So richten Sie ein Captive-Portal mit pfSense ein

Autor: Peter Berry

Erstelldatum: 18 Juli 2021

Aktualisierungsdatum: 18 November 2024

Inhalt

Was macht pfSense?
So richten Sie ein Basisportal ohne Authentifizierung ein
Tipps zur Fehlerbehebung
Authentifizierung verwenden
Lokale Benutzer erstellen
Benutzerkonto konfigurieren
So passen Sie die Portalseite an
Sonstige Einstellungen und Leistungshinweise
Verbessernde Leistung

Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.

Was macht pfSense?

pfSense bietet eine einfache Möglichkeit, ein Captive-Portal für Ihr Netzwerk einzurichten. Über das Portal können Sie die Benutzer in Ihrem Netzwerk auf eine bestimmte Webseite leiten, bevor sie auf das Internet zugreifen dürfen. Die Webseite kann eine einfache Seite mit Anweisungen und Nutzungsbedingungen sein oder eine Seite, für deren Authentifizierung ein Benutzername und ein Kennwort erforderlich sind.

Captive-Portale werden am häufigsten für drahtlose Hotspots verwendet. Wenn Sie jemals das drahtlose Netzwerk in einem Hotel oder Flughafen genutzt haben, haben Sie höchstwahrscheinlich durch ein Portal geklickt, bevor Sie online gehen konnten. Sie können auch für Kabelverbindungen für Business Center, Internetcafés oder Ihr Zuhause verwendet werden!

Sobald das Portal aktiviert wurde, wird jeder Computer, der als Gateway auf den pfSense-Router verweist, automatisch auf die Zielseite des Portals umgeleitet.

So richten Sie ein Basisportal ohne Authentifizierung ein

Zuerst zeige ich Ihnen, wie Sie ein Basisportal ohne Authentifizierung einrichten. Clients, die eine Verbindung zum Netzwerk herstellen, werden auf eine HTML-Seite Ihrer Wahl umgeleitet. Diese Seite kann jede gewünschte Nachricht oder jedes gewünschte Bild anzeigen. Sie müssen durch Klicken auf die Schaltfläche Weiter durch das Portal klicken, bevor ihnen Zugriff auf das Netzwerk gewährt wird.

1. Aktivieren Sie das Captive-Portal: Um das Portal zu aktivieren, klicken Sie auf das Captive-Portal, das sich im Servicemenü von pfSense befindet. Aktivieren Sie das Kontrollkästchen "Captive-Portal aktivieren".

2. Wählen Sie die Schnittstelle: Die meisten Benutzer wählen die LAN-Schnittstelle aus. Das Captive-Portal kann jeweils nur auf einer Schnittstelle ausgeführt werden, und pfSense kann nicht als Reverse-Portal fungieren.

3. Laden Sie eine Portalseite hoch: Sie müssen eine HTML / PHP-Datei hochladen, um sie als Zielseite für Clients zu verwenden, die eine Verbindung zum Portal herstellen.

Klicken Sie im Abschnitt "Inhalt der Portalseite" auf die Schaltfläche "Datei auswählen" und wählen Sie die HTML-Seite aus, die Sie verwenden möchten. Wenn Sie fertig sind, klicken Sie unten auf der Seite auf die Schaltfläche Speichern, um die Änderungen zu übernehmen.

Um zu überprüfen, ob Ihre HTML-Datei erfolgreich hochgeladen wurde, klicken Sie auf die Schaltfläche "Aktuelle Seite anzeigen" direkt unter dem Feld zum Hochladen der HTML-Datei.

4. Testen Sie das Basisportal: Um sicherzustellen, dass alles funktioniert, versuchen Sie einfach, von einem Computer im Netzwerk aus auf eine Webseite zuzugreifen.

Wenn alles richtig funktioniert, wird der Browser zur Zielseite umgeleitet. Sobald Sie auf Weiter klicken, sollte der Browser mit der ursprünglich angeforderten URL fortfahren.

Tipps zur Fehlerbehebung

Wenn die Portalseite nicht geladen wird, überprüfen Sie, ob die HTML-Datei korrekt hochgeladen wurde.
Wenn das Captive-Portal auf einer VLAN-Schnittstelle ausgeführt wird, stellen Sie sicher, dass das übergeordnete VLAN keiner anderen Schnittstelle zugewiesen ist.

Authentifizierung verwenden

Ein weiterer beliebter Grund für die Verwendung von Captive-Portalen ist die Bereitstellung eines Systems zur Authentifizierung von Benutzern, bevor ihnen der Zugriff auf das Internet gewährt wird.

Benutzern, die keinen gültigen Benutzernamen und kein gültiges Kennwort haben, wird kein Zugriff auf das Netzwerk gewährt.

Lokale Datenbank vs Radius

Die einfachste Möglichkeit, die Authentifizierung einzurichten, besteht darin, die lokale Benutzerdatenbank auf pfSense zu verwenden. Wenn Sie viele Benutzer verwalten müssen, würde ich die Radiusauthentifizierung empfehlen, da diese viel flexibler ist.

Sie können das Captive-Portal so konfigurieren, dass es auf einen Remote-Radius-Server verweist, oder Sie können das FreeRadius-Paket direkt auf pfSense installieren. Radius lässt sich gut in vorhandene Authentifizierungssysteme wie Active Directory usw. integrieren.

Ersteinrichtung

Befolgen Sie zunächst die Schritte im vorherigen Abschnitt, um das Captive-Portal zu aktivieren und eine Schnittstelle auszuwählen.

HTML ändern

Damit dies funktioniert, müssen Sie eine etwas andere HTML-Landingpage verwenden, die Felder für Benutzername und Passwort enthält. Sie können meine Beispiel-HTML-Seite überprüfen und an Ihre Bedürfnisse anpassen. Befolgen Sie die Anweisungen in Schritt 4 des vorherigen Abschnitts, um die Seite hochzuladen.

Für diese Beispiele zeige ich ziemlich einfache Zielseiten, aber ich werde Ihnen später zeigen, wie Sie sie anpassen können.

Aktivieren der Authentifizierung

Um die Authentifizierung zu aktivieren, wählen Sie entweder die lokale Authentifizierung oder die Radiusauthentifizierung auf der Seite mit den Einstellungen für das Captive-Hauptportal. Klicken Sie auf die Schaltfläche Speichern, um die Änderungen zu aktivieren.

Lokale Benutzer erstellen

Wenn Sie den lokalen Benutzermanager als Authentifizierungsmethode ausgewählt haben, müssen Sie einige Benutzer erstellen. Wenn Sie vorhaben, eine große Anzahl von Benutzern einzurichten, würde ich empfehlen, anstelle der lokalen Datenbank Radius, LDAP oder Active Directory zu verwenden.

Wenn Sie nicht erwarten, viele Konten einzurichten, funktioniert diese Option gut, weil sie so einfach ist. In einigen Fällen möchten Sie möglicherweise, dass Benutzer einen gemeinsamen Benutzernamen und ein gemeinsames Kennwort verwenden. Dies ist auch eine absolut gültige Option.

Um Benutzer in pfSense zu erstellen, öffnen Sie den Benutzermanager, der sich im Systemmenü befindet. Klicken Sie dann einfach auf das Pluszeichen, um einen neuen Benutzer zu erstellen.

Benutzerkonto konfigurieren

Um einen einfachen Benutzer zu erstellen, müssen Sie nur einen Benutzernamen und ein Passwort eingeben. Es gibt jedoch noch einige andere nützliche Optionen, die es wert sind, überprüft zu werden.

Haltbarkeitsdatum: Mit dieser Option können Sie ein Datum definieren, an dem das Konto automatisch abläuft. Wenn Sie also wissen, dass das Konto nur vorübergehend ist, müssen Sie das Konto nicht mehr manuell deaktivieren. Wenn Sie dieses Feld leer lassen, ist das Konto immer aktiv.
Gruppenmitgliedschaft: Gruppen sind praktisch, um Ihre Benutzer zu organisieren. Gruppen kann Zugriff zugewiesen werden, um bestimmte Teile der pfSense-Web-GUI zu verwalten. Für die Zwecke der Portalgruppen sind sie wirklich nicht so nützlich.

So passen Sie die Portalseite an

Wenn Sie möchten, dass die Zielseite des Portals ein bisschen schöner aussieht, können Sie Ihre eigenen Bilder und benutzerdefinierten PHP-Code hinzufügen.

Um ein Bild hochzuladen, klicken Sie in den Einstellungen des Captive-Portals auf die Registerkarte Dateimanager. Damit Dateien vom Portal verwendet werden können, müssen sie im Dateinamen das Präfix "captiveportal-" haben.

Sie können dann mit Standard-HTML-Bild-Tags auf die Dateien verweisen. Um ein Beispiel zu sehen, laden Sie die HTML-Seite mit einem Bildlink herunter, den ich unten erstellt habe.

Sonstige Einstellungen und Leistungshinweise

Auf der Hauptseite des Captive-Portals gibt es eine Reihe weiterer Einstellungen, die Sie anpassen können, um die Funktionsweise des Portals anzupassen. Nachfolgend finden Sie die Beschreibungen einiger Einstellungen, die ich für nützlich halte.

Leerlaufzeitüberschreitung: Wenn ein Benutzer eine bestimmte Anzahl von Minuten inaktiv ist, wird er automatisch getrennt. Ich empfehle, ein Leerlaufzeitlimit festzulegen, um zu verhindern, dass Ressourcen auf Ihrem pfSense-System gebunden werden. Sie möchten das Zeitlimit nicht zu niedrig einstellen, da Ihre Benutzer sonst frustriert sind. Selbst wenn Sie es auf etwa 8 Stunden einstellen, hilft dies.
Umleitungs-URL: Standardmäßig fahren Benutzer mit der Webseite fort, die sie ursprünglich angefordert haben, nachdem sie das Portal durchlaufen haben. Mit dieser Einstellung können Sie erzwingen, dass Clients nach dem Herstellen einer Verbindung zu einer Seite Ihrer Wahl geleitet werden. Benutzer können dann eine neue URL eingeben und normal im Internet surfen.
Gleichzeitige Benutzeranmeldungen: Durch Aktivieren dieser Einstellung wird nur eine Verbindung zum Portal pro Benutzer zugelassen. Dadurch wird verhindert, dass Benutzer mehrere Verbindungen mit demselben Benutzernamen und Kennwort herstellen.

Verbessernde Leistung

Wenn Sie ein Captive-Portalsystem ausführen, teilen Sie höchstwahrscheinlich eine einzelne Internetverbindung mit mehreren Benutzern. Wenn ja, empfehle ich, pfSense so zu konfigurieren, dass es als transparenter Proxyserver um die Internetbandbreite zu schonen.

Vielleicht möchten Sie auch berücksichtigen Einrichten der Verkehrsformung um die Leistung Ihrer gemeinsam genutzten Verbindung weiter zu verbessern. Traffic Shaping kann verhindern, dass Benutzer, die Dateien herunterladen, die Bandbreite missbrauchen.

Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.