Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Captive Portal - open und Radius gleichzeitig?

Frage Linux Linux Netzwerk

Mitglied: Morthesus

Morthesus (Level 1) - Jetzt verbinden

05.04.2011, aktualisiert 18.10.2012, 9231 Aufrufe, 9 Kommentare, 1 Danke

Hi zusammen,
ich bin gerade dabei ein neues Captive Portal aufzusetzen. An sich nicht so schwierig, aber ich stehe mit dem neuen Konzept ein bissl auf dem Schlauch, was die Umsetzung angeht.

Ich habe ein Captive Portal mit nocat für WLAN-Hotspots unter linux am laufen. Das möchte ich erweitern oder duch aktuellere Software ersetzten (M0n0wall oder PFSense machen einen guten Eindruck).

Ich möchte nämlich Netze auf 3 verschiedene Arten behandeln: eins ohne CP, eins open und eins mit Radius.
Bisher läuft das bei mir auf NoCat so, dass per iptables ein Netz direkt durchgelassen wird ( "Allowed Networks" ) und alle anderen auf einer Splash-Seite ohne Authentifizierung landen.
Jetzt will ich aber noch ein 3. Netz ins Spiel bringen, wo sich per CP über einen Radius angemeldet werden soll. Aber irgendwie geht immer nur entweder open, oder mit Auth., aber nicht beides.

Die Anleitungen hier sind alle total prima, aber passen nicht auf mein Problem - wie ich eben alle 3 Arten mit einem Gateway umsetze.
Zusätzlich steht der Gateway nicht beim Hotspot, sondern in einem entfernten Netzwerk. Das Routing funktioniert schon so. Wichtig ist mir nur die Umsetung am Gateway.

Hier erstmal der Netzplan:

9f8190142adedc31563decaaf6bf99d2 - Klicke auf das Bild, um es zu vergrößern

Bisher ist es so, das WLAN_open eine splash-Seite bekommt und WLAN_intern am CP vorbeigewunken wird. WLAN_secure soll jetzt neu dazu kommen und sich über das CP am Radis anmelden können.
Kann man da irgenwas tricksen oder muss ich möglicherweise 2 CP-Server aufsetzen?
Mitglied: aqui
05.04.2011, aktualisiert 18.10.2012
Es gibt eine Anleitung die zu 100% auf dein Szenario passt:

http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Das ist mit Abstand die beste und effektivste Art das umzusetzen. Wenn du keinen VLAN fähigen Switch hast dann musst du das halt mit deditierter HW machen.
Letztlich beschreibt das aber dein Szenario genau. Was du brauchst sind ESSID fähige Accesspoints wie z.B. den Edimax_EW-7416n und andere die ESSID supporten.
Alles dann über ein tagging fähigen Firewall/Router abbilden wie z.B. hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Damit ist dein Szenario dann ein Kinderspiel.
Bitte warten ..
Mitglied: Morthesus
05.04.2011 um 16:01 Uhr
Danke schonmal für Deine Antwort.

Ob sich das mit VLANs realisieren lässt weiss ich nicht, weil die Hardware schon vorhanden ist.
Also als Hotspots kommen linksys wrt54gl zum Einsatz. Diese wählen sich per PPPoE ins MPLS ein. Dann wird der Traffic ans CP weitergeleitet und kommt dort ohne dot1Q an.

Aber ob jetzt mit oder ohne VLAN: ich konnte jetzt nichts genaues finden, wie man für verschiedene Netze auch unterschiedliche CP einrichtet.
http://m0n0.ch/wall/images/screens/services_captiveportal.png - da kann man ja nicht einstellen, für welche Netzbereiche oder VLANs das gelten soll, noch weiss ich nicht, wie man das ganze dort 2x einrichtet (open + radius)?? Würde ich bei eingerichteten VLANs dort als interfaces enstprechend die VLANs auswählen können? Das wäre natürlich genau das was ich suchte....

Auf die Gefahr hin, dass das auch schon irgendwo steht: Kann ich bei M0n0wall statt VLANs auch virtuelle Interfaces konfigurieren und die wieder bei der CP-Konfig auswählen?
Das würde mir ja schon reichen, wenn ich das nach Netzbereichen trennen könnte.
Bitte warten ..
Mitglied: aqui
05.04.2011, aktualisiert 18.10.2012
Doch, natürlich du kannst ganz genau einstellen für welches Interface das CP aktiviert werden soll:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Es ist also sehr wohl möglich auf VLAN Basis das CP auszuwählen !!
Eine Selektion auf Basis der Source IP Adressen ist nicht möglich, bei keinem CP derzeit. Ausnahme ist ggf. das du den CP Traffic per Policy Based Routing dediziert über eine ACL der MPLS Router an das CP sendest.
Mit deinen MPLS Routern dürfte das problemlos möglich sein. So könnte man das VLAN möglicherweise umgehen.
Das ist aber keineswegs eine sinnvolle und gute Lösung, da du den Traffic deiner gemeinsamen WLANs so zusammen transportieren müsstest !
Aus Sicherheitssicht macht das dann deine eigentlich sehr sinnvolle Trennungsplanung der WLANs vollkommen zunichte.
Am besten ist du installierst in deinem MPLS Backbone 3 einzelne VPLS Tunnel indem du die einzelnen WLANs in dedizierten VLANs über das MPLS per Layer 2 an die CP Firewall so heranführst. Die MPLS Router supporten sowas problemlos.
Dort kannst du dann ganz einfach wie im o.a. Tutorial beschrieben diese 3 WLANs auf einer CP/Firewall Infrastruktur zentral behandeln. Mit WRT54er die als AP laufen ist das aber nur schwerlich möglich, da die keine ESSID zu VLAN Trennung supporten wie der o.a. Edimax z.B.
Ohne ESSID fähige APs musst du die gesamte WLAN Infrastruktur 3 mal aufbauen was eigentlich vollkommen sinnlos ist und auch so heutzutage kein Mensch mehr macht.
Mit der bestehenden WLAN HW ist das also nicht ganz so einfach und erfordert erhebliche Klimmzüge auf Seiten der Konfiguration und auch der späteren Administration von deiner Seite. Das sollte man nicht unterschätzen.
Stellt sich die Frage ob das bei den Preisen von ESSID fähigen APs überhaupt Sinn macht... Realistisch gesehen nicht wirklich !
Bitte warten ..
Mitglied: Morthesus
05.04.2011 um 19:59 Uhr
Hmm ich wusste doch, da ist der Wurm drin. Ich werde das mal evaluieren und mich nochmal melden,. Danke aber trotzdem schonmal für Deine ausführliche Hilfe!
Bitte warten ..
Mitglied: Morthesus
08.04.2011 um 12:22 Uhr
Also das mit dem VLAN wäre ja toll, lässt sich aber nur wie beschrieben umbiegen. Die fehlende Trennung durch VLANs ist jetzt auch sicherheitstechnisch nicht so kritisch, weil sich der Traffic an keinen Punkt durch Dritte abfangen lässt - ausser halt im offenen WLAN. Das WLAN_Secure ist aber dann verschlüsselt. Dazu richte ich eine Radius-Authentifizierung in den einzelnen Hot-Spots ein und nicht über ein CP.

Da ich eine eindeutige Zuordnung bei den IP-Adressen der Hotspots habe, werde ich mir schon irgendeine Seite basteln, die je nach IP was anderes anzeigt. Damit umgehe ich dann das Problem mit den Interfaces für verschiedene Spalshseiten.
Bitte warten ..
Mitglied: aqui
09.04.2011 um 13:20 Uhr
Ein Gästenetz ist aber in der Regel nicht anders handlebar. Dort mit Encryption zu arbeiten ist eigentlich Unsinn und ja auch nicht ser Sinn der Sache dann das ist nicht mangebar auf Dauer da man permanent Passwörter wechseln müsste. Ob das nun lokal oder am Radius passiert ist dabei unerheblich. Praxistauglich ist das keinesfalls, daher sind Gästenetze immer offen und Gäste haben für die Sicherheit selbst zu sorgen.
Damit musst du aber eine zwingende Trennung der Gäste SSID und SSID für interne und encryptete WLANs schaffen.
Das geht dann nur über ESSIDs und VLANs bzw. bei deinem MPLS Backbone dann mit einem VPLS Mapping wo du die VLANs über den MPLS Backbone transparent im Layer 2 (Bridging) überträgst.
Mit den entsprechenden ESSID APs ist das unproblematisch und sehr schnell umsetzbar...und sehr sicher !


Wenns das war
http://www.administrator.de/index.php?faq=32
nicht vergessen.
Bitte warten ..
Mitglied: Morthesus
11.04.2011 um 12:22 Uhr
Also das WLAN_Secure ist ja kein Gästenetz, sondern soll Leuten, die schon einen Account haben, einen zusätzliches Vorteil bieten, idem eben das WLAN verschlüsselt ist. Da würde es sich halt anbieten, gegen den RADIUS zu authentifizieren, da ja halt die Accounts im Grunde schon da sind bzw. vom Nutzer selbst angelegt werden können.
Ich muss zugeben, ich bin jetzt auch nicht so der Netzwerkspezialist, sondern bin eher mit der Umsetzung des Gateways an sich beschäftigt. Deshalb muss ich nochmal ganz blöd fragen, warum WLANs mit verschiedenen SSID und verschiedenen (virtuellen) Interfaces nicht getrennt sind, wenn man kein VLAN benutzt? Soweit ich weiß, kann ich es ja verbieten, das eine bridge zwischen den Interfaces gemacht wird.
Ausserdem hängen die Linksys in keinem anderen Netzwerk sondern direkt an einem DSL-Modem.
Bitte warten ..
Mitglied: aqui
11.04.2011, aktualisiert 18.10.2012
Ja, generell hast du Recht. Wenn deine folgenden Geräte (Switch, Router etc.) sowas zulassen, dann kann man das blocken.
Meist ist es aber so das Accesspoints basierend zur ESSID WLAN Kennung (SSID Name) ein VLAN Tag setzen.
D.h. diese Pakete aus diesen SSID WLANs haben ein IEEE 802.1q VLAN Tag (VLAN ID) am Paket. Folglich müssen diese Pakete auch entsprechend auf ein tagged Interface am Switch oder Router gehen.

Billige APs für den Consumerbereich supporten zwar ESSIDs also virtuelle SSIDs auf dem WLAN, bridgen diese dann aber beide gemeinsam auf den LAN Port.
Damit hast du dann keinerlei Möglichkeit mehr diese beiden WLAN zu trennen oder zu filtern.
Nur mit unterschiedlichen IP Adressen in diesen WLANs und einem High End Router der entsprechende ACLs supportet wäre dann eine Trennung noch mit Aufwand möglich.
Es ist also nicht trivial WELCHEN AP man beschafft. Ein genauer Blick ins Handbuch bzw. Featureliste sollte hier dann zwingend sein !
Ein Tutorial zur Radius Authentifizierung findest du hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: Morthesus
11.04.2011 um 13:11 Uhr
In meinem Fall wird der Traffic ja direkt ins MPLS geleitet. Wäre da jetzt noch ein LAN, an dem die Hotspots mit dranhängen, dann wäre ohne physikalische Trennung ein trunking fähiger Switch definitiv notwendig.

Ein Cisco 7200 Series würde, glaube ich, so ziemlich keine Wünsche offen lassen, aber das ist auch nicht meine Baustelle. ;)

Danke noch für den Link für das Radius Tut..
Ich setz den Thread dann mal auf grün.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
HTML
Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Netzwerkmanagement
gelöst PfSense, Captive Portal eigene mehrsprachige Templates (5)

Frage von seltsam zum Thema Netzwerkmanagement ...

Netzwerke
gelöst Weiterleitung nach Anmeldung im Captive Portal (1)

Frage von MLangHSE zum Thema Netzwerke ...

Router & Routing
PfSense - VPN-Verbindung über Captive Portal? (8)

Frage von micson zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...