Im Folgenden wird beschrieben, wie Sie ein Captive-Portal für einen Internetzugang über die kostenfreie Firewall-Software pfSense einrichten können.
Ziel dieser Anleitung ist es, ein internes Netz zu erstellen, das der Konfiguration der Firewall dient, ein Netz für Gäste, sowie deren Zugriffsverwaltung durch ein Captive-Portal. Getrennt durch VLANs und zugehörige Hardware.
Nach dem Starten der installierten pfSense Appliance, überspringen wir zunächst die Einrichtung von VLANs und weisen die Netzwerkverbindungen WAN/LAN den jeweiligen Netzwerkkarten zu:
Nach Abschluss der Installation auf der Consolen-Ebene, rufen wir im Browser die IP-Adresse zum Backend auf: 192.168.1.1
Anschließend führen wir den initialen Setup des Backends durch
Das Kennwort des Administrators kann man später auch unter System / User-Management jederzeit ändern.
Man könnte im nächsten Schritt nun ein VLAN aufsetzen, sofern man nur zwei Netzwerkschnittstellen an seiner Appliance besitzt, bzw. nur eine für das interne LAN. Dies kann sinnvoll sein, da man ein Gastnetz vom internen Netz trennen sollte. So kann man verhindern, dass das Backend der Firewall später auch für Nutzer des Captive-Portals ereichbar ist. Das ganze ist auch ohne VLAN nutzbar. So liegen Geräte einfach im gleichen Netz wie die Management-Console der pfSense, an der internen LAN-Schnittstelle. Dennoch im folgenden die Erklärung und die Erstellung einer solchen Netzwerk-Konstellation.
Auch entsprechende Accesspoints kann man an das VLAN anbinden, die später eine SSID mit Bezug auf die vergebene VLAN-ID ausstrahlen und so die Nutzer gezielt in das Netz des Captive-Portals lotsen.
Mögliche Accesspoints sind z. B. Modelle von Ubiquity.
Jeder Client, der sich nun per Ethernet-Kabel an einem Switch befindet, der an dem LAN-Anschluss der Firewall angeschlossen ist, oder aber sich auf einen entsprechenden Accesspoint verbindet, egal ob Windows-Client, oder Smartphone/Tablet, erhält eine IP-Adresse aus eben diesem Netz. Sofern das Captive Portal auf dem LAN Anschluss aktiviert wurde, erhielte der Client in unserem Fall eine IP-Adresse im Bereich 192.168.1.x. Verbindet er sich auf das Gastnetz, also unser VLAN, so erhält er eine 192.168.100.x, wie in diesem Beispiel.
Weitere Feinheiten, sind Einstellungen, die etwa den Time-Out der Sitzungen betreffen. Wann wird diese getrennt, sodass sich ein Gast-Nutzer erneut authentifizieren muss.
Auch kann man ein eigenes Design für die Portalseite festlegen. Ein eigenes Logo hinterlegen, oder einen Disclaimer.
Weiterhin sollten Endgeräte, wie etwas Smart-TVs, oder auch Sky-Receiver dauerhaft per MAC-Adresse manuell registriert werden. Dies würde innerhalb des Captive-Portals, unter dem Punkt MACs erfolgen, da manche Geräte entweder keinen Browser besitzen, oder über kein Protokoll verfügen, zum Auffordern des Nutzers zur Authentifizierung an einem Captive-Portal, wie es sowohl Android-Smartphones/Tablets, als auch iPhones/iOS Devices vorweisen können.
Wer möchte, dass sich Nutzer nur ein Mal gegenüber der Firewall authentifizieren müssen, sodass ihre Geräte dauerhaft ins Netz gelangen und sie nicht laufend zur erneuten Leigitimierung aufgefordert werden, dem könnte folgender Beitrag hilfreich sein: Dauerhafter Gast-Zugang per registrierter MAC-Adresse an an Captive-Portal