Konfiguration des Captive-Portal
Letzte Anpassung zur Version: 11.8.7
- Neu:
- Artikel aktualisiert
- Übersetzung auf englisch
- Regel für HTTPS mit SLL-Interception hinzugefügt
Vorherige Versionen: -
Servereinstellungen
Menü Reiter Servereinstellungen
Firewallname anpassen
Der Firewallname sollte als FQDN definiert sein. (Im Beispiel portal.anyideas.de)
Dies ist nötig, damit später die Auflösung der Landingpage des Captive Portals mit dem Zertifikat zusammenspielt.Sollte ein Wechsel des Hostnamen nicht möglich sein, weil die Firewall zum Beispiel als ausgehendes Mailrelay benutzt wird, muss auf den Nameservereintrag geachtet werden.
Firewall
| ||
| Firewallname | portal.anyideas.de | FQDN-konformer Firewallname |
DNS-Server eintragenAls primärer Nameserver wird der Localhost (hier 127.0.0.1) eingetragen. Als sekundärer Nameserver hat sich in der Vergangenheit 'google-public-dns-a.google.com' durch eine schnelle Antwortzeit und hohe Verfügbarkeit bewährt. DNS-Server | ||
| Primärer Nameserver | 127.0.0.1 | Localhost |
| Sekundärer Nameserver | 8.8.8.8 | Möglicher Nameserver: google-public-dns-a.google.com |
Lokales Zertifikat erzeugen
Die Landingpage des Captive Portals ist eine HTTPS-Website. Damit ein Browser diese Seite als Vertrauenswürdig einstufen kann, wird ein Zertifikat benötigt.
- Unter Reiter CA muss eine CA angelegt sein
- Unter Reiter Zertifikate muss ein Server-Zertifikat angelegt werden. Es sollte für das Captive-Portal eine eigenes Zertifikat erstellt werden, damit dieses auch ohne Auswirkungen auf andere Verbindungen oder Anwendungen im Bedarfsfall widerrufen werden kann.
Wie ein Zertifikat auf der UTM erstellt werden kann, ist hier zu lesen.
Captive Portal Benutzer
| Captive Portal Benutzer müssen sich, wenn sie sich mit einem entsprechend konfigurierten Netzwerk verbinden, authentifizieren und den Nutzungsbedingungen zustimmen. Erst danach wird der Netzzugang - gemäß den Portfilterregeln freigegeben. | UTMbenutzer@firewall.name.fqdnAuthentifikation 
|
| notempty Firewall-Benutzer, die Mitglied einer Gruppe mit der Berechtigung Userinterface Adminstrator Ein sind ( Bereich Guppen Schaltfläche ) können die Captive Portal Benutzerverwaltung über die (im Standard Port 443) erreichen
| |
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
- Administratoren
- Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifikationBenutzer 
|
|---|---|---|---|
| Anmeldename: | user-VNK-JT4 | Zufällig generierter Anmeldename. Einmal generierte Anmeldenamen lassen sich nach dem Speichern nicht mehr ändern. | |
| Passwort: | BRU-NZE-TCY-LI3-QHE | Zufällig generiertes Passwort Anmeldename und Passwort können mit der Schaltfläche neu generiert werden. Einaml gespeicherte Passöwrter lassen sich nicht erneut anzeigen. | |
| Ablaufdatum: | yyyy-mm-dd hh:mm:ss | Begrenzt die Gültigkeit der Zugangsdaten | |
| / Neu ab v12.2.2 | Mit diesen Schaltflächen lässt sich das Ablaufdatum um 24 Stunden ab dem aktuellen Zeitpunkt verkürzen (-) oder verlängern (+) | ||
| Speichert und schließt den Dialog, erzeugt eine html-Seite mit dem Usernamen und dem Passwort und öffnet den Druck-Dialog | |||
| Speichert die Angaben und schließt den Dialog. | |||
| Schließt den Dialog, ohne Änderungen zu speichern. | |||
Implizite Regeln
UTMbenutzer@firewall.name.fqdnFirewall 
Firewall - Implizite Regeln
Menü Gruppe Ein Captive Portal
Unter dem Punkt Captive Portal im Menü Implizite Regeln muss sichergestellt sein, dass beide Regeln aktiviert sind.
Der Schalter CaptivePortalPage öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können.
Der Schalter CaptivePortalRedirection ist, wie der Name schon sagt, für die dazugehörige Umleitung der Traffics auf den oben genannten Port zuständig.
Paketfilter
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter 
Firewall - Portfilter IP
Im Portfilter ist eine Regel erforderlich, die den Zugriff der Captive Portal Benutzer auf das Internet ermöglicht.
Alternativ kann auch in den Captive Portal Einstellungen mit der Schaltfläche im Bereich Allgemein eine autogenerierte any-Regel erzeugt werden.
| Quelle: |  captive_portal
|
| Ziel: |  internet
|
| Dienst: |  default-internet
|
[–] NAT
| |
| Typ: | |
| Netzwerkobjekt: |
Anschließend mit der Schaltfläche die
Einstellungen im Captive Portal
Menü
Allgemein
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungen  Bereich Allgemein
|
|---|---|---|---|
| Captive Portal: | Ein | Dieser Schalter aktiviert oder deaktiviert das Captive Portal | |
| Implizite Regeln: | Zeigt grün, wenn die impliziten Regeln des Captive Portals aktiviert sind. Bei gelb werden diese Regeln nicht verwendet. | ||
| Portfilter Regel: | Zeigt grün, wenn Portfilterregeln für das Captive Portal existieren. | ||
| Mit der + Schaltfläche kann eine autogenerierte any-Regel erzeugt werden. Schöner, aber aufwendiger sind Regeln, die nur ein ausgewähltes Netz freigeben. | |||
| Hostname der Portalseite: | portal.anyideas.de | Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen. Bei einem Wildcardzertifikat muss der Hostname der Antwort auf eine DNS-Anfrage des Clients entsprechen. | |
| Zertifikat: | Bitte das oben erwähnte Zertifikat auswählen. | ||
| Netzwerkobjekte: | wlan-0-network (wlan0) | In diesem Feld bitte die Netzwerkobjekte auswählen, welche die Netze repräsentieren, die auf die Landingpage umgeleitet werden sollen. | |
Erweitert Erweitert
| |||
| Authentifizierung: | Ein | Hier kann, wenn gewünscht, eine Authentifizierung erzwungen werden. |  |
| Port der Portalseite: | 8085 |
Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden. | |
| Maximale Verbindungszeit: | 1800 |
Der Zeitrahmen, in dem eine Anmeldung im Captive Portal gültig ist. Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von notwendig. | |
| Zugriff auf interne Ziele erlauben: | Nein | Der Zugriff auf interne Netze über den HTTP-Proxy des Captive Portals wird verhindert. | |
Designs Designs
| |||
|
 | ||
Branding | |||
| Aufruf mit der Schaltfläche zum Bearbeiten oder | UTMbenutzer@firewall.name.fqdnAnwendungenCaptive Portal  Bereich Branding
| ||
Nutzungsbedingungen | |||
| Nutzungsbedingungen: | Nutzungsbedingungen/Terms of Use | Hier müssen eigene Nutzungsbedingungen aufgeführt werden. Aus Haftungsgründen können wir diese leider nicht bereitstellen. Wir empfehlen aus den gleichen Gründen, einen Anwalt hinzu zu ziehen. |
 |
Übersetzungen | |||
| Übersetzungen für die Beschriftungen. Fehlt eine Übersetzung, wird der Wert der Default-Sprache verwendet. |  | ||
Nameserver
Menü Bereich Zonen
Wenn der Firewallname nicht auf einen FQDN geändert werden kann, weil zum Beispiel die UTM als ausgehendes Mailrelay verwendet wird muss zusätzlich der Nameserver der Firewall genutzt werden.In diesem Beispiel wird davon ausgegangen, dass die Firewall für das Netz des Captive Portals der zuständige DHCP-Server ist und als primären DNS-Server eingerichtet ist.
Forward-Zone hinzufügen
Schaltfläche
- Der zu vergebende Zonenname entspricht der Landingpage des Captive Portals.
Im Beispiel portal.anyideas.de. - Als Hostname des Nameservers wird localhost verwendet.
- Das Feld der IP-Adresse kann leer gelassen werden.
Schritt 1
Zonenname portal.anyideas.de
Schritt 2
Nameserver Hostname loacalhost
IP-Adresse kann leer gelassen werden
Forward-Zone bearbeiten
UTMbenutzer@firewall.name.fqdnAnwendungenNameserver 
Nameserver - A-Record mit IP-Adresse
Der soeben erstellten Zone wird folgender Eintrag hinzu gefügt → Schaltfläche :
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name: | portal.anyideas.de. | FQDN der Zone für das Captive Portal |
| Typ: | A-Record | |
| Wert: | 192.168.100.1 | IP der Schnittstelle, über die das Captive Portal erreicht werden soll (hier wlan0 ) |
Transparenter Modus
UTMbenutzer@firewall.name.fqdnAnwendungen 
HTTP-Proxy - Transparenter Proxy
Menü Bereich Transparenter Modus
Für den Zugriff auf das Internet über den benötigten HTTP-Proxy ist mindestens eine Regel notwendig (HTTP), besser zwei (zusätzlich HTTPS)
Schaltfläche
| Beschriftung | Wert |
|---|---|
| Protokoll | |
| Typ | |
| Quelle | |
| Ziel |
Für den Zugriff auf https-Seiten muss zusätzlich im Bereich SSL-Interception
die SSL-Interception Ein aktiviert sein. (Benötigt ein CA-Zertifikat der UTM)
| Beschriftung | Wert |
|---|---|
| Protokoll | |
| Typ | |
| Quelle | |
| Ziel |
Webfilter
Abschließend sollte noch der Webfilter konfiguriert werden. Da über den Proxy gesurft wird ist ohne Regel im Portfilter ein Zugriff auf z.B. interne Webserver möglich.Folgende Schritte sind durchzuführen:
mit Authentifizierung
- Bereich Netzwerkobjekte Schaltfläche
Erstellen einer Gruppe (z.B. grp_CP_webfilter), die das wlan-0-network-Netzwerkobjekt beinhaltet - Schaltfläche
- Netzwerk- oder Benutzergruppe: Die neu erstellte Gruppe wählen
- neu generierten Regelsatz bearbeiten
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen
ohne Authentifizierung
- Schaltfläche
- Die Gruppe der Benutzer wählen
- neu generierten Regelsatz bearbeiten
- webserver.anyideas.de URL des (internen) Servers, auf den der Zugriff über das Captive Portal gesperrt werden soll
- Aktion auf blockieren belassen