Nodogsplash

Aus Opennet
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Überblick

Nodogsplash ist eine Software zur Verkehrssteuerung auf öffentlichen Hotspots. Die Software bietet folgende Funktionen:

  • Verkehr von unbekannten Clients mittels Firewall-Regeln verbieten
  • ersten http-Zugriff von unbekannten Clients auf eine Portalseite umlenken
  • nachfolgende Zugriffe mittels Firewall-Regeln zulassen

Die folgende Beschreibung bezieht sich ausschließlich auf den Betrieb von nodogsplash innerhalb des Netzwerks der Opennet Initiative.

Inbetriebnahme

Seit der Firmware v0.5.2 ist die opennet-typische Verwendung von nodogsplash mittels des Moduls on-captive-portal verfügbar. Zuvor wurde die Software Wifidog verwendet.

Die folgenden Schritte sind für die Inbetriebnahme von nodogsplash ausreichend:

  • wähle im Menü Opennet -> Basis -> Module den Punkt on-captive-portal installieren
  • erstelle ein WLAN-Netzwerk mit der SSID join.opennet-initiative.de ohne Verschlüsselung (Administration -> Netzwerk -> Drahtlos)
  • ordne dieses WLAN-Netzwerk dem vorkonfigurierten Netzwerk-Interface on_free zu
  • falls dies noch nicht geschehen ist: erzeuge ein Zertifikat für den Aufbau eines Nutzer-Tunnels für den Internetzugang

Sobald der Nutzer-Tunnel aufgebaut ist, wird das konfigurierte WLAN-Netzwerk selbständig aktiviert. Nach dem Aufbau einer WLAN-Verbindung erhalten Clients ohne weitere Interaktion unbeschränkten Zugang zum Internet. Lediglich die erste http-Anfrage (nicht https) wird mittels eines http-Redirects auf die vorkonfigurierte Portalseite umgelenkt. Alle nachfolgenden Zugriffe passieren den AP unverändert.

Funktionsweise

  • der AP baut einen Nutzer-Tunnel für den Zugang ins Internet auf
  • sobald der Tunnel aufgebaut ist, wird das Interface on_free aktiviert (dadurch wird beispielsweise das WLAN sichtbar)
  • Verkehrsregeln für das on_free-Netzwerk:
    • Verkehr in Richtung des Nutzer-Tunnels wird weitergeleitet
    • Zugriffe auf den AP sind nur für DHCP und DNS erlaubt
    • alle weiteren Verkehrsarten werden verworfen

Technische Details

  • die konfigurierte on_free-Netzwerk-Schnittstelle wird parallel zur Verfügbarkeit des Nutzer-Tunnels aktiviert und deaktiviert
    • wir wollen vermeiden, dass ein nicht-funktionsfähiges join-Netzwerk ausgestrahlt wird
    • die Status-Anpassung erfolgt via hotplug-Skripten und cron-Jobs
  • Clients werden anhand ihrer MAC-Adresse identifiziert
  • Clients gelten gegenüber nodogsplash entweder als unbekannt oder authentifiziert
    • unbekannte und authentifizierte Clients unterscheiden sich lediglich in der Behandlung von http-Zugriffen
    • die Authentifizierung erfolgt durch die einmalige Umleitung eines http-Zugriffs auf die konfigurierte Portalseite - dabei ist keine Interaktion erforderlich
  • der Client-Verkehr wird mittels Policy-Routing-Regel in den Nutzer-Tunnel gelenkt
    • außerdem begrenzen die Firewall-Regeln jeglichen Verkehr in andere Netze
  • der Zustand der nodogsplash-Software lässt sich mit folgenden Kommandos prüfen:
   ndsctl status
   ndsctl clients

Besondere Konfigurationen

Mehrere WLAN-Schnittstellen:

  • mit openwrt ist es aktuell nicht möglich, eine Bridge ausschließlich bestehend aus WLAN-Interfaces zu konfigurieren
  • mögliche Alternativen:
    • zu der wifi-Bridge ein nicht-wifi-Interface hinzufügen
    • anstelle der Bridge für jedes zusätzliche WLAN ein neues Interface anlegen (z.B. on_free_staticX):
      • statische IP-Konfiguration (z.B. 172.16.11.0/24)
      • Zuordnung zur Firewall-Zone on_free
      • Firewall-Regel: den Zugriff auf UDP-Port 67 zulassen
      • Wichtig: auf diesem Interface wird die Portal-Seite nicht eingeblendet

Stand 2013 wurden alle freien Zugänge auf die einheitliche SSID "join.opennet-initiative.de" getauft und ein entsprechendes Logo und Aufkleber entwickelt. Die Quelle findet sich unter Opennet Logo.

Aufkleber
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge