Einfaches Hotel-WLAN nachbauen

To: debian-user-german@lists.debian.org
Subject: Einfaches Hotel-WLAN nachbauen
From: Ferdinand Flottmann <flotterferdi@gmail.com>
Date: Wed, 6 May 2015 19:50:49 +0200
Message-id: <[🔎] 201505061950.50050.flotterferdi@gmail.com>

Hallo,

ich bin von einem befreundeten Pfarrer gefragt worden, wie man in seinem 
Gemeindezentrum ein geschütztes WLAN einrichten kann, ohne den WPA-Key 
preisgeben zu müssen.

Ich habe dann recherchiert und bin auf zwei Lösungen gestossen:

a) Radius -> kann der Accesspoint nicht
b) Transparenter Proxy mit Authentifizierung -> Geht nicht mit SSL-
Verbindungen

Ich suche jetzt nach Ideen, wie man die Aufgabe noch lösen kann. Ein 
Debianserver mit Internetanschluss und drei Netzwerkkarten ist 
vorhanden.

Vielleicht mal generell der Use-Case, wie ich mir das vorstelle:

* Eine Besprechung/Seminar/Whatever wird einberufen.
* Die Teilnehmer melden sich mit ihren Geräten an dem offenen WLAN an, 
das ein eigenes private Subnetz bildet (192.168.x.y).
* Der Debianserver routet dieses Subnetz nur ins Internet. Das Büronetz 
der Gemeinde ist tabu.
* Beim ersten Request wird geprüft, ob die MAC-Adresse schon eine 
IPTables-Regel besitzt.
* Wenn nein, wird sie über eine Administrationsseite angezeigt und durch 
den Pfarrer/Küster aktiviert. Im Hintergrund wird dann die Regel 
erstellt.
* Die Regel soll x Stunden gültig sein. Danach ist wieder eine 
Aktivierung nötig.
* Die MAC-Adresse des Endgerätes und das Erstellungsdatum der Regel wird 
in einer einfachen Datenbank gespeichert
* Nach 24 Stunden wird die MAC-Adresse und die Regel wieder gelöscht.
* Die Datenbank wird entweder über besagte Administrationsseite oder per 
Cronjob aktualisiert

Ich weiss, MAC-Adressen prüfen ist nicht der Weissheit letzter Schluss, 
aber für diesen Anlass dürfte es sicher genug sein.

Ich habe nun überlegt, ob man nicht IPTables dafür einspannen kann. Dort 
lassen sich Regeln basierend auf MAC-Adressen definieren. Ein Cronjob 
liesst regelmäßig die Datenbank aus und setzt bzw. löscht die IPTables-
Regeln.

Ich habe nur keine Idee, wie man einen beliebigen Webseitenaufruf auf 
eine lokale Loginseite umbiegt, wenn IPTables eine neue bzw. 
unauthentifizierte MAC filtert. Vielleicht einfach die Ziel-IP für 
unbekannte MAC-Adressenauf den internen Webserver umbiegen und 404-
Fehler auf die Loginseite leiten?

Wie würdet ihr die Aufgabe lösen? Wie gesagt, es sollte keine 
zusätzliche Hardware notwendig sein und der Sicherheitsbedarf ist bzgl. 
Manipulierbarkeit von MAC-Adressen nicht so dramatisch.

Ich bin sher gespannt auf die Vorschläge.
-- 
Viele Grüße

Euer Ferdi

Reply to:

Follow-Ups:
- Re: Einfaches Hotel-WLAN nachbauen
  - From: Tim Korves <tim@korv.es>
- Re: Einfaches Hotel-WLAN nachbauen
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: Einfaches Hotel-WLAN nachbauen
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: Einfaches Hotel-WLAN nachbauen
  - From: Dirk Finkeldey <dirk.finkeldey@ewetel.net>

Prev by Date: Re: USB-FP und Macintosh
Next by Date: Re: Einfaches Hotel-WLAN nachbauen
Previous by thread: Re: automatisierten Installation, Firefox mit einigen Plugins ausstatten (solved)
Next by thread: Re: Einfaches Hotel-WLAN nachbauen
Index(es):
- Date
- Thread