PfSense als WLAN Captive Portal - Verschlüsselung/Clients nur einmalig anmelden?
-
Hallo pfsense Community.
Zunächst ein großes Lob an die Macher hinter pfsense. Ich bin beeindruckt über das immens umfangreiche Paket, das die Lösung zu leisten vermag.
Ich scheitere derzeit ein wenig an dem Realisierungsversuch, mit pfsense ein Captive Portal für ein Wireless Netzwerk auf Basis von Cisco APs anzubieten. Die Clients (Notebooks, Smartphones, Tablets) sollen das WLAN zunächst finden und sich verbinden können. Dazu würde man ja vermutlich WEP einsetzen. Bevor sie aber ins Internet gelangen, soll das Captive Portal die Anfrage abfangen, und den Client bzw. Nutzer zur Authentifizierung zwingen. Letzters funktioniert bereits tadellos mit FreeRadius, welches ich als Paket am pfsense installiert habe.
Mein Problem ist nun aber: ich möchte die Kommunikation der Clients natürlich verschlüsseln. Und ich habe da den Ansatz offenbar nicht ganz verinnerlicht. Wenn ich die APs auf WPA umstelle, dann müssten sich die Clients ja zweimal anmelden: einmal am AccessPoint, und dann nochmal gegen das Captive Portal. Das ist nicht sehr erstrebenswert. Gibt es eine Lösung, damit der Nutzer sich nur einmal anmeldet, die Kommunikation aber trotzdem verschlüsselt ist?
Danke für Eure Tips. Ich sehe vermutlich nur den Wald vor lauter Bäumen nicht… :-)
-
Hallo :)
Dazu würde man ja vermutlich WEP einsetzen.
Gibt es eine Lösung, damit der Nutzer sich nur einmal anmeldet, die Kommunikation aber trotzdem verschlüsselt ist?Ja, die heißt WPA2-Enterprise. Mit Radius Auth, die du ja offensichtlich eh schon machst. Damit melden sich die Clients nicht mit einem WPA Key an, sondern mit ihrem User und Passwort.
Nebenbei: WEP kannst du sein lassen, das ist durch, da kannst du sonst auch gleich Klartext senden :)Grüße
-
Danke JeGr.
Ja - wegen WEP kam mir der Ansatz ja gleich spanisch vor. Mittlerweile bin ich ein wenig weiter. Ich hab verstanden, dass man eine Situation herstellen kann, über die der jeweilige Access Point über ein SharedSecret zunächst mit dem RadiusServer verbunden wird. Damit wird wohl die grundsätzliche Verbindung hergestellt. Und dann kann man wohl EAP mit den verschiedenen Versionen verwenden, um die eigentlichen Clients zu authentifizieren. Die Verschlüssung kann dann mit WPA2-Enterprise erfolgen. In meinem Fall versuch ichs mit AES-CCMP.
Ich hab da auch ein paar nützliche Infos unter https://doc.pfsense.org/index.php/Using_EAP_and_PEAP_with_FreeRADIUS gefunden. Leider rührt sich "mein" Cisco AP so überhaupt gar nicht. Ich kann mit den DEBUG commands für das Cisco IOS jedenfalls nicht erkennen, dass der AP sich überhaupt mit dem RADIUS Server unterhält. Das wird auch durch die Anzeige des APs auf einem Android Smartphone bestätigt. Die SSID erkennt er, aber es steht "unbekannter Sicherheitstyp" drunter. Bei einer korrekten Konfiguration müsste aber "802.1X" angezeigt werden.
Ich komm schon noch dahinter. :-) Bin aber natürlich für Hilfe dankbar.
-
… Die Verschlüssung kann dann mit WPA2-Enterprise erfolgen.
Genau, so wars gemeint :) Habe ich mal vor längerer Zeit mit HP Access Points und einem FreeRadius, das gegen ein LDAP authentifiziert hatte umgesetzt. Hatte auch gut funktioniert.Ansonsten ist es schwierig das Cisco Gefrusel so einfach zu debuggen ;) Aber ich drück dir die Daumen.
Grüße
