Navigation

Hotspot-Einstellungen

Der Hotspot kann durch Betätigen des Hauptschalters swoff oben auf der Seite aktiviert bzw. deaktiviert werden. Bei Aktivierung (d. h. der Schalter swon ist grün ) kann eine der folgenden drei Rollen ausgewählt werden:

1. Master/eigenständiger Hotspot oder eigenständiger Hotspot

Wenn der Hotspot als Master verwendet wird, werden alle Konfigurationsdaten – auch die der Satelliten (Benutzerdatenbank, Portalkonfiguration, Einstellungen, Protokolle usw.) lokal gespeichert und die Wartungsaufgaben werden auf diesem Hotspot ausgeführt.

Für die Rolle Master ist eine Einstellung verfügbar und auch die den Satelliten zuweisbaren verfügbaren VPN-Konten werden angezeigt.

Hotspot Passwort
Dies ist das Passwort des Masterhotspots. Externe Satellitensysteme benötigen es, um sich mit dem Masterhotspot zu verbinden. Bleibt dieses Feld leer, wird ein neues zufälliges Passwort generiert.
Satellitenhotspots
Die Liste der verfügbaren OpenVPN-Tunnel zum Verbinden eines Remote-Satellitensystems. Aus dieser Liste können ein oder mehrere Systeme ausgewählt werden.

2. Hotspotsatellit

Ein Hotspotsatellit speichert keine Konfiguration, sondern verwendet den Master, um Benutzerdaten, Ticketverfügbarkeit und alle weiteren Einstellungen zu überprüfen. Wenn Sie diese Option auswählen, müssen die IP-Adresse und das Passwort des Masterhotspot zusammen mit dem VPN-Tunnelnamen angegeben werden (siehe unten). Folgende Optionen stehen zur Auswahl:

IP Adresse des Masterhotspots
Geben Sie in diesem Feld die IP-Adresse des Masterhotspot an. Diese ist für gewöhnlich die erste verfügbare IP-Adresse im speziellen OpenVPN-Subnetz (sieheDie Zonen, wie in den OpenVPN Servereinstellungen des Masterhotspots definiert (unter Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Serverkonfiguration).
Passwort des Masterhotspots
Das Passwort für den Masterhotspot. Dieses wird üblicherweise automatisch auf dem Master generiert. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
Hotspot VPN Tunnel
Wählen Sie aus diesem Dropdown-Menü den zu verwendenden OpenVPN-Tunnel, um den Masterhotspot zu erreichen.

3. Externer RADIUS Server

In dieser Konfiguration verwendet der Hotspot einen externen RADIUS-Server für seine Aktivitäten (z. B. FreeRadius): Er verbindet sich, und erbittet Authentifizierung vom RADIUS-Server, der alle Daten zur Kontenverwaltung, Einstellungen, Tickets und Verbindungen speichert. Es sind verschiedene Informationen über den RADIUS-Server erforderlich, damit dieser korrekt arbeitet: IP-Adresse, Passwort, Ports und die IP-Adresse des Fallback-Servers. Darüber hinaus kann das externe Portal verwendet werden.

RADIUS Server IP Adresse
Die IP-Adresse des externen RADIUS-Servers.
IP Adresse des Fallback RADIUS Servers
Die IP-Adresse des externen Fallback-RADIUS-Servers.
RADIUS Server Passwort
Das Passwort für den RADIUS-Server. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
RADIUS Server AUTH Port
Die Portnummer des AUTH-Ports (Authentifizierung) für den RADIUS-Server.
RADIUS Server ACCT Port
Die Portnummer des ACCT-Ports (Accounting) für den RADIUS-Server.
RADIUS Server COA Port
Die Portnummer des COA-Ports (Change of Authorisation) für den RADIUS-Server.

Tipp

Die Standardwerte für den RADIUS-Port sind: 1812 (AUTH), 1813 (ACCT) und 3799 (COA).

Externes Portal verwenden
Wird diese Option ausgewählt, kann ein externes Portal als Schnittstelle für die Anmeldung konfiguriert werden, das Benutzer sehen, wenn sie sich über den Hotspot verbinden möchten. Das externe Portal muss kompatibel sein und mit chilli kommunizieren. Die folgenden Optionen müssen konfiguriert werden, um das externe Portal zu aktivieren:
URL des externen Portals
Der Ort, an dem sich das Portal befindet.
NAS ID
Die Network Access Server-Kennung des RADIUS-Servers, die das Portal identifiziert.
UAM Secret
Der gemeinsame UAM-Schlüssel des externen RADIUS-Servers. Obwohl es möglich ist, keinen Wert für diese Option festzulegen, sollten Sie es dennoch tun, da es die Sicherheit erhöht.
Erlaubte Seiten / Zugriff
Eine Liste von Websites, auf die auch ohne Registrierung auf dem Hotspot zugegriffen werden kann.
Aktiviere AnyIP
Ermöglicht es Kunden ohne aktiven DHCP-Client, sich mit dem Hotspot zu verbinden.

Hinweis

Die Einrichtung eines RADIUS-Servers wird hier nicht beschrieben, da dies außerhalb des Aufgabenbereichs von Panda liegt und für diese Aufgabe keine Unterstützung bereitstellt wird.

Master-/Satellitenrollen und VPN

Die Master-/Satellitenrollen können sich als nützlich erweisen, wenn größere Bereiche abgedeckt werden sollen und ein Hotspot dafür nicht ausreicht. Falls eine solche Architektur verwendet wird, werden alle Verwaltungsaufgaben für Benutzer und Tickets nur auf dem Master ausgeführt. Auf den Satellitensystemen ist nur der Abschnitt Berichte (unter der Hotspot-Administrationsoberfläche) verfügbar.

Die Verbindung zwischen dem Master und seinen Satelliten wird eingerichtet, indem OpenVPN-Konten auf dem Master erstellt werden, wobei jeweils ein Konto für jeden Satelliten verwendet wird und ein VPN-Tunnel zwischen jedem Paar aus Master und Satellit erstellt wird. Viele Aufgaben müssen vor Einrichtung dieser Konfiguration sowohl auf dem Mastersystem als auch auf den Satellitensystemen abgeschlossen werden. Diese sind in zwei Teile gruppiert, die jeweils aus umfassenden Operationen bestehen, die entweder auf dem Master (gekennzeichnet mit M#) oder auf dem Satelliten (gekennzeichnet mit S#) ausgeführt werden müssen.

Wenn ein Master und einer (oder mehrere) Hotspotsatelliten bereits konfiguriert sind, ist es für einen zusätzlichen Satelliten nur erforderlich, die Schritte M3, M4 und M5 auf dem Master sowie alle Schritte auf dem Satelliten auszuführen.

M0. Legen Sie den Hotspot als eigenständig fest (dies ist optional).

M1. Richten Sie im Abschnitt Menü „VPN“ (VPN ‣ OpenVPN Server) den Hotspot als OpenVPN-Server mit einem gerouteten Verbindungstyp und einem Ad-hoc-Netzwerkbereich ein (xxx.yyy.zzz.0/24), der sich von den Subnetzen der anderen Zonen der Panda GateDefender-Appliance unterscheidet.

M2. Es wird eine neue virtuelle Schnittstelle erstellt, die den Datenverkehr der OpenVPN-Tunnel routet. Der Master erhält die IP xxx.yyy.zzz.1 (d. h. die erste verfügbare IP-Adresse im Netzwerkbereich) und fungiert als Gateway für alle OpenVPN-Tunnel.

M3. Erstellen Sie ein eindeutiges OpenVPN-Konto für jedes Remote-Satellitensystem (unter Menüleiste ‣ VPN ‣ OpenVPN Server ‣ Konten). Das OpenVPN-Konto muss mit einer statischen IP-Adresse konfiguriert werden. Die den Satelliten zugewiesenen IP-Adressen müssen innerhalb des unter Schritt M1 festgelegten Subnetzes liegen. Innerhalb des Subnetzes sind IP-Adressen, die mit 0 oder 255 enden, und die erste IP-Adresse im Subnetzbereich nicht für Satelliten verfügbar.

Tipp

Eine gute Methode ist es, jedem neuen Satelliten die jeweils niedrigste verfügbare IP-Adresse zuzuweisen, damit diese geordnet sind.

Nachdem alle erforderlichen Kundenkonten erstellt wurden, und bevor die Master-/Satellitenkonfiguration aktiviert wird, ist es notwendig die Einrichtung der OpenVPN-Verbindung auf Korrektheit zu prüfen. Daher sind auf Satellitenseite zwei Schritte erforderlich:

S1. Erstellen Sie das Konto für den OpenVPN-Client (VPN ‣ OpenVPN Client (Gw2Gw)) unter Verwendung eines der unter Schritt M3 erstellten Konten.

S2. Stellen Sie eine Verbindung mit dem Master her, und stellen Sie sicher, dass eine Verbindung besteht und Datenverkehr übertragen wird.

Jetzt ist es möglich den Master zu aktivieren und die Einrichtung abzuschließen:

M4. Öffnen Sie die Seite mit den Hotspot-Einstellungen, und aktivieren Sie das benötigte VPN-Konto in der Liste der Satellitenhotspotsysteme.

M5. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.

Die Einrichtung des Masters ist nun abgeschlossen. Fahren Sie daher mit der Einrichtung des Satelliten fort:

S3. Öffnen Sie das Hotspot-Menü, wählen Sie Hotspotsatellit, geben Sie die erste im VPN-Subnetz des Masters verfügbare IP-Adresse und dessen Hotspotpasswort ein, und wählen Sie aus dem Dropdown-Menü den Hotspot-VPN-Tunnel aus.

S4. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.

Öffnen Sie zur Überprüfung der korrekten Verbindung des Satellitensystems die dazugehörige Hotspot-Administrationsoberfläche. Es wird eine eingeschränkte Schnittstelle angezeigt, die nur den Abschnitt Berichte enthält. Alle Verwaltungsaufgaben werden an den Master weitergeleitet.

Die Einrichtung ist nun abgeschlossen. Sowohl der Master als auch die Satellitensysteme arbeiten korrekt.

Externe Authentifizierung verwenden

Das Festlegen der Hotspot-Rolle als Master/eigenständiger Hotspot ermöglicht es, eine externe Quelle zum Zweck der Benutzerauthentifizierung zu verwenden und gleichzeitig die Kontenverwaltung, Protokollierung, Benutzerdatenbank und alle weiteren Einstellungen in der Panda GateDefender-Appliance zu belassen. Anders gesagt: Die Benutzerdaten werden lokal vom externen Server (RADIUS oder LDAP) kopiert, wodurch es möglich wird, die Anmeldeinformationen auf dem Remote-Server bereitzustellen und den Hotspot ohne Erstellen eines neuen Kontos zu verwenden.

Zur Verbindung des Hotspots mit dem Remote-Server und der Datenabfrage gibt es eine verfügbare Option:

Externe Authentifizierung verwenden
Durch Aktivieren dieses Kontrollkästchens werden die zwei möglichen Modalitäten zur Authentifizierung zusammen mit allen benötigten Optionen zur Konfiguration angezeigt.
Servertyp

Dieses Dropdown-Menü ermöglicht es, einen der zwei unterstützten Server auszuwählen (LDAP oder RADIUS). Änderungen an den Konfigurationsoptionen werden entsprechend angezeigt.

Hinweis

Die zusätzlich angezeigten Konfigurationsoptionen sind denen unter Menüleiste ‣ Proxy ‣ HTTP ‣ Authentifizierung sehr ähnlich.

Für LDAP Server sind die folgenden Konfigurationsoptionen verfügbar (siehe das Beispiel auf der rechten Seite für weitere Details):

LDAP Server

Die IP-Adresse oder der Hostname des LDAP-Servers im LDAP-Format.

Tipp

Falls nötig, kann der Port nach der URL spezifiziert werden, z. B.: ldap://192.168.0.20:389/. Der Standardport 389 kann problemlos weggelassen werden.

Bind DN Einstellungen
Diese Einstellungen legen den definierten Namen des LDAP-Servers fest, d. h. den Knoten auf oberster Ebene der LDAP-Baumstruktur.
Bind DN Benutzername
Der für DN-Abfragen verwendete Benutzername. Es ist notwendig, die Anmeldeinformationen der Hotspotbenutzer abzurufen und zu authentifizieren.
Bind DN Passwort
Das Passwort für den Benutzer, das in der vorherigen Option festgelegt wurde. Durch Aktiveren des Kontrollkästchens auf der rechten Seite werden die Zeichen angezeigt.
Benutzer Suchfilter
Die zur Abfrage des Remote-LDAP-Servers zu verwendende Zeichenfolge.
LDAP Backup Server
Die IP-Adresse oder der Hostname des LDAP-Fallback-Servers im LDAP-Format, die verwendet werden soll, wenn der primäre Server nicht erreichbar ist.
Standardtarif
Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.

Für RADIUS Server stehen die folgenden Konfigurationsoptionen zur Verfügung:

RADIUS Server
Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers
Der Port, der vom RADIUS-Server abgehört wird.
Kennung
Eine zusätzliche Kennung.
Shared Secret
Das Passwort, das verwendet werden soll.
RADIUS Backup Server
Die IP-Adresse oder URL des RADIUS-Fallback-Servers, falls der primäre Server nicht erreichbar ist.
Standardtarif
Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.

Vorheriges Thema

Menü „Hotspot“

Nächstes Thema

Administrationsschnittstelle

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.