montemonte
Goto Top

1 W-Lan - Mehrere Rechte (PfSense)

Ich bin gerade dabei das Netzwerk unserer Schule umzustricken.

Hier meine Frage: Ist es möglich mit nur einer SSID, auf einem PfSense-Router, mit dem Capacitive-Portal-Dienst, verschiedene Benutzergruppen, die verschiedene Rechte haben, zu verwalten?

1. Benutzergruppe: "Schüler":
  • Zeitbeschränkung: Also nur zu bestimmten Uhrzeiten ins Internet
  • Geblockte Website
  • ...
2. Benutzergruppe: "Lehrer":
  • Freier Internetzugang

Content-Key: 328953

Url: https://administrator.de/contentid/328953

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Pjordorf
Pjordorf 09.02.2017 um 22:35:20 Uhr
Goto Top
Hallo,

Zitat von @montemonte:
Hier meine Frage: Ist es möglich mit nur einer SSID
Eher nein. Deinem AP ist es wurscht wer in welcher Grupper ist - der hat davon keine kenntniss. da er noch nicht mal rozet sondern einfach kabel an funk Bridged und so alles was von beiden seiten kommt eben über die Brücke hilft. (Bridge)

auf einem PfSense-Router, mit dem Capacitive-Portal-Dienst, verschiedene Benutzergruppen, die verschiedene Rechte haben, zu verwalten?
Dem Captive Portal wird man es evtel. beibringen können. Aber warum nicht je nach benutzergruppe, pöse Schlüer, brave Schüler, Geniusse, Lehrer, Hibi usw. verschiedene SSIDs nehmen?

Ausser deine PFSense, was ist denn sonst noch im Einsatz?

Gruß,
Peter
Mitglied: aqui
Lösung aqui 10.02.2017 aktualisiert um 13:38:09 Uhr
Goto Top
Ja das geht !
Für die Schüler lässt du ganz normal das CP laufen mit dem Einmalpasswort Zugriff und die Lehrer trägst du in der "Ausnahme" für das CP und "Mac" ein:

passthrough

Da vermerkst du die Hardware Adresse des Laptops oder Smartphone des Lehrers. Der Lehrer kann dann immer ohne Authentisierung über das Captive Portal zugreifen.
Das überbrückt dann aber nur das CP für die Lehrer damit die ohne Voucher reinkommen. Die dahinter liegende Firewall Regel gilt aber dann wieder für Leher und Schüler.

Um das für bestimmte Webseiten mit einer Filterregel für Lehrer und Schüler zu regeln ist das aber auch recht einfach, erfordert aber ein klein wenig mehr Aufwand in der Konfig weil du ja anhand der IP Adressen zw. Lehrer und Schülern unterscheiden musst.
Mit einem kleinen Kniff ist das aber schnell gemacht:
Dem DHCP Server auf der pfSense gibst du mit den Mac Adressen der Lehrergeräte, die du ja oben schon hast, eine feste IP auf Basis dieser Mac Adresse (Hardware Adresse).
Damit kannst du den Lehrern immer einen festen IP Bereich geben und kannst sie danach filtern.
Ideal natürlich wenn du das pfiffigerweise in einen Subnetzbereich machst um nacher die Filterlisten ganz vereinfacht zu machen.

Beispiel:
Dein Lehrer / Schüler Gesamtnetz hat die 172.16.0.0 /24 als Netzwerk mit einer 24 Bit Maske.
Angenommen 30 Lehrer reichen dir, dann lässt du den statischen Lehrer IP DHCP Pool z.B. bei .97 anfangen und gehst bis max. .126
Das wäre bei einem /27 Prefix (255.255.255.224) dann das 172.16.0.96 /27 Subetz.
Die Schüler (wenn hier 60 reichen) legst du vom Pool in den Bereich .129 bis .190 das wäre ein /26 Prefix (255.255.255.192) also das Netzwerk 172.16.0.128 /26
So kannst du mit geschicktem und pfiffigen DHCP Adress Pooling eindeutige IP Bereich innerhalb deines netzes für die Lehrer und Schüler definieren.
Natürlich kannst du dir das nach mx. Anzahl Leherer und Schüler entsprechend deinen Anforderungen anpassen in der Adressierung.

Anhand dieser "subnetzkonformen" Pools kannst du dann entsprechend die Filterliste an dem Netzwerk so regeln das du dem Lehrer IP Kontingent ALLES erlaubst und danach dann das IP Kontingent der Schüler mit entsprechenden Beschränkungen versiehst.
Mit Hilfe der Alias Funktion kannst du dir das dann auch sehr vereinfachen wenn da noch Zeitabhängigkeiten usw. drin sind.
Das ist auch insofern sehr sicher da es damit eine feste Bindung der Firewall Regeln an die Lehrer Hardware gibt.

Natürlich könnte man das auch anders lösen indem du einfach MSSID fähige Accesspoints verwendest womit du ein separates Lehrer und ein Schüler WLAN aufspannst.
Das Lehrer WLAN dann mit eigenen Regeln und das Schüler WLAN dann mit den entsprechenden für die Schüler.
Hier besteht aber wieder die Herausforderung das dann wasserdicht zu machen, damit nicht ein Schüler irgendwie an die Passwörter der Lehrer kommt.
Das ist mit der ersten Option etwas einfacher umzusetzen. Bei der zweiten brauchst du natürlich auch eine AP Hardware die MSSIDs kann.
Mitglied: montemonte
montemonte 13.02.2017 um 11:53:40 Uhr
Goto Top
Dann könnten zwar Schüler die die Netzwerkconfig kennen, den Firewall durch setzen einer statischen IP im Lehrerbereich umgehen, aber das wird wahrscheinlich nicht geschehen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.02.2017 aktualisiert um 12:06:22 Uhr
Goto Top
Zitat von @montemonte:

Dann könnten zwar Schüler die die Netzwerkconfig kennen, den Firewall durch setzen einer statischen IP im Lehrerbereich umgehen, aber das wird wahrscheinlich nicht geschehen.

Du unterschätzt deine Schüler. Du solltest Dich nicht darauf verlassen und das ganze VLANs, getrenntes SSIDs und angepaßten Firewall-Regeln abwicklen.

lks