OPNsense Forum

International Forums => German - Deutsch => Topic started by: marcy on June 16, 2017, 08:51:15 am

Title: OPNSense nur für Captive Portal
Post by: marcy on June 16, 2017, 08:51:15 am

Guten Morgen,

besteht die Möglichkeit OPNSense in einem relativ einfachen Aufbau nur als Betreiber für ein Captive Portal (und die dahinterliegende Authentifikation) zu nutzen?

Ich habe mehrere Standorte, die mit FortiGate-Firewalls ausgestattet sind, hier würde ich gerne ein Guest-WiFi konfigurieren und das zentrale OPNSense als Captive Portal angeben.

Der Breakout für Internet soll aber nicht zentral über die OPNSense erfolgen, sondern  lokal an jedem Standort über die FortiGate-Firewall.

Lässt sich so eine Konfiguration über OPNSense abbilden?

Title: Re: OPNSense nur für Captive Portal
Post by: fabian on June 16, 2017, 09:05:29 am

Sollte funktionieren, auch wenn es ein etwas "komisches" setup ist. Kann die FortiGate denn kein Captive-Portal? Falls die es kann würde es meiner Meinung nach mehr Sinn machen, da einen Access Point anzuschließen.

Falls das wirklich so gewollt ist:
* NAT auf WAN (outbound NAT) deaktivieren
* statische Routen auf der FortiGate für das Netz konfigurieren bzw. ein Routingprotokoll verwenden
* Captive-Portal konfigurieren

Dann sollte es gehen.

WAN ist irgendein LAN / eine DMZ der Fortigate
LAN ist Konfigurationsschnittstelle
WLAN: was auch immer du brauchst; Schnittstelle auf der das Captive-Portal läuft

Firewall (OPNsense):
WLAN -> LAN: blockieren
WLAN -> WAN erlaubt (macht dann eh die FortiGate)
LAN -> * erlaubt (Im LAN sollte nur dein Managementrechner hängen)
WAN -> LAN blockieren (Management-Computer sollte nicht erreichbar sein, auch das GUI nicht)
WAN -> WLAN teilweise erlauben (dass man die Hosts im WLAN z. B. pingen kann oder was auch immer du brauchst)

Title: Re: OPNSense nur für Captive Portal
Post by: marcy on June 16, 2017, 09:10:14 am

Hi,

die FortiGate kann auch Captive-Portal, aber ich hätte gern ein zentrales Captive-Portal, was ich nur an einer Stelle pflegen muss.
Außerdem kommt zum Tragen, dass an manchen Standorten auch andere WiFi-Hardware steht, die kein Captive kann, nur external Captive.

Title: Re: OPNSense nur für Captive Portal
Post by: fabian on June 16, 2017, 11:22:09 am

Also ein Captive Portal mit RADIUS-Backend? Sollte gehen. Die Voucher gehen aber nur lokal - können aber mit der API erzeugt werden (es ist sehr einfach neue Voucher zu erzeugen).