Frage zu iPads und WLAN-Autoconnect ... ein leidiges Thema

Hallo. Ich stelle nochmal ein leidiges Thema zur Diskusssion, das bei uns leider immer wieder für Ärger sorgt:

Wir haben bei uns die Situation, dass wir ein WLAN für Gäste mit Captive Portal und ein anderes für alle anderen Schulgeräte haben.

Natürlich sollen die Geräte der Schüler eigentlich immer in „ihrem WLAN“ bleiben und nicht in das Gast-Netz wechseln, doch das tun sie aus den unterschiedlichsten Gründen häufig nicht. Sehr häufig geht es dabei darum, dem Unterrichtsprofil, das von relution ausgelöst wird, zu entkommen.

Dann entsteht eine Situation, wie man sie nicht haben will, denn die Geräte sind in einer Art „Zwischenwelt“ – sie bekommen also zwar über das Gast-WLAN eine interne IP-Adresse von der OPNSense aber sind natürlich nicht online und über das Internet erreichbar, da das Captive Portal das ja gerade verhindert.

Auf diese Weise entgehen die Geräte aber auch der „Kontrolle“ durch das MDM, da angestoßene Geräterichtlinien nicht am Gerät ankommen können. Da die Endgeräte bei uns iPads sind, hat Apple bei allen Aktionen leider auch die Finger mit im Spiel, so dass man bei vielen Aktionen eine Verbindung zu Apple-Servern haben muss und damit online sein muss .

Leider ist es meines Wissens nicht möglich, dass man das Wechseln des WLANs komplett unterbinden kann, denn dann wäre das Problem ja schon gelöst. Genausowenig ist es angeblich nicht mehr möglich, dass man den Schalter „Automatisch mit WLAN verbinden“ per MDM deaktivieren kann. Das kam scheinbar mit einem der letzten iOS-Updates rein und führt dazu, dass die Geräte nicht immer automatisch verbunden sind

Daher meine Frage, ob man es (z.B. mit geschickten Firewall-Regeln) hinkriegen kann, dass alle Geräte in allen Netzen immer das Apple-Universum 17.0.0.0/8 erreichen können, auch wenn das Captive-Portal das ohne Credentials oder gültiges Voucher noch verhindert?

Auf diese Weise wären die Geräte trotzdem über das MDM erreichbar und das Unterrichtsprofil könnte jederzeit erfolgreich an die Endgeräte übermittelt werden.
Vielleicht gibt es für so einen Fall ja einen sinnvollen Weg?
Viele Grüße,
Michael

man koennte vielleicht die vom radiusserver nicht authentifizierten gerate per Radius in ein anderes vlan zuweisen, für dessen netz man dann in der firewall die Ports /adresen per firewall Regel freischaltet. das wäre so meine Idee. mal nach vlan assigned Radius suchen… aber ich hab das auch net am laufen…vielleicht gibt es auch andere Möglichkeiten?

Hallo sucher.
Ja, das Thema hatten wir vor einiger Zeit hier schon mal:

Es ist bei uns auch bei der Idee geblieben, da die Umsetzung ja doch ziemlich aufwändig ist.

Es würde meiner Meinung nach ausreichen, wenn das Captive Portal nicht alles komplett dicht machen würde … aber ob das überhaupt technisch möglich ist, kann ich nicht sagen.

Es gibt im OPNSense-Forum einen älteren Beitrag, der sich auch um dieses Thema dreht, aber das habe ich bisher nicht ausprobiert:

Wenn es ganz andere Lösungen gibt, wäre ich aber auch damit zufrieden.
Viele Grüße,
Michael

Nachtrag: Ich habe das auf unserer OPNSense mal so eingetragen wie es in dem alten Beitrag aus dem OPNSense-Forum vorgeschlagen wird. Unter „Erlaubte Adressen“ habe ich die IP vom MDM, vom v7-Server und vom gesamten Apple-Universum (17.0.0.0/8) eingetragen.

Wenn ich nun ein Gerät in das Gast-WLAN bringe, das mit dem Captive Portal abgesichert ist, kann ich (so wie es gedacht ist) auch ohne Login bereits auf den v7-Server und das MDM gelangen. Das ist schon mal die halbe Miete.

Was aber bisher noch nicht klappt: Wenn ich einfach irgendeine Apple-Adresse (apple.com o.ä.) aufrufe, wird die nicht angezeigt. Das klappt auch weiterhin erst nach dem erfolgreichen Login. Leider weiß ich nicht, woran das scheitert aber in den nächsten Tagen können wir mit diesen Einstellungen schon mal sehen, ob die Schüler sich auch weiterhin in das Gast-WLAN hinüber"retten" können oder ob der Weg vielleicht auch schon jetzt abgeschnitten ist?!?

Ein Katz-und-Maus-Spiel bleibt das ganze aber leider trotzem. Viel eleganter wäre es, wenn per MDM-Richtlinie klar geregelt werden könnte: In der Schule ist NUR dieses WLAN möglich und das bleibt auch auf „immer verbunden“ – fertig. Das scheint aber nicht möglich zu sein und mir ist nicht klar, warum man den Button „Automatisch mit diesem WLAN verbinden“ nicht per MDM abschalten kann… Apple hat da aus irgendwelchen Gründen offenbar was gegen. Einleuchtend finde ich es aber nicht.

Viele Grüße,
Michael

Hallo Michael,

vielleicht ein DNS-Problem? Welchen DNS-Server verwenden denn die iPads - und ist der freigeschaltet?

Beste Grüße

Jörg

Hallo Jörg,
habe ich zuerst auch gedacht … aber sowohl die IP als auch der DNS-Server kommen von der OPNSense. Sie ist für das Gäste-WLAN also sowohl als DHCP-Server als auch als Gateway und DNS-Server eingetragen.

Und: wenn ich auf einem Client im Gäste-WLAN (ohne Login) den Befehl dig benutze, kommt die Anfrage durch.
Sowohl dig apple.de als auch dig apple.de @10.16.1.1 liefern das richtige Ergebnis (wie gesagt auch ohne Login).
Trotzdem geht https:// nicht raus.
Dann sieht die Meldung so aus (das ist bei allen aufgerufenen Seiten identisch, solange man sich nicht anmeldet hat):

Screenshot_20240811_155607872×366 33.7 KB

Hast Du noch eine Idee?
Viele Grüße,
Michael

Hallo Michael,

das sieht so aus, als würde die Anfrage umgeleitet und dann passt das Zertifikat nicht. Ist da eventuell DoH aktiviert?

Beste Grüße

Jörg

Hallo.
Das wäre mir neu … ich habe nichts auf der OPNSense eingestellt. Default ist das ja vermutlich nicht? Der Resolver auf der OPNSense ist Unbound DNS. Da müsste man es ja irgendwo sehen können, oder?

Ach ja: Man kann übrigens problemlos das Portal http://<ip der OPNSense>:8000 aufrufen (ohne https). Eigentlich sollte es ja auf allen Cients so sein, dass sich dieses Portal immer öffnet, um sich anzumelden. Die VM, die ich zum Testen verwendet habe (es war ein 08/15 Kali-Linux), hat das aber nicht gemacht. Nächste Woche kann ich mal schauen, ob sich andere Geräte, die wirklich per WLAN verbunden sind, anders verhalten…

Viele Grüße,
Michael

Hallo Michael,

DoH machen die Browser - eventuell macht das der Safari auf dem iPad und kann deshalb die Domain nicht auflösen. Ich habe aber keine Ahnung, ob das bei dem Safari so ist - es ist nur eine Idee, denn offenbar sieht der Browser ein falsches Zertifikat. Er landet also nicht bei apple.de.

Viele Grüße

Jörg

Ok – aber wie gesagt : Der Screenshot kommt von einem Kali-Linux und dem dort vorinstallierten Firefox. Ich werde aber in der kommenden Woche ein iPad mit Safari ausprobieren und das gleich nochmal testen. Dann wissen wir’s …
Danke Dir für die Tipps!

Hallo Michael,

sorry, das „Kali-Linux“ hatte ich überlesen.

Eventuell gibt das beanstandete Zertifikat einen Hinweis auf das Problem. Auch der Netzverkehr (zu sehen bei den Entwicklertools des Firefox) könnte aufschlussreich sein.

Beste Grüße

Jörg

Vielleicht hilft das https://github.com/opnsense/core/issues/1289 weiter (oder auch nicht).

es scheint mit den iPads zu klappen … allerdings muss man bzgl des Capitve-Portals und Apple noch eine andere Sache beachten:

Wenn man einfach pauschal das ganze Apple-Universum 17.0.0.0/8 freigibt, kann ein iPad auch auf die Domain captive.apple.com zugreifen. Diese Domain wird ja gerade dazu verwendet, dass geprüft wird, ob das Gerät online ist. Und nur wenn diese Domain nicht erreichbar ist, wird auch das Captive Portal automatisch auf dem iPad geladen.
Wenn die Domain aber „Success“ meldet, „denkt“ das iPad, dass es online ist und lädt das Captive Portal zur Anmeldung natürlich nicht mehr nach. Damit funktioniert das Captive Portal dann nicht mehr wie gewünscht.

Die Konsequenz für uns war, dass wir nicht das gesamte Apple-Netzwerk in der OPNSense eingetragen haben sondern nur gezielt die einzelnen IP-Adressen, die man hier nachsehen kann: https://support.apple.com/de-de/101555
Damit funktioniert das Captive Portal dann weiterhin und man hat trotzdem gleichzeitig die o.g. Möglichkeiten.