Nodogsplash: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „nosplashdog installieren: * unbedingt unsere Firmware >=0.5.2 (spez. VPN features etc.) * UGW und nodogsplas geht noch nicht * ggfs. if ports passend umstellen…“)
 
(Kategorie: Archiv)
 
(9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
nosplashdog installieren:
+
{{Hinweis|Seit der [[Opennet_Firmware/Versionen#0.5.4|Firmware v0.5.4]] ist nodogsplash nicht mehr in Verwendung. Seit dieser Firmware-Version erhalten Nutzende ohne weitere Interaktion sofort Zugang zum Internet. Das Konzept der Einblendung von Portalseiten scheint überholt zu sein.}}
* unbedingt unsere Firmware >=0.5.2 (spez. VPN features etc.)
+
* UGW und nodogsplas geht noch nicht
+
* ggfs. if ports passend umstellen
+
* packet installieren
+
** off. calmer pakete deaktivieren
+
** ergänzen nur noch
+
  
<pre>src/gz opennet http://downloads.on/openwrt/testing/0.5.2-unstable-1349/ar71xx/packages/opennet
+
== Überblick ==
src/gz opennet_base http://downloads.on/openwrt/testing/0.5.2-unstable-1349/ar71xx/packages/base
+
[https://github.com/nodogsplash/nodogsplash Nodogsplash] ist eine Software zur Verkehrssteuerung auf öffentlichen Hotspots. Die Software bietet folgende Funktionen:
src/gz opennet_pckg http://downloads.on/openwrt/testing/0.5.2-unstable-1349/ar71xx/packages/packages
+
* Verkehr von unbekannten Clients mittels Firewall-Regeln verbieten
src/gz opennet_routing http://downloads.on/openwrt/testing/0.5.2-unstable-1349/ar71xx/packages/routing</pre>
+
* ersten http-Zugriff von unbekannten Clients auf eine Portalseite umlenken
 +
* nachfolgende Zugriffe mittels Firewall-Regeln zulassen
  
* avalible pack installieren on-captive-portal
+
Die folgende Beschreibung bezieht sich ausschließlich auf den Betrieb von ''nodogsplash'' innerhalb des Netzwerks der Opennet Initiative.
* reboot
+
 
* oni-extended und Public hotspot nun sichtbar
+
== Inbetriebnahme ==
* on_free an wlan heften und wlan passend einstellen
+
Seit der [[Opennet Firmware/Versionen|Firmware v0.5.2]] ist die opennet-typische Verwendung von ''nodogsplash'' mittels des Moduls ''on-captive-portal'' verfügbar. Zuvor wurde die Software [[Wifidog]] verwendet.
 +
 
 +
Die folgenden Schritte sind für die Inbetriebnahme von ''nodogsplash'' ausreichend:
 +
* wähle im Menü ''Opennet -> Basis -> Module'' den Punkt ''on-captive-portal installieren''
 +
* erstelle ein WLAN-Netzwerk mit der SSID ''join.opennet-initiative.de'' ohne Verschlüsselung (''Administration -> Netzwerk -> Drahtlos'')
 +
* ordne dieses WLAN-Netzwerk dem vorkonfigurierten Netzwerk-Interface ''on_free'' zu
 +
* falls dies noch nicht geschehen ist: erzeuge ein Zertifikat für den Aufbau eines Nutzer-Tunnels für den Internetzugang
 +
 
 +
Sobald der Nutzer-Tunnel aufgebaut ist, wird das konfigurierte WLAN-Netzwerk selbständig aktiviert. Nach dem Aufbau einer WLAN-Verbindung erhalten Clients ohne weitere Interaktion unbeschränkten Zugang zum Internet. Lediglich die erste http-Anfrage (nicht https) wird mittels eines http-Redirects auf die vorkonfigurierte [[Zugangspunkt der Opennet Initiative e.V.|Portalseite]] umgelenkt. Alle nachfolgenden Zugriffe passieren den AP unverändert.
 +
 
 +
== Funktionsweise ==
 +
* der AP baut einen Nutzer-Tunnel für den Zugang ins Internet auf
 +
* sobald der Tunnel aufgebaut ist, wird das Interface ''on_free'' aktiviert (dadurch wird beispielsweise das WLAN sichtbar)
 +
* Verkehrsregeln für das ''on_free''-Netzwerk:
 +
** Verkehr in Richtung des Nutzer-Tunnels wird weitergeleitet
 +
** Zugriffe auf den AP sind nur für DHCP und DNS erlaubt
 +
** alle weiteren Verkehrsarten werden verworfen
 +
 
 +
== Technische Details ==
 +
* die konfigurierte ''on_free''-Netzwerk-Schnittstelle wird parallel zur Verfügbarkeit des Nutzer-Tunnels aktiviert und deaktiviert
 +
** wir wollen vermeiden, dass ein nicht-funktionsfähiges ''join''-Netzwerk ausgestrahlt wird
 +
** die Status-Anpassung erfolgt via hotplug-Skripten und cron-Jobs
 +
* Clients werden anhand ihrer MAC-Adresse identifiziert
 +
* Clients gelten gegenüber nodogsplash entweder als ''unbekannt'' oder ''authentifiziert''
 +
** ''unbekannte'' und ''authentifizierte'' Clients unterscheiden sich lediglich in der Behandlung von http-Zugriffen
 +
** die Authentifizierung erfolgt durch die einmalige Umleitung eines http-Zugriffs auf die konfigurierte Portalseite - dabei ist keine Interaktion erforderlich
 +
* der Client-Verkehr wird mittels Policy-Routing-Regel in den Nutzer-Tunnel gelenkt
 +
** außerdem begrenzen die Firewall-Regeln jeglichen Verkehr in andere Netze
 +
* der Zustand der nodogsplash-Software lässt sich mit folgenden Kommandos prüfen:
 +
    ndsctl status
 +
    ndsctl clients
 +
 
 +
== Besondere Konfigurationen ==
 +
 
 +
Mehrere WLAN-Schnittstellen:
 +
* mit openwrt ist es aktuell nicht möglich, eine Bridge ausschließlich bestehend aus WLAN-Interfaces zu konfigurieren
 +
* mögliche Alternativen:
 +
** zu der wifi-Bridge ein nicht-wifi-Interface hinzufügen
 +
** anstelle der Bridge für jedes zusätzliche WLAN ein neues Interface anlegen (z.B. ''on_free_staticX''):
 +
*** statische IP-Konfiguration (z.B. 172.16.11.0/24)
 +
*** Zuordnung zur Firewall-Zone ''on_free''
 +
*** Firewall-Regel: den Zugriff auf UDP-Port 67 zulassen
 +
*** Wichtig: auf diesem Interface wird die Portal-Seite nicht eingeblendet
 +
 
 +
== Logo ==
 +
 
 +
Stand 2013 wurden alle freien Zugänge auf die einheitliche SSID "join.opennet-initiative.de" getauft und ein entsprechendes Logo und Aufkleber entwickelt. Die Quelle findet sich unter [[Opennet Logo]].
 +
 
 +
[[Datei:Opennet wlan aufkleber logo.png|thumb|left|Aufkleber]]
  
 
[[Kategorie:Firmware]]
 
[[Kategorie:Firmware]]
 +
[[Kategorie:Archiv]]

Aktuelle Version vom 9. April 2019, 21:28 Uhr


Inhaltsverzeichnis

[Bearbeiten] Überblick

Nodogsplash ist eine Software zur Verkehrssteuerung auf öffentlichen Hotspots. Die Software bietet folgende Funktionen:

  • Verkehr von unbekannten Clients mittels Firewall-Regeln verbieten
  • ersten http-Zugriff von unbekannten Clients auf eine Portalseite umlenken
  • nachfolgende Zugriffe mittels Firewall-Regeln zulassen

Die folgende Beschreibung bezieht sich ausschließlich auf den Betrieb von nodogsplash innerhalb des Netzwerks der Opennet Initiative.

[Bearbeiten] Inbetriebnahme

Seit der Firmware v0.5.2 ist die opennet-typische Verwendung von nodogsplash mittels des Moduls on-captive-portal verfügbar. Zuvor wurde die Software Wifidog verwendet.

Die folgenden Schritte sind für die Inbetriebnahme von nodogsplash ausreichend:

  • wähle im Menü Opennet -> Basis -> Module den Punkt on-captive-portal installieren
  • erstelle ein WLAN-Netzwerk mit der SSID join.opennet-initiative.de ohne Verschlüsselung (Administration -> Netzwerk -> Drahtlos)
  • ordne dieses WLAN-Netzwerk dem vorkonfigurierten Netzwerk-Interface on_free zu
  • falls dies noch nicht geschehen ist: erzeuge ein Zertifikat für den Aufbau eines Nutzer-Tunnels für den Internetzugang

Sobald der Nutzer-Tunnel aufgebaut ist, wird das konfigurierte WLAN-Netzwerk selbständig aktiviert. Nach dem Aufbau einer WLAN-Verbindung erhalten Clients ohne weitere Interaktion unbeschränkten Zugang zum Internet. Lediglich die erste http-Anfrage (nicht https) wird mittels eines http-Redirects auf die vorkonfigurierte Portalseite umgelenkt. Alle nachfolgenden Zugriffe passieren den AP unverändert.

[Bearbeiten] Funktionsweise

  • der AP baut einen Nutzer-Tunnel für den Zugang ins Internet auf
  • sobald der Tunnel aufgebaut ist, wird das Interface on_free aktiviert (dadurch wird beispielsweise das WLAN sichtbar)
  • Verkehrsregeln für das on_free-Netzwerk:
    • Verkehr in Richtung des Nutzer-Tunnels wird weitergeleitet
    • Zugriffe auf den AP sind nur für DHCP und DNS erlaubt
    • alle weiteren Verkehrsarten werden verworfen

[Bearbeiten] Technische Details

  • die konfigurierte on_free-Netzwerk-Schnittstelle wird parallel zur Verfügbarkeit des Nutzer-Tunnels aktiviert und deaktiviert
    • wir wollen vermeiden, dass ein nicht-funktionsfähiges join-Netzwerk ausgestrahlt wird
    • die Status-Anpassung erfolgt via hotplug-Skripten und cron-Jobs
  • Clients werden anhand ihrer MAC-Adresse identifiziert
  • Clients gelten gegenüber nodogsplash entweder als unbekannt oder authentifiziert
    • unbekannte und authentifizierte Clients unterscheiden sich lediglich in der Behandlung von http-Zugriffen
    • die Authentifizierung erfolgt durch die einmalige Umleitung eines http-Zugriffs auf die konfigurierte Portalseite - dabei ist keine Interaktion erforderlich
  • der Client-Verkehr wird mittels Policy-Routing-Regel in den Nutzer-Tunnel gelenkt
    • außerdem begrenzen die Firewall-Regeln jeglichen Verkehr in andere Netze
  • der Zustand der nodogsplash-Software lässt sich mit folgenden Kommandos prüfen:
   ndsctl status
   ndsctl clients

[Bearbeiten] Besondere Konfigurationen

Mehrere WLAN-Schnittstellen:

  • mit openwrt ist es aktuell nicht möglich, eine Bridge ausschließlich bestehend aus WLAN-Interfaces zu konfigurieren
  • mögliche Alternativen:
    • zu der wifi-Bridge ein nicht-wifi-Interface hinzufügen
    • anstelle der Bridge für jedes zusätzliche WLAN ein neues Interface anlegen (z.B. on_free_staticX):
      • statische IP-Konfiguration (z.B. 172.16.11.0/24)
      • Zuordnung zur Firewall-Zone on_free
      • Firewall-Regel: den Zugriff auf UDP-Port 67 zulassen
      • Wichtig: auf diesem Interface wird die Portal-Seite nicht eingeblendet

[Bearbeiten]

Stand 2013 wurden alle freien Zugänge auf die einheitliche SSID "join.opennet-initiative.de" getauft und ein entsprechendes Logo und Aufkleber entwickelt. Die Quelle findet sich unter Opennet Logo.

Aufkleber
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge