Unterschiedliche Rechte/Beschränkunge für User im Captive Portal wie einrichten?



  • Bin dabei für ei öffentliches Internat PFSense einzurichten.
    Problem hierbei ist, ich weiß nicht, wie ich unterschiedliche rechte vergeben soll.

    So habe ich mir vorgestellt, wie es am ende aussehen könnte:

    Login: Schueler/Schueler -> Zeit von z.b. 8-22 Uhr nutzbar mit eigenen Beschränkungen für Ports usw.
    Login: Vouchercode Liste 1 für Schüler -> aktiv nutzbar von 6-24 Uhr, hier auch weniger Beschränkungen bezüglich Ports usw.
    Login: vouchercode Liste 2 für Besucher -> 24h oder 8h z.b. aktiver Code ohne großartige Beschränkungen.

    Ist so etwas möglich für gruppen von Vouchers oder eben Usern Rechte geben und nehmen?
    Würde mich freuen, wenn mir einer helfen kann.



  • für Gäste also Liste 2 könnte ich notfalls noch ein eigenes System machen.
    4 WAN Verbindungen stehen zur Verfügung.

    Würde das dann glaube ich so machen, alles erstmal nur per Vouchers erlauben, so alle mac Adressen Sammeln.
    Mac nicht hinterlegt = kein Internet
    Mac Adressen dann per Firewallrule von bsp 8-22 Uhr freischalten.
    Davor eine Woche lang das Internet so manuell kappen.
    Hat man nun einen Vouchercode müsste man auch nach 22 Uhr Beispielsweise für 30 Minuten reinkommen, oder eben so lange wie das Ticket geht.

    Für das 3. Netz würde ich dann eigenen PFsense aufstellen mit normalen Portal und eben 24h Vouchercodes.

    Klappt das so?



  • überlege gerade eigentlich würde es auch reichen das Captive Portal nur zu bestimmten Zeiten anzuschalten.
    Heißt z.b. 8-22 uhr normales internet gefilter eventuell über transparenten Proxy usw. aber 22 Uhr schaltet sich captive portal an und es geht nur noch da drüber bis 8 uhr und dann fährt der dienst wieder runter.



  • Hallo,

    also es ist schwierig, wenn die Benutzer häufig wechseln, weil du dann schwierig eine Zuordnung in der Firewall zu IP-Adressen oder im proxy für Webseiten machen kannst.

    Wenn du dennoch eine Zuordnung von PC zu einer festen IP-Adresse machen kannst, dann könntest du diverse Firewall Regeln mit einem scheduler ausstatten und zwischen bestimmten Zeiten Verkehr erlauben oder blockieren.

    Scheduler kann aber zum Beispiel auch squidguard. Aber auch hier wäre es wieder wichtig, eine feste Zuordnung von IP Adressen zu haben. So könntest du für jede deiner Gruppen eine "Group ACL" erstellen mit entsprechenden time ranges und entsprechenden whitelist oder blacklist seiten.

    Gleiches könntest du dann für die Firewall-Regeln machen.

    Bevor du aber vielleicht extra eine zweite pfsense aufbaust, könntest du auch einfach eine weitere LAN Karte einbauen und darauf ebenfalls ein CaptivePortal laufen lassen. Seit pfsense 2.1 kannst du die CPs pro Interface individuell einstellen.

    Wenn du den zeitlichen Zugang durch das CP besser steuern willst, könntest du auch freeradius2 package installieren und dort für jeden user eine time-range eintragen. So könntest du Wochentags Zugriffe von 8-20 erlauben und Wochenende von 6-24uhr. Jeder Schüler hätte sein eigenes Passwort oder du machst es mit der MAC Adresse.

    Aber irgendwie ist das, was du willst, nicht gut zu realisieren. Kamst du auf diese Idee oder das Internat?
    Und was für PCs sind da im Internat - die der Schüler (private) oder die der Schule?
    Vielleicht ein bischen mehr Info liefern was vorhanden ist und was gefordert wird. Vielleicht findet sich eine komplett andere Lösung.



  • das mit Radius klingt sehr gut, dort könnte man beispielsweise auch einen account mit z.b. name schueler passwort schueler machen, da ne feste zeit eintragen und dann eventuell über captive portal erweitern?

    mehr oder weniger kam ich auf die Idee.
    etwa 1xx Schüler, alle private PCs und Laptops. Namen wären aber bekannt, sind auch in Excel exportierbar. Hier eine Userliste für einen Radius zu machen wäre kein Problem, wenn man dort dann
    die einzelnen User eintragen kann.
    Problem ist eben Weitergabe von Daten. Müsste dann 2-3 Tage später wenn die das erste mal drin waren ja am besten mit der Mac Adresse ne feste Zuordnung erzeugen.

    Schönsten wäre wie gesagt freier Zugang, wenn auch mit Passwort für einen frei definierten Zeitrahmen und darüber hinaus eben die Möglichkeit mal ne halbe Stunde per Ticket außerhalb der festgelegten
    Zeiten reinzukommen. Soll am ende als Belohnungsystem auch mit dienen, oder kurzfristige Möglichkeit auch für unwissende Pädagogen einem Schüler mal eine halbe Stunde mehr zum lernen zu geben.
    Mehr oder weniger sind wir als Verein tätig, deswegen sind auch keine großen finanziellen Sprünge möglich.
    Das Netzwerk besteht sonst aus HP Procurve switchen, die vlan fähig sind das verwaltungsnetzwerk läuft hier komplett abgetrennt sehr zuverlässig mit einer Kombination aus Draytek Router und Ip Cop.
    Für normale Gäste ist noch eine WAN 25/5k VDSL Leitung da und für die Schüler 3 weitere.
    Im Moment setze ich für jede Leitung IPfire ein, vorher waren hier auch ipcops im Einsatz bzw. ein ipcop mit 4 Lan Interfaces.

    Nun eben auf PFsense gestoßen und dachte ich kann hier den Traffic etwas schöner aufteilen durch die Möglichkeit mit mehreren VDSL Leitungen reinzugehen.
    Und durch das Captive Portal, was ja schon integriert ist etwas mehr Möglichkeiten bieten.

    Reine Zeitbeschränkung ist sicher kein Problem, hab das mit IPfire und Ipcop damals über transparenten Proxy gelöst, der erzwungen wurde. Beim IP cop konnte man dann die unterschiedlichen Lan Interfaces mit verschiedenen Zeiten versehen.

    Sicherheitstechnisch werde ich das denke ich auch wieder mit transparenten Proxy lösen, meine Urlspserrliste reinladen und Filter zu finden ist kein Thema.
    Multi WAN geh ich auch ganz in Ruhe ran, notfalls erstmal mit einer Verbindung.
    Schön wäre eben Zeitliche Steuerung per Vouchers über eine grundlegende Zeiteinstellung hinaus.

    Wenn mal einer sharen sollte, so einen Fall hatten wir letztes Jahr, findet man denjenigen auch relativ schnell. Anhand IP und Rechnername haben wir knapp 30 Minuten gebraucht und hatten den Übeltäter ;-)

    Hardware ist kein Problem, habe im Moment meinen alten AMD 245x2 4GB RAM dafür im Einsatz. Habe aber noch die Ip fires da, alles i3 4gb ram 40gb ssd, theoretisch wäre also auch eine Lösung mit mehreren
    pfsenses möglich.

    Naja schau mir das in paar Stunden mal in Ruhe an :-)



  • Hallo,

    wenn deine Switche dynamische VLANs können, dann könntest du die VLANs per RADIUS 802.1X dem user/schüler zuweisen. Sobald sich ein schüler an die Dose anklemmt, poppt ein Windows fenster auf und der schüler gibt seine Zugangsdaten ein. Auf Basis der Zugangsdaten kommt er dann in das entsprechende VLAN. Was die VLANs dürfen, entscheidest du dann über Firewall- und Proxy-Filter Regeln. Den Zugang zum VLAN kannst du dann ja ebenfalls per RADIUS zeitlich begrenzen.

    Das CP kannst du auch nutzen mit Benutzername/Kennwort oder Voucher. Musst nur die Felder in der .html anpassen. So können schüler mit Benutzer/Kennwort durch das CP ins Netz - zeitliche Begrenzung über RADIUS.
    Und Gäste oder "fleissige Schüler" bekommen einen 30min Vocuher - welcher dann unabhängig vom RADIUS 30min Zugriff erlaubt.

    Und wie bereits im vorherigen Post gesagt, wenn deine Switche VLANs können und deine pfsense auch, brauchst du nicht mehrere pfsense installieren. Du kannst ja für verschiedene interfaces an der pfsense das CP einschalten. In version 2.1 von pfsense kannst du sogar sagen, dass das CP auf interface A über RADIUS und Benutzername/Kennwort funktionieren soll, das CP auf interface B aber nur über Voucher. Und interface C soll zum Beispiel beides erlauben.

    Du könntest dir auch diese Funktion des CPs mal anschauen:

    Pass-through credits allowed per MAC address
    
    Waiting period to restore pass-through credits
    

    So könnte jeder Schüler oder Gast pauschal ein paar credits bekommen die dann alle 24h resetet werden.