(Die Seite wurde neu angelegt: „{{set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | local-cert | Lokales Zertifikat erzeugen | Generate local certificate }} {{var | öocal-cert--…“) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 44: | Zeile 44: | ||
---- | ---- | ||
{{:UTM/APP/ | {{:UTM/APP/Captive_Portal_extern-lokal2}} | ||
</noinclude> | </noinclude> |
Version vom 14. April 2021, 17:34 Uhr
Konfiguration des Captive-Portal
Letzte Anpassung zur Version: 11.8.7
- Neu:
- Artikel aktualisiert
- Übersetzung auf englisch
- Regel für HTTPS mit SLL-Interception hinzugefügt
Vorherige Versionen: -
Servereinstellungen
Menü Servereinstellungen
ReiterFirewallname anpassen
Der Firewallname sollte als FQDN definiert sein. (Im Beispiel portal.anyideas.de)
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.
Firewall
| ||
Firewallname | portal.anyideas.de | FQDN-konformer Firewallname |
DNS-Server eintragenAls primärer Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangenheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt. DNS-Server | ||
Primärer Nameserver | 127.0.0.1 | Localhost |
Sekundärer Nameserver | 8.8.8.8 | Möglicher Nameserver: google-public-dns-a.google.com |
Lokales Zertifikat erzeugen
Die Landingpage des Captive Portals ist eine HTTPS-Website. Damit ein Browser diese Seite als Vertrauenswürdig einstufen kann, wird ein Zertifikat benötigt.
- Unter CA muss eine CA angelegt sein Reiter
- Unter Zertifikate muss ein Server-Zertifikat angelegt werden. Es sollte für das Captive-Portal eine eigenes Zertifikat erstellt werden, damit dieses auch ohne Auswirkungen auf andere Verbindungen oder Anwendungen im Bedarfsfall widerrufen werden kann. Reiter
Wie ein Zertifikat auf der UTM erstellt werden kann, ist hier zu lesen.
Captive Portal Benutzer
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
- Administratoren
- Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.
Implizite Regeln
UTMbenutzer@firewall.name.fqdnFirewall
Menü Gruppe Ein Captive Portal
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind.
Der Schalter CaptivePortalPage öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können.
Der Schalter CaptivePortalRedirection ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
Paketfilter
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Im Portfilter ist eine Regel erforderlich, die den Zugriff der Captive Portal Benutzer auf das Internet ermöglicht.
Alternativ kann auch in den Captive Portal Einstellungen mit der Schaltfläche im Bereich Allgemein eine autogenerierte any-Regel erzeugt werden.
Quelle: | captive_portal |
Ziel: | internet |
Dienst: | default-internet |
[–] NAT
| |
Typ: | |
Netzwerkobjekt: |
Anschließend mit der Schaltfläche die
Einstellungen im Captive Portal
Menü
Allgemein
Nameserver
Menü Zonen
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
Forward-Zone hinzufügen
Schaltfläche
- Der zu vergebende Zonenname entspricht der Landingpage des Captive Portals.
Im Beispiel portal.anyideas.de. - Als Hostname des Nameservers wird localhost verwendet.
- Das Feld der IP-Adresse kann leer gelassen werden.
Forward-Zone bearbeiten
UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
Der soeben erstellten Zone wird folgender Eintrag hinzu gefügt → Schaltfläche :
Beschriftung | Wert | Beschreibung |
---|---|---|
Name: | portal.anyideas.de. | FQDN der Zone für das Captive Portal |
Typ: | A-Record | |
Wert: | 192.168.100.1 | IP der Schnittstelle, über die das Captive Portal erreicht werden soll (hier wlan0 ) |
Transparenter Modus
UTMbenutzer@firewall.name.fqdnAnwendungen
Menü Bereich Transparenter Modus
Für den Zugriff auf das Internet über den benötigten HTTP-Proxy ist mindestens eine Regel notwendig (HTTP), besser zwei (zusätzlich HTTPS)
Schaltfläche
Beschriftung | Wert |
---|---|
Protokoll | |
Typ | |
Quelle | |
Ziel |
Für den Zugriff auf https-Seiten muss zusätzlich im Bereich SSL-Interception
die SSL-Interception Ein aktiviert sein. (Benötigt ein CA-Zertifikat der UTM)
Beschriftung | Wert |
---|---|
Protokoll | |
Typ | |
Quelle | |
Ziel |
Webfilter
Abschließend sollte noch der Webfilter konfiguriert werden. Da über den Proxy gesurft wird ist ohne Regel im Portfilter ein Zugriff auf z.B. interne Webserver möglich.Folgende Schritte sind durchzuführen:
mit Authentifizierung
- Netzwerkobjekte Schaltfläche
Erstellen einer Gruppe (z.B. grp_CP_webfilter), die das wlan-0-network-Netzwerkobjekt beinhaltet
Bereich - Schaltfläche
- Netzwerk- oder Benutzergruppe: Die neu erstellte Gruppe wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten
ohne Authentifizierung
- Schaltfläche
- Die Gruppe der Benutzer wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten