Mit Coovachilli als linuxmuster.net Add-on kann ein sog. Captive Portal für WLAN-Clients eingerichtet werden, bei dem alle WLAN-Nutzer neben der WPA2-Authentifizierung danach auf eine Anmeldeseite umgeleitet werden, auf der die Nutzer ihre LDAP-Account Daten angeben müssen und erst danach für die WLAN Nutzung freigeschaltet sind.
Vom Konzept her sollte der Coovachilli im blauen Netz betrieben werden, um mögliche Sicherheitsrisiken beim Einbinden in das grüne Netz zu vermeiden. Die möglichen Einsatzszenarien sind hier hinlänglich beschrieben.
Sollte eine Schule bsp. keine managebaren Switche zur Verfügung haben, so ergibt sich das Problem, dass keine VLANs eingerichtet werden können. Das blaue Netz kann also nicht mithilfe von VLANs über mehrere Schulgebäude „weitergereicht“ werden. Soll dennoch eine Authentifizierung der WLAN-Nutzer mit den LDAP-Daten erfolgen, so bietet es sich an, ein Captive Portal mithilfe des Chilli Servers im grünen Netz umzusetzen.
Vorteile
Nachteile
Nachstehe Grafik verdeutlicht das Einsatzszenario:
Nachstehende Dokumentation bezieht sich auf die Installtation des Coova als VM für XenServer.
Es wird davon ausgegangen, dass der Server als XenServer erfolgreich installiert wurde und IPFire und lmn6.x wie vorgesehen funktionieren.
Die Firma netzint hat eine vorkonfigurierte VM des Coova linuxmuster.net zur Verfügung gestellt. Die Coovachilli-VM kann hier heruntergeladen werden.
Mithilfe des XenCenters, das auf einem Windows-Rechner installiert ist und auf dem die heruntergeladene VM liegt, erfolgt der Zugriff auf den XenServer. Dort ist die VM wie folgt zu importieren:
Menü -> File -> Import
Nach erfolgreichem Import sieht man auf dem XenServer weitere Netzwerke, die angelegt wurden. In der nachstehende Abb. wurde das Netzwerk Chilli und BLUE hinzugefügt.
Wählt man die Coovachilli-VM aus und geht dort auf die Reiterkarte Networking, so sieht man nachstehende drei Netzwerkschnittstellen als virtuelle Netzwerkschnittstellen. Danach löscht man für die VM mithilfe von XENCenter unter Networking die Schnittstelle BLUE und Chilli. Die VM muss hierzu vorher heruntergefahren werden.
Die virtuelle Schnittstelle GREEN bleibt als Device 0 erhalten, so dass im Chilli eth0 die IP-Adresse 10.16.16.252/12 aufweist. Auf XenServer - Ebene muss die Netzwerkkarte - in obiger Abb. ist dies NIC 0 connected – sein.
Nachdem beide virtuellen Schnittstellen gelöscht wurden, ist eine neue virtuelle Netzwerkschnittstelle für die Chilli-VM als Device 1 anzulegen. Diese Schnittstelle bekommt keine IP zugewiesen und muss sich im grünen Netzwerk befinden.
Zunächst muss die MAC-Adresse der virtuellen XEN-Netzwerkschnittstelle des Coova - in diesem Beispiel ist die die MAC 4a:47:24:f7:4f:d0 - in die Workstations-Datei eingetragen werden und hier die IP zugeordnet werden.
#/etc/linuxmuster/workstations # Eintrag der IP für den CoovaServer, die im Server statisch eingetragen wird srv;coovachilli;none;4a:47:24:f7:4f:d0;10.16.16.252;255.240.0.0;;;;0;0
Die Eintragungen abspeichern und mit import_workstations übernehmen.
Danach an der Konsole des Coovachilli anmelden und die Netzwerkeinstellungen anpassen. Dazu sind in der Datei /etc/network/interfaces die Einstellungen wie folgt anzupassen:
# The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 10.16.16.252 netmask 255.255.255.0 gateway 10.16.1.254 dns-nameservers 10.16.1.254 dns-nameservers 10.16.1.1 dns-nameservers 8.8.8.8 # The virtual interface for tunneling auto eth1
Das Interface eth1 wird nicht konfiguriert, da diese Schnittstelle benötigt wird, um für die WLAN-Clients IPs zu verteilen.
Danach den Chilli neu starten und nun das Paket linuxmuster-chilli neu konfigurieren. Die Konfiguration erfolgt wie im WIKI-Eintrag beschrieben. Für das WLAN-Netzwerk wird nachstehend das Netzwerk 192.168.0.0/16 verwendet.
Nach der Anpassung ist der Chilli erneut zu starten.
Der Test erfolgt über die Konsole des Chilli. Nach der Anmeldung an der Konsole zur Überprüfung der Einstellungen den Befehl ifconfig absetzen. Eth0 sollte eine IP aufweisen, eth1 sollte keine IP aufweisen und es sollte ein tun0 Device erkennbar sein, das die IP 192.168.0.1 hat.
Dies ist in nachstehenden Abb. erkennbar.
Danach wird die Erreichbarkeit des linuxmuster.net Servers und des IPFire gestestet - wie in nachstehender Abb.:
Die Pakete sollten zu einer erfolgreichen Antwort führen.
Um die Namensauflösung zu testen, kann ein ping auf eine externe Website erfolgen z.B. ping www.linuxmuster.net. Es sollte eine erfolgreiche Antwort liefern - wie in nachstehender Abb.:
Sollte dies nicht der Fall sein, so ist ggf. die Datei /etc/resolv.conf des Coova anzupassen.
# /etc/resolv.conf domain linuxmuster.local # auf eigene Domain des lmn-Servers anpassen search linuxmuster.local # s.o. nameserver 10.16.1.1 nameserver 10.16.1.254 nameserver 8.8.8.8
Im IPfire Webkonfiguration ist im Menü Netzwerk → Webproxy → Proxy-Konfiguration → Netzwerkbasierte Zugriffskontrolle → uneingeschränkte IP-Adressen die IP Adresse des Coovachilli - hier also 10.16.16.254 einzutragen. Danach übernehmen und Neustart auswählen.
Nachstehende Abb. verdeutlich die Einstellung:
Danach ist eine neue Firewallregel zu erstellen, die den Coovachilli aus grün in alle Netze lässt. Die IP des Coova in grün (10.16.16.252) als Quelle darf zu allen Zielen. Zur Aktivierung der Regel muss das Häkchen entsprechend gesetzt sein. Nachstehende Abb. verdeutlich dies:
Die APs sind so zu konfigurieren, dass diese eine statische IP-Adresse aus dem grünen Netz zugewiesen bekommen. In dem AP ist z.B. einzurichten:
IP: 10.20.4.20 Subnetmask: 255.240.0.0 Gateway: 10.16.1.254 DNS: 10.16.1.1 DNS: 10.16.1.254
Diese Einstellunges sollten zudem wie für den Coova-Server in der Datei /etc/linuxmuster/workstations hinterlegt werden.
An APs ist der lokale DHCP-Server zu deaktivieren!!
Vom lmn-server aus, müssen die APs wie ping erreichbar sein.
Danach ist das WLAN in allen AP in gleicher Weise einzurichten:
Sicherheitsmodus: WPA2-Personal Verschlüsselung: TKIP or AES Passphrase: meinegewuenschtesKennwort
Nachstehende Abb. verdeutlichen diese Einstellungen:
Die WALN-Clients verbinden sich nun mit o.g. WPA2-Kennung. Wurden der Client erfolgreich verbunden, so erhält dieser vom Coovachilli eine IP-Adresse aus dem Bereich 192.168.0.0.
Dies kann auf dem Client wie nachstehende dargestellt kontrolliert werden:
Danach auf dem WLAN-Client einen Browser aufrufen und eine externe URL angeben. Es erfolgt dann eine Umleitung des WLAN-Clienst auf das AnmeldePortal des Coovachilli. Der Nutzer muss nun hier die Daten seines SchulnetzAccounts angeben und kann danach auf der Internet zugreifen.