Vergleich Unifi / OPNSense -- Captive Portal / Voucher / Pro & Cons

Hallo.
Da die Argumente für und gegen Unifi/Voucher/Radius/Captive Portal mittlerweile in ein paar Threads kreuz und quer laufen, dachte ich, dass es vielleicht gut ist, wenn man alles nochmal zentral in einem Thread sammelt, damit man sich dann besser ein Bild machen kann??

Bei uns sieht die Situation im Moment so aus:

  • ein coova regelt momentan über die Gruppe p_wifi den Internetzugriff über die Schulkonsole (läuft seit Jahren zuverlässig, gilt aber unter den Kollegen als “sehr kompliziert einzustellen :crazy_face:”)
  • der Unifi Controller verwaltet alle “dummen” Accesspoints (momentan ohne Radius und ohne WPA Enterprise). Es gibt aber ein Gastnetz mit Voucher an gewissen Stellen in der Schule.
  • OPNSense 19.x ist zum Testen und Ausprobieren bereits auf einem Rechner installiert, der später mit v7 die Firewall-Funktionen übernehmen soll (bewusst auf bare metal)

Wir überlegen im Moment, wie der WLAN Zugang bei uns künftig am besten und einfachsten zu gestalten ist. Dabei ging die Tendenz bisher zum Voucher-System für das schulweite WLAN. Das ist deshalb sehr einfach, weil man nur noch eine Box mit genügend gültigen Vouchers & Mehrfachnutzung im Lehrerzimmer aufstellen müsste. So kann jeder Gruppe sehr schnell der WLAN Zugriff gewährt werden – ganz gleich, ob die Gruppe der Schulkonsole bekannt ist oder nicht!

Allerdings gibt es da einen kleinen (?) Haken: Wenn ein Lehrer ein Voucher bekannt gegeben hat, hat er anschließend imho keine Möglichkeit mehr, den Internetzugriff zu beenden. Die Zeit, die das Ticket gültig ist, muss dann auf jeden Fall komplett runterlaufen, bevor die SuS wieder draußen sind. Das kann manchmal ein Nachteil sein! (…denn wer kennt sie nicht … die Smombies).

Ich habe mir heute das Captive Portal von OPNSense angesehen und konnte das mit den Features vom Unifi-Controller vergleichen. Dabei sind mir diverse Vor-/Nachteile aufgefallen:

Unifi:

Pro:

  • alles aus einem Guss; Direktzugriff auf alle APs
  • Whitelist/Blacklist für MAC-Adressen
  • Radius/LDAP/Voucher… möglich
  • Controller intuitiv bedienbar

Contra:

  • Extra-VM mit Controller-Software (die aktuell gehalten werden will)
  • Controller-Software hier zZ nicht mehr aktualisierbar, da die eckigen APs ihr EOL erreicht haben!!
  • keine “disconnect-Funktion” in den großen Pausen (?)

OPNSense:

Pro:

  • Firewall regelt direkt den Zugriff auf’s Captive Portal ohne den Umweg über eine weitere VM
  • HAProxy direkt mit auf der FW installierbar —> LE-Zertifikat nur auf einem Rechner nötig!
  • Template System für das Aussehen der Portalseite genial einfach
  • Captive Portal sehr schnell eingerichtet; auch mehrere Portale möglich, falls gewünscht.
  • Hard-/Softreset einstellbar, aber keine “disconnect-Funktion” in den großen Pausen (?)
  • Whitelist/Blacklist für MAC-Adressen
  • Radius/LDAP/Voucher… möglich
  • Länge der Zufallspasswörter für Voucher einstellbar
  • Firewall beherrscht Zeitlimits, die man auch auf die Regeln für das WLAN loslassen kann
  • Open Source und von keiner Hardware abhängig – künftige Basis von v7

Contra:

  • Voucher Verwaltung nicht so intuitiv und bequem wie bei unifi
  • Voucher können bei der Erzeugung einmalig exportiert/geöffnet werden (csv). Danach sind sie in der Firewall nicht mehr einzusehen!
  • Zufallspasswörter komplizierter als Ziffernfolge bei unifi
  • Zeitintervall für die Gültigkeit der Voucher nicht beliebig einstellbar (Minimum im WebGUI: 4 Stunden)
  • Voucher können nicht direkt aus der FW heraus gedruckt werden

Vielleicht fallen euch weitere Argumente ein. Mich interessiert vor allem, wie ihr künftig vorgehen wollt: OPNSense oder Unifi? Wer will bei Coova bleiben?? Und mit welchen Argumenten? In Sinne der gegenseitigen Hilfe durch die Community wäre es wahrscheinlich für die meisten hier hilfreich, wenn möglichst viele eine einheitliche Lösung fahren… daher auch die Frage: Was soll der offizielle Kurs mit v7 sein?

Schöne Grüße und ein ebensolches Wochenende,
Michael

Wir benutzen OpnSense und lassen Vouchers über das REST-API generieren:

  • Mit jedem Stundenklingeln wird ein neues 45min bzw. 90 min Voucher erzeugt. Das Voucher wird in eine Textedatei im Tausch-Kollegium-Ordner geschrieben. Damit die SuS von Ihren Lehrern Internet erhalten, müssen diese lediglich die Textdatei auf dem Beamer für alle sichtbar anzeigen. Die Datei sieht bei uns so aus:

    Dies sind die aktuellen Zugangsdaten für das Carl-Bosch-Wlan. Diese Zugangsdaten sind für SchülerInnen.
    Die Zugangsdaten verfallen am Ende der Schulstunde und werden durch neue ersetzt.
    Die Zugangsdaten können von mehreren Schülern gleichzeitig benutzt werden.
    So geht es:
    1. Verbinde dein Gerät mit dem Wlan “CBO-BYOD” oder “CBO-BYOD-Schnell”.
    2. Gehe auf eine beliebige Internetseite, z.B. www.carlbosch.de
      Du wirst zur Eingabe eines Benutzernamens und eines Passworts aufgefordert.
    3. Gebe diese Zugangsdaten ein: (Achte auf Groß- und Kleinschreibung)

Wlan: CBO-BYOD
Benutzername: 5fcR
Passwort: 7mW4
Gueltig fuer: 45 Minuten
Gueltig bis: 31.03.2019 16:00

  • Im Seki liegt eine Liste mit Tages, Monats und Jahresvouchern. Wenn ein Externer Internet benötigt, kann das Seki schnell und einfach aushelfen.
  • Über das API kann die Gültigkeit beliebig eingestellt werden.
  • Ich drucke die Voucher von Kommandozeile. Kommt eh kaum vor.

Anbei die Skripte. Die Skripte liegen bei uns auf den Linuxmuster-server und werden von cron aufgerufen.
Die Skripte benötigen noch eine Textdatei mit einem API-Key. Die Keys lassen sich im Webinterface von opnsense erzeugen.
opnsense_scipts.zip (4,3 KB)

1 „Gefällt mir“

Wow - das ist natürlich super (und lässt die Möglichkeit per Voucher wieder ein gutes Stück nach vorne rücken)!

Es gibt evtl einen kleinen Haken: Habt ihr auf allen Clients eine persönliche Anmeldung oder wie ist bei Euch dieser „Tausch-Kollegium-Ordner“ erreichbar? Wir haben in diversen Fachräumen einen default-Login. Der Rechner fährt dort einfach hoch (Nachteil: Kein persönlicher Ordner). Daher die Frage nach dem Tausch-Ordner…

Schöne Grüße,
Michael

Hallo Michael,

Voucher sind zusätzlicher Arbeitsaufwand und nutzt nicht das Feature das Internet für Schüler ein- und ausschalten zu können.

Bei uns ist das so, dass die Schüler sich mit ihrem Benutzernamen und ihrem Passwort anmelden können, wenn der Internetzugang freigeschaltet ist.

Gruß

Alois

Ja, jeder hat sein persönliches Login. Der Tausch-Kollegium-Ordner ist dann ein Standardfeature der Linuxmusterlösung. Du könntest natürlich die Voucherdateien irgendwo anders ablegen.

Ich nehme an, dass du die p_wifi-Lösung meinst. Ich finde die Idee ganz gut, aber sie hat sich bei uns nicht durchsetzten können: Ich behaupte, sie ist den Kollegen zu komplex.

Hallo!
Wie bekommt ihr, falls nötig, heraus, wer jetzt im Netz was angestellt hat? Du hast ja nur eine MAC-Adresse in den Logs…
LG
Max

Hallo Max,

zu einer MAC gehört in der Regel auch eine IP. Über die dhcpd.leases könnte man rausfinden welche und evtl. den dazugehörigen Gerätenamen. Hast du die IP, schaust du den squid access.logs nach und dann heißt es Recht schnell BINGO…

Viele Grüße
Thomas

Hallo Thomas,

das Gerät gehört aber den Schülern. Wie soll ich da rausfinden, wessen Gerät das jetzt war? Und wenn einer was angestellt hat, kommt er vll. mit nem anderen Gerät… Ist vielleicht auch zu paranoid, aber es gibt doch die schöne WLAN-Radius-Geschichte über die Schuko, jetzt sogar mit App für den Lehrer. Einfacher gehts nicht :slight_smile:
LG
Max

Hallo.
Ja, das stimmt schon alles… Aber es bleibt nunmal ein Problem, dass man in der Schuko nicht soooo einfach beliebige Gruppen per Knopfdruck “online holen” kann. Da muss man zuvor ein Projekt zB für Oberstufenkurse anlegen und dort alle SuS des Kurses rein packen. Das ist für Otto-Normal-KuK schon zu kompliziert. Voucher (und dazu evtl sogar per QR Code) wäre einfacher – aber zugegeben nicht so gut zu “überwachen”…

Michael

Hier ein Versuch via Serienbrief:
https://blog.egovernment.krzn.de/dynamische-qr-codes-im-ms-office-word-serienbrief-macwindows/

Hallo Max,

die Voucher Nummer zur MAC Adresse ist eindeutig. Die IP Adresse zur MAC Adresse auch. Du weißt doch an wen der Voucher ausgegeben wurde, also weisst du auch welches Gerät das war.

Oder bin ich irgendwo falsch abgebogen?
Gruß
Thomas

Hmm… vielleicht noch ein ein Gedanke.
Wenn ich in dem von mir verwalteten Netz nicht nachvollziehen kann, wer was macht oder gemacht hat, dann krankt es irgendwie an einem Designfehler…

Nein, das weißt du (zumindest bei Mehrfachnutzung!) nicht! In der Praxis müsste es so sein, dass der Lehrer ein einziges Voucher mitnimmt und entweder den temp. Code anschreibt oder zeigt. Dann sind die Schüler alle über dieses Ticket online. So einfach wie sich das darstellt, so viele Tücken hat das Vorgehen aber auch, wie wir gerade sehen :slight_smile:
Wenn’s ein Designfehler ist, wäre der Weg via WPA-Enterprise/Freeradius wahrscheinlich doch besser – aber auch hier stellt sich die Frage, wie man den Zugang möglichst einfach für gewissen Gruppen/Kurse/Klassen einstellen kann.

Hallo Michael,

wenn das so gehandhabt wird, kann man auch ne Fritzbox ins Klassenzimmer stellen, alle Geräte per WPS verbinden und anschließend den Stecker ziehen…das wäre sogar sicherer…

Wie viele FritzBoxen willst du denn in der Schule lagern?? :thinking:

Hallo Michael,

Na so wie du das beschrieben hast, bringt die Verwendung von Captive Portal mit Voucher gar nichts. Die Regel lautet: Ein Voucher = ein Gerät. Klar kann man einstellen, dass man auch mehrere Geräte mit einem Voucher betreiben kann, aber niemals gleichzeitig. So wie das da gehandhabt wird, hast du jedenfalls keine Zugangskontrolle, sondern irgendeine Form von Internetsperre und noch nicht Mal eine Gute.

Viele Grüße
Thomas

Rechtlich kann das ein ziemliches Problem werden. Im Zweifel könnte der Inhaber des Vouchers, in dem Fall der Lehrer, haftbar (auch strafrechtlich) haftbar gemacht werden, denn an diesen würde der Voucher ausgegeben. Als Lehrkraft würde ich mir nicht nur zweimal überlegen, ob ich dieser Handhabe und den daraus potentiell entstehen Konsequenzen so zustimmen und die Hand für meine Schüler ins Feuer lege täte. Da muss mir nur einer was Böses wollen, weil er sich von mir ungerecht behandelt fühlt und sich “nur so” auf “irgendwelchen Seiten” rumtreibt. Bei der Recherche schaut man da nach und findet Lehrkraft sowieso, an die zur fraglichen Zeit der Voucher ausgegeben wurde.

So…und dann steht auf einmal ein Vorwurf im Raum und du als Voucherinhaber bist erstmal verdächtig…

Ich denke ich muss das hier nicht weiter ausführen.

Die Schulleitung/Netzwerkbetreuung möchte ich im Ernstfall sehen, die sich dann vor die betroffene Lehrkraft stellt und sagt: Nein, nein! Der Kollege Sowieso ist absolut integer, der würde das nie tun. An unserer Schule gibt es sowas nicht.

Um die Frage zu beantworten

Soviele wie nötig. :slightly_smiling_face:

Hi.
Ok, wenn es also doch in Richtung „Überwachung des Surfverhaltens der Schüler“ geht, dann sind Freifunk und Co offenbar sowieso schon mal raus?!

Aber auch während des Unterrichts müsste dann ein Filter her, der nur freigeschaltete URLs erlaubt und alles andere draußen lässt. Denn sonst könnte im Fall der Fälle ja genau das gleiche von dir beschriebene Szenario auch so auftreten.
Das wäre in Sachen „Konzentration auf eine Seite/Sache und nicht auf 50 andere gleichzeitig“ nicht schlecht – ist aber so meines Wissens nicht vorgesehen, oder??

Nur noch der Vollständigkeit halber:

Ein Voucher = ein Gerät.

Der Unifi Controller kann es problemlos auch anders und jedem Schüler vor der Nutzung einzeln ein Voucher zu geben ist leider nicht praxistauglich, da die Stunde dann vorüber ist. :slight_smile:

Halte ich nicht für realisierbar. Dann doch eher ein Accesspoint im Klassenzimmer, der per Schlüsselschalter an/aus geschaltet werden kann (wobei sich erneut die Frage es Zugangs stellt)

Schönen Gruß,
Michael

Hallo zusammen
ich habe eine Frage in diesem Kontext:
Wenn ich irgendein Portal für SuS öffne (wie auch immer gesteuert Voucher/Schulkonsole) dann holen sich doch die potentiellen Geräte eine IP bis sie dann ggf geblockt werden.
Bei einer Schule mit 1000 SuS dürften dann doch jede Menge IPs vergeben sein, weil die SuS dauernd versuchen doch irgendwie ins Netz zukommen, bzw ihr Gerät in der Tasche das einfach macht, weil es ein schon mal bekanntes Netz erkennt.
Die aktuelle Einstellung des IPFire sind gerade mal gut 200 IP frei …
Wie geht man damit um?
Grüße Rainer

Bei uns sind’s aktuell 2048 … da kann jeder Schüler mit zwei Geräten kommen. Die IPs kommen aktuell vom Coova und der hat eine andere Netzmaske als z.B. die FritzBox.