4
PfSense - Captiv Portal in einer Wohngruppe zur Nutzungsbegrenzung
Moin moin.
Wir möchten gerne in unseren Wohngruppen Internet zu Verfügung stellen bzw. es ausbauen.
Derzeit wird das nur über die Fritzbox und dessen Gäste-WLAN gemacht bzw. in einer Gruppe wurden die Bewohner ins Haupt-WLAN gelassen(nicht meine Idee) um die Fritzbox-Filter zu benutzen ...schwups wurde ständig irgendwas auf dem Drucker ausgegen bis die Toner/Papier leer waren.
Es sei hier erwähnt das ich keinerlei fachliche Ausbildung habe, darum habe ich hier vielleicht mehr erhofft als möglich bzw. verstehe die Zusammenhänge nicht.
Für die Mitarbeiter und Bewohner soll es je ein Netz geben.
Für die MAs gibt es keine Beschränkungen.
Die Bewohner sollen natürlich von den MAs getrennt sein sowie "kontrollierbar". Also Internet voll gewähren, eingeschränkt, ganz verweigern oder nur kurzzeitige Nutzung.
Und ein Verbindungsprotokoll sollte es auch geben.
Nun denn, um also Ordnung zu schaffen habe ich an eine pfSense auf einem APU2C4 + AccessPoints gedacht und bestellt.
Theoretisch läuft alles VLANs, Squid(Guard), CaptivPortal und Voucher.
Nur funktioniert das mit der zeitlichen Begrenzung nicht so wie ich mir das vorstellte, verlange ich zuviel ?
Squid ist im transparent Mode und HTTPS/SSL filtering ist ebenfalls aktiviert.
SquidGuard ist mit der Shallalist gefüttert, Zeiten definiert, Auth=CaptivPortal, GroupACLs angelegt/konfiguriert(Times/Allow/Deny) und eine eignen Kategorie mit Inhalt gibt es auch.
CaptivPortal ist auch aktiviert und bereits mit einer eigenen Loginmaske versehen, Voucher x100St x60min. sind auch generiert.
Die Bewohner haben ihre Benutzerdaten(User lokal auf der pfSense) und das CA-Cert in den Smartphones.
Squid und CP sind nur auf das Interface VLAN20 gestellt.
Verbinde ich mich per Smartphone mit dem "Bewohner"-WLAN heist es "Benutzeranmeldung erforderlich", es öffnet sich der Browser und der CP-Login erscheint.
Die Internetnutzung ist erst nach dem Login im CaptivPortal möglich - soweit sogut.
Nur nach dem Ablauf der Zeiten können die Bewohner teilweise immer noch ins Internet !?
Browsen schien allerdings nicht mehr möglich aber Messenger sind weiterhin nutzbar: WhatsApp, Twitter, Instagram und Youtube wohl auch.
Ich weiß einfach nicht mehr weiter. Und die Kollegen vor Ort wollen ihre Fritzbox wieder haben weil "da ging es ja".
Beim gestrigen Informationen sammeln viel mir dann noch auf das ich, extern per SSH über die pfSense, nur auf die pfSense und den SG108PE komme
Die EAPs zur Zeit ebenfalls nicht aber hier habe ich die Vermutung das die gerade abgesteckt wurden um "das Internet auszuschalten". In der ARP-Tabelle ist zumindest aktuelle nur der SG108/10.10.1.3 vorhanden.
Ich brauche hier wirklich mal Hilfe um das fertig zu bekommen.
Vielleicht sogar vor Ort hier in Bremen.
~Arano
Wir möchten gerne in unseren Wohngruppen Internet zu Verfügung stellen bzw. es ausbauen.
Derzeit wird das nur über die Fritzbox und dessen Gäste-WLAN gemacht bzw. in einer Gruppe wurden die Bewohner ins Haupt-WLAN gelassen(nicht meine Idee) um die Fritzbox-Filter zu benutzen ...schwups wurde ständig irgendwas auf dem Drucker ausgegen bis die Toner/Papier leer waren.
Es sei hier erwähnt das ich keinerlei fachliche Ausbildung habe, darum habe ich hier vielleicht mehr erhofft als möglich bzw. verstehe die Zusammenhänge nicht.
Für die Mitarbeiter und Bewohner soll es je ein Netz geben.
Für die MAs gibt es keine Beschränkungen.
Die Bewohner sollen natürlich von den MAs getrennt sein sowie "kontrollierbar". Also Internet voll gewähren, eingeschränkt, ganz verweigern oder nur kurzzeitige Nutzung.
Und ein Verbindungsprotokoll sollte es auch geben.
Nun denn, um also Ordnung zu schaffen habe ich an eine pfSense auf einem APU2C4 + AccessPoints gedacht und bestellt.
Theoretisch läuft alles VLANs, Squid(Guard), CaptivPortal und Voucher.
Nur funktioniert das mit der zeitlichen Begrenzung nicht so wie ich mir das vorstellte, verlange ich zuviel ?
Squid ist im transparent Mode und HTTPS/SSL filtering ist ebenfalls aktiviert.
SquidGuard ist mit der Shallalist gefüttert, Zeiten definiert, Auth=CaptivPortal, GroupACLs angelegt/konfiguriert(Times/Allow/Deny) und eine eignen Kategorie mit Inhalt gibt es auch.
CaptivPortal ist auch aktiviert und bereits mit einer eigenen Loginmaske versehen, Voucher x100St x60min. sind auch generiert.
Die Bewohner haben ihre Benutzerdaten(User lokal auf der pfSense) und das CA-Cert in den Smartphones.
Squid und CP sind nur auf das Interface VLAN20 gestellt.
Verbinde ich mich per Smartphone mit dem "Bewohner"-WLAN heist es "Benutzeranmeldung erforderlich", es öffnet sich der Browser und der CP-Login erscheint.
Die Internetnutzung ist erst nach dem Login im CaptivPortal möglich - soweit sogut.
Nur nach dem Ablauf der Zeiten können die Bewohner teilweise immer noch ins Internet !?
Browsen schien allerdings nicht mehr möglich aber Messenger sind weiterhin nutzbar: WhatsApp, Twitter, Instagram und Youtube wohl auch.
Ich weiß einfach nicht mehr weiter. Und die Kollegen vor Ort wollen ihre Fritzbox wieder haben weil "da ging es ja".
Beim gestrigen Informationen sammeln viel mir dann noch auf das ich, extern per SSH über die pfSense, nur auf die pfSense und den SG108PE komme
ssh -L1234:10.10.1.3:80 admin@ext-ip. Den SG1024DE erreiche ich so leider gar nicht, dabei steht der doch noch vor dem SG108PE !?Die EAPs zur Zeit ebenfalls nicht aber hier habe ich die Vermutung das die gerade abgesteckt wurden um "das Internet auszuschalten". In der ARP-Tabelle ist zumindest aktuelle nur der SG108/10.10.1.3 vorhanden.
Fritzbox 192.168.178.1 (auch DECT für Telefonie)
|
pfSense WAN (wan) -> igb0 -> v4/DHCP4: 192.168.1.52/24
| VLAN10 (lan) -> igb1_vlan10 -> v4: 10.10.1.1/24
| VLAN20 (opt1) -> igb1_vlan20 -> v4: 10.10.2.1/24
|
+-TL-SG1024DE 10.10.1.2 -> VLAN10 Port 1-8 -> Netzwerkdosen Arbeitsräume
| -> VLAN20 Port 9-16 -> Netzwerkdosen Zimmer 1-8 (Playstation / Laptop / TV)
+-TL-SG108PE 10.10.1.3
|
+-TL-EAP115 10.10.1.4 \
+-TL-EAP115 10.10.1.5 +-> WLAN "Mitarbeiter" = VLAN10
+-TL-EAP115 10.10.1.6 / WLAN "Bewohner" = VLAN20 + Client isolation aktiviert TL-SG1024DE TL-SG108PE
+------+---------+--------+----------+ +------+---------+--------+----------+
| VLAN | Member | Tagged | Untagged | | VLAN | Member | Tagged | Untagged |
+------+---------+--------+----------+ +------+---------+--------+----------+
| 10 |1-8,23-24| 23,24 | 1-8 | | 10 | 1-3,7-8 | 1-3,8 | 7 |
| 20 | 9-16 | 23,24 | 9-16 | | 20 | 1-6,8 | 1-3,8 | 4-6 |
+------+---------+--------+----------+ +------+---------+--------+----------+
| PORT 1-8 9-16 17-22 23 24 | | PORT 1 2 3 4 5 6 7 8 |
| PVID 10 20 1 1 1 | | PVID 1 1 1 20 20 20 10 1 |
+---------+-----+-------------+----+-+ +-------+--+--+-------------------+--+
| | | | | | | |
Arbeitsr Zimmer1-8 +----|-------------|--|--|-------------------+
| | | |
Internet---Fritzbox---pfSense---+ EAP---+ | +---EAP
EAPIch brauche hier wirklich mal Hilfe um das fertig zu bekommen.
Vielleicht sogar vor Ort hier in Bremen.
~Arano
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 350235
Url: https://administrator.de/contentid/350235
Printed on: April 25, 2024 at 09:04 o'clock
4 Comments
Latest comment
über die Fritzbox und dessen Gäste-WLAN gemacht bzw. in einer Gruppe wurden die Bewohner ins Haupt-WLAN gelassen
Tödlich....!das ich keinerlei fachliche Ausbildung habe
Was die Sache nicht einfacher macht aber die Tutorials hier berücksichtigen das so das man nur die richtigen Knöpfe im Kliucki Bunti drücken muss 
habe ich an eine pfSense auf einem APU2C4 + AccessPoints gedacht und bestellt.
Sehr vernünftig !Nur funktioniert das mit der zeitlichen Begrenzung nicht
Wie meinst du das ?? Die zeitlichen Limitierungen der Voucher oder das Zeitlimit und erzwungende Relogin wenn eine zeitlang im CP nicht gearbeitet wurde ?Das ist hier ziemlich unklar
Nur nach dem Ablauf der Zeiten
Wie gesagt...WAS für Zeiten ?? die des Vouchers oder Login Zeit ?Diese Zeiten musst du natürlich setzen im CP Setup:
Das die Voucher zeitlich begrenzt sein sollten, sollte natürlich auch klar sein !! Zusätzlich sollte die Login Page des Portals für die Voucher nutzer auch einzig nur das Voucher Login Feld haben und NICHT zusätzlich noch das für Username und PW. Auch das hast du hoffentlich berücksichtigt ??
Browsen schien allerdings nicht mehr möglich aber Messenger sind weiterhin nutzbar: WhatsApp, Twitter, Instagram und Youtube wohl auch.
Ist eigentlich unmöglich wenn das Setup des CPs richtig gemacht wurde insbesondere die Timeout Zeiten natürlich.Dann wird die Mac Adresse des authentisierten Clients aus der Forwarding Tabelle des CP gelöscht und es wird keinerlei Forwarding von Daten diese Mac Adresse mehr erlaubt. Damit ist dann jegliche Kommunikation ausgeschlossen.
Das CP funktioniert nach diesem Prinzip das eben das Forwarding der Client Mac erlaubt wird oder nicht. Deshalb ist es egal welcher Dienst. Keine Mac, kein Internet oder lokale Kommunikation...so einfach funktioniert das CP.
Was auch komisch ist ist die VLAN Einrichtung der Switches. Entweder ist die Zeichnung falsch oder die ASCI Version zeigt das hier fehlerhaft.
Normal müssten beide Switches mit einem tagged Uplink verbunden sein. Ebenso die pfSense müsste mit einem tagged Uplink auf LAN Seite dort angeschlossen sein damit die Vlans 10 und 20 auf Subinterfaces dort aufliegen.
Das "Internet" also der WAN Port der pfSense sollte immer in einem isolierten VLAN separat auf die FB gehen also in einem VLAN wo nur der WAN Poret der pfSense und die FritzBox drin sind aber sonst keinerlei User.
Alternativ ohne VLAN dann nur mit einem dedizierten Kabel nur zwischen LAN Port der FB und WAN Port der pfSense.
Außerdem ist hier auch ein gravierender Fehler in der Internet Adressierung zw.. FB und pfSense ersichtlich:
Fritzbox 192.168.178.1
pfSense WAN (wan) -> igb0 -> v4/DHCP4: 192.168.1.52/24
Das kann so niemals klappen, denn so wären ja WAN/Internet Port der pfSense und FB in 2 völlig verschiedenen IP Netzen (.1.0 und .178.0)
Dazu kommt das man in so einer Kaskade die pfSense niemals mit DHCP Adressierung laufen lassen sollte !
Besser immer statische IP z.B. 192.168.178.254 mit einer IP außerhalb des lokalen DHCP Bereichs der FB.
DNS und Gateway dann statisch auf die IP der FB 192.168.178.1 einstellen.
All diese möglichen Fehler und die fraglichen Konfigs sind so nicht ersichtlich aus dem obigen Design so das da dann außer der fraglichen und ggf. fehlenden IDLE Timer Konfig auch noch der dringende Verdacht besteht das es irgendwelche Wege um die VLANs herum gibt. Entweder durch die fehlerhafte VLAN Implementierung oder die falsche IP Adressierung im WAN Bereich usw. die die Segmentierung aushebeln und damit die angestrebte Sicherheit was das Ganze dann umso fataler macht. Sprich das auch die Switchkonfig noch grundlegend falsch ist
Bei deinen Vorkenntnissen besteht dazu die latente Gefahr das dem so ist. Das solltest du allso alles nochmal in aller Ruhe genau checken.
Das hiesige VLAN Tutorial hilft dir dabei:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Hinweise im CP Tutorial ebenfalls:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hallo,
nachdem @aqui ja schon alles "abgefrühstückt" hat, bleibt nur noch anzumerken;
halt separat gehalten werden.
mit Vouchers für die Gäste.
und soll.
das Captive Portal! Klar sind das dann drei VLANs aber das ist ja auch nicht so schlimm!
Gruß
Dobby
nachdem @aqui ja schon alles "abgefrühstückt" hat, bleibt nur noch anzumerken;
Nun denn, um also Ordnung zu schaffen habe ich an eine pfSense auf einem APU2C4 + AccessPoints gedacht und bestellt.
Man kann auch eine WLAN Karte in die pfSense einbauen und dann hat man gleich zwei WLANs die sich ergänzen und/oderhalt separat gehalten werden.
- Compex WLE200NX a/b/g/n miniPCIe Karte (Full-size) Dual-band 802.11n MIMO 2 x 2
- Ubiquiti SR71-E a/b/g/n miniPCIe Karte (Full size) Dual Band 300 MBit/s - MIMO & DFS
Theoretisch läuft alles VLANs, Squid(Guard), CaptivPortal und Voucher.
Nimm den Radius Server für Euren WLAN Zugang mit Zertifikaten und Verschlüsselung und das Captive Portalmit Vouchers für die Gäste.
Nur funktioniert das mit der zeitlichen Begrenzung nicht so wie ich mir das vorstellte, verlange ich zuviel ?
- Erstelle mehrere Gruppen und weise dann den Gruppen bzw. dem Voucher dieser Gruppe eine Zeitspanne
und soll.
- Oder aber zwei Gruppen via Radius Server erstellen und einer unbegrenzten zeitlichen Zugang einräumen und
das Captive Portal! Klar sind das dann drei VLANs aber das ist ja auch nicht so schlimm!
Gruß
Dobby
Hallo.
Eine späte Antwort weil ich, unter anderem, zwischendurch dann doch immer mal wieder was nachgeschlagen habe.
zu @aqui:
Stimmt, die sind mir auch nicht unbekannt.
Das ist hier ziemlich unklar
Hm... okay. Also mit den Vouchern haben wir keine ausführlichen Tests gemacht, die werden auch noch nicht verwendet weil es Grundsätzlich noch nicht wie gewünscht funktioniert.
Den Re-Login habe ich sehr locker gehalten damit man sich nicht "dauern" neu Einloggen muss aber wenn das hilft dann eben auch kürzer.
Ich meinte die Zeiten aus SquidGuard (Service->SquidGuard->Times) die dann in den GroupACLs eingebunden werden. Hier meinte ich damit zeitliche Regelungen vornehmen zu können.
UserC und UserD sollten dann nach 22:00 nicht mehr ins Internet können. (Hier dann ggf. per Voucher verlängerbar)
UserE widerum kann sich die Voucher "verdiehnen" (Hausarbeiten/Gartenplfege/ect.) und so zeitweise ins Internet.
Ein User sollte dabei natürlich möglichst einfach quer durch die Gruppen geschoben werden können.
Diese Zeiten musst du natürlich setzen im CP Setup:
Wobei die Hard und Idle Timeouts < der Voucher Timeouts liegen sollten.
Idle Timeout = 240
Hard Timeout = "blank"
"VoucherTimeout" ? Du meinst "Minutes per ticket".
Nein ist nicht der Fall, die Voucher sind für 60min. ausgesellt und damit 4xkleiner als die IdleTime=240.
Ich meinte so verhindern zu können das es zum schnellen IdleTimeout kommt während der CP-Login noch gültig ist damit man sich im laufe des Tages nicht dauernd neu einloggen muss. Und ein Voucher ist danach doch dann auch ungültig(Einmalpasswort) obwohl die Zeit nicht vollständig genutzt wurde !?
Ein HardTimeout kleiner als der Voucher ? Dann fliegt man doch mitten in der Nutzung raus und kommt nich mehr zum Absenden/Speichern, gerade bei Online-Games, Videos, Skype ect. !
Allerdings habe ich das übersehen "HardTimeout: ...not recommended unless an idle timeout is set" und die IdleTimeout habe ich gesetzt...
Sollte ja auch erst NACH dem Zeitbereich (von/BIS) automatisch unterbrochen werden und nicht vorher. So würde ich hier einen HardTimeout wählen wollen der größer 15h(7-22Uhr) ist damit unterbrechungsfreie Nutzung möglich ist.
Jetzt steht HardTimeout auf 900(15h) damit es zumindest nicht undefiniert ist.
2. Definitiv NEIN. Da als Login-Page nur eine EINZIGE Seite möglich ist(?) habe ich beides drinn - funktionierte im Test auch. Ich kann's ja noch mal auf zwei <form>-Tags aufteilen. Wie sollte denn auch eine zweite Seite eingebunden werden ? Und in dem Tutorial/CP-Abschnitt steht auch "...um dort nur User/Passwort oder nur Voucher oder beide Optionen abzufragen.". Andernfalls immer her mit den Gründen damit ich's verstehe.
Dann wird die Mac Adresse des authentisierten Clients aus der Forwarding Tabelle des CP gelöscht und es wird keinerlei Forwarding von Daten diese Mac Adresse mehr erlaubt. Damit ist dann jegliche Kommunikation ausgeschlossen.
Das CP funktioniert nach diesem Prinzip das eben das Forwarding der Client Mac erlaubt wird oder nicht. Deshalb ist es egal welcher Dienst. Keine Mac, kein Internet oder lokale Kommunikation...so einfach funktioniert das CP.
So ein Verhalten hatte ich auch erwartet/erhofft.
An den Timeout-Zeiten war etwas zu tun, auch wenn ich es anders gemacht habe als du meinst aber da lasse ich mich gerne belehren.
Vorrausgesetzt die VLAN-Konfig der Switche ist doch korrekt (s. folgend) dann hat vielleicht die undefinierte HardTimeout zu unerwartetem Verhalten geführt.
Das ab 22:00Uhr kein Browser mehr möglich ist heißt ja schon mal das Squid(Guard) wie gewünscht den HTTP(S)-Trafic blockt, nur eben anderen nicht was mir so nicht bewusst war.
Und ich vermute dann mal das es dem CaptivePortal auch egal ist was der Squid(Guard) macht !?
Habe ich das hier vorher vielleicht zu sehr als "Eins" betrachtet...
FB-LanPort --- dediziertes Patch-Kabel --- WAN-pfSense-LAN --- Port24Tagged-SG1024-Port23Tagged --- Port8Tagged-SG108 --- WLAN-APs
Netz-ID: 192.168.1 bzw. FB=192.168.1.1 ist korrekt.
Warum die IP außerhalb des DHCP-Pools sein soll ist mit klar = Doppelvergabe = IP-Konflikt.
Hier ist die pfSense der einzige Client der an der FB hängt, darum sehe ich hier keinen speziellen Grund außer einer Hardware->IP zuordnung zur administration.
Die beiden Fehler (Uplink und WAN-IP) habe ich ja ge-/erklärt, ja es kann natürlich noch was Anderes falsch sein, stimmt.
Wenn Du/Ihr noch etwas haben wollt nur zu, die Wohngruppe liegt auf dem Arbeitsweg.
Das hier habe ich noch zu den Switchen zur Hand:
SG1024DE = Static-IP:10.10.1.2; SubnetMask:255.255.255.0; Gateway:10.10.1.1
SG108PE = Static-IP:10.10.1.3; SubnetMask:255.255.255.0; Gateway:10.10.1.1
Hm... Pakete aus dem VLAN20 müssten ja eigentlich an die 10.10.2.1, allerdings gleiches Interface der pfSense. Wird das dann noch durchs VLAN-Tag getrennt oder springt es hier über ? Pro VLAN ein GW anlegen geht ja aber auch nicht.
(ARP -> MAC zur IP wird ermittelt und alles als Ethernetframe an Switch, Switch ans pfSense Interface, pfSense "entpackt" sieht IP von VLAN20 und übergibt ans entsprechende Subinterface) Ja?
zu @108012:
mit Vouchers für die Gäste.
Es ist kein Gästenetz erforderlich. Bzw. falls doch mal jemand da ist, sollten auch ein paar Voucher fürs Bewohner-Netz reichen.
zu, wie 2 Stunden / 4 Stunden / 6 Stunden / usw... dann weist Du immer wer wie lange in das WLAN kommt
und soll.
Eh... schon wieder. Okay, mit zeitlicher Begrenzung meine ich ja definierte Tagesabschnitte in der Form von/bis-Uhrzeiten, keine Dauer.
Sporadische Besucher sind mir ehrlich gesagt gerade ganz egal.
Es geht uns ja primär um die Kontrolle der Bewohner selbst, als eine Art Belohnungs-/Bestrafungsssystem da wir das Internet freiwillig zu Verfügung stellen. Wer nicht mitarbeitet soll auch keine Vorzüge genießen können (Bestrafung). Wobei zugleich für begründetet/wichtige Ausnahmen oder weil eine Aufgabe dann doch mal forbildlich erledigt wurde (Belohnung) - die Voucher Minuten-/Stundenweise Nutzung gewähren. Dabei sollte es keine wissenschaft sein einen Bewohner von "frei" auf "gesperrt" oder eine andere Gruppe setzen zu können damit die Mitarbeiter das dann auch Zeitnah umsetzen können.
Sehe ich das richtig:
Für das CP selber gibt es keine Möglichkeit einen Login auf verschiedene Zeiträume (Mo-Fr:13-22, Sa-So:12-15) für verschiedene Gruppen zu beschränken. Ich war also auf dem Holzweg ?
Mit Benutzerdaten ist IMMER ein CP-Login möglich und mit dem SquidGuard habe ich dann nur die Möglichkeit HTTP(S)-Trafik Zeitlich- und Gruppenbasierend zu verwalten. Alles andere "fließt" ungehindert zw. Bewohner und Internet.
RADIUS.
CP mit RADIUS-Authentifizierung bietet mir genau das.
(Gruppen habe ich jetzt auf die schnelle nicht gefunden aber notfalls tuns auch userbasierte Einstellungen ...glaube ich)
Einen schönen Abend noch.
~Arano
Eine späte Antwort weil ich, unter anderem, zwischendurch dann doch immer mal wieder was nachgeschlagen habe.
zu @aqui:
Zitat von @aqui:
Ich glaube das Hänge ich mir mal für den nächsten Monat als Hardcopy an die Tür. über die Fritzbox und dessen Gäste-WLAN gemacht bzw. in einer Gruppe wurden die Bewohner ins Haupt-WLAN gelassen
Tödlich....!das ich keinerlei fachliche Ausbildung habe
Was die Sache nicht einfacher macht aber die Tutorials hier berücksichtigen das so das man nur die richtigen Knöpfe im Kliucki Bunti drücken muss Nur funktioniert das mit der zeitlichen Begrenzung nicht
Wie meinst du das ?? Die zeitlichen Limitierungen der Voucher oder das Zeitlimit und erzwungende Relogin wenn eine zeitlang im CP nicht gearbeitet wurde ?Das ist hier ziemlich unklar
Den Re-Login habe ich sehr locker gehalten damit man sich nicht "dauern" neu Einloggen muss aber wenn das hilft dann eben auch kürzer.
Ich meinte die Zeiten aus SquidGuard (Service->SquidGuard->Times) die dann in den GroupACLs eingebunden werden. Hier meinte ich damit zeitliche Regelungen vornehmen zu können.
| UserA und UserB | Gruppe "immer" | ohne Zeiten | Default access = allow |
| UserC und UserD | Gruppe "tagsueber" | Zeiten "Mo-Fr 07:00-22:00" | Default access = allow |
| UserE | Gruppe "gesperrt" | ohne Zeiten | Default access = deny |
UserE widerum kann sich die Voucher "verdiehnen" (Hausarbeiten/Gartenplfege/ect.) und so zeitweise ins Internet.
Ein User sollte dabei natürlich möglichst einfach quer durch die Gruppen geschoben werden können.
Nur nach dem Ablauf der Zeiten
Wie gesagt...WAS für Zeiten ?? die des Vouchers oder Login Zeit ?Diese Zeiten musst du natürlich setzen im CP Setup:
Hard Timeout = "blank"
"VoucherTimeout" ? Du meinst "Minutes per ticket".
Nein ist nicht der Fall, die Voucher sind für 60min. ausgesellt und damit 4xkleiner als die IdleTime=240.
Ich meinte so verhindern zu können das es zum schnellen IdleTimeout kommt während der CP-Login noch gültig ist damit man sich im laufe des Tages nicht dauernd neu einloggen muss. Und ein Voucher ist danach doch dann auch ungültig(Einmalpasswort) obwohl die Zeit nicht vollständig genutzt wurde !?
Ein HardTimeout kleiner als der Voucher ? Dann fliegt man doch mitten in der Nutzung raus und kommt nich mehr zum Absenden/Speichern, gerade bei Online-Games, Videos, Skype ect. !
Allerdings habe ich das übersehen "HardTimeout: ...not recommended unless an idle timeout is set" und die IdleTimeout habe ich gesetzt...
Sollte ja auch erst NACH dem Zeitbereich (von/BIS) automatisch unterbrochen werden und nicht vorher. So würde ich hier einen HardTimeout wählen wollen der größer 15h(7-22Uhr) ist damit unterbrechungsfreie Nutzung möglich ist.
Jetzt steht HardTimeout auf 900(15h) damit es zumindest nicht undefiniert ist.
Das die Voucher zeitlich begrenzt sein sollten, sollte natürlich auch klar sein !! Zusätzlich sollte die Login Page des Portals für die Voucher nutzer auch einzig nur das Voucher Login Feld haben und NICHT zusätzlich noch das für Username und PW. Auch das hast du hoffentlich berücksichtigt ??
1. Ja klar, ich muss doch einen Zeitwert "Minutes per ticket" angeben, habe es nicht ohne versucht. Eine separate Option habe ich jetzt gerade auch nicht gefunden.2. Definitiv NEIN. Da als Login-Page nur eine EINZIGE Seite möglich ist(?) habe ich beides drinn - funktionierte im Test auch. Ich kann's ja noch mal auf zwei <form>-Tags aufteilen. Wie sollte denn auch eine zweite Seite eingebunden werden ? Und in dem Tutorial/CP-Abschnitt steht auch "...um dort nur User/Passwort oder nur Voucher oder beide Optionen abzufragen.". Andernfalls immer her mit den Gründen damit ich's verstehe.
Browsen schien allerdings nicht mehr möglich aber Messenger sind weiterhin nutzbar: WhatsApp, Twitter, Instagram und Youtube wohl auch.
Ist eigentlich unmöglich wenn das Setup des CPs richtig gemacht wurde insbesondere die Timeout Zeiten natürlich.Dann wird die Mac Adresse des authentisierten Clients aus der Forwarding Tabelle des CP gelöscht und es wird keinerlei Forwarding von Daten diese Mac Adresse mehr erlaubt. Damit ist dann jegliche Kommunikation ausgeschlossen.
Das CP funktioniert nach diesem Prinzip das eben das Forwarding der Client Mac erlaubt wird oder nicht. Deshalb ist es egal welcher Dienst. Keine Mac, kein Internet oder lokale Kommunikation...so einfach funktioniert das CP.
An den Timeout-Zeiten war etwas zu tun, auch wenn ich es anders gemacht habe als du meinst aber da lasse ich mich gerne belehren.
Vorrausgesetzt die VLAN-Konfig der Switche ist doch korrekt (s. folgend) dann hat vielleicht die undefinierte HardTimeout zu unerwartetem Verhalten geführt.
Das ab 22:00Uhr kein Browser mehr möglich ist heißt ja schon mal das Squid(Guard) wie gewünscht den HTTP(S)-Trafic blockt, nur eben anderen nicht was mir so nicht bewusst war.
Und ich vermute dann mal das es dem CaptivePortal auch egal ist was der Squid(Guard) macht !?
Habe ich das hier vorher vielleicht zu sehr als "Eins" betrachtet...
Was auch komisch ist ist die VLAN Einrichtung der Switches. Entweder ist die Zeichnung falsch oder die ASCI Version zeigt das hier fehlerhaft.
Normal müssten beide Switches mit einem tagged Uplink verbunden sein. Ebenso die pfSense müsste mit einem tagged Uplink auf LAN Seite dort angeschlossen sein damit die Vlans 10 und 20 auf Subinterfaces dort aufliegen.
Das "Internet" also der WAN Port der pfSense sollte immer in einem isolierten VLAN separat auf die FB gehen also in einem VLAN wo nur der WAN Poret der pfSense und die FritzBox drin sind aber sonst keinerlei User.
Alternativ ohne VLAN dann nur mit einem dedizierten Kabel nur zwischen LAN Port der FB und WAN Port der pfSense.
Das ist scheinbar in der ASCI-Zeichnung nicht richtig erkennbar. Die Switche sind per tagged Uplink verbunden.Normal müssten beide Switches mit einem tagged Uplink verbunden sein. Ebenso die pfSense müsste mit einem tagged Uplink auf LAN Seite dort angeschlossen sein damit die Vlans 10 und 20 auf Subinterfaces dort aufliegen.
Das "Internet" also der WAN Port der pfSense sollte immer in einem isolierten VLAN separat auf die FB gehen also in einem VLAN wo nur der WAN Poret der pfSense und die FritzBox drin sind aber sonst keinerlei User.
Alternativ ohne VLAN dann nur mit einem dedizierten Kabel nur zwischen LAN Port der FB und WAN Port der pfSense.
FB-LanPort --- dediziertes Patch-Kabel --- WAN-pfSense-LAN --- Port24Tagged-SG1024-Port23Tagged --- Port8Tagged-SG108 --- WLAN-APs
Außerdem ist hier auch ein gravierender Fehler in der Internet Adressierung zw.. FB und pfSense ersichtlich: Fritzbox 192.168.178.1
pfSense WAN (wan) -> igb0 -> v4/DHCP4: 192.168.1.52/24
Das kann so niemals klappen, denn so wären ja WAN/Internet Port der pfSense und FB in 2 völlig verschiedenen IP Netzen (.1.0 und .178.0)
Entschuldigung, ein Tippfeler von mir !pfSense WAN (wan) -> igb0 -> v4/DHCP4: 192.168.1.52/24
Das kann so niemals klappen, denn so wären ja WAN/Internet Port der pfSense und FB in 2 völlig verschiedenen IP Netzen (.1.0 und .178.0)
Netz-ID: 192.168.1 bzw. FB=192.168.1.1 ist korrekt.
Dazu kommt das man in so einer Kaskade die pfSense niemals mit DHCP Adressierung laufen lassen sollte !
Besser immer statische IP z.B. 192.168.178.254 mit einer IP außerhalb des lokalen DHCP Bereichs der FB.
DNS und Gateway dann statisch auf die IP der FB 192.168.178.1 einstellen.
Okay, werde ich ändern ! Warum ?Besser immer statische IP z.B. 192.168.178.254 mit einer IP außerhalb des lokalen DHCP Bereichs der FB.
DNS und Gateway dann statisch auf die IP der FB 192.168.178.1 einstellen.
Warum die IP außerhalb des DHCP-Pools sein soll ist mit klar = Doppelvergabe = IP-Konflikt.
Hier ist die pfSense der einzige Client der an der FB hängt, darum sehe ich hier keinen speziellen Grund außer einer Hardware->IP zuordnung zur administration.
All diese möglichen Fehler und die fraglichen Konfigs sind so nicht ersichtlich aus dem obigen Design so das da dann außer der fraglichen und ggf. fehlenden IDLE Timer Konfig auch noch der dringende Verdacht besteht das es irgendwelche Wege um die VLANs herum gibt. Entweder durch die fehlerhafte VLAN Implementierung oder die falsche IP Adressierung im WAN Bereich usw. die die Segmentierung aushebeln und damit die angestrebte Sicherheit was das Ganze dann umso fataler macht. Sprich das auch die Switchkonfig noch grundlegend falsch ist
Bei deinen Vorkenntnissen besteht dazu die latente Gefahr das dem so ist. Das solltest du allso alles nochmal in aller Ruhe genau checken.
Das hiesige VLAN Tutorial hilft dir dabei:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Hinweise im CP Tutorial ebenfalls:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Nunja... bzgl. Vorkentnissen werde ich nicht wiedersprechen.Bei deinen Vorkenntnissen besteht dazu die latente Gefahr das dem so ist. Das solltest du allso alles nochmal in aller Ruhe genau checken.
Das hiesige VLAN Tutorial hilft dir dabei:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Hinweise im CP Tutorial ebenfalls:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die beiden Fehler (Uplink und WAN-IP) habe ich ja ge-/erklärt, ja es kann natürlich noch was Anderes falsch sein, stimmt.
Wenn Du/Ihr noch etwas haben wollt nur zu, die Wohngruppe liegt auf dem Arbeitsweg.
Das hier habe ich noch zu den Switchen zur Hand:
SG1024DE = Static-IP:10.10.1.2; SubnetMask:255.255.255.0; Gateway:10.10.1.1
SG108PE = Static-IP:10.10.1.3; SubnetMask:255.255.255.0; Gateway:10.10.1.1
Hm... Pakete aus dem VLAN20 müssten ja eigentlich an die 10.10.2.1, allerdings gleiches Interface der pfSense. Wird das dann noch durchs VLAN-Tag getrennt oder springt es hier über ? Pro VLAN ein GW anlegen geht ja aber auch nicht.
(ARP -> MAC zur IP wird ermittelt und alles als Ethernetframe an Switch, Switch ans pfSense Interface, pfSense "entpackt" sieht IP von VLAN20 und übergibt ans entsprechende Subinterface) Ja?
zu @108012:
Zitat von @108012:
Hallo,
nachdem @aqui ja schon alles "abgefrühstückt" hat, bleibt nur noch anzumerken;
halt separat gehalten werden.
Die TL-EAP115s können Multi-SSID, VLAN, PoE und lassen sich als Cluster zusammenschalten, so ist die Abdeckung auf den 3 Etagen einfacher (ggf kommt noch ein 4.AP dazu) aber wusste ja auch keiner von euch. Hatte ich mir aber zuerst auch angesehen, wollte dann aber nicht mit Repeatern die Etagen hoch ;) und da ja so ziemlich jeder Raum verkabelt ist fand ich APs besser.Hallo,
nachdem @aqui ja schon alles "abgefrühstückt" hat, bleibt nur noch anzumerken;
Nun denn, um also Ordnung zu schaffen habe ich an eine pfSense auf einem APU2C4 + AccessPoints gedacht und bestellt.
Man kann auch eine WLAN Karte in die pfSense einbauen und dann hat man gleich zwei WLANs die sich ergänzen und/oderhalt separat gehalten werden.
- Compex WLE200NX a/b/g/n miniPCIe Karte (Full-size) Dual-band 802.11n MIMO 2 x 2
- Ubiquiti SR71-E a/b/g/n miniPCIe Karte (Full size) Dual Band 300 MBit/s - MIMO & DFS
Theoretisch läuft alles VLANs, Squid(Guard), CaptivPortal und Voucher.
Nimm den Radius Server für Euren WLAN Zugang mit Zertifikaten und Verschlüsselung und das Captive Portalmit Vouchers für die Gäste.
Nur funktioniert das mit der zeitlichen Begrenzung nicht so wie ich mir das vorstellte, verlange ich zuviel ?
* Erstelle mehrere Gruppen und weise dann den Gruppen bzw. dem Voucher dieser Gruppe eine Zeitspannezu, wie 2 Stunden / 4 Stunden / 6 Stunden / usw... dann weist Du immer wer wie lange in das WLAN kommt
und soll.
* Oder aber zwei Gruppen via Radius Server erstellen und einer unbegrenzten zeitlichen Zugang einräumen und
den anderen den Zugang von Uhrzeit x bis Uhrzeit y einräumen. Und nur die sporadischen Besucher gehen über
das Captive Portal! Klar sind das dann drei VLANs aber das ist ja auch nicht so schlimm!
Nein das wäre ansich nicht schlimm.den anderen den Zugang von Uhrzeit x bis Uhrzeit y einräumen. Und nur die sporadischen Besucher gehen über
das Captive Portal! Klar sind das dann drei VLANs aber das ist ja auch nicht so schlimm!
Sporadische Besucher sind mir ehrlich gesagt gerade ganz egal.
Es geht uns ja primär um die Kontrolle der Bewohner selbst, als eine Art Belohnungs-/Bestrafungsssystem da wir das Internet freiwillig zu Verfügung stellen. Wer nicht mitarbeitet soll auch keine Vorzüge genießen können (Bestrafung). Wobei zugleich für begründetet/wichtige Ausnahmen oder weil eine Aufgabe dann doch mal forbildlich erledigt wurde (Belohnung) - die Voucher Minuten-/Stundenweise Nutzung gewähren. Dabei sollte es keine wissenschaft sein einen Bewohner von "frei" auf "gesperrt" oder eine andere Gruppe setzen zu können damit die Mitarbeiter das dann auch Zeitnah umsetzen können.
Sehe ich das richtig:
Für das CP selber gibt es keine Möglichkeit einen Login auf verschiedene Zeiträume (Mo-Fr:13-22, Sa-So:12-15) für verschiedene Gruppen zu beschränken. Ich war also auf dem Holzweg ?
Mit Benutzerdaten ist IMMER ein CP-Login möglich und mit dem SquidGuard habe ich dann nur die Möglichkeit HTTP(S)-Trafik Zeitlich- und Gruppenbasierend zu verwalten. Alles andere "fließt" ungehindert zw. Bewohner und Internet.
RADIUS.
CP mit RADIUS-Authentifizierung bietet mir genau das.
(Gruppen habe ich jetzt auf die schnelle nicht gefunden aber notfalls tuns auch userbasierte Einstellungen ...glaube ich)
Einen schönen Abend noch.
~Arano
Nach den o.a. Ausführungen kann man sich sicher sein das es zu 95% eine Fehlkonfiguration der Idle- und Hardtimer im CP Setup ist.
Das ist z.B. eine Einstellung für ein CP mit 30min und 6Stunden Vouchern mit denen es fehlerfrei funktioniert:
Einen Radius Server (FreeRadius) kannst du dir über das Package System problemlos auf der pfSense installieren.
Siehe auch:
Netzwerk Management Server mit Raspberry Pi
Das ist z.B. eine Einstellung für ein CP mit 30min und 6Stunden Vouchern mit denen es fehlerfrei funktioniert:
Für das CP selber gibt es keine Möglichkeit einen Login auf verschiedene Zeiträume (Mo-Fr:13-22, Sa-So:12-15) für verschiedene Gruppen zu beschränken.
Nein, du warst nicht auf dem Holzweg. Das geht natürlich, allerdings musst du das dann über einen Radius Sewrver erledigen und nicht über die Local Database damit ist sowas problemlos möglich. Die Zeitbegrenzungen kannst du z.B. pro User runterbrechen.Einen Radius Server (FreeRadius) kannst du dir über das Package System problemlos auf der pfSense installieren.
CP mit RADIUS-Authentifizierung bietet mir genau das.
Genau ! Deshalb also übers Package System den FreeRadius installieren und loslegen Siehe auch:
Netzwerk Management Server mit Raspberry Pi
