekommt der Zugriff und kann machen was er will auch Illegales. Jedenfalls in D stehst du dann mit einem Bein außerhalb des Gesetzes denn es gilt immer noch die Störerhaftung ! Andere Länder verlangen wenigstens ein User Logging zur Rechtssicherheit. Ist dann spannend wie du spongebob@mailinator.com ausfindig machen willst. In der Krossen Krabbe wohnt der bestimmt nicht !
Das solltest du also sehr gut überlegen was du da machst !!
Wenn nun jemand statt seiner Mail Adresse einfach eine Phantasie Adresse ala spongebob@test.de eingibt oder einer der berühmten Einmal Mailer wie spongebob@mailinator.com bekommt der Zugriff und kann machen was er will auch Illegales. Jedenfalls in D stehst du dann mit einem Bein außerhalb des Gesetzes denn es gilt immer noch die Störerhaftung ! Andere Länder verlangen wenigstens ein User Logging zur Rechtssicherheit. Ist dann spannend wie du spongebob@mailinator.com ausfindig machen willst. In der Krossen Krabbe wohnt der bestimmt nicht !
Das solltest du also sehr gut überlegen was du da machst !!
