Gästewlan - ideen?

[reox]

Ich würde gerne auf meinem Router/Accesspoint (hostapd) ein Gästewlan einrichten. Nun reichen die Möglichkeiten von zweiter SSID über gleiche SSID mit VLAN und Radiusserver bis hin zu captive portal...
Was klar ist, dass ich die Daten über ein eigenes VLAN reiche und der Gast nie zugriff auf mein Netzwerk hat.

Was ja zB nett wäre, ich führe am PC ein script aus und bekomme einen Zettel mit Username + Passwort für das Gästenetzwerk ausgedruckt, nach einstellbarer Zeit (default zB 12h) wird der Account dann wieder gelöscht. Das wäre dann zwar viel mehr Aufwand als mein jetztiges WLAN mit PSK der nie geändert wird *hust*, aber ne nette Spielerei...

Wie macht ihr das zuhause? Hat jemand innovative Ideen?

[jph]

Separate SSID. Sonst verwirrst du deine eigenen Geräte.
Daheim habe ich eine Fritzbox. Die hat Gäste-WLAN eingebaut.

[reox]

Wieso? Mutest du niemandem zu ein Username/Passwort einzugeben?

[BenutzerGa4gooPh]

Was klar ist, dass ich die Daten über ein eigenes VLAN reiche und der Gast nie zugriff auf mein Netzwerk hat.

Stellen Plastikrouter zur Verfügung. In professionellen Firewalls einschließlich Linux wären Zonen analog DMZ (Gastnetz, LAN, Internet, WLAN) zu bilden. Shorewall hilft dabei:
http://shorewall.org/shorewall_setup_gu ... Interfaces
Oder PFSense, OPNSense.

Was ja zB nett wäre, ich führe am PC ein script aus und bekomme einen Zettel mit Username + Passwort für das Gästenetzwerk ausgedruckt, nach einstellbarer Zeit (default zB 12h) wird der Account dann wieder gelöscht.

Captive Portal oder RADIUS. Hier hat sich einer viel Mühe gegeben:
https://www.administrator.de/wissen/wla ... 91413.html
Manch professionelle Accesspoints bieten ein Captive Portal ohne Voucher. Z. B. Linksys LAPAC Pro Serie.
Billigloesung wäre freeradius auf Raspi und Accesspoint mit WPA2 Enterprise. Letzteres Feature ist zwingend für den Einsatz von RADIUS. Accesspoints mit Multi-SSID und SSID-VLAN-Mapping für Gastnetz. Ansonsten ist man auf Tricks der Plasterouter-Hersteller angewiesen. Voucher ist wohl nicht möglich, irgendwelche "Kinderzeiten" bestimmt.
https://www.heise.de/ct/artikel/WLAN-si ... ml?seite=3
PFSense/OPNSense haben RADIUS und Captive Portal an Bord, gut bedienbare Firewall. VLANs und Zonen lassen sich recht einfach konfigurieren. Meine Empfehlung.

Edit
Voucher: https://www.administrator.de/contentid/193763
Bezüglich Aquis Tut (oben verlinkt): Neu ist jetzt das APU2C4 oder 3B4 anstelle ALIX:
http://varia-store.com/Hardware/PC-Engi ... _1085.html
http://varia-store.com/Hardware/PC-Engi ... _1098.html
https://www.pcengines.ch

[spiralnebelverdreher]

Wie macht ihr das zuhause? Hat jemand innovative Ideen?

Ich mach das ganz simpel und wenig innovativ: Auf der Fritzbox Gäste-WLAN eingerichtet, SSID und Passwort auf einen Zettel geschrieben und an die Pinwand gehängt. Die Familie weiß Bescheid und sagt es ggfs. weiter. Sollte ich den Eindruck haben, dass irgendjemand damit Unfug macht würde ich mein Vorgehen ändern. War bisher nie nötig.

[jph]

Wieso? Mutest du niemandem zu ein Username/Passwort einzugeben?

Meinst du mich? [emoji848]

[hec_tech]

Ich bin ubiquiti und dem dazugehörigen WLAN Controller sehr zufrieden.

Der WLAN Controller ist eine .deb Paket und kann eigentlich alles was man braucht.

Entweder Captive Portal über den WLAN Controller machen oder eben über Captive Portal von der pfSense.

[reox]

Wieso? Mutest du niemandem zu ein Username/Passwort einzugeben?

Meinst du mich? [emoji848]

Ja, versteh nicht ganz wieso man die Gäste verwirrt wenn man was anderes macht als eine separate SSID einzurichten.

[jph]

Wieso? Mutest du niemandem zu ein Username/Passwort einzugeben?

Meinst du mich? [emoji848]

Ja, versteh nicht ganz wieso man die Gäste verwirrt wenn man was anderes macht als eine separate SSID einzurichten.

Ich bezog mich auf die Aussage "identische SSID" aus dem Vorposting.

[BenutzerGa4gooPh]

Es hat sich schon rumgesprochen, dass die Störerhaftung für offene WLANs wegegfallen ist - bis auf eventuell einzurichtende Sperren bei Urheberrechtsverletzungen? Damit nicht alle Nachbarn ungewollt den (bandbreitenbegrenzten) Anschluss nutzen, kann man ja trotzdem WPA2-PSK mit Passwort nutzen, was vielleicht irgendwo "plakativ" bekannt gegeben und ab und an gewechselt wird. Ist wohl einfacher als Captive Portal, Voucher, RADIUS. Für eine Trennung eigenes Netz - Gastnetz ist trotzdem Sorge zu tragen. Ich würde dann noch ein Foto vom Plakat und Gästen machen - wegen Nachweis des "beschränkt-offenen WLAN" trotz WPA2-PSK. Captive Portal und Vouchers - dazu notwendige Anmeldung bechränken den Zugang auf bekannte Gäste ebenso. Und das ist auch jetzt nicht verboten -muss aber nicht mehr sein.
https://dejure.org/gesetze/TMG/8.html

Wer gar keinen Ärger will und einen mittlerweile üblichen Anschluss mit hohen Datenraten hat, nutzt (dauerhaft, für alle) einen zusätzlichen Freifunkrouter. Die haben VPN in's Ausland.
https://freifunk.net/

[MSfree]

Es hat sich schon rumgesprochen, dass die Störerhaftung für offene WLANs wegegfallen ist

Dem Braten traue ich allerdings noch nicht.

bis auf eventuell einzurichtende Sperren bei Urheberrechtsverstößen?

Genau das ist der Knackpunkt.

Sperren können juristisch gesehen immer nur Einzelsperren sein. Man könnte dir also nur anordnen, Britney Spears' "Oops I did it again" in eDonkey zu sperren. Wie soll denn das gehen? Technisch ist das also gar nicht machbar, juristisch wird es aber gefordert. Das führt dann doch wieder zu Abmahnungen.

Wer gar keinen Ärger will und einen mittlerweile üblichen Anschluss mit hohen Datenraten hat, nutzt einen zusätzlichen Freifunkrouter. Die haben VPN.

Freifunk dürfte aber für den normalen, technisch unversierten Gast, der nur mal auf seinen Smartphone seine Mail anschauen will, ein technischer Overkill sein.

Die c't hatte vor einiger Zeit eine Bauanleitung, wie man aus einem Raspi einen AP mit täglich wechselndem Preshared Key baut. Die SSID und der PSK wurde auf einem Bildschirm als QRCode angezeigt zum Abfotographieren mit dem Smartphone. Man kann SSID und PSK natürlich auch einfach als ASCII auf dem Bildschirm anzeigen. Gäste kommen so bequem ins Internet, der PSK ist am nächsten Tag bereits ungültig, so daß ein Verbreitung der PSK durch Gäste kein Problem mehr darstellt.

[hec_tech]

Also Captive Portal ist jetzt nicht viel Arbeit das sind etwa 2-3 Minuten für die Einrichtung.

Es ist ja schön wenn die Störerhaftung abgeschafft ist nur die Probleme hat man trotzdem.
Da lasse ich mir doch lieber auf einer Loginseite von den jeweiligen Usern bestätigen was sie dürfen und was nicht.

Radius is eventuell wirklich zu viel aber Captive Portal halte ich durchaus für OK.

[BenutzerGa4gooPh]

Die SSID und der PSK wurde auf einem Bildschirm als QRCode angezeigt zum Abfotographieren mit dem Smartphone. Man kann SSID und PSK natürlich auch einfach als ASCII auf dem Bildschirm anzeigen.

Finde ich hübsch. Anzeige auf "elektronischen Bilderrahmen" vielleicht?

Also Captive Portal ist jetzt nicht viel Arbeit das sind etwa 2-3 Minuten für die Einrichtung.

Finde ich unschön. Der Aufruf des CP muss wegen Umleitung auf die entsprechende Website mit http erfolgen, viele haben Google mit https als Startseite des Browsers. Wenn ich mich recht entsinne, müssen auch Popups im Browser zugelassen sein. Also braucht man noch eine "Anleitung" für Gäste. Und umgehen lässt sich Captive Portal recht einfach (IP-MAC-Spoofing). Captive Portal hindert zumindest technisch keinen an Urheberrechtsverletzungen.
"Psychologischer Zwang" per Hinweis auf Log-Dateien? Darf man die als Privatmann überhaupt aufzeichen? Datenschutz? Private Vorratsdatenspeicherung?

[hec_tech]

Nein man braucht keine Popups.

Was hat das Captive Portal mit MAC Adressen zu tun? Das wäre nur dann der Fall wenn bestimmte MAC Adressen von CP ausgenommen sind. Nachdem das CP aber nur für ein bestimmtes VLAN bzw eine bestimmte SSID aktviert ist verstehe ich nicht was es bringen soll? Meinst du eine bestehende MAC zu verwenden um die Auth zu umgehen oder wie? Möglich ist vieles aber nachdem vorher sowieso WPA2-PSK ist mache ich mir da keine Sorge.

Man sollte eben Unterscheiden ob ein WLAN öffentlich ist oder für Gäste da ist. Das macht natürlich einen Unterschied.

Man kann Captive Portal sowohl http als auch mit https machen. Beides ist möglich. Ich müsste das aber mit den Weiterleitungen mal überprüfen. Es ist soviel ich mich erinnern kann immer eine Frage wohin weitergeleitet wird. Wenn man auf eine definierte Webseite weiterleitet sollte alles ok sein. Es gibt aber natürlich die Variante die auf den Originalrequest umleitet. Da entstehen im https Zeitalter meist Probleme.

Es geht beim CP weniger darum technisch etwas einzuschränken als von einem User die Zustimmung zu den Bedingungen zu bekommen. Wirkliche Verbindungsdaten würde wenn nur ein Proxy speichern. Eventuell noch die Firewall. Sowas tut man sich nicht an. Wer sich aber wann mit welcher MAC angemeldet hat steht mir schon frei zu speichern. Ich wüsste nicht welche Vorschrift dem entgegensteht.

[jph]

Wer gar keinen Ärger will und einen mittlerweile üblichen Anschluss mit hohen Datenraten hat, nutzt einen zusätzlichen Freifunkrouter. Die haben VPN.

Freifunk dürfte aber für den normalen, technisch unversierten Gast, der nur mal auf seinen Smartphone seine Mail anschauen will, ein technischer Overkill sein.

Der Nutzer merkt nicht, dass es sich um einen Freifunk-Router handelt. Man sieht es an der SSID, ansonsten ist es ein offenes, unverschlüsseltes WLAN, in das sich das Gerät einbucht. Bei uns in der Innenstadt gibt es mittlerweile einige und man kann schön beobachten, wie sich das Handy automatisch von Access Point zu Access Point hangelt.

Vorteil von Freifunk dürften Skaleneffekte für den Nutzer sein (einmal einrichten, mehrfach nutzen). Wie das für den Betreiber mit der Mitgliedschaft in den Vereinen aussieht, weiß ich nicht.

Ansonsten kann man einen Onion Pi bauen. Der schützt bekanntlich nicht vor gezielter Überwachung durch Nachrichtendienste, dürfte aber die Abmahnanwälte austricksen. Nachteil ist dort, dass die Gäste irgendwo auf der Welt rauskommen und möglicherweise Geoblocking greift.

Angesichts der Erwartungshaltung, dass die Gäste mit dem Zugang Schindluder treiben werden, würde ich mir an Stelle des OP überlegen, ob ich überhaupt Gäste-WLAN anbieten möchte.

[MSfree]

Finde ich hübsch. Anzeige auf "elektronischen Bilderrahmen" vielleicht?

Ja, so etwas in der Art. Elektronische Bilderrahmen, zumindest die, die man überall in den Ich-bin-doch-nicht-Blöd-Märkten findet, sind aber ungeeignet. Der Bildschirminhalt müßte dazu ja einmal am Tag automatisch geändert werden. Das Auswechseln einer SD-Karte am Bilderrahman würde ich nicht als "automatisch" bezeichnen.

Für die Raspis gibt es aber relativ preiswerte Displays zum Ausstecken. Für die ASCII-Anzeige von SSID und PSK würde sogar ein 2-zeiliges LCD reichen, die bekommt man für ein paar Euro zu kaufen, dann muß man aber ein bißchen löten.

[BenutzerGa4gooPh]

Meinst du eine bestehende MAC zu verwenden um die Auth zu umgehen oder wie? Möglich ist vieles aber nachdem vorher sowieso WPA2-PSK ist mache ich mir da keine Sorge.

Die Umgehung der Authentifizierung durch Spoofing meinte ich. Aber okay, wenn man zusätzlich WPA2-PSK einsetzt, wird es schwierig. Da würde ich mir auch keine Sorgen machen. Sicher ist nur der Tod.

Man sollte eben Unterscheiden ob ein WLAN öffentlich ist oder für Gäste da ist. Das macht natürlich einen Unterschied.

Rechtlich wirklich unterschieden? Ich denke mal so an Hotel-WLAN. Fällt wohl unter TMG. Demzufolge mein Gast-WLAN auch.

Man kann Captive Portal sowohl http als auch mit https machen. Beides ist möglich. Ich müsste das aber mit den Weiterleitungen mal überprüfen.

Ich hatte das mal mit Linksys-Accesspoint (LAPAC2600 Pro) probiert, der hatte CP on board. Umleitung auf CP-Seite ging nur mit http. Ne PFSense oder ein Proxy kann sicher mehr.

Eventuell noch die Firewall.

Nicht nur eventuell - bei entsprechender Log-Einstellung. Inhalte bei Verschlüsselung nicht, aber die IP-Verbindungen sieht die FW schon.

Wer sich aber wann mit welcher MAC angemeldet hat steht mir schon frei zu speichern. Ich wüsste nicht welche Vorschrift dem entgegensteht.

Ich hatte oben einige Fragezeichen dazu gemacht. Nur Anmeldedaten zu loggen, ist 'ne Idee!

Edit:

Es geht beim CP weniger darum technisch etwas einzuschränken als von einem User die Zustimmung zu den Bedingungen zu bekommen.

Schützt dich nicht vor Netzsperren - wenn die Gäste dagegen verstoßen.

[MSfree]

Angesichts der Erwartungshaltung, dass die Gäste mit dem Zugang Schindluder treiben werden, würde ich mir an Stelle des OP überlegen, ob ich überhaupt Gäste-WLAN anbieten möchte.

So scharf würde ich das jetzt nicht sehen. Ich kann mir meine Gäste immer noch aussuchen und ich glaube auch nicht, daß die gezielt mit meinem Internetzugang Schindluder treiben werden. So viel Vertrauen habe ich dann doch in meine Gäste.

Anders sieht es aus, wenn man z.B. als Gastwirt seinen Gästen, die ja nicht alle namentlich bekannt sind und auch keine besondere Vertrauensbasis vorhanden ist, WLAN anbieten will. In eine ähnliche Kategorie fallen Besucher in einem Betrieb, denen man den Internetzugang ermöglichen will.

Ein wesentliches Problem mit dem PSK ist in allen Szenarien unabhängig vom Vertrauensverhältnis vorhanden. Dritte könnten an den zur Verfügung gestellten PSK gelangen, in dem z.B. der Rechner des Gastes angezapft wird. Die nächste Schadsoftwarewelle könnte sich auf die Liste der konfigurierten WLAN-Zugänge von Smartphones oder Laptops stürzen und unbemerkt diese Information an einen Server funken, der daraus eine weltweite, riesige Datenbank zusammenbaut.

[Lord_Carlos]

Finde ich hübsch. Anzeige auf "elektronischen Bilderrahmen" vielleicht?

Der Bildschirminhalt müßte dazu ja einmal am Tag automatisch geändert werden. Das Auswechseln einer SD-Karte am Bilderrahman würde ich nicht als "automatisch" bezeichnen.

Wlan-SD Karte
Oder gibt sicherlich Bilderrahmen mit Netzwerk.

_________________________

Ich gebe meinen Gaesten einfach Zugang zu meinem kompletten Netzwerk.

[BenutzerGa4gooPh]

Ansonsten kann man einen Onion Pi bauen. Der schützt bekanntlich nicht vor gezielter Überwachung durch Nachrichtendienste, dürfte aber die Abmahnanwälte austricksen. Nachteil ist dort, dass die Gäste irgendwo auf der Welt rauskommen und möglicherweise Geoblocking greift.

Das habe ich jetzt als neue Idee aus dem Thread mitgenommen!

[hec_tech]

Netzsperren halte ich sowieso für nicht durchsetzbar. Da hat wieder mal jemand etwas in ein Gesetz geschrieben und sich nicht überlegt wie das in der Praxis umsetzbar ist.
Da muss man schon mit Proxy arbeiten. Allerdings stelle ich mir sicher zuhause keinen Proxy hin. Die Zeiten von Proxy Servern sind zum glück vorbei. Bei HTTPs außer um Seite zu Sperren sowieso sinnlos.

Das einzige was ich machen kann ist den User anhand seiner MAC Adresse zu sperren mehr ist nicht möglich. Ich kenne leider die Situation in Deutschland nicht genau genug.

Wobei das schweift bald alles weit weg von der ursprünglichen Frage. Wir sind jetzt schon bei der rechtlichen Beurteilung.

[BenutzerGa4gooPh]

Ich müsste das aber mit den Weiterleitungen mal überprüfen. Es ist soviel ich mich erinnern kann immer eine Frage wohin weitergeleitet wird. Wenn man auf eine definierte Webseite weiterleitet sollte alles ok sein. Es gibt aber natürlich die Variante die auf den Originalrequest umleitet. Da entstehen im https Zeitalter meist Probleme.

Die praktikable Weiterleitung auf die Portalseite von Nutzern mit einer Browser-HTTPS-Startseite (also ohne Aushändigung einer "Anleitung" für das CP) würde mich interessieren. In Wikipedia habe ich das gefunden:

Umleitung via HTTP
Beispielkonfiguration anhand der frei verfügbaren Software mOnOwall

Wenn ein nicht autorisierter Client eine Webseite anfordert, wird das DNS abgefragt und die IP wie üblich aufgelöst. Der Browser schickt dann einen HTTP-Request an diese IP-Adresse. Dieser Request wird durch eine Firewall abgefangen und an den Umleitungs-Server geschickt. Dieser beantwortet den Request mit einer normalen HTTP-Response, welche den Statuscode 302: Found enthält, um so den Client auf die Captive-Portalseite umzuleiten. Für den Client ist dieser Vorgang transparent, er muss davon ausgehen, dass die ursprünglich angefragte Webseite diesen Redirect gesendet hat. Eine etwas bessere Variante besteht darin, den Statuscode 511: Network Authentication Required zu verwenden.

Die Umleitung funktioniert nicht, wenn Transport Layer Security (TLS), wie insbesondere bei HTTP Strict Transport Security (HSTS), eingesetzt wird, da hier das Zertifikat als ungültig erkannt wird.[1]

Da bei der HTTP-Umleitung meist der Zugriff auf DNS-Server möglich ist, kann zudem ein DNS-Tunnel verwendet werden, um die Firewall zu umgehen.[1]

Umleitung via DNS

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt. Die Firewall stellt sicher, dass nur ein DNS-Server erreichbar ist, der via DHCP vom Hot-Spot-Betreiber vorgegeben wird (oder alternativ alle DNS Anfragen auf einen solchen umleiten). Der DNS-Server wird auf jede Anfrage die IP-Adresse der Portalseite als Ergebnis zurückmelden. Diese Methode wird allerdings durch die Domain Name System Security Extensions (DNSSEC) unterbunden, da das Zertifikat nicht gültig ist.[1]

IP-Umleitung

Der Datenstrom kann auch durch IP-Umleitung auf der OSI-Schicht 3, mittest einer Redirect Message nach RFC 792, realisiert werden. Das ist aber nicht zu empfehlen, da der dargestellte Inhalt dann nicht mehr der URL entspricht. Auch dies wird durch TLS und DNSSEC unterbunden.
DHCP-Umleitung

Ein Draft der IETF beschäftigt sich derzeit mit der Erkennung von Captive Portals mittels DHCP.[1][2]

https://de.wikipedia.org/wiki/Captive_Portal

[reox]

Well... that escalated quickly

Also allen denen ich einen Gastzugang geben würde, vertraue ich das sie keinen scheiss bauen... Bisher haben die auch einfach mein normales WLAN mitverwendet (wobei das jemand bei mir mal wlan gebraucht hat auch erst 2x vorgekommen ist in 5 jahren - heute hat ja eh jeder LTE, da ist mein 50MBit zum Teil sogar langsamer).
Außerdem bin ich in Österreich, da sieht die Gesetzeslage sowieso wieder anders aus

Grundsätzlich gings mir nur darum, mal zu schauen mit was sich andere schon beschäftigt haben, oft gibt es ja ganz nette Ideen an die man selber noch nicht gedacht hat. Quasi Lösungen zu Problemen, wo man nicht mal wusste das die Probleme existieren.

Danke jedenfalls schonmal für all die Informationen!