Captive Portal Frage/Question



  • Hallo

    ich habe die Funktion Captive Portal aktiviert und arbeite mit Tickets.
    Wenn ein Anwender sich z.B.: mit seinem Laptop am WLAN mit der Ticketsnummer angemeldet hat.
    Und sich dann anschließend mit seinem Smart Phone mit der gleichen Ticketnummer anmeldet, dann hat das Smartphone die Internet Session bekommen und das Laptop fliegt raus.
    Kann ich das verhindern, indem ich die Verwendung des Tickets auf eine MAC Adresse einschränke?

    Da es sich um ein Gäste WLAN handelt, habe ich in der Regel nicht die MAC Adressen der Gäste.
    Ist es denoch möglich die Ticket nutzung einzuschränken?

    Gruß
    fsense14
    –----------------

    Hello

    i use Captive Portal with voucher authentication.
    If a user loged in with a Laptop and in a second step loged in with the same vouchernumber over a smartphone.
    Then the smartphone get the internet access and the laptop is disconnected.

    In the example above it's the user okay but if the vouchernumber paper get in the wrong hands, then i have a problem.

    I work with a guest wlan, and i know about the possibility to work with mac filters.
    But i don't know all the mac addresses of my guests.

    Is it possible to restrict the vouchernumber for one device only.

    Regards
    fsense14



  • Hi,

    ist "Concurrent user logins" auf dem CP bei Dir aktiviert oder deaktiviert ?



  • Moin

    ja die Einstellung ist aktiv. Soweit ich das verstanden habe zählt die Einstellung aber nur für das Einlogen via User Account und Passwort (User Manager).
    Es bezieht sich nicht auf das einlogen über einen Voucher.

    Gruß
    fsense14



  • soweit ich das kenne wird bei Captive Portal automatisch die entsprechende MAC Adresse mit dem sich der Klient einloggt zugelassen und alle anderen MAC Adressen werden gespeert. Ist ja auch logisch … sonst könnten ja zich leute sich mit gleich Code einloggen ...

    So weit ich weiss kann man da irgentwo, habe gerade kein CP am laufen, zulassen dann brauchen die aber auch kein Code mehr zu Anmeldung.



  • Hallo

    logisch ist das, aber kann ich es nicht unterbinden?
    Man kann mit der Option "passthroug MAC…" bestimmte MAC Adressen ohne Anmeldung durchwinken, aber das bringt mir in meinem Fall nix. ;)


  • Moderator

    Ich bin zwar auch der Meinung, dass es hahnebüchen ist, einerseits Vouchers auszugeben, diese dann aber wieder auf mehreren Devices bzw. potentiell bei mehreren Benutzern zu erlauben (warum vergebe ich die dann überhaupt? - dann könnte man auch time-based-rules o.ä. machen) aber vielleicht ist das etwas, was du suchst:

    https://forum.pfsense.org/index.php?topic=43100.0

    Hier wurde der Code vom CP ergänzt um Concurrent Logins auch bei Vouchers zu erlauben. Aber nochmal DEUTLICH: Damit ist sobald ein Voucher ausgestellt wurde es theoretisch möglich, dass beliebig viele Leute auf beliebig vielen Geräten mit dem gleichen Voucher erlaubt werden. Das widerspricht dem Sinn und Zweck des Vouchers, nämlich der Zuordnung zu einer Person und einem Gerät (damit hinterher ggf. belegbar ist, wer was genutzt hat). Deshalb werden für den Fall eher Logins als Vouchers genutzt.

    Grüße



  • Hallo

    ja das mit den Vouches finde ich auch gut so wie es ist.
    Aber ich hatte vor, das man sich mit den Voucher nur 1 mal einlogen kann.
    Beispiel:
    Ein Kunde hat einen Voucher bekommen und ist mit 2 Personen im Meeting Raum. Die 1. Person meldet sich an und ist im Internet. Person 2 sieht den Voucherzettel und meldet sich ebenfalls an.
    Jetzt ist die Person 2 im Internet und die Person 1 ist raus.
    Ich möchte vermeiden, das der Voucher wie oben beschrieben ein 2. mal verwendet werden kann.
    Person 1 meldet sich an und Person 2 würde eine Fehlermeldung erhalten, z.B.: Voucher wird bereits verwendet.

    Gruß