Hi.
Ich hole diesen Beitrag nochmal nach oben, da wir vor der gleichen Überlegung stehen: Im Moment verwalten wir die Beschränkung zum Internet über sophomorix-managementgroup --set-wifi ...
Leider ist mir nicht ganz klar, was dann intern auf dem RADIUS-Server geschieht, dass nach Ausführen des Befehls bestimmte User ins Internet dürfen und andere nicht. Über welchen Mechanismus bzw über welche .conf-Datei wird das geregelt?
Der Hintergrund der Überlegung ist der gleiche wie bei Mathias (@rettich). Wir wollen aber eigentlich kein eigenes WLAN für die Lehrer abstrahlen, sondern weiterhin alles über eine SSID erledigen.
Konkret ist es bei uns so, dass die Lehrer und die Oberstufe immer ins Internet dürfen. Der Zugang ist über ein Captive Portal (das auf der OPNSense läuft) gesperrt und wird dort
- über FreeRADIUS vom v7-Server für die o.g. Gruppen
- für alle anderen über ein Voucher bei „spontanem Bedarf“
freigegeben. Das funktioniert zwar auch alles, aber nun gibt es vermehrt das folgende Problem:
In der OPNSense sehe ich bei den laufenden Sessions diverse Einträge doppelt und dreifach.
Es werden also die gleichen Logins mit unterschiedlichen MAC-Adressen angezeigt. Das kann natürlich einfach nur daran liegen, dass mehr und mehr Geräte dem AP nicht mehr ihre echte MAC-Adresse sondern aus „Sicherheitsgründen“ eine „virtuelle“ MAC-Adresse zeigen. Auf der OPNSense sieht das dann so aus, als wären zwei verschiedene Geräte mit dem gleichen Login verbunden.
Es kann aber auch sein, dass Logins & Passwörter von Schülern an andere Schüler gegeben werden, die eigentlich nicht zu einer der o.g. Gruppen gehören. Das würden wir gerne unterbinden, da hier zu viele Geräte das WLAN vollstopfen. Und um das herausfiltern zu können, wäre es denkbar, dass sich jedes Gerät immer nur einmal anmelden kann – oder, dass man die Gruppenverwaltung von FreeRADIUS bemüht, um genauer einzustellen, wer was darf.
Eine Stolperfalle bei der Sache: Falls man die Einstellung verwendet, dass man sich nur noch mit einer MAC-Adresse anmelden darf, muss man sich u.U. jeden Tag neu am Captive Portal anmelden — und das würden natürlich alle als Gängelei empfinden. Daher wäre es mir eigentlich am liebsten, wenn man das so regeln könnte: Lehrer dürfen immer rein und bleiben auch dauerhaft angemeldet und Schüler dürfen nur mit einer MAC-Adresse rein und müssen sich spätestens nach 1 Woche neu anmelden.
Daher die Frage: Wie regelt ihr das?
Viele Grüße,
Michael