KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 25: | Zeile 25: | ||
</div><noinclude>{{DISPLAYTITLE:Captive Portal mit einem lokal generierten Zertifikat}}{{Select_lang}}{{TOC2}} | </div><noinclude>{{DISPLAYTITLE:Captive Portal mit einem lokal generierten Zertifikat}}{{Select_lang}}{{TOC2}} | ||
{{:UTM/APP/ | {{:UTM/APP/Captive_Portal_extern-lokal}} | ||
Version vom 14. April 2021, 17:37 Uhr
Warnung: Der Anzeigetitel „“ überschreibt den früheren Anzeigetitel „Captive Portal mit einem lokal generierten Zertifikat“.
- Es sind keine Änderungen an den Servereinstellungen mehr erforderlich
- Es können ACME-Wildcard-Zertifikate für die Landingpage verwendet werden
- 05.2024: Aktualisierung zum Redesign des Webinterfaces
12.1.9 (externe & lokale Zertifikate) 11.8.7 (externe Zertifikate) 11.8.7 (lokale Zertifikate) 11.7.3 (externe Zertifikate) 11.7.3 (lokale Zertifikate) 11.7
Vorbemerkung
Das Captive Portal leitet einen HTTP-Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden.
Planung
Folgende Aspekte sollten vor der Konfiguration bedacht werden:
- Für welche Netze soll das Captive Portal konfiguriert werden?
Werden ausschließlich alle potentiellen Nutzer erreicht? - Wie und von wem werden die Nutzungsbedingungen geschrieben?
- Soll eine Authentifizierung stattfinden?
- Welche internen Webserver dürfen aus dem Netz hinter dem Captive Portal nicht erreicht werden?
Für eine Nutzung des Captive Portals müssen nur wenige Vorbereitungen getroffen werden:
- Es muss ein Zertifikat für die Landingpage zur Verfügung stehen
- Implizite und Portfilteregeln müssen den Zugriff erlauben
Der Hostname der Portalseite wird unter Bereich Allgemein konfiguriert.
Lokales Zertifikat erzeugen
Die Landingpage des Captive Portals ist eine HTTPS-Website. Damit ein Browser diese Seite als Vertrauenswürdig einstufen kann, wird ein Zertifikat benötigt.
- Unter CA muss eine CA angelegt sein Reiter
- Unter Zertifikate muss ein Server-Zertifikat angelegt werden. Es sollte für das Captive-Portal eine eigenes Zertifikat erstellt werden, damit dieses auch ohne Auswirkungen auf andere Verbindungen oder Anwendungen im Bedarfsfall widerrufen werden kann. Reiter
Wie ein Zertifikat auf der UTM erstellt werden kann, ist hier zu lesen.
Captive Portal Benutzer
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
- Administratoren
- Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.
Implizite Regeln
UTMbenutzer@firewall.name.fqdnFirewall
Menü Gruppe Ein Captive Portal
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind.
Der Schalter CaptivePortalPage öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können.
Der Schalter CaptivePortalRedirection ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
Paketfilter
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Im Portfilter ist eine Regel erforderlich, die den Zugriff der Captive Portal Benutzer auf das Internet ermöglicht.
Alternativ kann auch in den Captive Portal Einstellungen mit der Schaltfläche im Bereich Allgemein eine autogenerierte any-Regel erzeugt werden.
Quelle: | captive_portal |
Ziel: | internet |
Dienst: | default-internet |
[–] NAT
| |
Typ: | |
Netzwerkobjekt: |
Anschließend mit der Schaltfläche die
Einstellungen im Captive Portal
Menü
Allgemein
Nameserver
Menü Zonen
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
Forward-Zone hinzufügen
Schaltfläche
- Der zu vergebende Zonenname entspricht der Landingpage des Captive Portals.
Im Beispiel portal.anyideas.de. - Als Hostname des Nameservers wird localhost verwendet.
- Das Feld der IP-Adresse kann leer gelassen werden.
Forward-Zone bearbeiten
UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
Der soeben erstellten Zone wird folgender Eintrag hinzu gefügt → Schaltfläche :
Beschriftung | Wert | Beschreibung |
---|---|---|
Name: | portal.anyideas.de. | FQDN der Zone für das Captive Portal |
Typ: | A-Record | |
Wert: | 192.168.100.1 | IP der Schnittstelle, über die das Captive Portal erreicht werden soll (hier wlan0 ) |
Transparenter Modus
UTMbenutzer@firewall.name.fqdnAnwendungen
Menü Bereich Transparenter Modus
Für den Zugriff auf das Internet über den benötigten HTTP-Proxy ist mindestens eine Regel notwendig (HTTP), besser zwei (zusätzlich HTTPS)
Schaltfläche
Beschriftung | Wert |
---|---|
Protokoll | |
Typ | |
Quelle | |
Ziel |
Für den Zugriff auf https-Seiten muss zusätzlich im Bereich SSL-Interception
die SSL-Interception Ein aktiviert sein. (Benötigt ein CA-Zertifikat der UTM)
Beschriftung | Wert |
---|---|
Protokoll | |
Typ | |
Quelle | |
Ziel |
Webfilter
Abschließend sollte noch der Webfilter konfiguriert werden. Da über den Proxy gesurft wird ist ohne Regel im Portfilter ein Zugriff auf z.B. interne Webserver möglich.Folgende Schritte sind durchzuführen:
mit Authentifizierung
- Netzwerkobjekte Schaltfläche
Erstellen einer Gruppe (z.B. grp_CP_webfilter), die das wlan-0-network-Netzwerkobjekt beinhaltet
Bereich - Schaltfläche
- Netzwerk- oder Benutzergruppe: Die neu erstellte Gruppe wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten
ohne Authentifizierung
- Schaltfläche
- Die Gruppe der Benutzer wählen
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
neu generierten Regelsatz bearbeiten