Grundkonfiguration / Basis-Installation eines Public Spots für einfache Szenarien
Übergeordnetes Thema: Basis-Installation eines Public Spots für einfache Szenarien

Manuelle Installation

Die nachfolgenden Konfigurationsschritte zeigen Ihnen, wie Sie manuell einen Public Spot für einfache Einsatzszenarien einrichten. Bei dem geschilderten Einsatzszenario aktivieren Sie Public Spot auf einem Interface, über das kein anderer Datenverkehr außer dem des Public Spots läuft; sich z. B. Public Spot- und normale WLAN-Benutzer kein gemeinsames Netzwerk teilen (dedizierte SSID).

Anmerkung: Dieses Tutorial stellt nur ein mögliches Beispiel dar. Je nach Geräteart (Access Point, WLAN-Controller, etc.) oder Komplexität der Netzwerkkonfiguration (z. B. Einsatz von VLAN oder ARF) sind abweichende oder zusätzliche Schritte für die Einrichtung eines Public Spots erforderlich! Da derartige Netzwerkkonfigurationen jedoch sehr individuell sind, konzentriert sich das Tutorial bewusst auf ein einfaches Beispiel, damit Sie die notwendigen Schritte bei Bedarf adaptieren können.
  1. Starten Sie dazu LANconfig und markieren Sie das Gerät, für das Sie einen Public Spot einrichten wollen, z. B. einen Access Point. Öffnen Sie anschließend den Konfigurationsdialog für das Gerät.
  2. Überprüfen Sie die korrekte Uhrzeit.

    Für die Prüfung der Zertifikate und die korrekte Erfassung und Abrechnung der Sitzungsdaten ist die möglichst exakte Uhrzeit im Public Spot wichtig. Bestimmen Sie zunächst Einstellungen wie Zeitzone und Zeitumstellungen (Sommer- und Normalzeit):

    • LANconfig: Datum/Zeit > Allgemein
    Anmerkung: Damit die Uhrzeit des Public Spots auch später jederzeit korrekt eingestellt bleibt, sollten Sie das Gerät als NTP-Client einrichten. Den dafür notwendigen Zeit-Server tragen Sie unter Datum/Zeit > Synchronisierung > Zeit-Server ein. Öffnen Sie dazu den Hinzufügen-Dialog, um sich eine Liste möglicher Server-Adressen anzeigen zu lassen.
  3. Wählen Sie die Schnittstellen für den Public Spot-Betrieb.

    Mit der Auswahl einer Schnittstelle legen Sie fest, auf welchen Schnittstellen die Benutzer-Anmeldung aktiviert wird. Zur Auswahl stehen neben den logischen WLAN-Interfaces, über die sich Public Spot-Benutzer direkt anmelden können, auch die logischen LAN-Interfaces (LAN-1 etc.) und die Point-to-Point-Strecken (P2P-1 etc.). Über LAN- und P2P-Interfaces können Sie weitere Access-Points in den Public Spot eines anderen Gerätes einbeziehen. Wählen Sie für einen singulären Access-Point hingegen z. B. das logische WLAN-Interface WLAN-1.

    • LANconfig: Public-Spot > Server > Betriebseinstellungen > Interfaces




    Mit der Aktivierung der Authentifizierung für eine WLAN-Schnittstelle geben Sie automatisch die zugehörige SSID für die Public Spot-Nutzung frei.

    Anmerkung: Auf einem WLC können Sie bestimmte Ethernet-Interfaces für den Public Spot aktivieren. Dabei können Sie auch eine gezielte Einschränkung auf bestimmte VLANs festlegen.
  4. Beschränken Sie den Zugriff auf Ihr Gerät aus dem Public Spot-Netzwerk heraus ausschließlich auf die Authentifizierungsseiten.
    Wenn Sie den Zugriff nicht einschränken, sind Public Spot-Nutzer dazu in der Lage, auf die Konfigurationsoberfläche Ihres Gerätes (WEBconfig) zuzugreifen. Aus Sicherheitsgründen sollten Sie diese Möglichkeit jedoch ausschließen.
    • LANconfig: Public-Spot > Server > Betriebseinstellungen > WEBconfig-Zugang über Public Spot-Interface auf Authentifizierungsseiten einschränken




  5. Trennen Sie die Schnittstelle, über die Sie den Public Spot-Betrieb anbieten wollen, vom übrigen Netzwerkverkehr.
    Damit Endgeräte über unterschiedliche Interfaces bzw. Schnittstellen eines Public Spot-Gerätes (z. B. zwischen LAN-1 und WLAN-1) miteinander kommunizieren können, sind diese Schnittstellen in Ihrem Gerät logisch miteinander verknüpft (gebridged). In einem Public Spot-Szenario ist solch ein Bridging aus Sicherheitsgründen aber oft nicht erwünscht. Um die Kommunikation zwischen der einem Public Spot zugewiesenen Schnittstelle (z. B. WLAN-1) und dem übrigen Netzwerk zu trennen, müssen Sie das Bridging aufheben. Setzen Sie dazu in der Port-Tabelle die Bridge-Gruppe für das betreffende Interface auf keine.
    • LANconfig: Schnittstellen > LAN > Port-Tabelle




  6. Aktivieren Sie WLAN für den Public Spot.

    Diese Einstellung betrifft nicht: Router, WLAN Controller, Central Site Gateways.

    Aktivieren Sie das logische WLAN, welches Sie zuvor für die Public Spot-Anmeldung freigegeben haben, und geben Sie diesem Netzwerk einen aussagekräftigen Namen (SSID).

    • LANconfig: Wireless-LAN > Allgemein > Logische WLAN-Einstellungen > WLAN-Netzwerk <Nummer> > Netzwerk




    Anmerkung: Sofern Sie kein privates WLAN einrichten, sollten Sie aus Sicherheitsgründen die Einstellung Datenverkehr zulassen zwischen Stationen dieser SSID deaktivieren. Dadurch unterbinden Sie die Kommunikation der einzelnen Public Spot-Benutzer untereinander.
  7. Weisen Sie dem Gerät die IP-Adresse und die Netzmaske zu, die Ihr Public Spot-Netzwerk spezifizieren soll.
    Das Public Spot-Modul enthält in Ihrem Netzwerk eine eigene IP-Adresse, die unabhängig von der Adresse ist, die Sie dem Gerät zugewiesen haben. Haben Sie z. B. ein 192.168.0.0/24-Netzwerk aufgespannt und Ihr Gerät besitzt darin die IP 192.168.2.1, können Sie dem Public Spot-Modul z. B. die IP 192.168.3.1 und die Subnetzmaske 255.255.255.0 vergeben, sofern diese IP nicht anderweitig belegt ist. Unter Schnittstellen-Zuordnung selektieren Sie die gewählte Schnittstelle, z. B. WLAN-1.
    • LANconfig: IPv4 > Allgemein > IP-Netzwerke




    Anmerkung: Sofern Ihr Gerät nicht direkt mit dem Internet verbunden ist und Sie für Ihr Public Spot-Netzwerk einen anderen Adresskreis aufgespannt haben, müssen Sie in Ihrem Internet-Gateway eine Rückroute in das Public Spot-Netzwerk einrichten. Ohne Rückroute erhalten Public Spot-Nutzer bei der Weiterleitung einen HTTP-Fehler, nachdem sie am Public Spot erfolgreich authentifiziert wurden.

    Wie Sie eine Rückroute einrichten, entnehmen Sie bitte der Dokumentation Ihres Internet-Gateways. In LANconfig konfigurieren Sie diese unter IP-Router > Routing > IPv4-Routing-Tabelle. Legen Sie dazu einen neuen Eintrag an und tragen Sie unter IP-Adresse die Netzadresse Ihres Public Spot-Netzes ein sowie unter Router die Adresse, die der Public Spot in Ihrem lokalen Netz besitzt.





  8. Konfigurieren Sie die DHCP-Server-Einstellungen für das Public Spot-Netzwerk.
    Da das Gerät ein IP-Netzwerk unabhängig von dem Netzwerk aufspannt, in dem es sich befindet, müssen Sie für dieses Netzwerk einen DHCP-Server konfigurieren. Setzen Sie dazu für das zuvor eingerichtete IP-Netzwerk (z. B. PS-WLAN-1) den Wert für DHCP-Server aktiviert auf Ja.
    • LANconfig: IPv4 > DHCPv4 > DHCP-Netzwerke




  9. Deaktivieren Sie die Verschlüsselung für das Interface, über das Sie den Public Spot anbieten.

    Diese Einstellung betrifft nicht: Router, WLAN Controller, Central Site Gateways.

    Standardmäßig ist für alle logischen WLANs eine Verschlüsselung aktiviert. In Public Spot-Anwendungen werden die Nutzdaten zwischen den WLAN-Clients und dem Access Point üblicherweise unverschlüsselt übertragen. Deaktivieren Sie daher unter Wireless-LAN > Verschlüsselung > WLAN-Verschlüsselungs-Einstellungen die Verschlüsselung für das logische WLAN, welches Sie zuvor für die Public Spot-Anmeldung freigegeben haben.





  10. Wählen Sie den Anmeldungs-Modus und das verwendete Protokoll für die Benutzeranmeldung aus.

    Über den Anmeldungs-Modus legen Sie fest, mit welchen Informationen sich die Benutzer des Public Spot-WLANs anmelden können. Wählen Sie Anmeldung mit Name und Passwort, um Ihren Nutzern z. B. die Anmeldung mit einem individuellen Benutzernamen und einem Passwort zu ermöglichen, das Sie diesen vorab zuweisen. Zusätzlich erlaubt Ihnen dieses Einstellung, über sogenannte Voucher (Tickets) kurzfristig Hotspot-Zugänge für Gäste bereitzustellen.

    Verwenden Sie als Protokoll HTTPS, damit die Zugangsdaten Ihrer Nutzer bei der Anmeldung verschlüsselt übertragen werden.

    • LANconfig: Public-Spot > Anmeldung > Anmeldungs-Modus




    Anmerkung: Beachten Sie, dass – wenn Sie die Einstellungen Keine Anmeldung nötig wählen –, auch Unbefugte ungehinderten Zugriff auf Ihren Public Spot haben können!
  11. Schalten Sie den internen RADIUS-Server für die Benutzerverwaltung und das Accounting ein.
    Public-Spot-Zugänge speichern Sie in der Benutzer-Datenbank des geräteinternen RADIUS-Servers.
    • LANconfig: RADIUS > Server > Benutzer-Datenbank




  12. Standardmäßig ist der Public Spot bereits für die Benutzung des internen RADIUS-Servers vorkonfiguriert.
    Der Listeneintrag ist notwendig, damit der Public Spot die Adresse des RADIUS-Servers kennt und er die Public Spot-Zugänge am internen RADIUS-Server authentifizieren kann.
    • LANconfig: Public-Spot > Benutzer > Benutzer und RADIUS-Server > RADIUS-Server




  13. Richten Sie zur Absichererung Ihrer lokalen Netzwerke Filterregeln für den Public Spot in der Firewall ein. Erstellen dazu jeweils eine Erlaubnisregel (z. B. ALLOW_PS-WLAN-1) und eine Verbotsregel (z. B. DENY_PS-WLAN-1).
    Über die Erlaubnisregel gestatten Sie Geräten aus dem Public Spot-Netzwerk explizit, DNS-Anfragen in alle lokalen Netzwerke – z. B. Ihr lokales Intranet – zu senden. Über die Verbotsregel hingegen schließen Sie alle übrigen Zugriffe bzw. Anfragen aus dem Public Spot-Netz in Ihre lokalen Netzwerke generell aus. Die Reihenfolge – Erlaubnis vor Verbot – ist dabei essentiell, da die Firewall Regeln nach Priorität von oben nach unten anwendet.
    • LANconfig: Firewall/QoS > IPv4-Regeln > Regeln…








    • Einstellungen für die Erlaubnisregel:
    1. Tragen Sie unter Allgemein den Namen der Regel ein, z. B. ALLOW_PS-WLAN-1.
    2. Entfernen Sie alle eventuell voreingestellten Aktions-Objekte aus der Liste und fügen Sie über Aktionen > Hinzufügen… ein Aktions-Objekt vom Typ ACCEPT hinzu.
    3. Aktivieren Sie unter Stationen > Verbindungs-Quelle die Option Verbindungen von folgenden Stationen und wählen Sie Hinzufügen… > Benutzerdefinierte Station hinzufügen.
    4. Wählen Sie im sich öffnenden Stations-Dialog die Option Alle Stationen im lokalen Netzwerk und wählen Sie unter Netzwerk-Name den Namen Ihres Public Spot-IP-Netzwerks, z. B. PS-WLAN-1. Schließen Sie den Stations-Dialog mit OK.
    5. Aktivieren Sie unter Stationen > Verbindungs-Ziel die Option Verbindungen an folgende Stationen und wählen Sie Hinzufügen… den Eintrag LOCALNET.
    6. Aktivieren Sie unter Dienste > Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste und wählen Sie Hinzufügen… > DNS.
    7. Beenden Sie den Filter-Regel-Dialog mit einem abschließenden Klick auf OK.
      LANconfig trägt die Erlaubnisregel daraufhin in die Regel-Tabelle ein.
    • Einstellungen für die Verbotsregel:
    1. Tragen Sie unter Allgemein den Namen der Regel ein, z. B. DENY_PS-WLAN-1.
    2. Entfernen Sie alle eventuell voreingestellten Aktions-Objekte aus der Liste und fügen Sie über Aktionen > Hinzufügen… ein Aktions-Objekt vom Typ REJECT hinzu.
    3. Aktivieren Sie unter Stationen > Verbindungs-Quelle die Option Verbindungen von folgenden Stationen und wählen Sie Hinzufügen… > Benutzerdefinierte Station hinzufügen.
    4. Wählen Sie im sich öffnenden Stations-Dialog die Option Alle Stationen im lokalen Netzwerk und wählen Sie unter Netzwerk-Name den Namen Ihres Public Spot-IP-Netzwerks, z. B. PS-WLAN-1. Schließen Sie den Stations-Dialog mit OK.
    5. Aktivieren Sie unter Stationen > Verbindungs-Ziel die Option Verbindungen an folgende Stationen und wählen Sie Hinzufügen… den Eintrag LOCALNET.
    6. Beenden Sie den Filter-Regel-Dialog mit einem abschließenden Klick auf OK.
      LANconfig trägt die Verbotsregel daraufhin in die Regel-Tabelle ein.
  14. Speichern Sie die Konfiguation auf Ihrem Gerät.
Fertig! Damit haben Sie Ihr Public Spot-Modul konfiguriert. Wenn Sie sich nun mit einem WLAN-fähigen Gerät in Reichweite des Public Spots begeben, kann das Gerät die eingerichtete SSID als öffentliches Netzwerk finden und sich an diesem anmelden.
Übergeordnetes Thema: Basis-Installation eines Public Spots für einfache Szenarien

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo