Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 17:12] – [Firewall OPNsense mit einem Captive-Portal und Voucher einrichten] martin.res | anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 23:19] (aktuell) – [8.) Erweiterungen] martin.res | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B: | Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B: | ||
* Abfrage eines Vouchers | * Abfrage eines Vouchers | ||
- | * Abfrage von Login+Passwort einer LDAP-Datenbank | + | * Abfrage von Login + Passwort einer LDAP-Datenbank |
- | * keine Abfrage | + | * Direkter Zugang |
- | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient ein OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/ | + | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient eine OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/ |
- Schnittstelle OPT1 konfigurieren | - Schnittstelle OPT1 konfigurieren | ||
- DHCP auf OPT1 konfigurieren | - DHCP auf OPT1 konfigurieren | ||
Zeile 33: | Zeile 33: | ||
//Alle weiteren Optionen auf Default lassen.// | //Alle weiteren Optionen auf Default lassen.// | ||
===== 3.) Firewall Regeln erstellen ===== | ===== 3.) Firewall Regeln erstellen ===== | ||
- | Es müssen fünf Firewallregeln erstellt werden. Die Regeln erlauben | + | Es müssen fünf Firewallregeln erstellt werden. Die Regel Nr. 5 erlaubt |
Firewall -> Regeln -> OPT1\\ | Firewall -> Regeln -> OPT1\\ | ||
- | {{: | + | {{: |
//Alle Regeln speichern und abschließend// | //Alle Regeln speichern und abschließend// | ||
Zeile 45: | Zeile 45: | ||
===== 5.) Captive-Portal konfigurieren ===== | ===== 5.) Captive-Portal konfigurieren ===== | ||
- | Dienste -> Captive Portal -> Verwaltung -> +\\ | + | Dienste -> Captive Portal -> Verwaltung -> [ + ]\\ |
* // | * // | ||
* Schnittstellen: | * Schnittstellen: | ||
Zeile 55: | Zeile 55: | ||
* SSL-Zertifikat: | * SSL-Zertifikat: | ||
* Beschreibung: | * Beschreibung: | ||
- | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der IP der Firewall.// | + | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der OPT1-IP der Firewall.// |
//Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | //Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | ||
//Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | //Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | ||
Zeile 61: | Zeile 61: | ||
===== 6.) Vouchers erstellen ===== | ===== 6.) Vouchers erstellen ===== | ||
Dienste -> Captive Portal -> Voucher-> | Dienste -> Captive Portal -> Voucher-> | ||
- | {{: | + | {{: |
Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | ||
- | {{: | + | {{: |
===== 7.) Testen ===== | ===== 7.) Testen ===== | ||
- | Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben.\\ | + | Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben. Die Login-Seite wird mit einem selbstsignierten Zertifikat ausgeliefert, |
{{: | {{: | ||
===== 8.) Erweiterungen ===== | ===== 8.) Erweiterungen ===== | ||
* Login-Seite individuell der Schule anpassen | * Login-Seite individuell der Schule anpassen | ||
- | * Bei den Captive-Portal-Optionen bei " | + | * Leerlaufzeit / Gültigkeitsdauer festlegen |
+ | * Traffic Shaping | ||
- | ===== 9.) Geräten Zugriff ohne Captive-Portal Login erlauben ===== | + | ===== 9.) Benutzern der Gruppe wifi des LDAP-Servers Zugang gewähren ===== |
- | Dienste -> DHCPv4 -> OPT1 -> Statische DHCP-Zuweisung -> +\\ | + | Zuerst eine neue LDAP-Serverabfrage für die Gruppe wifi erstellen.\\ |
+ | Das Passwort des global-binduser erhält man an der Serverkonsole mit dem Befehl: | ||
+ | # sohphomorix-admin -i -a global-binduser | grep -A2 PASSWORD | ||
+ | System -> Server -> [+ Hinzufügen] | ||
+ | * Name: **linuxmuster-wifi** | ||
+ | * Typ: **LDAP** | ||
+ | * Hostname:** server.linxmuster.lan** | ||
+ | * Port-Wert: | ||
+ | * Transport: **SSL-Verschlüsselt** | ||
+ | * Protokoll: **3** | ||
+ | * Bind Zugangsdaten: | ||
+ | * Passwort: ........ | ||
+ | * Suchbereich: | ||
+ | * Basis DN: **DC=linuxmuster, | ||
+ | * Authentifizierungscontainer: | ||
+ | * Erweiterte Abfrage: **& | ||
+ | * Benutzerbenennungsattribut: | ||
+ | Jetzt die Authentifizierung umstellen: | ||
+ | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ | ||
+ | Folgende Option bearbeiten -> [Speichern] -> [Anwenden]: | ||
+ | * Authentifizierung mit: **Gastnetz-Vouchers, | ||
+ | Dadurch kann jetzt eine Anmeldung auch mit den Benutzern der linuxmuster-LDAP-Datenbank erfolgen, die in der Gruppe wifi sind. | ||
+ | ===== 10.) Geräten Zugriff ohne Captive-Portal Login erlauben ===== | ||
+ | Dienste -> DHCPv4 -> OPT1 -> Statische DHCP-Zuweisung -> [ + ]\\ | ||
{{: | {{: | ||
- | -> Speichern -> Anwenden | + | -> [Speichern] -> [Anwenden] |
- | Dienste -> Captive Portal -> Verwaltung -> edit Gast Netzwerk (Stift)\\ | + | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ |
{{: | {{: | ||
- | -> Speichern -> Anwenden | + | -> [Speichern] -> [Anwenden] |