gerade wachse ich in die Musterlösung an unserer Schule hinein und beschäftige mich mit dem Problem WLAN. Aufwändige Steuerungsmechanismen sind noch nicht unser Problem, aber Komfort ist ein Thema. Der Coovachilli ist ja ein Captive Portal, was nach meiner Recherche bedeutet, dass man jedes mal auf eine Webseite umgeleitet wird, an der man sich anmeldet. Das bedeutet aber auch, dass die Accesspoints ihren eigenen DHCP betreiben und NAT machen müssen (oder?), denn HTTP geht nicht über UDP. RADIUS bietet der Coova ja auch, allerdings - wiederum, wenn ich alles richtig verstanden habe - nur im Hintergrund als Brücke zwischen der Anmelde-Webseite und dem LDAP. Spannend wäre für uns folgendes Szenario: Alles Accesspoints sind nur Accesspoints ohne NAT und lassen die Verifizierung den RADIUS übernehmen, so wie RADIUS ja gedacht war. Folglich erhalten die mobilen Geräte IPs vom blauen DHCP, tauchen im Firewall-Log auf und sind über das DHCP-Log einer MAC zuzuordnen. Wenn dann der RADIUS den Zusammenhang zwischen MAC und User herstellt (kann er das?), könnten wir eventuellen Unfug einem User zuordnen. (Wir haben ein Internat, sprich das Internet wird auch privat genutzt.)
Kann man dies mit dem Coovachilli (passend zum Ubuntu 12.04-Linuxmuster) realisieren?
Mir ist klar, dass alle Anfragen ohne RADIUS (802.1x) dann ins Leere laufen, aber genau das will ich erreichen. Unsere Linux-Clients können auch am Kabel 802.1x, und die Schülerinnen und Schüler, besonders die im Internat, würden ja freiwillig nur ein Kabel anfassen, wenn es ihnen einen Vorteil wie anonymes Surfen ermöglichte.
Ja, genauso läuft das beim Coova. Nur die erste besuchte Seite (muss dann eine http-Seite sein) wird zur Anmeldeseite umgeleitet, danach geht alles „normal“. Viele Smartphones merken dies allerdings schon und leiten gleich zur Anmeldeseite um.
Nach wieviel Sekundne man rausfliegt und sich wieder anmelden muss, kann man imho einstellen.
LG
Max
der Coova ist eigentlich anders gedacht.
Bei mir saß er zwischen IPFire Blau und den APs.
Die APS waren bei mir immer “dumm”: der Coova machte auf der AP Seite
den DHCP für die APs.
Ich bin inzwischen weg vom Coova und habe auf unifi umgesattelt: womit
ich sehr zufrieden bin.
Im WLAN für Schüler ist die Authentifizierung WPA2Enterprise.
Also muss man pro Gerät nur einmal die Credentials eintragen.
so wie ich das RADIUS-Vorgehen verstehe, benötigt man nach erfolgreicher Authentifizierung keine Einwahlseite mehr. Alle nötigen Daten werden vor der Einwahl im Android (o.ä.) hinterlegt. Wieso leitet der Coova dann noch um? Oder kann der Coova doch nur RADIUS von der Anmeldeseite aus?
Coova ist ein Captive Portal, d.h. die Clients / Rechner machen selbst keine RADIUS-Authentifizierung, sondern man gibt auf der Anmeldeseite die Zugangsdaten ein und dann erledigt der Coova die Anmeldung am RADIUS-Server.
Bei 802.1X (z.B. WPA Enterprise) meldet man sich direkt ohne Umwege am RADIUS-Server an. Es braucht hier keine Anmeldeseite.