Nachdem wir in den letzten beiden Beiträgen gezeigt haben, wie sich Peplink-Router mit InControl2 zentral verwalten und wie sich Gegenstellen sicher anbinden lassen, wenden wir uns nun noch der Social-Wi-Fi-Konfiguration zu. In diesem Zusammenhang nahmen wir die Captive-Portal-Funktionalität von InControl2 unter die Lupe. Zum Abschluss der Serie gehen wir aber auch noch auf ein paar ergänzende Punkte ein.
So könnte eine Landing-Page aussehen, die den Abschluss der Konfigurationen und Abfragen im Captive Portal darstellt und den User dann ins Internet leitet.
(Bild: Peplink / Güttich)
Captive Portals machen es möglich, den Zugriff auf Wi-Fi-Infrastrukturen granular zu steuern. Sie lassen sich beispielsweise nutzen, um Anwender zu zwingen, die Nutzungsbedingungen zu akzeptieren, bevor Sie Zugriff auf das WLAN erhalten. Alternativ ist es mit Captive Portals auch möglich, nur bestimmte Nutzer für bestimmte Zeiträume im WLAN zuzulassen.
Um mit InControl2 auf einem Balance-20X-Router ein Captive Portal für ein WLAN einzurichten, ist es zunächst erforderlich, unter “Network Settings / VLAN Networks” ein VLAN zu erzeugen. Anschließend müssen die zuständigen Mitarbeiter dieses mittels “Wi-Fi AP / Group-wide SSID Settings / VLAN Settings” der SSID zuweisen, die über das Captive Portal abgesichert werden soll.
BILDERGALERIE
Sobald diese vorbereitenden Maßnahmen durchgeführt wurden, kann es daran gehen, unter “Network Settings / Captive Portal” ein neues Captive Portal zu definieren. Dieses muss zunächst einen Namen erhalten, außerdem müssen die IT-Verantwortlichen auch den Namen des betroffenen Unternehmens angeben. Interessanter ist der nächste Punkt, der sich mit dem Zugriffsmodus auseinandersetzt. Hier bietet das System die Alternativen “Social”, “Open Access”, “Guest Account”, “Token”, “E-Mail”, und “SMS” an, die sich auch kombiniert einsetzen lassen.
“Social” bedeutet, dass sich die Anwender im Betrieb mit ihren Konten bei den Sozialen Netzen “Facebook”, “Twitter”, “LinkedIn” oder “Sina Weibo” beim WLAN anmelden. “Open Access” lässt den Zugriff auf das WLAN komplett offen, die Teilnehmer müssen lediglich auf einer Begrüßungsseite einen Login-Knopf drücken. Das ergibt hauptsächlich in Verbindung mit zu akzeptierenden Nutzungsbedingungen und einer täglichen Quota Sinn. Letztere können die Administratoren übrigens bei jedem Zugriffsmodus festlegen. Dabei sind sie dazu in der Lage, den Zugriff zeitlich oder abhängig vom Datenverbrauch zu limitieren oder diese beiden Begrenzungsmöglichkeiten zu kombinieren.
Zugriffe über “Guest Accounts” ermöglichen es den Administratoren, Gästekonten anzulegen und diese dann für den Login-Vorgang beim Captive Portal zu verwenden. Diese Guest Accounts lassen sich manuell erstellen und aus CSV-Dateien importieren. Sie laufen, falls gewünscht, zu einem bestimmten Zeitpunkt aus oder nach einer zuvor definierten Zeitspanne der Inaktivität.
Der nächste Zugriffsmodus ermöglicht das Erzeugen von Tokens, die in einem bestimmten Zeitraum gültig sind und einen Login beim WLAN ermöglichen. Beim Zugriffsmodus mit E-Mails können die Verantwortlichen im Gegensatz dazu bestimmte Daten bei den Anwendern abfragen. Dazu gehören neben der obligatorischen E-Mail-Adresse auch optionale Angaben wie der Name der betroffenen Person, die Mobilfunknummer, das Geschlecht und das Herkunftsland. Diese Angaben lassen sich jeweils einzeln selektieren. Außerdem besteht die Möglichkeit, die Nutzer zu zwingen, in einer Bestätigungs-E-Mail auf einen Link zu klicken, um den WLAN-Zugriff zu aktivieren.
Die letzte Zugriffsmethode ermöglicht schließlich das Versenden von Zugriffstokens via SMS. Dazu müssen die Benutzer auf der Captive-Portal-Seite ihre Mobilfunknummer angeben und erhalten dann den Token, mit dem sie sich anmelden können, direkt auf ihr Smartphone.
Nachdem der Zugriffsmodus festgelegt wurde, sind die IT-Verantwortlichen dazu in der Lage, zu definieren, wie oft sich die Anwender anmelden müssen. Hier stehen die Auswahlmöglichkeiten “einmal”, “jeden Tag oder nach dem Zurücksetzen der Quota” und “jedes Mal, wenn sie sich verbinden” zur Verfügung. Außerdem lassen sich in der Captive-Portal-Konfiguration noch bestimmte Netzwerke auf Basis von Domänen beziehungsweise IP-Adressen zulassen und einzelne Clients erlauben (nach MAC- oder IP-Adresse). Abgesehen davon können die Administratoren noch Access Control Lists festlegen und eine Google Analytics Tracking ID eintragen.
Die Definition der Landing Page, die den Anwendern nach der Autorisierung zuerst gezeigt wird, schließt die Konfiguration des Captive Portals ab. Diese enthält einen “Start Browsing”-Button und leitet den User nach einem Klick darauf an die Seite weiter, die er ursprünglich aufgerufen hatte. Alternativ besteht auch die Möglichkeit, alle Anwender immer auf eine bestimmte Seite (beispielsweise die des betroffenen Hotels) umzuleiten. Falls das nicht erforderlich ist, kann das System die Benutzer auch direkt auf die Seite schicken, die sie ursprünglich sehen wollten oder direkt auf eine Seite, die der Administrator festlegt, eine Landing-Page ist also optional.
Unter “Preview und Customization” können die IT-Verantwortlichen bei Bedarf noch das Aussehen ihres Captive Portals anpassen, mit Begrüßungstext, Logo, Farben und Ähnlichem. Im Test legten wir mehrere Captive Portals an, mit Open Access, Guest-Accounts, Token und E-Mail. Um diese zu aktivieren, war es im letzten Schritt noch erforderlich, das jeweils gewünschte Captive Portal in dem VLAN einzutragen, bei dem es zum Einsatz kommen soll, danach ist das Portal aktiv und kann genutzt werden. Im Test ergaben sich dabei keine Probleme.
Die Captive-Portal-Funktion bietet den Administratoren eine Vielzahl an Optionen, um die Zugriffe der Anwender auf ihre WLAN-Netze zu steuern. Dank eines zusätzliche Captive-Portal-Dashboards und umfangreicher Reporting-Funktionen, können sich die zuständigen Mitarbeiter auch im Betrieb noch genau über das Nutzerverhalten mit Datennutzung, Session Time und so weiter informieren.
Zusammenfassung und Fazit
Gehen wir zum Schluss noch auf ein paar weitere Features der Peplink-Lösung ein, die wir bisher noch nicht erwähnt haben. Dazu gehören beispielsweise die “Outbound Policies”. Mit ihnen sind die zuständigen Mitarbeiter dazu in der Lage, genau festzulegen, welche Datenübertragungen über welche Verbindungen gehen sollen. Die Definition erfolgt nach Protokoll, Quelle und Ziel. Damit besteht die Möglichkeit, bestimmte Anwendungen über bestimmte WAN-Verbindungen oder VPN-Tunnel zu schicken. Die Administratoren können so folglich genau festlegen, welche Informationen wo übertragen werden.
Ebenfalls interessant: Die Peplink-Systeme verfügen über eine kostenlose Content-Blocking-Datenbank zum Filtern von Internet-Inhalten, eine Funktion zum Blocken bestimmter Apps und ein IDS mit DoS-Prevention. Abgesehen davon bieten Peplink und Vitel unter dem Namen “Peplink Care” noch umfassende Garantieoptionen an, die sich unter anderem auf die Hardware, die Firmware-Updates, den technischen Support und das Management beziehen. Letzteres kann beispielsweise auf Wunsch komplett von Vitel übernommen werden. Mit diesen Möglichkeiten gestaltet jedes Unternehmen seine Umgebung so, wie es sie benötigt.
Die weiteren Artikel der dreiteiligen Mini-Serie finden Sie jeweils zum Erscheinungszeitpunkt hier verlinkt:
Zentrales Infrastrukturmanagement via Browser
Die Peplink-Produkte im Test (Teil 1)
PepVPN/SpeedFusion: Schnelle Einbindung verteilter Nutzer
SpeedFusion im Test (Teil 2)
Über den Autor
Der Leiter des IT-Testlab – Dr. Götz Güttich – verfügt über rund 20 Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
Dr. Güttich bringt auch umfassende praktische Kenntnisse aus dem Einsatz unterschiedlichster Lösungen in Unternehmensnetzen mit. Seine Schwerpunkte liegen in den Bereichen Cloud, Mobile Computing, IT-Sicherheit, Storage, Netzwerkmanagement, Netzwerkbetriebssysteme, Terminalserver und Virtualisierung.
Dr. Götz Güttich ist Leiter des IT-Testlab.
(Bild: IT-Testlab)
