Einrichten eines WLAN Hotspot mit User/Passwort Tickets

Ein weiteres, nicht unbedingt bekanntes, aber dennoch sehr schickes Feature der WatchGuard Fireboxen ist der WLAN Hotspot. Er kann verwendet werden, um ein Gäste-WLAN zu betreiben ohne dauerhafte Credentials ausgeben zu müssen. Auf der Firebox können Tickets mit unterschiedlichen Laufzeiten generiert werden, die beispielsweise 4h, 1 Tag oder 1 Woche gültig sind. Für die Generation der Tickets wird ein spezieller Account auf der Firebox verwendet, der keine Admin-Rechte haben muß, d.h. das Erstellen der Tickets kann sogar von den Mitarbeitern am Info-Point/Empfang/Rezeption etc.  erledigt werden.

Einrichtung

Der WLAN-Hotspot bezieht sich auf ein ganzes Netzwerk – d.h. man muß entweder ein Interface für das Gäste-WLAN opfern oder eine Gäste-WLAN-VLAN-Struktur implementiert haben. In diesem Beispiel wurde lediglich ein Netzwerk konfiguriert, auf dem die Access-Points installiert sind. Die Access-Points müssen für den WLAN-Hotspot-Betrieb nicht zwangsweise Access Points von Watchguard sein, die über den Gateway Wireless Controller konfiguriert werden, sondern es können auch beliebige andere Access-Points sein. Sie sind lediglich an einem Netz angeschlossen, das von der Watchguard auf einem Interface oder VLAN verwaltet wird und das somit durch die Watchguard getrennt vom normalen (trusted) LAN ins Internet geroutet wird. Da sämtlicher Traffic zunächst auf der Hotspot Landing Page landet, kann man hier ggf. sogar ein offenes WLAN verwenden; zumindest muß man sich über die eventuelle Verbreitung eines WPA2-PSK keine zusätzlichen gedanken machen, denn ohne user/passwort ist ein Nutzen des WLANs nicht möglich.

Konfiguration Hotspot

unter Setup => Authentication => Hotspot … wird der Hotspot eingerichtet.  Zunächst wird mit einem Klick auf Add ein Hostpot hinzugefügt (die Watchguard unterstützt seit 11.11 mehrere Hotspots mit unterschiedlichen Authentisierungsverfahren/Freigaben für unterschiedliche Interfaces – vor 11.11 ist nur ein Hotspot verfügbar).

Hier kann dann konfiguriert werden, ob und wenn ja wie man sich am Hotspot anmelden muß.

Auf der Folgeseite kann die Hotspot Landing Page konfiguriert werden (Farbe, Begrüßungstext, Logo, und hier können auch AGBs oder ähnliches hinterlegt werden, die der Benutzer mit dem Login akzeptieren muß, bevor er sich einloggt. Hier könnte man beispielsweise einen WLAN-Nutzungsvertrag hinterlegen, wie er auf der Seite von datenschutz-guru.de angeboten wird.

Nach der Konfiguration des Hotspots wird der Hotspot anschließend dem gewünschten Interface zugewiesen.

Konfiguration HotSpot-Admin-Benutzer

Der Hotspot ist nun konfigurert, jetzt benötigen wir noch den Administrationsbenutzer für die Hotspot-Daten.

Unter File => Manage Users and Roles wird die Benutzerverwaltung der Firewall-Administrationsbenutzer aufgerufen (nicht zu verwechseln mit den Benutzern/Gruppen, die für Authentication, VPN-Login etc. verwendet werden). Dort wird ein Benutzer mit Rolle Guest Administrator angelegt. Dieser Schritt ist nur notwendig, wenn die Tickets von einer anderen Person als dem Administrator erzeugt, eingesehen und gedruckt werden sollen.

Erzeugen der Hotspot Tickets

unter der Web-UI der Firebox unter https://<ip.der.firebox:8080/wirelessguest/ kann man sich als Admin oder als Guest Administrator einloggen. Dort kann man nun den gewünschten Hotspot auswählen, und mit ADD neue Tickets hinzufügen. Hierbei kann man einstellen, wie lange die Tickets gültig sein sollen (Lifetime, z.B. nach Login 2 Stunden), und wann die Tickets auslaufen sollen (z.B. Expire nach 30 Tagen, also ungültig, falls sie nicht verwendet wurden). Man kann einen Prefix definieren, um die Tickets für unterschiedliche Hotspots auseinander halten zu können. Die Tickets erscheinen danach in einer Liste und können dort gedruckt oder auch wieder gelöscht werden. Auf der übergeordneten Seite kann man noch ein Logo und eine Überschrift für die Voucher definieren.

Überwachung der Tickets

in der Web-UI unter System Status => Hotspot Clients oder im Firebox System Manager unter dem Tab Authentication List => Button Hotspot Clients kann die Liste der gerade aktiven Hotspot Clients eingesehen werden.

3 Kommentare zu “Einrichten eines WLAN Hotspot mit User/Passwort Tickets”

  1. Jürgen Strobel

    Danke für das kurze “How to”!

    Gibt es evtl. Probleme mit OSx, iOS und Android bei der “Authentifizeriungswebseite”?
    Bei Windows Clients wird die Webseite direkt nach dem Verbinden geöffnet, und man kann sich mit den Daten Authentifizieren. Bei OSx, iOS und Android wird die Webseite nicht automatisch geöffnet, und ein Aufruf einer beliebigen Webseite leitet nicht zur HotSpot Authentifizierungswebseite um?
    Auch eine direkte eingabe der Hotspot Adresse bring Fehler nicht gefunden. (Das klappt auch unter Windows clients.)
    Evtl. habt Ihr das auch bei einmal gehabt?
    Würd mich freuen 🙂

    1. Werner Maier Post Author

      Hallo Herr Strobel,

      dieses Verhalten ist so nicht bekannt; bei den bisheringen Installationen hat die Authentifizierungswebsite auch bei Android und IOS geklappt.
      Allerdings gibt es möglicherweise eine Einschränkung: Sie sollten/dürfen natürlich nicht auf eine Website gehen, die das Device per HTTPS anfragt (z.B. weil sich das Device gemerkt hat, daß diese Seite immer HTTPS möchte (heise.de z.B.)). Hintergrund: im HTTPS Stream wird es erstens mit dem redirect und dem ggf. gemerkten Zertifikat des Browsers schwierig.
      bei meinen Installationen kommt auf dem Android nach dem Login immer die Notification “Anmelden im WLAN Netzwerk”.

Leave a Reply

Your email address will not be published. Required fields are marked *