Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wlan, Möglichkeiten zur Abrechnung und Useradministration

Frage Sicherheit Firewall

Mitglied: d4n0n3

d4n0n3 (Level 1) - Jetzt verbinden

16.11.2010, aktualisiert 18.10.2012, 6081 Aufrufe, 6 Kommentare, 1 Danke

Hallo miteinander!

Ich werde ein kleines kostenpflichtiges Wlan Netzwerk erstellen. Das heisst, jeder Nutzer wird über ein Captive Portal (pfsense) einloggen müssen. Bevor dies jedoch möglich ist muss vorher eine Zahlung eingehen...

Es werden ca. 5 Access Points zum Einsatz kommen (Hardware noch nicht klar). Diese sollen alle über Switch an eine Alix-Box (pfsense) laufen um so den Zugriff ins Internet ermöglichen. Zum Anmelden muss vorher der User freigeschaltet werden (laut dem Super Tutorial was ich auf eurer Homepage gelesen habe). Nun habe ich gesehen, dass man 3 URL's für das Captive Portal aktivieren kann. Ist es möglich per HTML skript auf der Login Seite eine Registration einzurichten, dass sich die User zuerst einfach nur registrieren können mit eigenem Username und Passwort. Die Informationen sollten dann auf einer Datenbank gespeichert werden (natürlich mit MAC adresse) sodass ich nur noch per Mausklick den Account aktivieren kann. Gibt es da ein Package in pfsense und eben die "offline" Registration bis freischalten des Accountes?
Oder muss für diese Zwecke ein RADIUS Server laufen damit man das realisieren kann?
Eine weitere Frage meinerseits, eben auf der Anmeldungsseite des CP, kann mann da ein Bereich einfügen: E-Mail an den Admin...?

Vielen Dank

liebe Grüsse da_n0n3
Mitglied: micneu
16.11.2010 um 23:18 Uhr
nabend,
ich kenne einwenig pfsense, ist echt genial, nur ich finde das es auf nem alix doch sehr träge reagiert.
ich würde die registrieung nicht mit der mac adresse machen sondern mir was anderes über legen.
denke du solltest wirklich überlegen einen radius server einzusetzen.
mit welcher anzahl clients rechnest du denn?

gruß michael
Bitte warten ..
Mitglied: tikayevent
17.11.2010 um 09:55 Uhr
Du kannst IP-Adressen freischalten, auf die Benutzer auch ohne Anmeldung zugreifen dürfen. Dadrüber kannst du Seiten zur Registrierung, Kontaktformulare und son Kram auch ohne Anmeldung zulassen. In Unternehmen nutzt man diese Funktion normal, um die eigene Internetseite frei verfügbar zu machen.

MAC-Adresse ist doof, kann man zu einfach fälschen. Du benötigst einen RADIUS-Server und eine Möglichkeit, auf diesen zu schreiben. Gängige Praxis ist PHP mit der RADIUS-Erweiterung. Der Benutzer landet im CP, klickt auf den Link, gibts seine persönlichen Daten an, die in irgendeiner Datenbank landen, bekommt die Aufforderung zur Zahlung, du sitzt auf dem RADIUS-Server, wartest darauf und mit einem Klick werden Zugangsdaten im RADIUS hinterlegt und dem Benutzer irgendwie mitgeteilt (wobei du da Probleme bekommst, da du ja nicht 24/7 auf irgendwelche Anmeldungen warten kannst, müsstest du die Zugangsdaten per eMail verschicken, was nicht geht, da sich die Benutzer ja am CP anmelden müssen, um die eMails abzurufen)

Aber schonmal direkt eine Warnung vorweg: Du bietest eine kostenpflichtige Leistung an, also musst du dafür sorgen, dass die Leistung auch erbracht werden kann. Das bedeutet, dass du wissen musst, wie das System funktioniert. Da du ja noch nicht mal ein genaueres Konzept hast (es ist mehr als nur 5 Access Points, ein ALIX mit pfSense und ein RADIUS-Server), solltest du es sein lassen oder eine Fertiglösung (LANCOM-APs + LANCOM WLC-4006) nehmen.
Eine kostenlose Software macht keine Geldquelle.
Bitte warten ..
Mitglied: d4n0n3
17.11.2010 um 18:46 Uhr
Vielen Dank für die konstruktive Rückmeldung!

Das Konzept ist auf dem Weg der Entstehung - genaue Hardware, Software-Lösung und die räumlichen Gegebenheiten etc..! Aber totzdem Danke der Warnung. Sollte ich mein Projekt realisieren können wird sicher eine kostenlose Testphase ins Leben gerufen um Stolpersteine und Probleme zu erkennen! Bevor ich aber nun dieses Projekt bezüglich Investitionen vorantreibe, wollte ich eine Software technische die Rückmeldung von erfahrenen Administratoren einholen!

Zu den versch. Punkten:
- MAC Adressen spoofing:
Ich weiss, dass das möglich ist, bzw. ich habe Erfahrung in WEP WLAN hacking etc (keine Angst, natürlich mit Authoristation... Linux Backtrack und den dazugehörigen Tools). Ich bin mir der Lage sehr wohl bewusst. Es gibt auf CP (pfsense) die Möglichkeit nur eine Session pro Client zuzulassen... Würde das an Sicherheit nicht reichen mit Username, Passwort, MAC-Addr. Kontrolle? Das Problem ist, dass das so einfach wie möglich sein sollte, ohne zusätzliche Installation von Zertifikaten (freeradius). Gibt es da noch eine sicherere Methode ohne "Manipualtion und Zusatzinstallation" von Software auf dem Client (PPP)?

- freeradius und PHP Datenbank.
Habe ich das richtig verstanden, dass man auf Freeradius server auch das CP aktivieren kann? So wie ich gelesen habe gibt es das Package freeradius auf pfsense was dann ähnlich ist? Ich weiss, dass diese Methode - Firewall und RADIUS auf einer Maschine nicht state of the art ist!
Die von dir vorgeschagene Methode mit Radius server (wenn denn CP unterstützt) und zugriff auf den Server selber mit PHP (dialup admin??) finde ich gut.
Nur als Bemerkung: \"Ein skript, welches nach erhalt des Betrages automatisch den Zugangauf dem freeradius server freischalten würde, wäre natürlich die Musterlösung, würde aber den initialen Aufwand sprengen....\"

- wie geschrieben: \"Du kannst IP-Adressen freischalten, auf die Benutzer auch ohne Anmeldung zugreifen dürfen.\"
Meinst du es gibt diese Mgl. in Pfsense oder ist das auch freeradius?

freundliche Grüsse da_n0n3
Bitte warten ..
Mitglied: aqui
18.11.2010, aktualisiert 18.10.2012
Du kannst das problemlos mit einem Radius Server machen, der dann aber dazukommt. Ob als VM oder real ist kosmetisch. Eine Grundlegende Konfig findest du hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
bzw.
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Für dich ist letztlich nur der Radius Teil relevant. Die MS spezifischen Anpassungen musst du nicht unbedingt machen, da du nur nach Username/Passwort authentisierst, die schaden aber nicht wenn man ihn universal haben will.
Die pfSense kannst du entsprechend einstellen das sie nicht über die lokale User Datenbank geht sondern den Radius nimmt.
Ein pro User Accounting ist ebenfalls möglich über Radius !
Bitte warten ..
Mitglied: d4n0n3
19.11.2010 um 21:45 Uhr
Danke für die Antwort!

Ich habe das jetzt mal getestet:
- pfsense mit CP funktionniert
- freeradius unter ubuntu 10.04 erfolgreich installiert und authentifizierung mit radtest erfolgreich!

- pfsense mit freeradius package noch nicht geklappt (testing...)
- wenn ich pfsense und freeradius gleichzeitig laufen lassen will (VM-player) kann ich freeradius nicht starten da von pfsense gehindert:S --> ich denke das liegt an MV player, aber ich teste weiter...

Meine entscheidung fällt auf dieses setup:
client --> AP --> (switch) --> pfsense (CP) und freeradius datenbank --> internet
dafür brauche ich 2 rechner richtig? (pfsense und freeradius)?

--> Nun will ich, dass sich noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense

1. registrieren können also: username, PW angeben über einen Link auf CP-seite --> Diese Daten sollten dann in freeradius direkt geschrieben werden (mit MAC adresse) und dann von mir aktiviert werden können. wie geht das?

2. weitere Links auf der Anmeldeseite öffnen können, welche Informationen etc. enthalten (ähnlich Intranet). wie geht das?

braucht es dafür einen webserver?? und welche software??

Danke für Rückmeldungen und Denkanstösse
Grüsse da_n0n3
Bitte warten ..
Mitglied: aqui
20.11.2010 um 01:24 Uhr
... ."kann ich freeradius nicht starten da von pfsense gehindert."
Nein, das liegt vermutlich an deiner falschen Konfiguration der VM Netzwerkadapter. bedenke das diese nicht alle im Bridge Modus arbeiten dürfen !!
2 müssen im Host Modus arbeiten, da sie ein isoliertes LAN emulieren müssen. Wenn du das richtig einstellst und die FW Regeln der PfSense beachtest funktioniert das tadellos.

"...noch nicht registrierte clients über die anmeldeseite (captive portal) von pfsense"
Klappt ist aber ein ungleich schwerer Aufwand das umzusetzen.
Nimm dafür lieber die Voucher Funktion und vergib diesen Clients einfach einen Zettel vom Voucher Abreisblock mit einem Einmal Passwort.
Das erspart die ne Menge graue Haare.

"....weitere Links auf der Anmeldeseite öffnen können"
Das ist recht einfach: Dafür customized du die Portalseite per HTML ganz nach deinen Wünschen für diese Links usw. wie es auch im Tutorial steht.
Bedenke aber das du diese Webserver IPs wo diese Links raufzeigen, sollten sie hinter dem Portal liegen, in die Ausnahmeliste eintragen musst, sonst werden deren URLs ja durch das Portal ebenso geblockt.
Wenn man das entsprechend customized klappt das wunderbar !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Hotspot mit Ticketsystem, Abrechnung und Logging (6)

Frage von detmold79 zum Thema LAN, WAN, Wireless ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...