Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B:
Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient eine OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/24 mit der Domain „linuxmuster.lan“ verwendet.
Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, es erscheint deshalb eine Zertifikatswarnung. Zum Ausloggen kann man mit der URL https://firewall.linuxmuster.lan:8000 den Logout-Button erhalten.
Schnittstellen → OPT1
Alle weiteren Optionen auf Default lassen. → [Speichen]
Dienste → DHCPv4 → [OPT1]
Alle weiteren Optionen auf Default lassen.→ [Speichern]
Es müssen fünf Firewallregeln erstellt werden. Die Regel Nr. 5 erlaubt den uneingeschränkten Zugriff aufs Internet.
Firewall → Regeln → OPT1
Alle Regeln speichern und abschließend → [Anwenden]
System → Zugang → Servers → [+ Hinzufügen]
Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen!
Dienste → Captive Portal → Verwaltung → [ + ]
Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der OPT1-IP der Firewall.
Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.
Alle weiteren Optionen auf Default lassen → [Speichern] → [Anwenden]
Dienste → Captive Portal → Voucher→ [+ Voucher erstellen]
Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten:
Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben. Die Login-Seite wird mit einem selbstsignierten Zertifikat ausgeliefert, es erscheint deshalb eine Zertifikatswarnung.
Zuerst eine neue LDAP-Serverabfrage für die Gruppe wifi erstellen.
Das Passwort des global-binduser erhält man an der Serverkonsole mit dem Befehl:
# sohphomorix-admin -i -a global-binduser | grep -A2 PASSWORD
System → Server → [+ Hinzufügen]
Jetzt die Authentifizierung umstellen:
Dienste → Captive Portal → Verwaltung → edit Gast Netzwerk (Stift-Icon)
Folgende Option bearbeiten → [Speichern] → [Anwenden]:
Dadurch kann jetzt eine Anmeldung auch mit den Benutzern der linuxmuster-LDAP-Datenbank erfolgen, die in der Gruppe wifi sind.
Dienste → DHCPv4 → OPT1 → Statische DHCP-Zuweisung → [ + ]
→ [Speichern] → [Anwenden]
Dienste → Captive Portal → Verwaltung → edit Gast Netzwerk (Stift-Icon)
→ [Speichern] → [Anwenden]
Originalanleitung → https://docs.opnsense.org/manual/captiveportal.html