Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 15:09] – [5.) Captive-Portal konfigurieren] martin.res | anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 23:19] (aktuell) – [8.) Erweiterungen] martin.res | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
{{tag> opnsense voucher captive-portal}} | {{tag> opnsense voucher captive-portal}} | ||
- | ====== Firewall OPNsense mit einem Captive-Portal und Vouchers | + | ====== Firewall OPNsense mit einem Captive-Portal und Voucher |
- | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient ein OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. | + | Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B: |
+ | * Abfrage eines Vouchers | ||
+ | * Abfrage von Login + Passwort einer LDAP-Datenbank | ||
+ | * Direkter Zugang für zuvor registrierte Geräte mit MAC+IP. | ||
+ | |||
+ | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient eine OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/ | ||
- Schnittstelle OPT1 konfigurieren | - Schnittstelle OPT1 konfigurieren | ||
- DHCP auf OPT1 konfigurieren | - DHCP auf OPT1 konfigurieren | ||
- Firewall Regeln erstellen | - Firewall Regeln erstellen | ||
- | - Captive-Portal konfigurieren | ||
- Voucher-Server konfigurieren | - Voucher-Server konfigurieren | ||
+ | - Captive-Portal konfigurieren | ||
- Vouchers erstellen | - Vouchers erstellen | ||
Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, | Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, | ||
- | Zum Ausloggen kann man mit der URL "https://172.16.32.1:8000" | + | Zum Ausloggen kann man mit der URL https://firewall.linuxmuster.lan:8000 den Logout-Button erhalten. |
===== 1.) Schnittstelle OPT1 konfigurieren ===== | ===== 1.) Schnittstelle OPT1 konfigurieren ===== | ||
Schnittstellen -> OPT1 | Schnittstellen -> OPT1 | ||
- | * Aktivieren | + | * //Aktivieren// |
- | * IPv4: Statisches IPv4 | + | * IPv4: **Statisches IPv4** |
- | * IPv4-Adresse: | + | * IPv4-Adresse: |
//Alle weiteren Optionen auf Default lassen.// | //Alle weiteren Optionen auf Default lassen.// | ||
-> [Speichen] | -> [Speichen] | ||
Zeile 22: | Zeile 27: | ||
===== 2.) DHCP auf OPT1 konfigurieren ===== | ===== 2.) DHCP auf OPT1 konfigurieren ===== | ||
Dienste -> DHCPv4 -> [OPT1] | Dienste -> DHCPv4 -> [OPT1] | ||
- | * Aktivieren | + | * //Aktivieren// |
- | * Bereich von 172.16.32.100 bis 172.16.32.199 | + | * Bereich von **172.16.32.100** bis **172.16.32.199** |
- | * DNS-Server: 172.16.32.1 | + | * DNS-Server: |
- | * Gateway: 172.16.32.1 | + | * Gateway: |
//Alle weiteren Optionen auf Default lassen.// | //Alle weiteren Optionen auf Default lassen.// | ||
===== 3.) Firewall Regeln erstellen ===== | ===== 3.) Firewall Regeln erstellen ===== | ||
- | Es müssen fünf Firewallregeln erstellt werden.\\ | + | Es müssen fünf Firewallregeln erstellt werden. Die Regel Nr. 5 erlaubt den uneingeschränkten Zugriff aufs Internet.\\ |
- | Firewall -> Regeln -> OPT1 | + | Firewall -> Regeln -> OPT1\\ |
- | {{ : | + | {{: |
//Alle Regeln speichern und abschließend// | //Alle Regeln speichern und abschließend// | ||
Zeile 36: | Zeile 41: | ||
System -> Zugang -> Servers -> [+ Hinzufügen]\\ | System -> Zugang -> Servers -> [+ Hinzufügen]\\ | ||
{{: | {{: | ||
- | Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen! | + | //Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen!// |
===== 5.) Captive-Portal konfigurieren ===== | ===== 5.) Captive-Portal konfigurieren ===== | ||
- | Dienste -> Captive Portal -> Verwaltung -> +\\ | + | Dienste -> Captive Portal -> Verwaltung -> [ + ]\\ |
- | * Aktiviert | + | * //Aktiviert// |
- | * Schnittstellen: | + | * Schnittstellen: |
* Authentifizieren mit: **Gastnetz-Vouchers** | * Authentifizieren mit: **Gastnetz-Vouchers** | ||
- | * Leerlaufzeit: | + | * Leerlaufzeit: |
- | * Harte Gültigkeitsdauer: | + | * Harte Gültigkeitsdauer: |
- | * Host: firewall.linuxmuster.lan | + | * Host: **firewall.linuxmuster.lan** |
* Gleichzeitige Anmeldungen: | * Gleichzeitige Anmeldungen: | ||
- | * SSL-Zertifikat: | + | * SSL-Zertifikat: |
- | * Beschreibung: | + | * Beschreibung: |
- | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der IP der Firewall.// | + | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der OPT1-IP der Firewall.// |
//Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | //Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | ||
//Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | //Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | ||
Zeile 56: | Zeile 61: | ||
===== 6.) Vouchers erstellen ===== | ===== 6.) Vouchers erstellen ===== | ||
Dienste -> Captive Portal -> Voucher-> | Dienste -> Captive Portal -> Voucher-> | ||
- | {{: | + | {{: |
Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | ||
- | {{: | + | {{: |
- | ---- | + | |
- | Originalanleitung -> [[https:// | ||
===== 7.) Testen ===== | ===== 7.) Testen ===== | ||
+ | Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben. | ||
+ | {{: | ||
+ | |||
+ | ===== 8.) Erweiterungen ===== | ||
+ | * Login-Seite individuell der Schule anpassen | ||
+ | * Leerlaufzeit / Gültigkeitsdauer festlegen | ||
+ | * Traffic Shaping | ||
+ | |||
+ | ===== 9.) Benutzern der Gruppe wifi des LDAP-Servers Zugang gewähren ===== | ||
+ | Zuerst eine neue LDAP-Serverabfrage für die Gruppe wifi erstellen.\\ | ||
+ | Das Passwort des global-binduser erhält man an der Serverkonsole mit dem Befehl: | ||
+ | # sohphomorix-admin -i -a global-binduser | grep -A2 PASSWORD | ||
+ | System -> Server -> [+ Hinzufügen] | ||
+ | * Name: **linuxmuster-wifi** | ||
+ | * Typ: **LDAP** | ||
+ | * Hostname:** server.linxmuster.lan** | ||
+ | * Port-Wert: | ||
+ | * Transport: **SSL-Verschlüsselt** | ||
+ | * Protokoll: **3** | ||
+ | * Bind Zugangsdaten: | ||
+ | * Passwort: ........ | ||
+ | * Suchbereich: | ||
+ | * Basis DN: **DC=linuxmuster, | ||
+ | * Authentifizierungscontainer: | ||
+ | * Erweiterte Abfrage: **& | ||
+ | * Benutzerbenennungsattribut: | ||
+ | Jetzt die Authentifizierung umstellen: | ||
+ | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ | ||
+ | Folgende Option bearbeiten -> [Speichern] -> [Anwenden]: | ||
+ | * Authentifizierung mit: **Gastnetz-Vouchers, | ||
+ | Dadurch kann jetzt eine Anmeldung auch mit den Benutzern der linuxmuster-LDAP-Datenbank erfolgen, die in der Gruppe wifi sind. | ||
+ | ===== 10.) Geräten Zugriff ohne Captive-Portal Login erlauben ===== | ||
+ | Dienste -> DHCPv4 -> OPT1 -> Statische DHCP-Zuweisung -> [ + ]\\ | ||
+ | {{: | ||
+ | -> [Speichern] -> [Anwenden] | ||
+ | |||
+ | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ | ||
+ | {{: | ||
+ | -> [Speichern] -> [Anwenden] | ||
+ | |||
+ | |||
+ | ===== x) Links ===== | ||
+ | |||
+ | Originalanleitung -> [[https:// | ||
+ |