Freien WLAN Hotspot einrichten? OpenWRT?

Gohst_oc

Gohst_oc

Enthusiast
Thread Starter
Mitglied seit
25.05.2007
Beiträge
2.179
Hi Community

Ich möchte für einen Seminarraum und ein Restaurant WLAN-Hotspots einrichten.
Dazu habe ich den TP Link TL-WR1043ND ausgewählt (da ich das Gerät auch habe und sehr zufrieden bin).

Zum Glück unterstützt es auch OpenWRT (habe ich aber nicht gewusst).

Nun geht es darum, ein Netzwerk aus 3-4 solche Routern aufzubauen und diese als freie Hot-Spots zu betreiben.

Da stelle ich mir aber folgende Fragen:

- Wie sieht es da gesetzlich aus? Gibt es genug gute Logging-Funktionen um sich absichern zu können wenn jemand in dem WLAN scheisse baut?
- Wohin mit den Logs? Ein Server ist nicht vorgesehen, benötigen die viel Speicher?
- Geht das auch ohne OpenWRT in dem Umfang, dass man gesetzlich abgesichert ist?
- Wäre es sinnvoll eine Page zu machen, auf der jeder Gast einen Passcode eingeben muss? Geht das auch mit Funktionen von OpenWRT?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
zu den logs: die kannst einen USB-Speicher an den TP-Link hängen und den dann entsprechend formatieren, so dass du ihn ganz normal als Speicher ansprechen kannst mit DD-WRT. Dann kannst Du die Logs einfach darauf schreiben. :) Aber soviel Speicher benötigen die auch nicht, da es reine Text-Dateien sind. ein 1GB Stick reicht da dicke.
Auf jeden Fall ist es sinnvoll eine solche Page dem eigentlich Gebrauch vorzuschalten zB mit den Geschäftsbedingungen, dass die User halt keinen Scheiß bauen dürfen. In DD-WRT – bei Open-WRT weiß ich es nicht – geht das auch einfach über das Menü. Da gibt es einen speziellen Menüpunkt, der zum Einrichten eines öffentlichen WLANs ist. Da kannst Du PW usw. angeben. Inwiefern Dich das allerdings rechtlich absichert, weiß ich nicht und kann ich auch nicht hinreichend beantworten.
 
Ich war der Meinung dass es reicht nachweisen zu können dass jemand anderes mist gebaut hat...
Logs ja, AGBs einblenden wäre auch toll.

Danke für den Tipp mit DD-WRT.
Also das habe ich nun drauf.

Jetzt stellt sich die Frage ob ich einen Anbieter wählen soll (z.B HotspotSystem) oder selber was machen.
Dann müsste ich allerdings noch nen Server haben.

Im Restaurant wo das ganze aufgebaut wird hab ich das noch an der Wand entdeckt:

Gateworks Corporation
Das könnte ja als RADIUS oder sonst was Server dienen... dann kann ich die (teils kostenpflichtigen) Anbieter von Hotspot-Portalen umgehen.

Denn eine Startseite mit den AGBs und "ich akzeptiere" soll angezeigt werden.
Und natürlich loggen was gemacht wird.
 
Das ist korrekt.

Das Erstellen von Bewegungsprofilen, was anderes ist Logging nicht, ist laut GG verboten, das hat auch das Bundesverfassungsgericht (und damit von höchster Stelle) entschieden.

Es ist völlig ausreichend, wenn du dein WLAN mit allen Möglichkeiten sicherst.

Und dazu solltest du dir etwas mehr einfallen lassen, als nur nen einfaches Passwort.

Du willst ein öffentliches WLAN einrichten, damit ist es ausreichend, wenn du das WLAN so sicherst, dass nicht jeder Fremde zugriff bekommt.

Das WLAN kann also offen sein, darf aber in dieser Eigenschaft keinen Internetverkehr erlauben. Der User muß sich für die Dauer der Verbindung authentifizien, dann wird zB die MAC Adresse und ein Hash des System genommen um den User zu identifizieren und dann kann er surfen. Für zB 1h.

Wichtig ist, dass das nicht nur mit der MAC geschieht, denn diese ist fälschbar. Es sollten immer "Fingerabdrücke" des System genommen werden, denn diese sind schwer zu clonen.

Idealer Weise solltest du natürlich eine WPA2 Verschlüsselung nehmen, wobei die Zugangsdaten dem User auch vorlegen müssen, so dass er sich einloggen, dennoch sollte da noch eine weitere Ebene stehen.
Das Passwort auch in regelmäßigen Abständen wechseln.

Auf jeden Fall solltest du dich da im Vorfeld reichlich infomieren, es drohen ernste Konsequenzen, wenn du da was falsch machst. Zugleich muß ein solches System auch gewartet werden, also nicht installieren und 100Jahre laufen lasst.

Es gibt auch Medienrechtler, diese solltest du hinzuziehen. die können dir zwar nicht bei der technischen Sache helfen, aber sehr wohl bei dem, was du machen mußt, darfst und was eben nicht.
 
Zuletzt bearbeitet:
Naja bewegungsprofile sind logging nicht aber es kann dazu herangezogen werden. Wenn du in den AGB darauf hinweist, dass du Daten eine gewisse zeit speicherst sollte das io gehen. Als wlan Provider bist du ISP wie zb Telekom. Wenn das ein grösseres Projekt werden soll würde ich einen Datenschutzbeauftragten zu rate ziehen oder mal bei andren Projekten anfragen wie zb das Berlin open wlan wie die dort verfahren.
Gruss mrlinux

Gesendet von meinem Galaxy Nexus mit der Hardwareluxx App
 
- Wie sieht es da gesetzlich aus? Gibt es genug gute Logging-Funktionen um sich absichern zu können wenn jemand in dem WLAN scheisse baut?
- Wohin mit den Logs? Ein Server ist nicht vorgesehen, benötigen die viel Speicher?
- Geht das auch ohne OpenWRT in dem Umfang, dass man gesetzlich abgesichert ist?
- Wäre es sinnvoll eine Page zu machen, auf der jeder Gast einen Passcode eingeben muss? Geht das auch mit Funktionen von OpenWRT?
Zum Vergrößern anklicken....
Ich habe folgendes bei vorträgen gelernt:
1) Ich würde die Daten der Person (zb. Ausweis) kopieren und jeden User ein eigenen Login zuweisen so das du sofort siehst wer es war. Da der Name nur offline (als die Kopie) gesichert ist kann niemand was mit einen logfile anfangen.
2) Bedenke bei der "ein USB Stick verariante" das die Daten weg sind wenn der Stick defekt ist. Zb das Gerät kann schreiben aber die Daten sind weg weil der Controller spinnt. Was machst du dann ? Dann bist du der dumme.
3) ka
4) Normal spuckt das Hotspot System einen Username + PW aus das der benutzer verwenden muss. Bei der Lösung von Zyxel ist ein Drucker angeschlossen und bei den anderen wird es über einen Pc ausgedruckt.
 
Naja, Personalien / ID Kopie etc... wollen wir es mal nicht übertreiben.
Das man den Benutzern einen Code gibt wäre schon was, damit man von der Strasse aus nicht zugreifen kann.

Ich frage mich jedoch, ob es nicht reicht, das Netz normal abzutrennen (kein Zugriff aufs LAN) und eine Seite mit ABGs anzuzeigen.
Denn dort könnte man ja Rechte ausschliessen oder gibts dann Konflikte?

Bei Mc Donalds, Starbucks und co. gibts auch freie Hotspots.
Da muss man doch nur einmal nen Account machen (damit Name, Vorname und E-Mail bekannt sind) und dann kann man surfen.
Soweit ich weiss, wird einfach in nem begrenzten Rahmen festgehalten was der User macht.

Und im Gebäude ist eben so ein Gateworks Gerät / Mainboard vorhanden.
Das kann man ein wenig vergleichen mit dem Alix Board.

Eigentlich könnte man da ein Captivate-Protal mit Server einrichten.
Also wie bei ner richtigen Firma. Nur, was für ein OS? Weder pfsense noch m0n0wall supporten XScale.

Und noch mehr Geld ausgeben für ein Alix Board oder sonst ne Appliance liegt nicht drin.

Ich definiere es mal neu (mit dem dazugelernten):

- Es wird ein Captivate Portal benötigt
- Am liebsten ein eigener Authentification Server
- WLAN muss vom LAN getrennt sein (das ist kein Problem -> VLAN)
- Auf den Routern wird DD-WRT eingesetzt

Am liebsten wäre mir natürlich Chillispot als Captivate Portal und einen eigenen Radius Auth. Server.
Vielleicht bringe ich es sogar fertig den auf dem eigenen kleinen Webserver von DD-WRT zum laufen zu bringen??

Edit zum 3.:

Ich denke dass ich das so machen werde:

- Alle Router (TPLink TL-WR1043ND) werden DD-WRT haben
- Captivate Portal: Chillispot
- FreeRadius Radius Server installiert auf OpenWRT -> wird auf dem Gator-Works Board installiert, da OpenWRT auch auf XScale läuft
- "Haupt-Router" wird zugleich der Radius-Server der für das übrige LAN DHCP Server ist
 
Zuletzt bearbeitet:
Naja, Personalien / ID Kopie etc... wollen wir es mal nicht übertreiben.
Zum Vergrößern anklicken....
Wie willst du sonst sicher sein wer da surft ?
Bei Mc Donalds, Starbucks und co. gibts auch freie Hotspots.
Zum Vergrößern anklicken....
Nur die haben Anwälte und Juristen die dich schnell zamputzen wennst was falsch machst. Was ist wenn zb Sony Music zu dir kommt und für jeden heruntergeladenen Musiktitel Geld will ?
 
Gohst_oc schrieb:
Ich denke dass ich das so machen werde:

- Alle Router (TPLink TL-WR1043ND) werden DD-WRT haben
[...]
- FreeRadius Radius Server installiert auf OpenWRT -> wird auf dem Gator-Works Board installiert, da OpenWRT auch auf XScale läuft
Zum Vergrößern anklicken....
In dem Fall würde ich gänzlich auf dd-wrt verzichten und alles mit openWRT realisieren.
 
Ich schaue mal wie mir das lokale User-Management für Chillispot unter DD-WRT so gefällt.
Wenn das nix ist, werde ich einen richtigen Radius Server aufsetzen auf dem Gatorworks Dingens (wird wohl verdammt viel Arbeit geben... holy crap).

Denn ich würde am liebsten ein Account-System haben, bei welchem sich jeder User registrieren muss.
Selbst wenn es abgesichert mit nem Key oder so ist, ist das keine Garantie dass alle Benutzer brav sind.

Wir haben in der Schweiz zwar sehr lockere Gesetze, aber Vorsicht ist die Mutter aller Porzellankisten (oder so).
Also soweit die Anforderungen (Gesetzlicher Natur):

Ich muss beweisen können, wer sich wann mit welcher MAC eingeloggt hat (User-Angaben nötig)?
Ich muss beweisen können, dass Person XYZ auf Seite ABC war?

Software-Seitig weiss ich nun mehr oder weniger über die Möglichkeiten Bescheid.
 
Eine Rechtsberatung wird hier NICHT!!! stattfinden. Es gibt für sowas Medienrechtler, diese werden dir sagen, was du machen mußt, um die gesetzlichen Forderungen zu erfüllen und vor allem, was du nicht machen darfst, damit man dir von der "anderen Seite" nichts kann.

Denn das Eine legitimiert nicht automatisch das Andere.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh