Hallo,
ich hab hier eine kleinen Hotspot am laufen, 2*L54a und 1*L54ag, Benutzerverwaltung über einen der L54a via Radius von. Roaming und eigene Public-Spot Templates auf einem Linux Rechner der gleichzeitig einen transparenten Proxy fährt.
Imho geht alles, naja bis auf das mit den Freien Netzen.
Im Moment ist es so dass man sich mit den gedruckten Tickes einloggen kann, dann kommt man auch ins Internet. Ohne Logindaten kann man nur auf den Templateseiten der Public-Spot Option rumspielen, sowie die Seiten die im Intranet also auf dem Squid Rechner liegen.
Soweit ich das mit den Freien Netzen verstanden hab, dient das doch dazu, Ausnahmen zu definieren. Also Seiten im WWW die man auch ohne aktive Logindaten erreichen kann.
Egal was ich da reinschreib, es geht einfach nicht. Fixe-Ip oder auch die Seitenurl in Textform - immer geht es nur auf die Login-Seite.
Bug oder nicht verstandenes Feature?
Es juckt ihn auch nicht wenn ich bei den Bytes für die DNS Abfrage etwas reinschreibe oder nicht.
Public-Spot & Freie Netze
Moderator: Lancom-Systems Moderatoren
Moin,
also erstmal gehen da nur IP-Adressen oder Host-Namen,
aber keine URLs - das Public-Spot-Modul filtert dafür nur auf
Paketebene und führt keinerlei Analyse des Inhalts durch.
Des weiteren kannst Du unter Status->Public-Spot->
Free-Networks kontrollieren, ob Deine Angaben
übernommen worden sind - insbesondere, ob bei DNS-
Hostnamen das LANCOM den Hostnamen auflösen
konnte.
Gruß Alfred
also erstmal gehen da nur IP-Adressen oder Host-Namen,
aber keine URLs - das Public-Spot-Modul filtert dafür nur auf
Paketebene und führt keinerlei Analyse des Inhalts durch.
Des weiteren kannst Du unter Status->Public-Spot->
Free-Networks kontrollieren, ob Deine Angaben
übernommen worden sind - insbesondere, ob bei DNS-
Hostnamen das LANCOM den Hostnamen auflösen
konnte.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Nachschulung;=)
Hallo Alfred,
hat bei mir jetzt etwas gedauert. Ich bin heute die Sache mit den freien Netzen nochmals angegangen. Irgendwie bin ich zu blöd dazu.
Im Prinzip läufen die AP´s als HS ohne Probleme. Eigene Templates und auch das mit den Vouchern klappt prima. Die RC8 macht echt Spass!
Die freien Netze wollen immer noch nicht.
Auf den ersten beiden Feldern Webservername/Verzeichniss sind die Daten des Server hinterlegt wo die Template stehen. Das geht.
Bei den freien gibts auch 2 Felder
No.1 Name/IP
No.2 Netzmaske
So wie ich das sehe kann man da entwender einen Domainnamen eintragen, oder eine IP plus einer Netzmaske.
Muss die Domain als server.de oder als www.server.de geschrieben werden ?
Bei IP hab ich mal Testweise die IP eines x-beliebigen Webserver eingegeben. Ganz einfachs Ding, die Seite hat nur eignen Inhalt.
Auch das geht nicht.
Im LCOS Verzeichnissbaum sehe ich beim Status der Freien Tabelle nur den Domainnamen "server.de" aber keine IP - da wird also nix aufgelöst.
Irgendwie sehe ich vor Wald die einzelnen Bäume nicht mehr.
Loggt sich der Client ein, klappt alles wie es soll.
Ausgeloggt, heisst es immer nur Seite kann nicht geladen werden.
Es gibt dann ja noch das Feld Max.Datenvolumen, für DHCP/DNS vor der Anmeldung. Bis Dato hatte ich da 0 drin. Testweise bin ich da mal auf 4096 gegangen. Aber auch das ändert nix. Es mag nicht.
Ich vermute dass im AP irgendwo ein DNS Eintrag fehlt. Muss der DNS im AP eingschaltete sein damit die Freien funktionieren ? Ich hab da nur den DHCP an, der vergibt je einen Adressbereich und weist natuerlich den Client auch einen DNS zu Gateway zu. Was macht aber der AP selber?
Ich hab nix gefunden wo man für den AP selber einen DNS als weiterleitung definieren kann.
Ich hab den AP-DBS auch mal eingeschaltet und die Daten in die eigene Tabelle eingetragen. Also da wo man eigene Rechner im lokalen Netz eintragen kann. Nix, nada, geht nicht. Selbst wenn ich den AP nach jeder Änderung neu Starte etc. Man weiss ja nie;=)
Irgend einen Tip ? Wo ich noch suchen kann.
hat bei mir jetzt etwas gedauert. Ich bin heute die Sache mit den freien Netzen nochmals angegangen. Irgendwie bin ich zu blöd dazu.
Im Prinzip läufen die AP´s als HS ohne Probleme. Eigene Templates und auch das mit den Vouchern klappt prima. Die RC8 macht echt Spass!
Die freien Netze wollen immer noch nicht.
Auf den ersten beiden Feldern Webservername/Verzeichniss sind die Daten des Server hinterlegt wo die Template stehen. Das geht.
Bei den freien gibts auch 2 Felder
No.1 Name/IP
No.2 Netzmaske
So wie ich das sehe kann man da entwender einen Domainnamen eintragen, oder eine IP plus einer Netzmaske.
Muss die Domain als server.de oder als www.server.de geschrieben werden ?
Bei IP hab ich mal Testweise die IP eines x-beliebigen Webserver eingegeben. Ganz einfachs Ding, die Seite hat nur eignen Inhalt.
Auch das geht nicht.
Im LCOS Verzeichnissbaum sehe ich beim Status der Freien Tabelle nur den Domainnamen "server.de" aber keine IP - da wird also nix aufgelöst.
Irgendwie sehe ich vor Wald die einzelnen Bäume nicht mehr.
Loggt sich der Client ein, klappt alles wie es soll.
Ausgeloggt, heisst es immer nur Seite kann nicht geladen werden.
Es gibt dann ja noch das Feld Max.Datenvolumen, für DHCP/DNS vor der Anmeldung. Bis Dato hatte ich da 0 drin. Testweise bin ich da mal auf 4096 gegangen. Aber auch das ändert nix. Es mag nicht.
Ich vermute dass im AP irgendwo ein DNS Eintrag fehlt. Muss der DNS im AP eingschaltete sein damit die Freien funktionieren ? Ich hab da nur den DHCP an, der vergibt je einen Adressbereich und weist natuerlich den Client auch einen DNS zu Gateway zu. Was macht aber der AP selber?
Ich hab nix gefunden wo man für den AP selber einen DNS als weiterleitung definieren kann.
Ich hab den AP-DBS auch mal eingeschaltet und die Daten in die eigene Tabelle eingetragen. Also da wo man eigene Rechner im lokalen Netz eintragen kann. Nix, nada, geht nicht. Selbst wenn ich den AP nach jeder Änderung neu Starte etc. Man weiss ja nie;=)
Irgend einen Tip ? Wo ich noch suchen kann.
Pengiun
Moin,
einen IP-Adresse. Ein Host-Name wird vom Gerät
automatisch in eine IP-Adresse umgewandelt, dazu muß
das Gerät selber natürlich einen funktionierenden
DNS-Server konfiguriert haben (im einfachsten Falle als
Setup->TCP/IP->DNS-Default in der CLI). Bei einem
Host-Namen wird man im allgemeinen 255.255.255.255
als Netzmaske angeben, Freigeben ganzer Subnetze ist
da eher weniger sinnvoll.
ist Dein Freund...
kommt man ja noch nicht einmal durch die Standard-
Anmeldeseiten durch...
aber unter Setup/TCP-IP eingetragenem DNS-Default
probiert und das geht...
Gruß Alfred
Du kannst entweder einen *Host*-Namen eingeben oderSo wie ich das sehe kann man da entwender einen Domainnamen eintragen, oder eine IP plus einer Netzmaske.
einen IP-Adresse. Ein Host-Name wird vom Gerät
automatisch in eine IP-Adresse umgewandelt, dazu muß
das Gerät selber natürlich einen funktionierenden
DNS-Server konfiguriert haben (im einfachsten Falle als
Setup->TCP/IP->DNS-Default in der CLI). Bei einem
Host-Namen wird man im allgemeinen 255.255.255.255
als Netzmaske angeben, Freigeben ganzer Subnetze ist
da eher weniger sinnvoll.
Dann hast Du noch ein DNS-Problem - der DNS-TraceIm LCOS Verzeichnissbaum sehe ich beim Status der Freien Tabelle nur den Domainnamen "server.de" aber keine IP - da wird also nix aufgelöst.
ist Dein Freund...
4KB Volumen vor der Anmeldung wäre reichlich wenig, damitEs gibt dann ja noch das Feld Max.Datenvolumen, für DHCP/DNS vor der Anmeldung. Bis Dato hatte ich da 0 drin. Testweise bin ich da mal auf 4096 gegangen. Aber auch das ändert nix. Es mag nicht.
kommt man ja noch nicht einmal durch die Standard-
Anmeldeseiten durch...
Also ich hab's gerade mal mit abgeschaltetem DNS-Server,Muss der DNS im AP eingschaltete sein damit die Freien funktionieren ?
aber unter Setup/TCP-IP eingetragenem DNS-Default
probiert und das geht...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Zu den Freien Netzen:
Der erste Eintrag Web-Server Name/IP-Adresse + Verzeichnis hat eine Doppelfunktion:
(siehe LC-PUBLIC-SPOT-IMPLEMENTATION-GUIDE-EN.pdf 9.1.1)
Zum 1.ten wird die IP-Adresse des Eingetragenen Servers freigegeben (Netzmaske ist hier 255.255.255.255). Zum Zweiten werden, falls keine User definierten Seiten verfügbar [server down] od. über Seiten Tabelle definiert sind die Login Seite als Frame dargestellt. (Linker Frame: Login, Rechter Frame die URL Adresse Web-Server Name/IP-Adresse + Verzeichnis.
Aber es wird immer das Netz Web-Server Name/IP-Adresse / 255.255.255.255 freigegeben, nicht nur das eine Verzeichnis auf diesem Server.
Wenn Ihr keine Frames haben wollt, dann tragt die freien Netze in der Tabelle "Freie Netze" ein. Aber auch hier wird, falls ihr einen Namen eintragt immer das Netz IP/MASK freigegeben und nicht nur der Domain-Name, d.h. wenn der Apache Server auf IP a.b.c.d mehrere Domains hosted, dann hat man auf all diese Domains freien Zugriff.
Zur Namensauflösung
a) Der DNS Server auf dem WLAN AP muss nicht eingeschaltet werden, der AP löst trotzdem die Clients auf die unter Stationsnamen eingetragen werden auf. Kann man z.B. nutzen wenn man ein eigenens Zertifikat für die HTTPS Anmeldung hat. Z.B mein.publicspot.xy 127.0.0.1 (Setzen von Gerätehostname für public spot auf mein.publicspot.xy nicht vergesssen LCOS->Menubaum->Public Spot->Gerätehostname)
b) oder man gibt einen DNS Server unter TCP/IP -> Adressen -> Nameserver-Adressen -> Erster DNS einen an
Der erste Eintrag Web-Server Name/IP-Adresse + Verzeichnis hat eine Doppelfunktion:
(siehe LC-PUBLIC-SPOT-IMPLEMENTATION-GUIDE-EN.pdf 9.1.1)
Zum 1.ten wird die IP-Adresse des Eingetragenen Servers freigegeben (Netzmaske ist hier 255.255.255.255). Zum Zweiten werden, falls keine User definierten Seiten verfügbar [server down] od. über Seiten Tabelle definiert sind die Login Seite als Frame dargestellt. (Linker Frame: Login, Rechter Frame die URL Adresse Web-Server Name/IP-Adresse + Verzeichnis.
Aber es wird immer das Netz Web-Server Name/IP-Adresse / 255.255.255.255 freigegeben, nicht nur das eine Verzeichnis auf diesem Server.
Wenn Ihr keine Frames haben wollt, dann tragt die freien Netze in der Tabelle "Freie Netze" ein. Aber auch hier wird, falls ihr einen Namen eintragt immer das Netz IP/MASK freigegeben und nicht nur der Domain-Name, d.h. wenn der Apache Server auf IP a.b.c.d mehrere Domains hosted, dann hat man auf all diese Domains freien Zugriff.
Zur Namensauflösung
a) Der DNS Server auf dem WLAN AP muss nicht eingeschaltet werden, der AP löst trotzdem die Clients auf die unter Stationsnamen eingetragen werden auf. Kann man z.B. nutzen wenn man ein eigenens Zertifikat für die HTTPS Anmeldung hat. Z.B mein.publicspot.xy 127.0.0.1 (Setzen von Gerätehostname für public spot auf mein.publicspot.xy nicht vergesssen LCOS->Menubaum->Public Spot->Gerätehostname)
b) oder man gibt einen DNS Server unter TCP/IP -> Adressen -> Nameserver-Adressen -> Erster DNS einen an
Hallo Alf29 & Findler,
Dank für die Tips. So jetzt geht es, endlich;=)
Hab mich auch in die Niederungen der CLI herab gelassen. Mit dem Trace des DNS hab ich einige Unstimmifkeiten gefunden.
Letzlich lag es aber an ganz was anderem - da es zusätzlich noch verhindert hat.
Ich hab jetzt für die freien Seiten die IP des Server engetragen. Und durch Zufall bin ich drauf gekommen dass mein server.de via Ping eine andere IP bringt wenn man mit ping www.server.de oder ping server.de anspricht. Warum auch immer...
Da ist mehr als eine Domain drauf und ausgerechnet bei dieser löst er falsch auf. Mit der richtigen IP tut es jetzt so wie geplant.
Ich hab mir auch mal die aktuelle P-Spot Doku angesehen, da hat Lancom ja etwas nachgearbeitet in den letzten 12 Monaten;=) Oder hab ich da neue Ding nur übersehen bisher?
Was echt gut ist, dann man mit den neueren Firmware verschiedene Optionen für die Ticketgenerierung hat. Unter anderem Laufzeitstart.
Was ich im Moment als Nachteil sehe ist, dass es nur einen Button für Druck+Speichern des Vouchers gibt. OK ich weiss - bis dato haben die Anwender immer Gedruck und dann nicht gespeichert. Aber so kann man das Ticket nur einmal ausdrucken und muss es ggf. kopieren wenn man eine Kopie für die Doku haben will.
Und jetzt mach ich mich mal an die Zertifikate;=) Die Warnungen sehen irgendwie unschön aus.
Dank für die Tips. So jetzt geht es, endlich;=)
Hab mich auch in die Niederungen der CLI herab gelassen. Mit dem Trace des DNS hab ich einige Unstimmifkeiten gefunden.
Letzlich lag es aber an ganz was anderem - da es zusätzlich noch verhindert hat.
Ich hab jetzt für die freien Seiten die IP des Server engetragen. Und durch Zufall bin ich drauf gekommen dass mein server.de via Ping eine andere IP bringt wenn man mit ping www.server.de oder ping server.de anspricht. Warum auch immer...
Da ist mehr als eine Domain drauf und ausgerechnet bei dieser löst er falsch auf. Mit der richtigen IP tut es jetzt so wie geplant.
Ich hab mir auch mal die aktuelle P-Spot Doku angesehen, da hat Lancom ja etwas nachgearbeitet in den letzten 12 Monaten;=) Oder hab ich da neue Ding nur übersehen bisher?
Was echt gut ist, dann man mit den neueren Firmware verschiedene Optionen für die Ticketgenerierung hat. Unter anderem Laufzeitstart.
Was ich im Moment als Nachteil sehe ist, dass es nur einen Button für Druck+Speichern des Vouchers gibt. OK ich weiss - bis dato haben die Anwender immer Gedruck und dann nicht gespeichert. Aber so kann man das Ticket nur einmal ausdrucken und muss es ggf. kopieren wenn man eine Kopie für die Doku haben will.
Und jetzt mach ich mich mal an die Zertifikate;=) Die Warnungen sehen irgendwie unschön aus.
Pengiun
Drucken kannst Du ja in ein PDF Dokument, dann hast Du es in elektronischer Form und nicht gleich auf Papier. http://freepdfxp.de/xpDownload.html (Läuft auch unter W7 64bit)
Und zum Thema Zertifikate schau mal hier drauf http://www.startssl.com/. Das Start SSL Free Zertifikat ist 100% kostenlos.
Und zum Thema Zertifikate schau mal hier drauf http://www.startssl.com/. Das Start SSL Free Zertifikat ist 100% kostenlos.
Hallo Findler,
das mit dem PDF geht, es kommt aber auch der Treiberdialog wo man 2 einstellen kann. Ich hab mir das grad nochmal angesehen.
Die von startssl kenn ich. Ist aber nicht notwendig - da ich für die Domain auf der der Hotspot läuft ein eigenes Zertifikat habe. Bis dato laufen die auf server.itr - was bei einem richtigen Zertifikat zumindest bei startssl nicht geht. Dort kann man ja nur vorgegebene Toplevel-Domain benutzen. Und .itr gibt es nicht.
Ich will daher mal versuchen unser Webserver Zertifikat zu benutzen, eben das ist auf Domain.NET eingestellt.
Was selbstgestricktes ist ja nur zum testen gut - sonst ersetzt man die eine mit der anderen Warnung.
das mit dem PDF geht, es kommt aber auch der Treiberdialog wo man 2 einstellen kann. Ich hab mir das grad nochmal angesehen.
Die von startssl kenn ich. Ist aber nicht notwendig - da ich für die Domain auf der der Hotspot läuft ein eigenes Zertifikat habe. Bis dato laufen die auf server.itr - was bei einem richtigen Zertifikat zumindest bei startssl nicht geht. Dort kann man ja nur vorgegebene Toplevel-Domain benutzen. Und .itr gibt es nicht.
Ich will daher mal versuchen unser Webserver Zertifikat zu benutzen, eben das ist auf Domain.NET eingestellt.
Was selbstgestricktes ist ja nur zum testen gut - sonst ersetzt man die eine mit der anderen Warnung.
Pengiun
Hallo,
irgendwie scheitere ich am privaten Key des Zertifikates. Das Zertifikat laden ich über die Weboberfläche rauf. Es erscheint auch im Dateisystem. Da steht dann zwar nur SSL_CERT aber er legt di Datei an.
An der Stelle frag ich mich, wenn man mehrere Zertifikate im Gerät hat, wie will man eigentlich wissen welches man löschen soll. SSL_CERT ist ja nicht gerade aussagekräftig.
Beim Upload der Privaten Key Datei scheitere ich.
Da nudelt der AP ewig rum und startet teilweise sogar neu ;=)
Der Private Key ist ne ASCII Datei unformatiert und sieht so aus:
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,8C9999C2B8B9B3589966CC1F9D7221AE
pqHe7uszFXEBtPXhVa3LlHygz4p6hzV66Ciz1u02EOnIN6anGHELlyGIiLqhHtRv
...
-----END RSA PRIVATE KEY-----
Das Zertifikat so:
-----BEGIN CERTIFICATE-----
MIIGtDCCBZygAwIBAgIDAb4BMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYDVQQGEwJJ
.
-----END CERTIFICATE-----
Als Kennwort für die Übertragung hab ich das genommen was auch beim Zertifikat benutzt wurde.
Muss man da noch was abschnippeln oder ist das Format komplett falsch ?
Ich hab die obersten Punkte genommen SSL-Zertifikat und SSL-Privaterschlüssel
Auch als PK12 Container verweigert er sich für den SSL Bereich.
Pengiun
irgendwie scheitere ich am privaten Key des Zertifikates. Das Zertifikat laden ich über die Weboberfläche rauf. Es erscheint auch im Dateisystem. Da steht dann zwar nur SSL_CERT aber er legt di Datei an.
An der Stelle frag ich mich, wenn man mehrere Zertifikate im Gerät hat, wie will man eigentlich wissen welches man löschen soll. SSL_CERT ist ja nicht gerade aussagekräftig.
Beim Upload der Privaten Key Datei scheitere ich.
Da nudelt der AP ewig rum und startet teilweise sogar neu ;=)
Der Private Key ist ne ASCII Datei unformatiert und sieht so aus:
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,8C9999C2B8B9B3589966CC1F9D7221AE
pqHe7uszFXEBtPXhVa3LlHygz4p6hzV66Ciz1u02EOnIN6anGHELlyGIiLqhHtRv
...
-----END RSA PRIVATE KEY-----
Das Zertifikat so:
-----BEGIN CERTIFICATE-----
MIIGtDCCBZygAwIBAgIDAb4BMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYDVQQGEwJJ
.
-----END CERTIFICATE-----
Als Kennwort für die Übertragung hab ich das genommen was auch beim Zertifikat benutzt wurde.
Muss man da noch was abschnippeln oder ist das Format komplett falsch ?
Ich hab die obersten Punkte genommen SSL-Zertifikat und SSL-Privaterschlüssel
Auch als PK12 Container verweigert er sich für den SSL Bereich.
Pengiun
Pengiun
Hallo,
ja das wars darum wollte er den Key nicht verdauen. Im anderen Format erzeugt ist auch dieser komische Vorspann nicht drin. Jetzt mag er es und auch als PKC12 Container spielt er ihn ein.
Vielleicht mal so als Tip am Rande, die Zertifkatdateien sind ja ein ziemlicher Zahlensalat. Das Programm XCA für Windows ist recht praktisch um die Dateien zu verwalten und man kann sich auch die Container basteln lassen. Dito kann man eigene Zertifikate erstellen, die natuerlich nirgends beglaubigt sind. Aber zum testen reicht es. Muss man nicht auf der Commandozeile mit X-Parametern rumspielen.
Ich hab zum austesten mal die Geräte internen PSpot Seiten aktiviert. Irgend wo muss in meinen Anmelde Templates noch ein Wurm drin sein.
Vielleicht will die Kiste jetzt einfach mal ne Nacht schlafen;=)
Teilweise zeigt er das Zertifikat jetzt an, es kommt bei manchen Seiten aber noch eines von webserver.ispgateway.de - da kann bei mir also nicht alles stimmen.
Danke mal bis hierher;=)
ja das wars darum wollte er den Key nicht verdauen. Im anderen Format erzeugt ist auch dieser komische Vorspann nicht drin. Jetzt mag er es und auch als PKC12 Container spielt er ihn ein.
Vielleicht mal so als Tip am Rande, die Zertifkatdateien sind ja ein ziemlicher Zahlensalat. Das Programm XCA für Windows ist recht praktisch um die Dateien zu verwalten und man kann sich auch die Container basteln lassen. Dito kann man eigene Zertifikate erstellen, die natuerlich nirgends beglaubigt sind. Aber zum testen reicht es. Muss man nicht auf der Commandozeile mit X-Parametern rumspielen.
Ich hab zum austesten mal die Geräte internen PSpot Seiten aktiviert. Irgend wo muss in meinen Anmelde Templates noch ein Wurm drin sein.
Vielleicht will die Kiste jetzt einfach mal ne Nacht schlafen;=)
Teilweise zeigt er das Zertifikat jetzt an, es kommt bei manchen Seiten aber noch eines von webserver.ispgateway.de - da kann bei mir also nicht alles stimmen.
Danke mal bis hierher;=)
Pengiun