我是无线网络管理员...但由于大多数人都不是专家,因此连接无线网络似乎存在一个普遍问题...因为我们使用的是 WPA Enterprise,所以在 Windows 平台上,必须使用一些通用步骤才能使其正常工作。但用户很愚蠢。
很多地方都有某种开放网络,您可以连接...但是当尝试访问不在某种内部列表中的网站时,您会被重定向到 Web 服务器上的登录页面,因此在您在那里通过身份验证后,您就可以浏览互联网。
这是怎么做到的?有什么提示吗?Linux?Windows?一些特殊的硬件/防火墙?
欢迎链接、信息……
答案1
在另一个生活中,我编写了这样一个机制。这里有一个小防火墙,那里有一个 Web 服务器,中间有一些东西可以打开和关闭给定 IP 地址的防火墙,还有一个默认规则,将所有端口 80 流量重定向到具有登录页面的 Web 服务器。这很容易吗?其实并非如此。
首先,你可以尝试看看诺卡特,一个专门做这种事情的开源项目。
不要尝试自己做这件事(编写一个通过强制门户进行无线身份验证的机制)。这是一条通往疯狂小镇的捷径。
自己做这件事最简单的方法是运行 2 组 AP(如果它们是廉价的非 VLAN、单 ssid 消费者 AP)。一组 AP 位于一个私有网络上,该网络服务器、DHCP 服务器和 DNS 服务器使用网络服务器的 IP 来回答所有 DNS 查找。有人查找 google.com?他们得到 192.168.66.6。他们查找 snoopy.com?192.168.66.6。他们查找 bobsyeruncle.net?192.168.66.6。然后在该网络服务器上,您放置一个网页,上面写着“欢迎来到(在此处插入公司)。”“如果您想使用无线网络,请将您的 ssid 更改为“securenet”,将其设置为“WPA2”和“eap-ttls”(或您正在使用的任何无线身份验证协议)。
当然,其他 AP 将连接到防火墙上的“无线”接口,并允许您认为适合您站点的无线网络访问的任何访问。
哦——等一下——你没有使用预共享密钥,是吗?如果你使用了预共享密钥,那你真的没有任何无线安全性。一旦我知道了密钥,我就可以监视每个人的流量。如今,即使是劣质的消费级 AP 也支持 WPA-enterprise 和 radius,你可以在 Windows 上使用 radius 服务器并使无线身份验证正常工作。
对于那节课,你需要在机器中放入另一个 25 美分硬币并提出另一个问题......
答案2
以下是我工作的地方实现的方法(我们的网络人员可能会更详细地说明):
当你连接到开放的 WL 网络时,你将处于第一个公共 vLAN 中,该 vLAN 会重定向(通过乌贼) 将所有流量引导至我们的身份验证页面。通过 kerberos 进行身份验证会将用户置于具有无限制访问权限的第二个 VLAN 上。
我对其中的一些细节不太清楚,但我相信其他人会填补这些缺失的地方。
答案3
如果你愿意接受商业解决方案,思科无线产品可以做到这一点。您购买一些轻量级 Aironet 接入点(足以覆盖物理空间)、一个无线局域网控制器来管理它们,并在控制器上配置 Web 身份验证。
您的费用为 500 美元/AP,再加上控制器的 2K-5K 美元(取决于您需要管理多少个 AP)。
但是,我必须在此说明,正确执行的企业身份验证不需要在客户端执行任何步骤。它就是有效。使用 AD、RADIUS、相同的无线控制器来管理网络,将正确的 GPO 推送到客户端,然后 - 神奇!- 每个人都在无线网络上,使用他们的 AD 凭据透明地进行身份验证。然后,您可以使用 Web 身份验证进行访客访问,这是它应有的。