Der Hotspot kann durch Klicken auf den Hauptschalter oben auf der Seite aktiviert bzw. deaktiviert werden. Wenn der Hotspot aktiviert ist, können Sie eine der folgenden drei Rollen auswählen:
Master/Standalone-Hotspot oder Standalone-Hotspot
Wenn der Hotspot als Master-Hotspot verwendet wird, werden sämtliche Konfigurationsdaten (auch die der Satelliten-Hotspots) wie Benutzerdatenbank, Portalkonfiguration, Einstellungen, Protokolle usw. lokal gespeichert und die Verwaltungsaufgaben auf diesem Hotspot ausgeführt.
Bei der Master-Rolle steht nur eine Einstellung zur Verfügung. Die verfügbaren VPN-Konten, die den Satelliten-Hotspots zugewiesen werden können, werden angezeigt.
Das Master-Kennwort, das für Verbindungen zwischen entfernten Satellitensystemen und Master-Hotspot verwendet werden muss. Wenn dieses Feld leer ist, wird ein neues zufälliges Kennwort erzeugt.
Die Liste der verfügbaren OpenVPN-Tunnel, die für Verbindungen mit einem entfernen Satellitensystem verwendet wird. Es können ein oder mehrere Systeme aus dieser Liste ausgewählt werden.
Satelliten-Hotspot
Ein Satelliten-Hotspot speichert keine Konfigurationen. Er ist zur Überprüfung von Benutzerdaten, Ticketverfügbarkeit und allen anderen Einstellungen auf den Master-Hotspot angewiesen. Bei Auswahl dieser Option müssen die IP-Adresse und das Kennwort des Master-Hotspots sowie der entsprechende VPV-Tunnel (siehe unten) angegeben werden. Folgende Optionen stehen zur Auswahl:
Geben Sie in dieses Feld die IP-Adresse des Master-Hotspots ein. Dies ist in der Regel die erste verfügbare IP-Adresse im spezifischen OpenVPN-Subnetz (siehe Die Zonen), das in den OpenVPN-Servereinstellungen (unter Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Serverkonfiguration) des Master-Hotspots definiert wurde.
Das Kennwort des Master-Hotspots. Dieses wird in der Regel automatisch auf dem Master-Hotspot erzeugt. Aktivieren Sie das Kontrollkästchen Anzeigen, um die Kennwortmaske anzuzeigen.
Aus diesem Dropdown-Menü können Sie den OpenVPN-Tunnel auswählen, der für die Verbindung zum Master-Hotspot verwendet wird.
Externer RADIUS-Server
Bei dieser Konfiguration ist der Hotspot zum Ausführen von Aktivitäten auf einen externen RADIUS-Server angewiesen, z. B. FreeRadius: Dabei wird eine Verbindung zum RADIUS-Server hergestellt und eine Anfrage zur Authentifizierung erstellt. Der RADIUS-Server speichert sämtliche Kontodaten, Einstellungen, Tickets und Verbindungen. Für eine ordnungsgemäße Ausführung des RADIUS-Servers werden verschiedene Angaben benötigt: IP-Adresse, Kennwort und Ports sowie die IP-Adresse des Fallback-Servers. Außerdem können Sie das externe Portal nutzen.
Die IP-Adresse des externen RADIUS-Servers.
Die IP-Adresse des externen RADIUS-Fallback-Servers.
Das Kennwort für den RADIUS-Server. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Kennwort anzuzeigen.
Die Portnummer zur Authentifizierung des RADIUS-Servers.
Die Portnummer zum Accounting des RADIUS-Servers.
Die Portnummer für Berechtigungsänderungen des RADIUS-Servers.
Bei Auswahl dieser Option kann ein externes Portal als Anmeldeoberfläche konfiguriert werden, das Benutzern beim Herstellen einer Verbindung über den Hotspot angezeigt wird. Das externe Portal muss mit Chilli kompatibel sein und mit diesem kommunizieren können. Folgende Optionen müssen für eine Aktivierung des externen Portals konfiguriert werden:
Der Speicherort des Portals.
Der Network Access Server Identifier des RADIUS-Servers zur Identifizierung des Portals.
Der gemeinsame geheime Schlüssel für das Zugangsverfahren UAM vom externen RADIUS-Server. Bei dieser Option ist die Definition eines Werts nicht erforderlich. Es wird jedoch empfohlen, einen geheimen Wert zu definieren, um die Sicherheit zu erhöhen.
Eine Liste der Websites, auf die Sie ohne Registrierung beim Hotspot zugreifen können.
Ermöglicht Kunden, die über keinen aktiven DHCP-Client verfügen, eine Verbindung zum Hotspot.
Bemerkung
Die Einrichtung des RADIUS-Servers wird an dieser Stelle nicht beschrieben. Da sie nicht in den Aufgabenbereich von Panda fällt, wird diesbezüglich keine Unterstützung angeboten.
Master-/Satellitenrollen und VPN.
Master-/Satellitenrollen können nützlich sein, wenn große Bereiche abgedeckt werden sollen und die Verwendung eines einzelnen Hotspots dazu nicht ausreicht. Bei einer solchen Architektur werden sämtliche Verwaltungsaufgaben für Benutzer und Tickets ausschließlich auf dem Master-Hotspot ausgeführt. Auf den Satellitensystemen ist nur der Abschnitt Berichte (unter der Hotspot Administratoren-Oberfläche) verfügbar.
Die Verbindung zwischen dem Master-Hotspot und den zugehörigen Satelliten wird beim Erstellen von OpenVPN-Konten auf dem Master eingerichtet. Es wird für jeden Satelliten-Hotspot ein Konto und zwischen jedem Master/Satelliten-Paar ein VPN-Tunnel erstellt. Bevor diese Konfiguration eingerichtet werden kann, müssen zahlreiche Aufgaben auf dem Master- und den Satellitensystemen abgeschlossen werden. Die Aufgaben werden in zwei Bereichen zusammengefasst und mit entsprechenden Labels versehen: M# bezeichnet Aufgaben, die auf dem Master-Hotspot ausgeführt werden müssen, S# die entsprechenden Aufgaben auf den Satelliten-Hotspots.
Wenn ein Master- und ein (oder mehrere) Satelliten-Hotspot bereits konfiguriert wurden, müssen bei Hinzufügen eines weiteren Satelliten-Hotspots nur die dem Master-Hotspot zugewiesenen Aufgaben M3, M4 und M5 ausgeführt werden, jedoch alle auf dem Satelliten-Hotspot.
M0. Legt für den Hotspot die Rolle Standalone fest (optional).
M1. Legen Sie im Abschnitt Menü „VPN“ (VPN ‣ OpenVPN-Server) den Hotspot als OpenVPN-Server mit geroutetem Verbindungstyp sowie einen Ad-hoc-Netzwerkbereich fest (z. B. xxx.yyy.zzz.0/24). Dieser muss sich von den Subnetzen der anderen Zonen der Panda GateDefender-Appliance unterscheiden.
M2. Eine neue virtuelle Benutzeroberfläche wird erstellt, über die der Datenverkehr aus den OpenVPN-Tunneln gesteuert wird. Der Master-Hotspot erhält die IP-Adresse xxx.yyy.zzz.1 (d. h. die erste im Netzwerkbereich verfügbare Adresse) und dient als Gateway für alle OpenVPN-Tunnel.
M3. Erstellen Sie für jedes entfernte Satellitensystem ein eindeutiges OpenVPN-Konto (unter Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Konten). Das OpenVPN-Konto muss unter Verwendung einer statischen IP-Adresse konfiguriert werden. Die den Satelliten-Hotspots zugewiesenen IP-Adressen müssen im Bereich des Subnetzes liegen, das in Schritt M1 definiert wurde. Innerhalb dieses Subnetzes enden die IP-Adressen mit den Ziffern 0, 255. Die erste IP-Adresse im Netzwerkbereich des Subnetzes ist für Satelliten-Hotspots nicht verfügbar. Es empfiehlt sich, jedem neuen Satelliten-Hotspot die jeweils niedrigste verfügbare IP-Adresse zuzuweisen, um die ursprüngliche Reihenfolge beizubehalten.
Nach Erstellung der erforderlichen Clientkonten und vor Aktivierung der Master/Satelliten-Konfiguration muss überprüft werden, ob die OpenVPN-Verbindung ordnungsgemäß eingerichtet wurde. Dazu müssen auf den Satelliten-Hotspots zwei Schritte durchgeführt werden:
S1. Erstellen Sie unter Verwendung eines der unter Schritt M3 erstellten Konten ein OpenVPN-Clientkonto (VPN ‣ OpenVPN Client (Gw2Gw)).
S2. Stellen Sie eine Verbindung zum Master-Hotspot her. Stellen Sie sicher, dass die Verbindung ordnungsgemäß hergestellt wurde und der Datenverkehr weitergeleitet wird.
Nun können Sie den Master-Hotspot aktivieren und die Einrichtung abschließen:
M4. Öffnen Sie die Seite mit den Hotspot-Einstellungen, und aktivieren Sie in der Liste der Hotspot-Satellitensysteme das benötigte VPN-Konto.
M5. Klicken Sie auf die Schaltfläche Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Die Einrichtung des Master-Hotspots ist nun abgeschlossen, und Sie können mit der Einrichtung der Satelliten-Hotspots fortfahren:
S3. Öffnen Sie das Hotspot-Menü, wählen Sie Satelliten-Hotspot aus, geben Sie die erste im OpenVPN-Subnetz des Master-Hotspots verfügbare IP-Adresse sowie das Kennwort für den Master-Hotspot ein, und wählen Sie im Dropdown-Menü den VPN-Tunnel für den Hotspot aus.
S4. Klicken Sie auf die Schaltfläche Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Öffnen Sie die Hotspot Administratoren-Oberfläche des Satellitensystems, um zu überprüfen, ob die Verbindung mit dem Satellitensystem ordnungsgemäß hergestellt wurde: Es wird eine eingeschränkte Benutzeroberfläche angezeigt, die nur den Abschnitt Berichte enthält: Sämtliche Verwaltungsaufgaben werden auf den Master-Hotspot übertragen.
Die Einrichtung ist damit abgeschlossen: Sowohl Master- als auch Satellitensysteme werden ordnungsgemäß ausgeführt.