Gästewlan - ideen?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Gästewlan - ideen?

Beitrag von MSfree » 25.10.2017 11:18:52

Jana66 hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 10:42:49
Finde ich hübsch. Anzeige auf "elektronischen Bilderrahmen" vielleicht?
Ja, so etwas in der Art. Elektronische Bilderrahmen, zumindest die, die man überall in den Ich-bin-doch-nicht-Blöd-Märkten findet, sind aber ungeeignet. Der Bildschirminhalt müßte dazu ja einmal am Tag automatisch geändert werden. Das Auswechseln einer SD-Karte am Bilderrahman würde ich nicht als "automatisch" bezeichnen.

Für die Raspis gibt es aber relativ preiswerte Displays zum Ausstecken. Für die ASCII-Anzeige von SSID und PSK würde sogar ein 2-zeiliges LCD reichen, die bekommt man für ein paar Euro zu kaufen, dann muß man aber ein bißchen löten.

BenutzerGa4gooPh

Re: Gästewlan - ideen?

Beitrag von BenutzerGa4gooPh » 25.10.2017 11:19:09

hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Meinst du eine bestehende MAC zu verwenden um die Auth zu umgehen oder wie? Möglich ist vieles aber nachdem vorher sowieso WPA2-PSK ist mache ich mir da keine Sorge.
Die Umgehung der Authentifizierung durch Spoofing meinte ich. Aber okay, wenn man zusätzlich WPA2-PSK einsetzt, wird es schwierig. Da würde ich mir auch keine Sorgen machen. Sicher ist nur der Tod.
hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Man sollte eben Unterscheiden ob ein WLAN öffentlich ist oder für Gäste da ist. Das macht natürlich einen Unterschied.
Rechtlich wirklich unterschieden? Ich denke mal so an Hotel-WLAN. Fällt wohl unter TMG. Demzufolge mein Gast-WLAN auch.
hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Man kann Captive Portal sowohl http als auch mit https machen. Beides ist möglich. Ich müsste das aber mit den Weiterleitungen mal überprüfen.
Ich hatte das mal mit Linksys-Accesspoint (LAPAC2600 Pro) probiert, der hatte CP on board. Umleitung auf CP-Seite ging nur mit http. Ne PFSense oder ein Proxy kann sicher mehr.
hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Eventuell noch die Firewall.
Nicht nur eventuell - bei entsprechender Log-Einstellung. Inhalte bei Verschlüsselung nicht, aber die IP-Verbindungen sieht die FW schon.
hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Wer sich aber wann mit welcher MAC angemeldet hat steht mir schon frei zu speichern. Ich wüsste nicht welche Vorschrift dem entgegensteht.
Ich hatte oben einige Fragezeichen dazu gemacht. :wink: Nur Anmeldedaten zu loggen, ist 'ne Idee! :THX:

Edit:
Es geht beim CP weniger darum technisch etwas einzuschränken als von einem User die Zustimmung zu den Bedingungen zu bekommen.
Schützt dich nicht vor Netzsperren - wenn die Gäste dagegen verstoßen.
Zuletzt geändert von BenutzerGa4gooPh am 25.10.2017 11:39:05, insgesamt 2-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Gästewlan - ideen?

Beitrag von MSfree » 25.10.2017 11:32:15

jph hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:14:30
Angesichts der Erwartungshaltung, dass die Gäste mit dem Zugang Schindluder treiben werden, würde ich mir an Stelle des OP überlegen, ob ich überhaupt Gäste-WLAN anbieten möchte.
So scharf würde ich das jetzt nicht sehen. Ich kann mir meine Gäste immer noch aussuchen und ich glaube auch nicht, daß die gezielt mit meinem Internetzugang Schindluder treiben werden. So viel Vertrauen habe ich dann doch in meine Gäste.

Anders sieht es aus, wenn man z.B. als Gastwirt seinen Gästen, die ja nicht alle namentlich bekannt sind und auch keine besondere Vertrauensbasis vorhanden ist, WLAN anbieten will. In eine ähnliche Kategorie fallen Besucher in einem Betrieb, denen man den Internetzugang ermöglichen will.

Ein wesentliches Problem mit dem PSK ist in allen Szenarien unabhängig vom Vertrauensverhältnis vorhanden. Dritte könnten an den zur Verfügung gestellten PSK gelangen, in dem z.B. der Rechner des Gastes angezapft wird. Die nächste Schadsoftwarewelle könnte sich auf die Liste der konfigurierten WLAN-Zugänge von Smartphones oder Laptops stürzen und unbemerkt diese Information an einen Server funken, der daraus eine weltweite, riesige Datenbank zusammenbaut.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Gästewlan - ideen?

Beitrag von Lord_Carlos » 25.10.2017 11:34:19

MSfree hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:18:52
Jana66 hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 10:42:49
Finde ich hübsch. Anzeige auf "elektronischen Bilderrahmen" vielleicht?
Der Bildschirminhalt müßte dazu ja einmal am Tag automatisch geändert werden. Das Auswechseln einer SD-Karte am Bilderrahman würde ich nicht als "automatisch" bezeichnen.
Wlan-SD Karte :)
Oder gibt sicherlich Bilderrahmen mit Netzwerk.

_________________________

Ich gebe meinen Gaesten einfach Zugang zu meinem kompletten Netzwerk.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

BenutzerGa4gooPh

Re: Gästewlan - ideen?

Beitrag von BenutzerGa4gooPh » 25.10.2017 11:36:39

jph hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:14:30
Ansonsten kann man einen Onion Pi bauen. Der schützt bekanntlich nicht vor gezielter Überwachung durch Nachrichtendienste, dürfte aber die Abmahnanwälte austricksen. Nachteil ist dort, dass die Gäste irgendwo auf der Welt rauskommen und möglicherweise Geoblocking greift.
Das habe ich jetzt als neue Idee aus dem Thread mitgenommen! :THX:

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Gästewlan - ideen?

Beitrag von hec_tech » 25.10.2017 11:46:45

Netzsperren halte ich sowieso für nicht durchsetzbar. Da hat wieder mal jemand etwas in ein Gesetz geschrieben und sich nicht überlegt wie das in der Praxis umsetzbar ist.
Da muss man schon mit Proxy arbeiten. Allerdings stelle ich mir sicher zuhause keinen Proxy hin. Die Zeiten von Proxy Servern sind zum glück vorbei. Bei HTTPs außer um Seite zu Sperren sowieso sinnlos.

Das einzige was ich machen kann ist den User anhand seiner MAC Adresse zu sperren mehr ist nicht möglich. Ich kenne leider die Situation in Deutschland nicht genau genug.

Wobei das schweift bald alles weit weg von der ursprünglichen Frage. Wir sind jetzt schon bei der rechtlichen Beurteilung.

BenutzerGa4gooPh

Re: Gästewlan - ideen?

Beitrag von BenutzerGa4gooPh » 25.10.2017 14:31:35

hec_tech hat geschrieben: ↑ zum Beitrag ↑
25.10.2017 11:00:02
Ich müsste das aber mit den Weiterleitungen mal überprüfen. Es ist soviel ich mich erinnern kann immer eine Frage wohin weitergeleitet wird. Wenn man auf eine definierte Webseite weiterleitet sollte alles ok sein. Es gibt aber natürlich die Variante die auf den Originalrequest umleitet. Da entstehen im https Zeitalter meist Probleme.
Die praktikable Weiterleitung auf die Portalseite von Nutzern mit einer Browser-HTTPS-Startseite (also ohne Aushändigung einer "Anleitung" für das CP) würde mich interessieren. In Wikipedia habe ich das gefunden:
Umleitung via HTTP
Beispielkonfiguration anhand der frei verfügbaren Software mOnOwall

Wenn ein nicht autorisierter Client eine Webseite anfordert, wird das DNS abgefragt und die IP wie üblich aufgelöst. Der Browser schickt dann einen HTTP-Request an diese IP-Adresse. Dieser Request wird durch eine Firewall abgefangen und an den Umleitungs-Server geschickt. Dieser beantwortet den Request mit einer normalen HTTP-Response, welche den Statuscode 302: Found enthält, um so den Client auf die Captive-Portalseite umzuleiten. Für den Client ist dieser Vorgang transparent, er muss davon ausgehen, dass die ursprünglich angefragte Webseite diesen Redirect gesendet hat. Eine etwas bessere Variante besteht darin, den Statuscode 511: Network Authentication Required zu verwenden.

Die Umleitung funktioniert nicht, wenn Transport Layer Security (TLS), wie insbesondere bei HTTP Strict Transport Security (HSTS), eingesetzt wird, da hier das Zertifikat als ungültig erkannt wird.[1]

Da bei der HTTP-Umleitung meist der Zugriff auf DNS-Server möglich ist, kann zudem ein DNS-Tunnel verwendet werden, um die Firewall zu umgehen.[1]

Umleitung via DNS

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt. Die Firewall stellt sicher, dass nur ein DNS-Server erreichbar ist, der via DHCP vom Hot-Spot-Betreiber vorgegeben wird (oder alternativ alle DNS Anfragen auf einen solchen umleiten). Der DNS-Server wird auf jede Anfrage die IP-Adresse der Portalseite als Ergebnis zurückmelden. Diese Methode wird allerdings durch die Domain Name System Security Extensions (DNSSEC) unterbunden, da das Zertifikat nicht gültig ist.[1]

IP-Umleitung

Der Datenstrom kann auch durch IP-Umleitung auf der OSI-Schicht 3, mittest einer Redirect Message nach RFC 792, realisiert werden. Das ist aber nicht zu empfehlen, da der dargestellte Inhalt dann nicht mehr der URL entspricht. Auch dies wird durch TLS und DNSSEC unterbunden.
DHCP-Umleitung

Ein Draft der IETF beschäftigt sich derzeit mit der Erkennung von Captive Portals mittels DHCP.[1][2]
https://de.wikipedia.org/wiki/Captive_Portal

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Gästewlan - ideen?

Beitrag von reox » 25.10.2017 19:19:32

Well... that escalated quickly :D

Also allen denen ich einen Gastzugang geben würde, vertraue ich das sie keinen scheiss bauen... Bisher haben die auch einfach mein normales WLAN mitverwendet (wobei das jemand bei mir mal wlan gebraucht hat auch erst 2x vorgekommen ist in 5 jahren - heute hat ja eh jeder LTE, da ist mein 50MBit zum Teil sogar langsamer).
Außerdem bin ich in Österreich, da sieht die Gesetzeslage sowieso wieder anders aus ;)

Grundsätzlich gings mir nur darum, mal zu schauen mit was sich andere schon beschäftigt haben, oft gibt es ja ganz nette Ideen an die man selber noch nicht gedacht hat. Quasi Lösungen zu Problemen, wo man nicht mal wusste das die Probleme existieren.

Danke jedenfalls schonmal für all die Informationen!

Antworten