[[anwenderwiki:firewall_lmn7:opensense-captiveportal]]
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 15:10] – [5.) Captive-Portal konfigurieren] martin.res | anwenderwiki:firewall_lmn7:opensense-captiveportal [2023/01/29 23:19] (aktuell) – [8.) Erweiterungen] martin.res | ||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| {{tag> opnsense voucher captive-portal}} | {{tag> opnsense voucher captive-portal}} | ||
| - | ====== Firewall OPNsense mit einem Captive-Portal und Vouchers | + | ====== Firewall OPNsense mit einem Captive-Portal und Voucher |
| - | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient ein OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. | + | Das Captive Portal der OPNsense kann mehrere Authentifizierungswege bündeln, z.B: |
| + | * Abfrage eines Vouchers | ||
| + | * Abfrage von Login + Passwort einer LDAP-Datenbank | ||
| + | * Direkter Zugang für zuvor registrierte Geräte mit MAC+IP. | ||
| + | |||
| + | Die Installation gliedert sich in 6 Abschnitte. Als Voraussetzung dient eine OPNsense-Firewall von linuxmuster.net mit den Standardeinstellungen und einer vorhandenen Schnittstelle OPT1 für das blaue Netzwerk. Als IP-Range wird hier 172.16.32.0/ | ||
| - Schnittstelle OPT1 konfigurieren | - Schnittstelle OPT1 konfigurieren | ||
| - DHCP auf OPT1 konfigurieren | - DHCP auf OPT1 konfigurieren | ||
| - Firewall Regeln erstellen | - Firewall Regeln erstellen | ||
| - | - Captive-Portal konfigurieren | ||
| - Voucher-Server konfigurieren | - Voucher-Server konfigurieren | ||
| + | - Captive-Portal konfigurieren | ||
| - Vouchers erstellen | - Vouchers erstellen | ||
| Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, | Die Captive-Portal-Seite wird per https mit einem selbstsignierten Zertifikat ausgeliefert, | ||
| - | Zum Ausloggen kann man mit der URL "https://172.16.32.1:8000" | + | Zum Ausloggen kann man mit der URL https://firewall.linuxmuster.lan:8000 den Logout-Button erhalten. |
| ===== 1.) Schnittstelle OPT1 konfigurieren ===== | ===== 1.) Schnittstelle OPT1 konfigurieren ===== | ||
| Schnittstellen -> OPT1 | Schnittstellen -> OPT1 | ||
| - | * Aktivieren | + | * //Aktivieren// |
| - | * IPv4: Statisches IPv4 | + | * IPv4: **Statisches IPv4** |
| - | * IPv4-Adresse: | + | * IPv4-Adresse: |
| //Alle weiteren Optionen auf Default lassen.// | //Alle weiteren Optionen auf Default lassen.// | ||
| -> [Speichen] | -> [Speichen] | ||
| Zeile 22: | Zeile 27: | ||
| ===== 2.) DHCP auf OPT1 konfigurieren ===== | ===== 2.) DHCP auf OPT1 konfigurieren ===== | ||
| Dienste -> DHCPv4 -> [OPT1] | Dienste -> DHCPv4 -> [OPT1] | ||
| - | * Aktivieren | + | * //Aktivieren// |
| - | * Bereich von 172.16.32.100 bis 172.16.32.199 | + | * Bereich von **172.16.32.100** bis **172.16.32.199** |
| - | * DNS-Server: 172.16.32.1 | + | * DNS-Server: |
| - | * Gateway: 172.16.32.1 | + | * Gateway: |
| //Alle weiteren Optionen auf Default lassen.// | //Alle weiteren Optionen auf Default lassen.// | ||
| ===== 3.) Firewall Regeln erstellen ===== | ===== 3.) Firewall Regeln erstellen ===== | ||
| - | Es müssen fünf Firewallregeln erstellt werden.\\ | + | Es müssen fünf Firewallregeln erstellt werden. Die Regel Nr. 5 erlaubt den uneingeschränkten Zugriff aufs Internet.\\ |
| - | Firewall -> Regeln -> OPT1 | + | Firewall -> Regeln -> OPT1\\ |
| - | {{ : | + | {{: |
| //Alle Regeln speichern und abschließend// | //Alle Regeln speichern und abschließend// | ||
| Zeile 36: | Zeile 41: | ||
| System -> Zugang -> Servers -> [+ Hinzufügen]\\ | System -> Zugang -> Servers -> [+ Hinzufügen]\\ | ||
| {{: | {{: | ||
| - | Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen! | + | //Die Optionen (hier sehr einfach, zu Testzwecken) den eigenen Sicherheitsanforderungen anpassen!// |
| ===== 5.) Captive-Portal konfigurieren ===== | ===== 5.) Captive-Portal konfigurieren ===== | ||
| - | Dienste -> Captive Portal -> Verwaltung -> +\\ | + | Dienste -> Captive Portal -> Verwaltung -> [ + ]\\ |
| * // | * // | ||
| * Schnittstellen: | * Schnittstellen: | ||
| Zeile 50: | Zeile 55: | ||
| * SSL-Zertifikat: | * SSL-Zertifikat: | ||
| * Beschreibung: | * Beschreibung: | ||
| - | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der IP der Firewall.// | + | //Der Host-Eintrag kann leergelassen werden, dann erscheint das Captive-Portal Login unter der OPT1-IP der Firewall.// |
| //Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | //Ohne SSL-Zertifikat wird das Captive-Portal Login als http-Seite ausgeliefert.// | ||
| //Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | //Alle weiteren Optionen auf Default lassen// -> [Speichern] -> [Anwenden] | ||
| Zeile 56: | Zeile 61: | ||
| ===== 6.) Vouchers erstellen ===== | ===== 6.) Vouchers erstellen ===== | ||
| Dienste -> Captive Portal -> Voucher-> | Dienste -> Captive Portal -> Voucher-> | ||
| - | {{: | + | {{: |
| Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | Nun wird eine csv-Liste der Voucher erzeugt und zum Herunterladen angeboten: | ||
| - | {{: | + | {{: |
| - | ---- | + | |
| - | Originalanleitung -> [[https:// | ||
| ===== 7.) Testen ===== | ===== 7.) Testen ===== | ||
| + | Jetzt sich mit dem WLAN verbinden und im Browser eine beliebige Seite aufrufen. Man erhält dann eine Umleitung auf die Login-Seite und kann dann die Zugangsdaten eines Vouchers eingeben. | ||
| + | {{: | ||
| + | |||
| + | ===== 8.) Erweiterungen ===== | ||
| + | * Login-Seite individuell der Schule anpassen | ||
| + | * Leerlaufzeit / Gültigkeitsdauer festlegen | ||
| + | * Traffic Shaping | ||
| + | |||
| + | ===== 9.) Benutzern der Gruppe wifi des LDAP-Servers Zugang gewähren ===== | ||
| + | Zuerst eine neue LDAP-Serverabfrage für die Gruppe wifi erstellen.\\ | ||
| + | Das Passwort des global-binduser erhält man an der Serverkonsole mit dem Befehl: | ||
| + | # sohphomorix-admin -i -a global-binduser | grep -A2 PASSWORD | ||
| + | System -> Server -> [+ Hinzufügen] | ||
| + | * Name: **linuxmuster-wifi** | ||
| + | * Typ: **LDAP** | ||
| + | * Hostname:** server.linxmuster.lan** | ||
| + | * Port-Wert: | ||
| + | * Transport: **SSL-Verschlüsselt** | ||
| + | * Protokoll: **3** | ||
| + | * Bind Zugangsdaten: | ||
| + | * Passwort: ........ | ||
| + | * Suchbereich: | ||
| + | * Basis DN: **DC=linuxmuster, | ||
| + | * Authentifizierungscontainer: | ||
| + | * Erweiterte Abfrage: **& | ||
| + | * Benutzerbenennungsattribut: | ||
| + | Jetzt die Authentifizierung umstellen: | ||
| + | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ | ||
| + | Folgende Option bearbeiten -> [Speichern] -> [Anwenden]: | ||
| + | * Authentifizierung mit: **Gastnetz-Vouchers, | ||
| + | Dadurch kann jetzt eine Anmeldung auch mit den Benutzern der linuxmuster-LDAP-Datenbank erfolgen, die in der Gruppe wifi sind. | ||
| + | ===== 10.) Geräten Zugriff ohne Captive-Portal Login erlauben ===== | ||
| + | Dienste -> DHCPv4 -> OPT1 -> Statische DHCP-Zuweisung -> [ + ]\\ | ||
| + | {{: | ||
| + | -> [Speichern] -> [Anwenden] | ||
| + | |||
| + | Dienste -> Captive Portal -> Verwaltung -> //edit// Gast Netzwerk (Stift-Icon)\\ | ||
| + | {{: | ||
| + | -> [Speichern] -> [Anwenden] | ||
| + | |||
| + | |||
| + | ===== x) Links ===== | ||
| + | |||
| + | Originalanleitung -> [[https:// | ||
| + | |||
[[anwenderwiki:firewall_lmn7:opensense-captiveportal]] anwenderwiki/firewall_lmn7/opensense-captiveportal.1675001423.txt.gz · Zuletzt geändert: 2023/01/29 15:10 von martin.res
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
