WLAN Gastzugang mit "Anmeldescreen" ?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Leute,

    Immer wenn wir Besuch haben, sei es ein Geburtstag, oder einfach nur so und jemand möchte mal kurz in's Internet (z.B. mit seinem Smartphone ect.) dann habe ich demjenigen bisher immer unseren WLAN-Key gegeben. So sicher ist das ganze ja dann auch nicht, wer weiß wo der Key dann landet.

    Als ich jetzt vor kurzen in einem Bahnhof die Telekom-Hotspot's gesehen hab ist mir die Idee gekommen, diese Anmelde-Prinzip nach zu bauen, wenn das möglich ist......

    Für alle die das Anmeldeverfahren nicht kennen, der Telekom-Hotspot ist an sich ein ungesicherter WLAN in dem man sich aber in einem HTML-Script mit Benutzername und Passwort anmelden muss.

    jetzt ist die Frage ob man so etwas vielleicht mit Apache nach basteln kann.
    Der Pi würde dann das richtige Internet per LAN bekommen und über WLAN dann das ganze "freigeben".

    Ich hoffe, ich hab meine Frage verständlich gestellt, wenn noch Unklarheiten sein sollten, einfach fragen ;)

    mfg maxl

    Einmal editiert, zuletzt von maxl95 (29. Mai 2013 um 17:34)

  • Hi,

    Du meinst sicher einen WLAN-Hotspot ...
    Die Software dazu läuft i.d.R. aber auf dem WLAN-Router wie z.B. ChilliSpot.

    In diesem Fall würde ich Dir einen Siemens Router empfehlen (gibts bei ebay oft mal für ein paar Euro).
    Ich habe mir mal interessehalber so ein Teil besorgt und dann eine neue Firmware eingespielt.
    Geeignet dazu sind z.B. DD-WRT oder OpenWRT.
    Damit kannst Du dann auch ChilliSpot verwenden.
    Such vielleicht mal nach DD-WRT bzw. OpenWRT und/oder ChilliSpot. Ich bin sicher, Du wirst schnell fündig.
    Eventuell funktioniert das mit der Firmware sogar mit Deinem Router.
    Es werden da schon einige unterstützt ...

    ciao,
    -ds-

  • Wenn Du einen Access Point aus Deiner Pi machst und dann so konfigurierst, dass nur über einen Proxy ins Internet zu kommen ist (Stichwort transparent proxy) hast Du das sofort OOTB. squid ist z.b. ein Proxy der unter Linux verfügbar ist. Wie gut der auf einer Pi performt weiss ich aber nicht.


  • Wenn Du Dein WLAN so konfigurierst, dass es nur über einen Proxy ins Internet kommt (Stichwort transparent proxy) hast Du das sofort OOTB. squid ist z.b. ein Proxy der unter Linux verfügbar ist. Wie gut der auf einer Pi performt weiss ich aber nicht.

    Hi framp, alter Hase ;) ...

    Yepp ... but: das setzt ja voraus, dass derjenige schon Zugriff aufs Netz hat, und damit muss er wieder die Passphrase rausrücken was er ja nicht will.

    Das einzige was mir noch so auf die Schnelle eingefallen ist wäre so ein Router der zwei WLANs aufbaut. Gab's/gibt's von Belkin und sicher auch anderen Herstellern. Ich hab halt nur das Belkin Teil bis jetzt gesehen. Da kann man dann einen Gastzugang einrichten ...

    cu,
    -ds-


  • Ostern is doch schon vorbei - oder ? :D


    Habe mein vorheriges Posting inzwischen noch etwas editiert da mir aufgefallen war dass es etwas ungenau war. Er muss natürlich einen AP mit seiner Pi erstellen. Sonst geht das natürlich wie Du schon bemerkt hast nicht.

  • geht mit dem PI
    Den PI als AP einrichten, Tut gibt es hier im Forum.
    Offenen Zugang auf das WLAN, Wer sich verbindet wird auf eine Webseite umgeleitet und muß Usernamen / Passwort eingeben.
    Hostapd unterstützt das,
    Das Zauberwort ist Captive Portal, danach mal im Zusammenhang mit hostapd googeln.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Wie ich schon zu framp angemerkt habe:
    In dem Moment, in dem jemand Zugriff auf sein WLAN hat - also drin ist - ist das Ding doch schon ums Eck ...

    Captive Portal ist imho ebenfalls keine Lösung da auf http beschränkt und ebenfalls innerhalb seines WLAN läuft. Und offen wäre zumindest für mich schon gar keine Option. Schliesslich können andere jetzt in mein Netz und die werden das sicher nicht nur mit einem Browser machen.

    Aus meiner Sicht kann das nur im Router passieren ... niemals auf dem Pi - da ist es nämlich schon zu spät.


    ciao,
    sds-


  • Squid kann das.squid authentication
    Wenn es mehr als Port 80 sein soll kann man auch Socks (Dante unter Linux) benutzen.

    Hi,

    ich versuche es noch mal ...
    Ich habe ein abgesichertes WLAN mit der Passphrase "Hugo ist doof" ...
    Die Passphrase hat den Sinn, dass niemand ausser mir in mein WLAN kommt. So weit ok ...
    Jetzt kommt jemand auf Besuch und möchte mein WLAN nutzen, um irgendwas im Internet zu machen ... immer noch ok
    Ich will dem meine Passphrase aber nicht geben. Wie soll der bitte jetzt auf mein "Captive Portal" oder meinen Proxy kommen?
    Aus dem Internet? Na - dann bräuchte der doch den Zugang über mein WLAN nicht ...
    Also muss ich ihm den Key geben und kann mir damit den ganzen Terz um Captive Portal und Co. schenken ;)


    Jetzt klar?

    ciao,
    -ds-

  • Wow, so viele Antworten hab ich in der kurzen Zeit gar nicht erwartet :).

    Also hab mich mal nach der OpenSource Firmware, die Dreamshader verlinkt hat, erkundigt. Bei DD-WRT hab ich auch gleich einen Volltreffer gehabt, hab hier noch einen DLINK DIR300 Rev.b1 stehen, der anscheinend voll unterstützt wird :cool:. Mal sehen was damit dann so alles möglich ist.

    Die Idee mit Hostapd werde ich mir mal angucken.

    Vielen Dank schon mal für die vielen hilfreichen Antworten.

    Mal sehen, vielleicht kommt ja noch mehr...

    mfg maxl


  • ...Die Passphrase hat den Sinn, dass niemand ausser mir in mein WLAN kommt. So weit ok ...
    Jetzt kommt jemand auf Besuch und möchte mein WLAN nutzen, um irgendwas im Internet zu machen ... immer noch ok
    Ich will dem meine Passphrase aber nicht geben. Wie soll der bitte jetzt auf mein "Captive Portal" oder meinen Proxy kommen?...


    Wie ich schon oben geschrieben habe - ich habe mein erstes Posting nachträglich geändert: Nun wird ein zweiter AP mit der Pi erstellt - der ist offen und per Proxy mit UID/PWD geschütz oder auch per GastKey und UID/PWD. Damit lässt sich schnell der User wieder löschen und hat keinen Zugriff.


    ... Also hab mich mal nach der OpenSource Firmware, die Dreamshader verlinkt hat, erkundigt. Bei DD-WRT hab ich auch gleich einen Volltreffer gehabt, hab hier noch einen DLINK DIR300 Rev.b1 stehen, der anscheinend voll unterstützt wird :cool:. Mal sehen was damit dann so alles möglich ist...


    Ist wohl die einfachste Lösung. Meine Fritz 7390 unterstützt es auch ein Gast-WLAN Zugang einzurichtem mit einem separaten Key und entsprechenden FW Regeln, dass die Gäste nicht ins lokale Netz zugreifen können. Da ist zwar nix mit UID&PWD - aber dann ändere ich einfach den GastKey.

  • maxl95: Aber Vorsicht beim Flashen und altes Image sichern. Nicht dass Du Dir da ein Riesenei legst. Deshalb hatte ich mir damals extra einen anderen WLAN-Router besorgt. Den kann man, wenn alles glatt läuft, dann einbinden und den anderen bei ebay verticken.

    framp: nur noch eine Frage ... wenn ich mich bei Deiner Lösung mit dem offenen WLAN verbinde und anschließend auf meinem Ubuntu-Laptop ein Terminal öffne ... was passiert dann?

    ciao,
    -ds-

  • Nix. Die FW (iptables) erlaubt nur Port 80 der auf den Proxy redirected wird.

    Ne ne, da hast Du mich vermutlich falsch verstanden ...
    Ich klink mich in das Netz ein (ohne Passwort usw.) ... WLAN -> Verbindung trennen -> WLAN auswählen offenes WLAN -> verbinden
    Ich mach ein Terminal auf (ich bin ja schon drin im Netz) ...

    cu,
    -ds-

  • Wie gesagt, der Router steht nur hier rum. Habe eine ausführliche Anleitung für diesen Router gefunden. Falls doch etwas schief laufen sollte, ist es nicht also nicht so schlimm weil er die letzten drei Jahre auch nicht in Betrieb war. Trotzdem Danke für den Hinweis.
    Wenn ich mal wieder etwas mehr Zeit habe werde ich die andere Variante noch mal auf dem Pi ausprobieren und bei Erfolg natürlich hier berichten.

    Mfg maxl


  • ...Ich klink mich in das Netz ein (ohne Passwort usw.) ... WLAN -> Verbindung trennen -> WLAN auswählen offenes WLAN -> verbinden
    Ich mach ein Terminal auf (ich bin ja schon drin im Netz) ...


    Ja, Du hast dann eine IP aus dem AP Range. Aber ausser über Port 80 den Proxy kannst Du nix im Netz erreichen. Die FW blocked alles.

  • Naja ... klingt im ersten Moment einigermaßen plausibel - zumindest seit iptables mit im Spiel ist - ist aber imho trotzdem eine Syssiphus-Aufgabe. Nur Port 80 wird nicht reichen, andere Protokolle und Ports müssen in die Ausnahmeliste und ich fürchte, da sind viele schnell überfordert noch den Überblick zu behalten. Naja - und ruck zuck hast Du ein Loch ...

    Zudem: ich bin erstmal im Netz und es gibt sicherlich Zeitgenossen, denen das schon reicht ;) ... ich hätte da sogar eine Idee. Aber lassen wir das ...

    ciao,
    -ds-

  • Nee, nix mit anderen Ports. Wenn es Gäste gibt die mehr als Surfen wollen haben die Pech. Ist nur Port 80 und 443 offen. Ansonsten muss er alles andere über Port 80 tunneln. Geht ja auch wenn man weiss wie :) Aber ich denke das geht beiweitem über die Frage des TEs hinweg.


  • Wie ich schon zu framp angemerkt habe:
    In dem Moment, in dem jemand Zugriff auf sein WLAN hat - also drin ist - ist das Ding doch schon ums Eck ...

    Das ist völliger Unsinn.

    Zitat

    Captive Portal ist imho ebenfalls keine Lösung da auf http beschränkt und ebenfalls innerhalb seines WLAN läuft. Und offen wäre zumindest für mich schon gar keine Option.

    Du hast keine Ahnung was Captive Portal macht oder ?


    Zitat


    Schliesslich können andere jetzt in mein Netz und die werden das sicher nicht nur mit einem Browser machen.


    Falsch.
    Das WLAN des PI liegt hier in einer eigenen IP Range, der kann man Verbieten mit dem "LAN" zu komunizieren.


    Zitat


    Aus meiner Sicht kann das nur im Router passieren ... niemals auf dem Pi - da ist es nämlich schon zu spät.


    ciao,
    sds-

    Hier wird der PI zum Accesspoint (Router)

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Hi,

    is ja schon alles geklärt ;) ...

    Wenn der Guhdsde den Pi nur für diese Aufgabe nutzt, dann geht das ... wenn er einen zweiten AP damit einrichtet ebenfalls.
    War vielleicht auch ein wenig zweideutig ausgedrückt und - Asche auf mein Haupt - ich hab' auch nicht nachgefragt.

    Ist halt schon eine sehr exklusive Lösung dafür einen Pi zu verballern, wenn's auch ein gebrauchter Router tut. Ich hätte daran als letztes gedacht.

    Und so gibt es bei mir - und vermutlich auch Euch - immer wieder Mißverständnisse, weil ich zuviel Wissen als selbstverständlich auf der Seite des Fragers voraussetze.
    Wenn ich zu jemandem sage: starte vlc und der mir erzählt, er erhält eine Menge Fehlermeldungen, dann liegt das nicht daran, dass der Fragesteller zu doof ist, vlc auf der shell einzugeben, sondern daran, dass er sich evtl. per ssh eingeloggt hat und das Kommando vlc nicht in einem X-Terminal abgesetzt hat - was ich stillschweigend als selbstverständlich vorausgesetzt habe.

    Im Grunde meinten wir hier alle dasselbe ... und ich glaube, wir sind alle Missverständnissen aufgesessen.
    Und ich glaube, dass ein bisschen Selbstkritik nicht schaden kann. Wir gehören nun mal alle zu dieser, aus meiner Sicht absolut fehlkonstruierten und mit Mängeln behafteten, Spezies namens Homo sapiens.

    EDIT:
    Den tatsächlichen Sachverhalt habe ich zumindest immer noch nicht erfragt und dass es ausreichen würde, den Besuchern ein Kabel in sein LAN zur Verfügung zu stellen wodurch die Passphrase-Eingabe unnötig würde, habe ich jedenfalls komplett ausser Acht gelassen.

    In diesem Sinne: einen angenehmen Tag noch (obwohls draußen nicht danach aussieht),
    -ds-

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!