staging.inyokaproject.org

Hallo ihr alle,

Bekannte von mir betreiben eine kleine Gaststätte und wollen ihren Kunden Wlan anbieten. In diesem Zusammenhang bin ich auf Packetfence gestoßen, welches soweit ich es bisher verstanden habe eine Serveranwendung ist, mit der man unter anderem Accounts für die User erstellen kann, bestimmte Protokolle sperren kann etc. Laut der Webseite ist diese Anwendung gerade für solche Einsatzzwecke vorgesehen. Momentan habe ich aber noch keinen Rechner zur Verfügung um mich mit dem Programm auseinander zu setzen. Nun habe ich mehrere Frage: Ist dieses Programm für den genannten Einsatzzweck geeignet bzw. hat schon jemand Erfahrungen in diesem Einsatzzweck? Man soll z.B. temporäre Accounts erstellen können, sodass die Gäste während ihres Aufenthalts eine Art Account und Passwort bekommen über den sie Zugriff aufs Internet bekommen. Kann man mit Packetfence sicherstellen, dass die User nur Webseiten aufrufen können, also kein Bitorrent oder ähnliches? Da man als Betreiber eines solchen Netzwerkes ja auch in der Lage sein sollte nachzuweisen, dass man bei etwaigem "Missbrauch" der Internetverbindung nicht selber Schuld war sondern in diesem Falle z.B. "Account XYZ", gibt es bei Packetfence eine Möglichkeit der Protokollierung, wann welcher Account mit dem Internet verbunden war oder gibt es eine Server Anwendung, die für einen solchen Zweck geeignet ist? Kann man so etwas mit einem Server realisieren, der dann zwischen den Router und die Accesspoints geschaltet wird?

Da ich bisher noch nicht soviel Ahnung von dem Thema habe wäre ich über Meinungen/Anregungen/Hilfen sehr dankbar.

Mit freundlichen Grüßen

jonny-boy

PS.: Ich war mir nicht sicher, ob dieses Thema in die Rubrik Netzwerk gehört, habe es dann aber doch in der Rubrik Programme erstellt, da es ja inhaltlich größtenteils um Packetfence geht.

Hi.

Das von dir genannte Packetfence kenne ich nicht. Hast du einen Link zu der Software, wo man sich näher darüber informieren kann?

MfG
Tronde

http://www.packetfence.org/

Hallo jonny, eine alternative Lösung wäre evtl. Dnsmasq als DHCP-Server, welcher den Benutzern ihre IP-Adressen mitteilt, dann Squid als Proxyserver und Dansguardian als Inhaltsfilter. Ich hatte einen ähnlichen Anwendungsfall mal mit dieser Konfiguration realisiert.

Dnsmasq kannst du so konfigurieren, dass an einer Netzwerkschnittstelle die AccessPoints hängen, über welche dann den Usern ihre IP-Adressen zugeteilt werden, und an der anderen Schnittstelle dein Router hängt. Dann konfigurierst du die Firewall (iptables nehme ich an) so, dass sie transparent alle Zugriffe auf Squid/Dansguardian umleitet. Alle Ports für Bittorrent usw. kannst du einfach per iptables so regeln, dass sie nicht an das "Internet"-Interface weitergeleitet werden. Dansguardian bietet dir dann weitgehende Möglichkeiten was die Blockierung von bestimmten Seiten, bestimmten Themen, Downloads von bestimmten Dateiformaten bzw. auch aller Downloads angeht.

Einzig die Benutzerauthentifizierung hatte ich nicht am Laufen, aber meines Wissens sollte Dansguardian das ebenfalls beherrschen

Grüße

Simon

Hallo Simon,

schonmal vielen Dank für die Rückmeldung. Die Programme die du gepostet hast scheinen für diesen Einsatzzweck genau richtig zu sein, zumal für sie Wiki Artikel existieren, was die Sache einfacher macht als mit Packetfence. Also wenn ich es richtig verstanden habe setzte ich einen Ubuntu Server auf, der über zwei Netzwerkkarten verfügt und quasi als "Zwischenstück" arbeitet. Im Artikel von Squid habe ich auch gelesen, dass damit unter anderem Benutzerauthentifizierung als auch Überwachung möglich ist. Kann man Squid so einstellen, dass neue Nutzer erstmal auf eine Art Anmeldeseite gelangen, auf der sie sich erst anmelden müssen? Gibt es dann im Nachhinein die Möglichkeit nachzuvollziehen, ob ein Accountnutzer auf einer verbotenen Seite war, sprich einen bestimmten Seitenaufruf einem Account zuzuordnen?

jonny-boy

jonny-boy schrieb:

In diesem Zusammenhang bin ich auf Packetfence gestoßen, welches soweit ich es bisher verstanden habe eine Serveranwendung ist, mit der man unter anderem Accounts für die User erstellen kann, bestimmte Protokolle sperren kann etc. Laut der Webseite ist diese Anwendung gerade für solche Einsatzzwecke vorgesehen. Momentan habe ich aber noch keinen Rechner zur Verfügung um mich mit dem Programm auseinander zu setzen. Nun habe ich mehrere Frage: Ist dieses Programm für den genannten Einsatzzweck geeignet bzw. hat schon jemand Erfahrungen in diesem Einsatzzweck?

Ich kenne das Programm nicht, ein kurzer Blick in die Doku macht aber einen guten Eindruck. Scheint mir für deinen Einsatzzweck zu passen.

Kann man mit Packetfence sicherstellen, dass die User nur Webseiten aufrufen können, also kein Bitorrent oder ähnliches?

Soweit ich das verstehe geht das. Mir ist allerdings nicht klar, wie viel Aufwand das ist.

Da man als Betreiber eines solchen Netzwerkes ja auch in der Lage sein sollte nachzuweisen, dass man bei etwaigem "Missbrauch" der Internetverbindung nicht selber Schuld war sondern in diesem Falle z.B. "Account XYZ", gibt es bei Packetfence eine Möglichkeit der Protokollierung, wann welcher Account mit dem Internet verbunden war oder gibt es eine Server Anwendung, die für einen solchen Zweck geeignet ist?

Da würde ich mich erst mal informieren, wie das rechtlich genau aussieht bezüglich Haftung, Datenschutz usw. In Deutschland sollte da z.B. die Dehoga weiterhelfen können.

Du kannst mit Packetfence nachvollziehen, wer wann online war.

Kann man Squid so einstellen, dass neue Nutzer erstmal auf eine Art Anmeldeseite gelangen, auf der sie sich erst anmelden müssen? Gibt es dann im Nachhinein die Möglichkeit nachzuvollziehen, ob ein Accountnutzer auf einer verbotenen Seite war, sprich einen bestimmten Seitenaufruf einem Account zuzuordnen?

Ja. Squid selbst kann die Verbindungen protokollieren. Falls die Zugriffskontrolle aktiviert ist müsste auch User/Password geloggt werden. Das mit den verbotenen Seiten würde ich jedoch mit Dansguardian machen, der ist schließlich genau dafür da 😉 Mit Dansguardian kannst du selbst festlegen welche Seiten verboten sind, kannst Listen mit verbotenen Seiten "abonnieren", und du kannst Filter auf bestimmte Themen setzen. Dansguardian untersucht dann die aufgerufenen Websites und entscheidet, ob die Seite zulässig ist oder nicht.

Falls die Seite nicht zulässig war, wird dem Benutzer einfach eine "Website blockiert"-Page angezeigt.

Meine einzige Sorge bleibt die Benutzerauthentifizierung. Wenn Squid als transparent konfiguriert ist, ist die Authentifizierung laut Wiki nicht möglich. Eine Möglichkeit wäre noch, die Authentifizierung auf WLAN-Netzwerkebene zu setzen, d.h. also entweder über einen FreeRADIUS-Server, also mit WPA-Enterprise, sodass sich jeder Benutzer mit Username und Passwort anmelden muss um überhaupt in das WLAN-Netzwerk zu kommen, oder einfach anhand eines jeden Tag wechselnden WPA-Schlüssels, wobei dann wohlgemerkt nicht zwischen verschiedenen Benutzern unterschieden werden kann und der Benutzer jeden Tag dach dem neuen Schlüssel fragen muss..

Alles in allem ist das Aufsetzen eines solchen ganzen Systems eher komplex, da sind eigens dafür entwickelte Lösungen sicher um einiges einfacher.

Ich hoffe ich konnte dir ein klein Wenig weiterhelfen

Grüße

Simon

Edit: http://www.grasehotspot.org/ könnte was für dich sein. Die Demo sieht vielversprechend aus

OK schonmal vielen Dank für die Rückmeldungen. Werde mich dann nächste Woche mit dem Thema genauer auseinandersetzen, wenn ich meine Klausuren dann endlich fertig habe. Sollten dann noch Fragen auftauchen melde ich mich.

PS. Danke für den Link. Schaue ihn mir morgen mal in Ruhe an

jonny-boy

So ich hatte jetzt ein wenig Zeit mich mit Grasehotspot zu beschäftigen. Kurz und knapp: Das ist genau das, was ich gesucht habe! Ich hab jetzt schon ein paar Tests mit einem alten Acesspoint Zuhause gemacht. Der Server mit Grase ist zwischen unserem Router und dem Accesspoint geschaltet und arbeitet als DHCP-Server für den Accesspoint. Wenn man sich an dem AP anmeldet, bekommt man eine Adresse vom Server zugewiesen. Öffnet man dann den Browser erscheint sofort eine Anmeldeseite, also genauso wie ich es mir vorgestellt hatte. Gut ist auch, dass man sich gleich einen ganzen Stapel von Benutzern erstellen lassen kann und davon gleich Tickets drucken kann. Was ich jetzt allerdings noch nicht ganz hinbekomme ist der Inhaltsfilter mit Dansguardian. Ich habe die Anleitung im Wiki befolgt und ihn zwar zum laufen bekommen, allerdings werden Webseiten, die ich in die Blacklistdatei eintrage nicht gesperrt. Trotzdem scheint Dansguardian zu funktionieren, da andere Seiten schon automatisch geblockt werden.

Dann habe ich nochmal probiert mich mit Packetfence zu beschäftigen, nur mal um zu sehen, was sich da so machen lässt, bin aber relativ schnell zu der Überzeugung gelangt, dass dieses Programm für mich zu kompliziert ist, zumal ich mit grasehotspot ja eigentlich schon alles hinbekomme, was ich brauche.

Beide Programme laufen aber anscheinend nur unter 12.04 LTS, was ja aber kein Problem darstellt, da dieses ja noch lange unterstützt wird.