Hi.
Ich habe gesehen, dass der Unifi-Controller auch MAC-based Auth. beherrscht, wenn man ein WPA2-Enterprise WLAN einsetzt:
Damit kann man also einigen Geräten im schulweiten WLAN den Dauer-WLAN-Zugang ohne Anmeldung ermöglichen! Das wirft erneut die Frage auf, ob man auf den CoovaChilli vollkommen verzichten kann und alles über den Unifi-Controller abbilden kann?!?
Allerdings sind ein paar Features, die im Moment problemlos funktionieren, per Unifi weiterhin unklar. Wir nutzen im Moment die “Standard-Lösung”: Freigabe für Schüler via Schulkonsole (p_wifi) und CoovaChilli dazwischen. Dort läuft ein Script, das die Schüler nach einer Doppelstunde automatisch wieder rauskickt. Das klappt im Moment sehr zuverlässig. Kann man auch das mit einem Unifi-Controller hinbekommen? Dort ist zwar auch ein zeitbasierter Zugang möglich; aber nur für feste Intervalle (z.B. jeden Morgen von 9-11), wenn ich das richtig sehe? Oder regelt ihr diesen Fall bei euch per Gast-WLAN mit Voucher: 90 Minuten-Ticket an die Klasse rausgeben und alle sind glücklich?
Vielleicht kann ja auch nochmal jemand kurz erläutern, wie das mit V7 demnächst umgesetzt wird? Bleibt es beim Coova oder was ist die offizielle Emfpehlung? Wir hatten ja schon mal kurz die Diskussion hier, dass es neben der Unifi-Lösung evtl auch eine OSS-Lösung geben sollte? Oder wird das CaptivePortal von OPNSense Standard werden?
Nachtrag: Ich kann den Artikel leider nicht mehr löschen (warhscheinlich, da er bereits von jemand anderem aufgerufen wurde???). Jedenfalls hätte ich das besser an diesen Thread angehängt … leider zu spät.
X-Post: Zukünftiges WLAN-Management neben Unifi
Das mache ich so.
NetzInt hat ein Plugin geschrieben für den Unifi-Controller. Damit funktioniert alles wie gewohnt:
Die Schüler verbinden sich mit einem WPA2-Key, der allen bekannt ist mit dem WLAN. Die Unifi-APs lassen den Traffic aber zunächst mal nicht ins Netz, sondern zeigen ein Captive-Portal an, wo sich -wie beim coova- die Schüler mit Nutzernamen und Passwort authentifizieren müssen.
Wer Mitglied der Projektgruppe p_wifi ist, darf rein, alle anderen bekommen die Meldung „user has no Rights“.
klappt bei uns problemlos. (ich musste in der Vergangenheit zwei drei mal den Controller neu starten, weil ich keine Zeit für Debuggen hatte und es dann funktioniert hat, wars mir Wurscht.
ich weiß leider nicht genau, wo das Plugin zu finden ist… ich hab mir das von NetzInt installieren lassen.
LG Jesko
Vielleicht versteh ich Dich auch falsch, aber die MAC-Adresse als Authentifizierung zu missbrauchen ist alles andere als sicher, kann ja beliebig gefaelscht/-aendert werden.
Hi. Du verstehst es nicht falsch. Ich weiß, dass man die MAC Adresse fälschen kann. Das ist in diesem Fall aber ein geringes Risiko, da es nur darum geht Beamer-/Laptop-Wagen ohne Auth ins WLAN zu bekommen. Wenn ein Schüler schlau genug ist, das herauszufinden und entsprechend zu spoofen kann ich nur sagen: “dann hat er den WLAN-Zugang (fast) verdient”
(Man kann sich aber -wie im Parallel-Thread schon geschrieben- auch Gedanken über ein weiteres WLAN für Geräte usw machen. Ich finde es aber zZ gerade ganz OK, dass wir nur ein einziges schulweites WLAN haben – das verringert Missverständnisse)
Schöne Grüße
Michael
Hi. Der Thread ist zwar schon älter – aber weiterhin aktuell. Daher wärme ich es nochmal auf:
Unser Coova läuft im Moment noch; doch der Wunsch nach einem einfacheren Weg, eine Schülergruppe ins Internet zu bringen, ist wieder lauter geworden. Zunächst dachte ich an den Weg, das künftig per Voucher zu regeln: Eine Box mit 100-Minuten-Tickets ins Lehrerzimmer stellen und jeder, der eine Gruppe online haben will, nimmt sich so ein Ticket mit (Mehrfachnutzung --> 30 User). Ist denkbar einfach … allerdings hat es den Nachteil (?), dass dann überhaupt nicht mehr nachvollziehbar ist, wer wann online ist und erst recht nicht, wenn jemand etwas anstellt, was er nicht soll!?
Ich habe mir daher nochmal sowohl die unifi-Lösung als auch direkt das CaptivePortal von OPNSense angesehen. Allerdings bin ich noch unentschlossen, welcher Weg der bessere/empfohlene ist. Beim OPNSense-CaptivePortal hat man gleich alle Dinge an Bord, die ich benötige: https://wiki.opnsense.org/manual/captiveportal.html
Bei unifi hingegen wäre es aus einem Guss – maßgeschneidert für die APs.
Welche dieser beiden Lösungen wird mit v7 “offiziell empfohlen”?
Welche nutzt ihr und warum?
Schöne Grüße,
Michael
Ich weiss nicht, was fuer Schueler ihr habt, aber mich interessiert nicht wirklich, wer was wann anstellt.
Ich habe allerdings nur Berufsschueler von denen die meisten schon 18 sind.
Man sollte aber durchaus davon ausgehen, dass ein Grossteil der Schueler auf dem Smartphone sowieso eine Flat haben und somit sowieso alles tun koennen, was sie wollen. Ich halte nichts von Reglementierungen, habe auch offene Freifunk-APs in derSchule.
Wenn’s nach mir ginge, haetten alle Schueler immer und an jedem Ort Wlan ohne Authentifizierung.
Hi Harry.
Wir sind allerdings so sehr auf dem Lande, dass der Empfang ohne WLAN bei weitem nicht so gut ist, dass alle auch ohne WLAN alles machen können.
Freifunk hat natürlich seinen Reiz – aber auch das geht mit unserer jetzigen Leitung nicht flächendeckend und 24/7. Wenn dauernd 1300 Leute online sind, geht nichts mehr … daher muss eine sinnvolle Regelung her. Die Idee mit den Tickets / Voucher versteht nun wirklich jeder … da muss man vorher auch keine Gruppen zusammenstellen oder was weiß ich… die Frage ist nur, ob es auf diese Art sinnvoll ist?!?
Ich habe noch 6.2 und kein OPN-Sense, daher unifi.
Der Radius ist auf dem Schulserver und somit kann man über die Schulkonsole Schülern / Schülergruppen / Projekten stundenweise WLAN freischalten, mit der minisk von Martin sogar vom Smartphone aus per APP.
Wie das bei v7 ist, weiß ich nicht.
