Moin, ein CaptivePortal waere in etwa das, was Du suchst. Das kann man zB ueber pfSense oder einer aehnlichen Firewalling-Loesung realisieren - auch mit ganz guenstiger Hardware. VG, Tim > On 06 May 2015, at 19:50, Ferdinand Flottmann <flotterferdi@gmail.com> wrote: > > Hallo, > > ich bin von einem befreundeten Pfarrer gefragt worden, wie man in seinem > Gemeindezentrum ein geschütztes WLAN einrichten kann, ohne den WPA-Key > preisgeben zu müssen. > > Ich habe dann recherchiert und bin auf zwei Lösungen gestossen: > > a) Radius -> kann der Accesspoint nicht > b) Transparenter Proxy mit Authentifizierung -> Geht nicht mit SSL- > Verbindungen > > Ich suche jetzt nach Ideen, wie man die Aufgabe noch lösen kann. Ein > Debianserver mit Internetanschluss und drei Netzwerkkarten ist > vorhanden. > > Vielleicht mal generell der Use-Case, wie ich mir das vorstelle: > > * Eine Besprechung/Seminar/Whatever wird einberufen. > * Die Teilnehmer melden sich mit ihren Geräten an dem offenen WLAN an, > das ein eigenes private Subnetz bildet (192.168.x.y). > * Der Debianserver routet dieses Subnetz nur ins Internet. Das Büronetz > der Gemeinde ist tabu. > * Beim ersten Request wird geprüft, ob die MAC-Adresse schon eine > IPTables-Regel besitzt. > * Wenn nein, wird sie über eine Administrationsseite angezeigt und durch > den Pfarrer/Küster aktiviert. Im Hintergrund wird dann die Regel > erstellt. > * Die Regel soll x Stunden gültig sein. Danach ist wieder eine > Aktivierung nötig. > * Die MAC-Adresse des Endgerätes und das Erstellungsdatum der Regel wird > in einer einfachen Datenbank gespeichert > * Nach 24 Stunden wird die MAC-Adresse und die Regel wieder gelöscht. > * Die Datenbank wird entweder über besagte Administrationsseite oder per > Cronjob aktualisiert > > Ich weiss, MAC-Adressen prüfen ist nicht der Weissheit letzter Schluss, > aber für diesen Anlass dürfte es sicher genug sein. > > Ich habe nun überlegt, ob man nicht IPTables dafür einspannen kann. Dort > lassen sich Regeln basierend auf MAC-Adressen definieren. Ein Cronjob > liesst regelmäßig die Datenbank aus und setzt bzw. löscht die IPTables- > Regeln. > > Ich habe nur keine Idee, wie man einen beliebigen Webseitenaufruf auf > eine lokale Loginseite umbiegt, wenn IPTables eine neue bzw. > unauthentifizierte MAC filtert. Vielleicht einfach die Ziel-IP für > unbekannte MAC-Adressenauf den internen Webserver umbiegen und 404- > Fehler auf die Loginseite leiten? > > Wie würdet ihr die Aufgabe lösen? Wie gesagt, es sollte keine > zusätzliche Hardware notwendig sein und der Sicherheitsbedarf ist bzgl. > Manipulierbarkeit von MAC-Adressen nicht so dramatisch. > > Ich bin sher gespannt auf die Vorschläge. > -- > Viele Grüße > > Euer Ferdi > > > -- > Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org > mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl) > Archive: [🔎] 201505061950.50050.flotterferdi@gmail.com">https://lists.debian.org/[🔎] 201505061950.50050.flotterferdi@gmail.com
Attachment:
signature.asc
Description: Message signed with OpenPGP using GPGMail