Nodogsplash: Unterschied zwischen den Versionen
Lars (Diskussion | Beiträge) K (Lars verschob Seite Nosplashdog nach Nodogsplash, ohne dabei eine Weiterleitung anzulegen: falscher Name der Software) |
Lars (Diskussion | Beiträge) (Kategorie: Archiv) |
||
(8 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | + | {{Hinweis|Seit der [[Opennet_Firmware/Versionen#0.5.4|Firmware v0.5.4]] ist nodogsplash nicht mehr in Verwendung. Seit dieser Firmware-Version erhalten Nutzende ohne weitere Interaktion sofort Zugang zum Internet. Das Konzept der Einblendung von Portalseiten scheint überholt zu sein.}} | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | == Überblick == | |
− | + | [https://github.com/nodogsplash/nodogsplash Nodogsplash] ist eine Software zur Verkehrssteuerung auf öffentlichen Hotspots. Die Software bietet folgende Funktionen: | |
− | + | * Verkehr von unbekannten Clients mittels Firewall-Regeln verbieten | |
− | + | * ersten http-Zugriff von unbekannten Clients auf eine Portalseite umlenken | |
+ | * nachfolgende Zugriffe mittels Firewall-Regeln zulassen | ||
− | * | + | Die folgende Beschreibung bezieht sich ausschließlich auf den Betrieb von ''nodogsplash'' innerhalb des Netzwerks der Opennet Initiative. |
− | * | + | |
− | * | + | == Inbetriebnahme == |
− | * on_free | + | Seit der [[Opennet Firmware/Versionen|Firmware v0.5.2]] ist die opennet-typische Verwendung von ''nodogsplash'' mittels des Moduls ''on-captive-portal'' verfügbar. Zuvor wurde die Software [[Wifidog]] verwendet. |
+ | |||
+ | Die folgenden Schritte sind für die Inbetriebnahme von ''nodogsplash'' ausreichend: | ||
+ | * wähle im Menü ''Opennet -> Basis -> Module'' den Punkt ''on-captive-portal installieren'' | ||
+ | * erstelle ein WLAN-Netzwerk mit der SSID ''join.opennet-initiative.de'' ohne Verschlüsselung (''Administration -> Netzwerk -> Drahtlos'') | ||
+ | * ordne dieses WLAN-Netzwerk dem vorkonfigurierten Netzwerk-Interface ''on_free'' zu | ||
+ | * falls dies noch nicht geschehen ist: erzeuge ein Zertifikat für den Aufbau eines Nutzer-Tunnels für den Internetzugang | ||
+ | |||
+ | Sobald der Nutzer-Tunnel aufgebaut ist, wird das konfigurierte WLAN-Netzwerk selbständig aktiviert. Nach dem Aufbau einer WLAN-Verbindung erhalten Clients ohne weitere Interaktion unbeschränkten Zugang zum Internet. Lediglich die erste http-Anfrage (nicht https) wird mittels eines http-Redirects auf die vorkonfigurierte [[Zugangspunkt der Opennet Initiative e.V.|Portalseite]] umgelenkt. Alle nachfolgenden Zugriffe passieren den AP unverändert. | ||
+ | |||
+ | == Funktionsweise == | ||
+ | * der AP baut einen Nutzer-Tunnel für den Zugang ins Internet auf | ||
+ | * sobald der Tunnel aufgebaut ist, wird das Interface ''on_free'' aktiviert (dadurch wird beispielsweise das WLAN sichtbar) | ||
+ | * Verkehrsregeln für das ''on_free''-Netzwerk: | ||
+ | ** Verkehr in Richtung des Nutzer-Tunnels wird weitergeleitet | ||
+ | ** Zugriffe auf den AP sind nur für DHCP und DNS erlaubt | ||
+ | ** alle weiteren Verkehrsarten werden verworfen | ||
+ | |||
+ | == Technische Details == | ||
+ | * die konfigurierte ''on_free''-Netzwerk-Schnittstelle wird parallel zur Verfügbarkeit des Nutzer-Tunnels aktiviert und deaktiviert | ||
+ | ** wir wollen vermeiden, dass ein nicht-funktionsfähiges ''join''-Netzwerk ausgestrahlt wird | ||
+ | ** die Status-Anpassung erfolgt via hotplug-Skripten und cron-Jobs | ||
+ | * Clients werden anhand ihrer MAC-Adresse identifiziert | ||
+ | * Clients gelten gegenüber nodogsplash entweder als ''unbekannt'' oder ''authentifiziert'' | ||
+ | ** ''unbekannte'' und ''authentifizierte'' Clients unterscheiden sich lediglich in der Behandlung von http-Zugriffen | ||
+ | ** die Authentifizierung erfolgt durch die einmalige Umleitung eines http-Zugriffs auf die konfigurierte Portalseite - dabei ist keine Interaktion erforderlich | ||
+ | * der Client-Verkehr wird mittels Policy-Routing-Regel in den Nutzer-Tunnel gelenkt | ||
+ | ** außerdem begrenzen die Firewall-Regeln jeglichen Verkehr in andere Netze | ||
+ | * der Zustand der nodogsplash-Software lässt sich mit folgenden Kommandos prüfen: | ||
+ | ndsctl status | ||
+ | ndsctl clients | ||
+ | |||
+ | == Besondere Konfigurationen == | ||
+ | |||
+ | Mehrere WLAN-Schnittstellen: | ||
+ | * mit openwrt ist es aktuell nicht möglich, eine Bridge ausschließlich bestehend aus WLAN-Interfaces zu konfigurieren | ||
+ | * mögliche Alternativen: | ||
+ | ** zu der wifi-Bridge ein nicht-wifi-Interface hinzufügen | ||
+ | ** anstelle der Bridge für jedes zusätzliche WLAN ein neues Interface anlegen (z.B. ''on_free_staticX''): | ||
+ | *** statische IP-Konfiguration (z.B. 172.16.11.0/24) | ||
+ | *** Zuordnung zur Firewall-Zone ''on_free'' | ||
+ | *** Firewall-Regel: den Zugriff auf UDP-Port 67 zulassen | ||
+ | *** Wichtig: auf diesem Interface wird die Portal-Seite nicht eingeblendet | ||
+ | |||
+ | == Logo == | ||
+ | |||
+ | Stand 2013 wurden alle freien Zugänge auf die einheitliche SSID "join.opennet-initiative.de" getauft und ein entsprechendes Logo und Aufkleber entwickelt. Die Quelle findet sich unter [[Opennet Logo]]. | ||
+ | |||
+ | [[Datei:Opennet wlan aufkleber logo.png|thumb|left|Aufkleber]] | ||
[[Kategorie:Firmware]] | [[Kategorie:Firmware]] | ||
+ | [[Kategorie:Archiv]] |
Aktuelle Version vom 9. April 2019, 22:28 Uhr
Seit der Firmware v0.5.4 ist nodogsplash nicht mehr in Verwendung. Seit dieser Firmware-Version erhalten Nutzende ohne weitere Interaktion sofort Zugang zum Internet. Das Konzept der Einblendung von Portalseiten scheint überholt zu sein. |
Inhaltsverzeichnis |
[Bearbeiten] Überblick
Nodogsplash ist eine Software zur Verkehrssteuerung auf öffentlichen Hotspots. Die Software bietet folgende Funktionen:
- Verkehr von unbekannten Clients mittels Firewall-Regeln verbieten
- ersten http-Zugriff von unbekannten Clients auf eine Portalseite umlenken
- nachfolgende Zugriffe mittels Firewall-Regeln zulassen
Die folgende Beschreibung bezieht sich ausschließlich auf den Betrieb von nodogsplash innerhalb des Netzwerks der Opennet Initiative.
[Bearbeiten] Inbetriebnahme
Seit der Firmware v0.5.2 ist die opennet-typische Verwendung von nodogsplash mittels des Moduls on-captive-portal verfügbar. Zuvor wurde die Software Wifidog verwendet.
Die folgenden Schritte sind für die Inbetriebnahme von nodogsplash ausreichend:
- wähle im Menü Opennet -> Basis -> Module den Punkt on-captive-portal installieren
- erstelle ein WLAN-Netzwerk mit der SSID join.opennet-initiative.de ohne Verschlüsselung (Administration -> Netzwerk -> Drahtlos)
- ordne dieses WLAN-Netzwerk dem vorkonfigurierten Netzwerk-Interface on_free zu
- falls dies noch nicht geschehen ist: erzeuge ein Zertifikat für den Aufbau eines Nutzer-Tunnels für den Internetzugang
Sobald der Nutzer-Tunnel aufgebaut ist, wird das konfigurierte WLAN-Netzwerk selbständig aktiviert. Nach dem Aufbau einer WLAN-Verbindung erhalten Clients ohne weitere Interaktion unbeschränkten Zugang zum Internet. Lediglich die erste http-Anfrage (nicht https) wird mittels eines http-Redirects auf die vorkonfigurierte Portalseite umgelenkt. Alle nachfolgenden Zugriffe passieren den AP unverändert.
[Bearbeiten] Funktionsweise
- der AP baut einen Nutzer-Tunnel für den Zugang ins Internet auf
- sobald der Tunnel aufgebaut ist, wird das Interface on_free aktiviert (dadurch wird beispielsweise das WLAN sichtbar)
- Verkehrsregeln für das on_free-Netzwerk:
- Verkehr in Richtung des Nutzer-Tunnels wird weitergeleitet
- Zugriffe auf den AP sind nur für DHCP und DNS erlaubt
- alle weiteren Verkehrsarten werden verworfen
[Bearbeiten] Technische Details
- die konfigurierte on_free-Netzwerk-Schnittstelle wird parallel zur Verfügbarkeit des Nutzer-Tunnels aktiviert und deaktiviert
- wir wollen vermeiden, dass ein nicht-funktionsfähiges join-Netzwerk ausgestrahlt wird
- die Status-Anpassung erfolgt via hotplug-Skripten und cron-Jobs
- Clients werden anhand ihrer MAC-Adresse identifiziert
- Clients gelten gegenüber nodogsplash entweder als unbekannt oder authentifiziert
- unbekannte und authentifizierte Clients unterscheiden sich lediglich in der Behandlung von http-Zugriffen
- die Authentifizierung erfolgt durch die einmalige Umleitung eines http-Zugriffs auf die konfigurierte Portalseite - dabei ist keine Interaktion erforderlich
- der Client-Verkehr wird mittels Policy-Routing-Regel in den Nutzer-Tunnel gelenkt
- außerdem begrenzen die Firewall-Regeln jeglichen Verkehr in andere Netze
- der Zustand der nodogsplash-Software lässt sich mit folgenden Kommandos prüfen:
ndsctl status ndsctl clients
[Bearbeiten] Besondere Konfigurationen
Mehrere WLAN-Schnittstellen:
- mit openwrt ist es aktuell nicht möglich, eine Bridge ausschließlich bestehend aus WLAN-Interfaces zu konfigurieren
- mögliche Alternativen:
- zu der wifi-Bridge ein nicht-wifi-Interface hinzufügen
- anstelle der Bridge für jedes zusätzliche WLAN ein neues Interface anlegen (z.B. on_free_staticX):
- statische IP-Konfiguration (z.B. 172.16.11.0/24)
- Zuordnung zur Firewall-Zone on_free
- Firewall-Regel: den Zugriff auf UDP-Port 67 zulassen
- Wichtig: auf diesem Interface wird die Portal-Seite nicht eingeblendet
[Bearbeiten] Logo
Stand 2013 wurden alle freien Zugänge auf die einheitliche SSID "join.opennet-initiative.de" getauft und ein entsprechendes Logo und Aufkleber entwickelt. Die Quelle findet sich unter Opennet Logo.