标签: captive-portal

我是南非一所高中的网络管理员，在 Microsoft 网络上运行。我们在校园周围有大约 150 台 PC，其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。

目前，我们的 wi-fi 访问仅限于这些员工所在的几个地方。我们正在使用 WPA 的长密钥，该密钥对学生不可用。据我所知，这把钥匙是安全的。

然而，使用 RADIUS 身份验证更有意义，但我对它在实践中的工作方式有一些疑问。

1. 添加到域中的机器是否会自动通过 Wi-Fi 网络进行身份验证？还是基于用户？两者都可以吗？
2. 如果 PSP / iPod touch / Blackberry / 等设备使用 RADIUS 身份验证，它是否能够连接到 WiFi 网络？我希望这发生。

我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。

鉴于移动设备要求，使用强制门户会更好吗？我从机场的经验中知道可以做到（如果设备有浏览器）。

这让我想到了关于强制门户的问题：

1. 我可以将强制门户限制为仅限 Wi-Fi 连接设备吗？我并不特别想为所有现有的网络机器设置 MAC 地址例外（在我的理解中，它只是增加了 MAC 地址欺骗的机会）。
2. 这是怎么做的？我是否有单独的 WiFi 接入设备地址范围，然后强制门户会在两个网络之间路由吗？需要强调的是，WAP 与其他不会被强制传送的机器共享一个物理网络。

您的经验和洞察力将不胜感激！

菲利普

编辑：为了更清楚地了解 Captive Portal 是否可行，我问了这个问题。

我正在手动实施 WiFi 强制门户。我已经让一切正常工作，但有一个问题：我希望每个人都能看到他们的移动操作系统（或计算机操作系统）强制门户弹出窗口，以获得完美的体验。

由于他们每个人都有自己的扭曲方式，我似乎无法获得一致的跨平台体验。

为了实现这一点，我可以帮助描述一下 (1) 来自 WiFi 客户端的哪些 URL 请求需要重定向到登录页面，和/或 (2) 可以使用哪些 nginx 或 apache Web 服务器配置来重定向 WiFi客户到登录页面？

在这个例子中，我的强制门户登录页面是http://captiveportal.lan。以下是我试图解决此问题的一些操作系统。

安卓 4/5/6

• 阿帕奇：
  RedirectMatch 302 /generate_204 http://captiveportal.lan
  
• nginx：？
  

以前的 Android 版本

• 阿帕奇：？
  
• nginx：？
  

iOS 8

• Apache .htaccess：
  RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^CaptiveNetworkSupport(.*)$ [NC]
RewriteRule ^(.*)$ http://captiveportal.lan [L,R=302]
  

• nginx：？
  

以前的 iOS 版本

• 阿帕奇：？
  
• nginx：？
  

视窗手机

• 阿帕奇：
  RedirectMatch 302 /ncsi.txt http://captiveportal.lan
  
• nginx：？

视窗 7\8\10

• Apache：参见 windows phone（适用于 win7）。
• nginx：？
  

苹果系统

• 阿帕奇：？
  
• nginx：？
  

亚马逊 Kindle - 它有弹出窗口吗？

• 阿帕奇：？
  
• nginx：？
  

我安装了一些 wifi 热点，最近一个新客户问我是否可以在用户第一次打开浏览器时强制他们访问他的网站。经过一番谷歌搜索后，我发现这是“俘虏门户”。这是一个免费的 wifi 热点，所以我的客户不需要身份验证，只希望用户首先访问他的网站。

因此，经过更多的谷歌搜索后，我能找到的最便宜的解决方案是 DD-WRT 和 Wifidog。你所需要的（据我所知）就是一个 Linksys WRT54G。我很乐意刷新固件并进行设置。如果我可以让它为这个客户工作，我正在考虑将它作为未来客户的一种选择。

SO - 有没有人以这种方式设置强制门户？它是否可靠且易于远程且安全地支持？如果我以这种方式设置我的客户，我最终会在所有地方使用 Linksys Bricks 吗？

酒店、机场咖啡馆的 Internet 访问通常由强制门户控制，强制您在首次使用时访问特定网页，例如支付页面或接受服务条款或身份验证/授权页面的某些页面。您可以通过无线和有线连接看到这一点。

这是如何运作的？

我正在尝试创建一个强制门户 wifi 热点。

设置目的：

1. 决不允许通过 wlan0 连接到热点的用户通过 eth1 访问互联网。

2. 为了让“登录 wifi 网络”出现在 android、iphone 和任何可以连接的设备上，我试图将请求路由到
   http://clients1.google.com/generate_204和其他操作系统的其他 url，我还没有弄清楚，到我的本地服务器并返回真实服务器将返回的内容。

我使用 dnsmasq 和 hostapd 来实现这一点。

问题：当我在 dnsmasq.conf 中使用 address=/#/127.24.2.1 时，来自内部脚本的互联网请求也会失败。我想我正在关注 dnsmasq 配置手册页，其中说明了如何使用 dnsmasq 仅过滤 wlan0 接口流量。

我应该怎么做。

机器有这些接口

    eth1      Link encap:Ethernet  HWaddr 00:1e:06:30:5b:03
          inet addr:192.168.0.107  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:6ff:fe30:5b03/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:37047 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1752 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3351437 (3.1 MiB)  TX bytes:176100 (171.9 KiB)

lo        Link encap:Local Loopback …

请我需要一些关于如何配置它的帮助。

我有一个小面包店，想创建一个本地网络服务器来托管数字菜单。客户可以从任何具有 Wi-Fi 连接的设备（例如智能手机、平板电脑、笔记本电脑等）通过无线路由器访问它。

此无线路由器不会连接到任何 ISP，它只会连接到本地网络。

我希望连接到我的无线路由器并打开互联网浏览器的客户，会自动重定向到带有数字菜单的本地网络服务器 URL，就像您连接到公共热点并被迫订阅任何服务一样。

因此，网络中的元素将是：带有 Wi-Fi 的客户端设备、无线路由器和带有网络服务器的 PC。

我在一所高中工作，我想建立一个带有强制门户的公共 Wi-Fi 网络，该门户要求进行身份验证，但也可以跟踪用户信息，例如传输的数据量（以发现那些过度下载）。

我已经有一个几乎覆盖整个学校的无线网络（6个运行DD-WRT Micro的WRT54G V5和V8）。这是由学生使用的学校拥有的笔记本电脑访问的。我的 Wi-Fi 网络使用 WPA2 进行保护，密钥仅用于学校笔记本电脑。我从来没有因为带宽滥用等明显的原因把无线钥匙给学生，但老师有。没有学生成功敲过钥匙，所以这是完美的......

我想要做的是将公共AP放在学校的特定区域，让拥有自己的笔记本电脑的学生可以通过用户和密码控制互联网访问。

我调查了许多软件解决方案。一时间吸引了我的注意力。它是ZoneCD，但后来我看到它自 2009 年 3 月以来不再免费。这正是我正在寻找的，他们使用WiFiDog作为 Auth 核心。那是完美的解决方案。这并不昂贵（一年 175 美元，功能齐全），但我想如果可以免费完成，我的老板会更高兴。

仅为此运行专用服务器对我来说不是问题。

我还遇到了 RADIUS，它很好，但没有我想要的会计功能。

总而言之，我想建立一些东西，让学生能够为自己注册一个帐户，然后被迫使用它来访问 Internet。由于 WRT54G V1 到 V4（能够运行 DDWRT 标准并允许安装 WiFiDog 网关）现在非常罕见，我可能会购买用于构建这个公共网络的接入点可以是任何东西，但这很不幸。所以我真的需要一个能够实现我想要的服务器解决方案。

我得到以下情况：

• 两个WAN，由一个硬件负载均衡路由器进行负载均衡
• Wifi 网络（最多可以有 20 个 AP）

我需要以下内容：

• 需要一个强制门户，客户可以在其中授权和管理那里的帐户
• 基于MAC的授权
• 在线支付
• Web 代理缓存 (Squid)

在此设置的大部分内容中，我是这方面的新手。但是我想了想，就这样设置了：

我的问题是：

• 这种设置甚至可能吗？（具体参考 ETH0 和 ETH1 设置）
• 我是否需要在 pfSense 上运行 DHCP 服务器（将其设置为路由器）或在负载平衡路由器上启用 DHCP？
• 欢迎所有提示

如何使用 iptables 将特定 URL 列入白名单？目前所有请求都被阻止。

IE: http://www.apple.com/library/test/success.html

我只需要将此 URL 列入白名单，这样我的强制门户就不会触发 iPad 上的 Captive Network Assistant。理想情况下仍会阻止对 www.apple.com 的请求。

此外，有没有办法使规则特定于某个用户代理？

谢谢！