notempty
- Es sind keine Änderungen an den Servereinstellungen mehr erforderlich
- Es können ACME-Wildcard-Zertifikate für die Landingpage verwendet werden
11.8.7 (externe Zertifikate) 11.8.7 (lokale Zertifikate) 11.7.3 (externe Zertifikate) 11.7.3 (lokale Zertifikate) 11.7
Vorbemerkung
Das Captive Portal leitet einen HTTP-Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden.
Es wird empfohlen entweder ein ACME-Zertifikat oder ein käuflich erworbenes Zertifikat von einer offiziellen CA (oder ein bereits vorhandenes Wildcardzertifikat) für das Captive Portal zu verwenden, um späteren Irritationen wegen Warnmeldungen des Browsers vorzubeugen.
Planung
Folgende Aspekte sollten vor der Konfiguration bedacht werden:
- Für welche Netze soll das Captive Portal konfiguriert werden?
Werden ausschließlich alle potentiellen Nutzer erreicht? - Wie und von wem werden die Nutzungsbedingungen geschrieben?
- Soll eine Authentifizierung stattfinden?
- Welche internen Webserver dürfen aus dem Netz hinter dem Captive Portal nicht erreicht werden?
Für eine Nutzung des Captive Portals müssen nur wenige Vorbereitungen getroffen werden:
- Es muss ein Zertifikat für die Landingpage zur Verfügung stehen
- Implizite und Portfilteregeln müssen den Zugriff erlauben
Der Hostname der Portalseite wird unter Reiter Allgemein konfiguriert.
Zertifikat bereit stellen
ACME-Zertifikat erstellen
Um ACME Zertifikate (Let's Encrypt) nutzen zu können sind folgende Schritte erofrderlich:
- ACME Dienst aktivieren
- ACME Challenge Token auf spDyn generieren
- Zertifikat anlegen
- SAN mit dem spDyn Hostnamen und dem Token hinzufügen
- Zertifikat erstellen
notempty
ACME
Reiter
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
╭╴Allgemein ╶╮ | |||
Aktiviert: | Ja | Aktiviert die Nutzung von ACME-Zertifikaten. Weitere Informationen siehe unten ACME Dienst aktivieren. | |
Systemweite Nameserver für ACME-Challenges verwenden: | Ja | Sollten die Adressen für die Server zur Verlängerung der ACME-Challenges nicht über den systemweiten Nameserver aufgelöst werden können (z.B. wg. konfigurierter Relay- oder Foreward-Zonen) können bei Deaktivierung Nein alternative Nameserver eingetragen werden. | |
Nameserver für ACME-Challenges: Bei deaktivierten systemweiten Nameserver für ACME-Challenges nutzbar |
» ✕85.209.185.50» ✕85.209.185.51» ✕2a09:9c40:1:53::1» ✕2a09:9c40:1:53::2 | Hier lassen sich die Nameserver für die ACME-Challenges eintragen. | |
ACME Dienst aktivieren
ACME Dienst aktivierenUm ACME Zertifikate nutzen zu können, muss im Reiter ACME unter ╭╴Allgemein╶╮ Aktiviert: Ja aktiviert werden
- Sobald der Dienst aktiviert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen aufrufen
- Mit der Schaltfläche Aktivieren Ja und dem Hinterlegen einer E-Mail Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben
- Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert Ja werden müssen.
Token generieren
Token generierenspDYN Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im spDYN Portal zu generieren.
Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen.
- spDyn Host aufrufen
- Im Dropdown Menü für Token den ACME Challenge Token wählen
- Token generieren
notemptyDer Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden.
Der Token sollte notiert und sicher aufbewahrt werden.
Verlängerung der ACME Zertifikate
Verlängerung der ACME Zertifikate
ACME-Zertifikate
ACME-ZertifikateGekauftes Zertifikat
Alternativ kann auch ein gekauftes Zertifikat importiert werden
Lokales Zertifikat
Die UTM kann auch ein eigenes Zertifikat bereitstellen
UTM/APP/Captive Portal-lokal v12.1.9
Der Nutzer erhält eine Warnmeldung, in der einmalig die Vertrauenswürdigkeit bestätigt werden muss.
notempty
Captive Portal Benutzer
Captive Portal Benutzer müssen sich, wenn sie sich mit einem entsprechend konfigurierten Netzwerk verbinden, authentifizieren und den Nutzungsbedingungen zustimmen. Erst danach wird der Netzzugang - gemäß den Portfilterregeln freigegeben.
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
- Administratoren
- Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.
Implizite Regeln
Menü Ein Captive Portal
Der Schalter CaptivePortalPage öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können.
Portfilter
Im Portfilter ist eine Regel erforderlich, die den Zugriff der Captive Portal Benutzer auf das Internet ermöglicht.
Alternativ kann auch in den Captive Portal Einstellungen mit der Schaltfläche im Reiter Allgemein eine autogenerierte any-Regel erzeugt werden.
Quelle: |
captive_portal |
Ziel: |
internet |
Dienst |
default-internet |
[–] NAT
| |
Typ: |
|
Netzwerkobjekt |
Einstellungen im Captive Portal
Menü
Allgemein
Nameserver
Menü Zonen
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
Forward-Zone hinzufügen
Schaltfläche
- Der zu vergebende Zonenname entspricht der Landingpage des Captive Portals.
Im Beispiel portal.anyideas.de. - Als Hostname des Nameservers wird localhost verwendet.
- Das Feld der IP-Adresse kann leer gelassen werden.
Forward-Zone bearbeiten
Der soeben erstellten Zone wird folgender Eintrag hinzu gefügt
Beschriftung | Wert | Beschreibung |
---|---|---|
Name: | portal.anyideas.de. | FQDN der Zone für das Captive Portal |
Typ: | A-Record | |
Wert | 192.168.100.1 | IP der Schnittstelle, über die das Captive Portal erreicht werden soll (hier wlan0 ) |
Transparenter Modus
Menü Transparenter Modus
Für den Zugriff auf das Internet über den benötigten HTTP-Proxy ist mindestens eine Regel notwendig (HTTP), besser zwei (zusätzlich HTTPS)
Beschriftung | Wert |
---|---|
Protokoll: | |
Typ: | |
Quelle: | |
Ziel: |
Beschriftung | Wert |
---|---|
Protokoll: | |
Typ: | |
Quelle: | |
Ziel: |
Webfilter
Abschließend sollte noch der Webfilter konfiguriert werden. Da über den Proxy gesurft wird ist ohne Regel im Portfilter ein Zugriff auf z.B. interne Webserver möglich.Folgende Schritte sind durchzuführen:
mit Authentifizierung
- Netzwerkobjekte Schaltfläche
Erstellen einer Gruppe (z.B. grp_CP_webfilter), die das wlan-0-network-Netzwerkobjekt beinhaltet
Reiter - Schaltfläche
- Netzwerk- oder Benutzergruppe: Die neu erstellte Gruppe wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten
ohne Authentifizierung
- Schaltfläche
- Die Gruppe der Benutzer wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten