Ich suche nach etwas, das (möglichst viel von) Folgendem leistet:
- stellt einen WLAN Access Point für die öffentliche Nutzung bereit (zum Beispiel in einer Bar)
- dient als transparenter Proxy und zwingt Benutzer, sich vor dem Surfen selbst anzumelden
- sicher (d. h. Benutzer können nicht in das angeschlossene LAN gelangen und nur zulässige Protokolle verwenden)
- einfach zu installieren (monolithische/in sich geschlossene Linux-Distribution?)
- einfach zu konfigurieren, vorzugsweise per Web-Interface
- möglicherweise bandbreitengesteuert, sodass Benutzer nicht die gesamte verfügbare Bandbreite aufbrauchen können
- ggf. mit ablaufenden Zugriffen (zeitlich begrenzte Logins oder Einmalpasswörter)
- kostenlos :-)
Ich weiß, dass ChilliSpot die Dinge aus dieser Liste kann, vielleicht könnte mandd-wrtum einen Router zu modifizieren… Aber vielleicht fehlt mir einfach die ideale „Fire-and-Forget“-Lösung, von der ich einfach noch nie gehört habe.
Was sind Ihre Ideen?
Antwort1
Vieles davon müsste nicht unbedingt im Wireless-Zugriffspunkt liegen. Wenn Sie über ein LAN verfügen, können Sie den Zugriffspunkt an einen Port anschließen, der auf einem separaten VLAN konfiguriert ist. Dadurch wird der Zugriff auf Systeme in Ihrem kabelgebundenen Netzwerk abgeschirmt.
Sie können Ihren Router/Ihre Firewall so konfigurieren, dass bestimmte Ein- und Ausgangspunkte aus dem VLAN-Bereich zugelassen oder nicht zugelassen werden. Sie können auch Bandbreitenkontingente und QoS von der Firewall aus verwalten. Alternativ können Sie eine verwaltete Firewall wie Smoothwall zwischen dem Zugriffspunkt und dem Switch platzieren, wenn Sie die Dinge noch weiter trennen möchten. Ohne zu wissen, in welcher physischen Umgebung Sie arbeiten, ist es schwer, wirklich Ideen vorzuschlagen (brauchen Sie beispielsweise eine Überbrückung mehrerer Zugriffspunkte, wie es Apples Airports können? Oder etwas High-End wie Cisco WAPs? Oder versuchen Sie, etwas mit billigen SOHO-Zugriffspunkten zu basteln, die normalerweise innerhalb von sechs Monaten bis einem Jahr durchbrennen, wenn sie der Luft ausgesetzt werden?)
Dadurch werden Ihre Anforderungen an den Zugriffspunkt vereinfacht, da Sie praktisch alles verwenden können, was zu diesem Zeitpunkt angeschlossen ist, und Router, Firewall und Switch die Schwerarbeit übernehmen.
Für ablaufende Zugangs- und Anmeldeinformationen benötigen Sie wahrscheinlich eine Lösung von Cisco oder einem anderen Anbieter, die denen ähnelt, die andere Cafés verwenden. Ich glaube, es gibt einige Open-Source-Server im Internetcafé-Stil, die diese Art von Funktion handhaben, bei denen alle Zugriffe zuerst auf einen „Vereinbarungsakzeptanz“-Server umgeleitet werden, bevor ausgehende Zugriffe zugelassen werden, oder Sie können sich auf Protokolle verlassen, die MAC-Adressen und IPs überwachen, um den Zugriff zu überwachen (auch hier geben Sie nicht den Veranstaltungsort an, wie dauerhaft dies ist, wie hoch die Belastung der drahtlosen Infrastruktur ist usw.).
Wenn Sie einen großen oder stark ausgelasteten Bereich abdecken, tun Sie sich einfach einen Gefallen und stellen Sie sicher, dass Sie nicht zehn Access Points mit zehn SSIDs verwenden. Sie sollten eine SSID haben, die anderen Systeme sind über Extender und Bridges online. Ich war kürzlich in einem Hotel, in dem mehrere SSIDs angezeigt wurden, und das schreit nach Unprofessionalität (oder Hack... andere Leute im Hotel könnten verbundene Benutzer ausspioniert haben, die sich als Access Point des Hotels ausgaben).
Die richtige Skalierung des drahtlosen Zugriffs ist schwierig. Wenn Sie eine kleine Einrichtung wünschen, ist das eine Sache, aber wenn Sie anspruchsvolle Anforderungen haben, müssen Sie im Voraus planen.
Ich weiß, dass Sie nach einer Möglichkeit suchen, einen WAP zu konfigurieren, den Sie einfach einbinden und der dann automatisch funktioniert. Ich kenne jedoch keine Lösung dieser Art, die sich gut skalieren lässt. Meiner Erfahrung nach ist es am einfachsten, eine zuverlässige Infrastruktur zu haben, die die harte Arbeit übernimmt, und das Ganze von dort aus zu verwalten. Andernfalls müssen Sie eine Reihe einzelner Knoten verwalten und sicherstellen, dass sie alle ordnungsgemäß funktionieren. Wenn Sie in Ihrem kabelgebundenen Setup eine Firewall und eine VLAN-Konfiguration haben, können Sie WAP ersetzen oder Ihr kabelloses Setup erweitern, ohne sich groß Gedanken machen zu müssen, außer sicherzustellen, dass es an einen VLAN-Port des Switches angeschlossen ist. Dies ist die ultimative Plug-and-Play-Lösung. Es bedeutet nur zunächst mehr harte Arbeit, um es richtig zu machen.
Versuchen Sie andererseits eine temporäre oder halbmobile drahtlose Struktur? Ein Mesh-Netzwerk? Großes Abdeckungsfeld oder ein einzelnes WAP (warum dann eine Konfigurations-und-Vergessen-Lösung)? Ich gehe dabei davon aus, dass Sie ein konfiguriertes Unternehmensnetzwerk haben und mehrere Knoten für den öffentlichen Zugriff getrennt von Ihrem kabelgebundenen Netzwerk hinzufügen möchten.
BEARBEITEN – Ich wäre versucht, mir coova.org anzusehen, den Zweig, der ein gepflegter Fork von Chili zu sein scheint, um das meiste von dem zu bekommen, was Sie anscheinend gesucht haben, und die Überwachung und Gestaltung von QoS/Bandbreite und VLANs auf Ihren Switch/Ihre Firewall auszulagern.
Antwort2
Das meiste davon können Sie mit der PFsense-Firewall-Distribution erreichen. Sie können damit ganz einfach ein Captive Portal einrichten, einen Proxy für die Benutzer verwalten und sie mit Firewall-Regeln blockieren.
Alles lässt sich über eine benutzerfreundliche Weboberfläche konfigurieren. Wenn Sie erweiterte Funktionen wünschen, können Sie über die Befehlszeile jederzeit tiefer in die Materie einsteigen.
Und die gesamte Hardware, die Sie benötigen, ist ein billiger Computer mit einer drahtlosen Netzwerkkarte :D