Firewall OPNsense mit einem Captive-Portal und Voucher einrichten

Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B:

• Abfrage eines Vouchers
• Abfrage von Login + Passwort einer LDAP-Datenbank
• Direkter Zugang für zuvor registrierte Geräte mit MAC+IP.

Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient eine OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/24 mit der Domain „linuxmuster.lan“ verwendet.

1. Schnittstelle OPT1 konfigurieren
2. DHCP auf OPT1 konfigurieren
3. Firewall Regeln erstellen
4. Voucher-Server konfigurieren
5. Captive-Portal konfigurieren
6. Vouchers erstellen

Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, es erscheint deshalb eine Zertifikatswarnung. Zum Ausloggen kann man mit der URL https://firewall.linuxmuster.lan:8000 den Logout-Button erhalten.

Schnittstellen → OPT1

• Aktivieren
• IPv4: Statisches IPv4
• IPv4-Adresse: 172.16.32.1 / 24

Alle weiteren Optionen auf Default lassen. → [Speichen]

Dienste → DHCPv4 → [OPT1]

• Aktivieren
• Bereich von 172.16.32.100 bis 172.16.32.199
• DNS-Server: 172.16.32.1
• Gateway: 172.16.32.1

Alle weiteren Optionen auf Default lassen.→ [Speichern]

Es müssen fünf Firewallregeln erstellt werden. Die Regel Nr. 5 erlaubt den uneingeschränkten Zugriff aufs Internet.
Firewall → Regeln → OPT1

Alle Regeln speichern und abschließend → [Anwenden]

System → Zugang → Servers → [+ Hinzufügen]

Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen!

Dienste → Captive Portal → Verwaltung → [ + ]

• Aktiviert
• Schnittstellen: OPT1
• Authentifizieren mit: Gastnetz-Vouchers
• Leerlaufzeit: 0
• Harte Gültigkeitsdauer: 0
• Host: firewall.linuxmuster.lan
• Gleichzeitige Anmeldungen: deaktivieren
• SSL-Zertifikat: linuxmuster-firewall
• Beschreibung: Gast-Netzwerk

Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der OPT1-IP der Firewall.
Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.
Alle weiteren Optionen auf Default lassen → [Speichern] → [Anwenden]

Dienste → Captive Portal → Voucher→ [+ Voucher erstellen]

Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten:

Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben. Die Login-Seite wird mit einem selbstsignierten Zertifikat ausgeliefert, es erscheint deshalb eine Zertifikatswarnung.

• Login-Seite individuell der Schule anpassen
• Leerlaufzeit / Gültigkeitsdauer festlegen
• Traffic Shaping

Zuerst eine neue LDAP-Serverabfrage für die Gruppe wifi erstellen.
Das Passwort des global-binduser erhält man an der Serverkonsole mit dem Befehl:

 # sohphomorix-admin -i -a global-binduser | grep -A2 PASSWORD

System → Server → [+ Hinzufügen]

• Name: linuxmuster-wifi
• Typ: LDAP
• Hostname: server.linxmuster.lan
• Port-Wert:636
• Transport: SSL-Verschlüsselt
• Protokoll: 3
• Bind Zugangsdaten: CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan
• Passwort: ……..
• Suchbereich: Kompletter Unterbaum
• Basis DN: DC=linuxmuster,DC=lan
• Authentifizierungscontainer: OU=GLOBAL,DC=linuxmuster,DC=lan;OU=SCHOOLS,DC=linuxmuster,DC=lan
• Erweiterte Abfrage: &(objectClass=organizationalPerson)(memberOf=CN=wifi,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan)
• Benutzerbenennungsattribut: sAMAccountName

Jetzt die Authentifizierung umstellen:
Dienste → Captive Portal → Verwaltung → edit Gast Netzwerk (Stift-Icon)
Folgende Option bearbeiten → [Speichern] → [Anwenden]:

• Authentifizierung mit: Gastnetz-Vouchers, linuxmuster-wifi

Dadurch kann jetzt eine Anmeldung auch mit den Benutzern der linuxmuster-LDAP-Datenbank erfolgen, die in der Gruppe wifi sind.

Dienste → DHCPv4 → OPT1 → Statische DHCP-Zuweisung → [ + ]

→ [Speichern] → [Anwenden]

Dienste → Captive Portal → Verwaltung → edit Gast Netzwerk (Stift-Icon)

→ [Speichern] → [Anwenden]

Originalanleitung → https://docs.opnsense.org/manual/captiveportal.html