Làm thế nào để kết nối mạng cổng thông tin bị giam giữ làm việc?

8

Truy cập Internet tại các khách sạn, quán cà phê sân bay thường bị kiểm soát bởi một cổng bị khóa buộc bạn phải vào một trang web cụ thể khi sử dụng lần đầu, ví dụ trang thanh toán hoặc một số trang để chấp nhận điều khoản dịch vụ hoặc trang xác thực / ủy quyền. Bạn thấy điều này với cả kết nối không dây và có dây.

Cái này hoạt động ra sao?

internet  captive-portal  wifi 
Howiecamp
nguồn
1
Kinda như thế này, nhưng không được thực hiện cho ác. ex-parrot.com/~pete/upside-down-ternet.html
Zoredache

Câu trả lời:

14

Nó chắc chắn thay đổi tùy theo nhà cung cấp sản phẩm không dây nhưng theo kinh nghiệm của tôi, nó thường hoạt động giống như thế này:

  1. Máy tính xách tay của bạn tạo kết nối không dây đến điểm truy cập thông minh, có thể được kết nối với trạm quản lý tập trung.
  2. Yêu cầu web đầu tiên của bạn bị chặn và được trả lời bằng một Location:tiêu đề chuyển hướng bạn đến trang đăng nhập / chính sách (ví dụ: http : //hotelwpered.net/login ). Điều này có thể sống trực tiếp trên điểm truy cập thông minh hoặc trên trạm quản lý trung tâm.
  3. Khi bạn đã hoàn tất xác thực, địa chỉ MAC của bạn sẽ được thêm vào danh sách các máy khách được phép khiến các yêu cầu trong tương lai được định tuyến chính xác tới Internet hoặc tài nguyên Intranet có thể truy cập.

Liên quan đến những gì để gọi nó, tôi đã nghe nó được gọi là "cổng thông tin bị giam cầm" hoặc "cổng truy cập không dây" thường xuyên nhất.

Kyle Smith
nguồn
2
Tôi cũng đã thấy nó sử dụng dns, vì vậy truy vấn dns đầu tiên sẽ được giải quyết đến trang đăng nhập / chính sách.
Niko SP
1
Bạn đang tìm cách để thiết lập một? Có một số bản phân phối linux nhanh chóng, dễ dàng và an toàn như pfSense mà bạn có thể triển khai trong vòng chưa đầy một giờ.
G Koe
2
Làm thế nào để phía khách hàng làm việc? Windows 10, khi nhận được kết nối wifi như vậy, sẽ khởi chạy trình duyệt mặc định để truy cập cổng thông tin. Điện thoại Android 5 sẽ khởi chạy một Sign-in to Networkứng dụng (không phải trình duyệt mặc định) về cơ bản chỉ hiển thị trang cổng thông tin đó. Có một giao thức mới liên quan? Thông số kỹ thuật của nó là gì?
Geezer cũ
Tôi biết đó là một bài viết cũ, nhưng làm thế nào để bạn chặn được yêu cầu web đầu tiên (hay đúng hơn là yêu cầu web cho đến khi người dùng được xác thực bằng một số phương tiện như nhấp vào nút)?
Dominik
4

Đầu tiên để đạt được chuyển hướng, bạn cần một trình xác thực nội tuyến (bộ điều khiển truy cập). Trong ngữ cảnh của chủ đề của bạn, bạn sẽ cần một bộ điều khiển lan không dây nếu bạn chọn quản lý trung tâm của AP. HOẶC bạn cũng có thể đặt một loại cổng điều khiển truy cập mạng bị giam cầm với các tính năng của Wall garden.

NAS giám sát lưu lượng truy cập vào đường xuống (phía máy khách) thông qua ổ cắm thô ở chế độ bừa bãi và khi trình duyệt khởi tạo lưu lượng truy cập cho máy khách không được xác thực được phát hiện, chuyển hướng HTTP được cung cấp cho nó dưới dạng phản hồi. Vì vậy, trình duyệt khi nhận được chuyển hướng đến trang chủ cổng thông tin CAPTIVE của chúng tôi, có thể được lưu trữ nội tuyến trên trình xác thực hoặc ngoài hộp tại một số máy chủ web bên ngoài.

Công việc duy nhất của trang này là cung cấp cho người dùng một giao diện người dùng để nhập thông tin đăng nhập. thông tin đăng nhập được chuyển tiếp trở lại Daemon xác thực như ớt trong trường hợp ớt coova, hơn nữa các thông tin này được chuyển dưới dạng yêu cầu bán kính đến máy chủ RADIUS hoặc có thể được kiểm tra cục bộ. Sau khi xác thực thành công, trạng thái của máy khách tại trình xác thực được đánh dấu ủy quyền và máy khách được cấp quyền truy cập.

Làm thế nào để chuyển hướng đạt được

Cách tiếp cận được sử dụng rộng rãi nhất là chặn yêu cầu HTTP do người dùng khởi tạo và mã 302 làm phản hồi cho khách hàng. Trong ớt nó được thực hiện thông qua chức năng dưới đây

http_redirect2() {

cat < <  EOF
HTTP/1.1 302 Redirect 

Location: $1

Set-Cookie: PORTAL_SESSIONID=$PORTAL_SESSIONID

Set-Cookie: COOVA_USERURL=$COOVA_USERURL

Connection: close

EOF
    exit

}

Chuyển hướng này có thể dễ dàng đạt được giao diện điều chỉnh tap điều khiển thực tế đến giao diện phía máy khách chặn lưu lượng khách. Việc chuyển hướng tiếp theo cũng có thể đạt được thông qua ngộ độc DNS nhưng đôi khi có thể gây ra sự cố nếu các phản hồi được lưu trong bộ nhớ cache của trình duyệt máy khách. Những điều tiếp theo có thể được thực hiện cụ thể hơn theo lĩnh vực vấn đề. Tôi có thể giúp bạn với điều đó nếu bạn muốn.

Ararma sharma
nguồn
2

Có một mô tả tuyệt vời về điều này tại https://www.arubanetworks.com/vrd/GuestAccessAppNote/wwhelp/wwhimpl/js/html/wwhelp.htmlm .

Đây là một phần của nó:

Quy trình xác thực cổng thông tin Captive

Captive Portal là xác thực lớp 3, yêu cầu các thiết bị kết nối với mạng và lấy địa chỉ IP và thông tin DNS liên quan trước khi xác thực thông qua cổng bị khóa. Các bước sau đây giải thích toàn bộ quy trình cổng bị khóa khi sử dụng ArubaOS gốc để xác thực cổng bị khóa:

1. Thiết bị liên kết với SSID khách được gán một vai trò ban đầu (vai trò đăng nhập của khách trong cấu hình ví dụ). Vai trò ban đầu này cho phép DHCP, vì vậy người dùng nhận được địa chỉ IP.

2. Người dùng mở trình duyệt và thực hiện yêu cầu HTTP (hoặc HTTPS) đến một số đích (ví dụ: www.bbc.com).

3. Trình phân giải trong thiết bị sẽ gửi yêu cầu DNS để giải quyết www.bbc.com. Vai trò ban đầu (vai trò đăng nhập của khách) cho phép các dịch vụ DNS, vì vậy trình phân giải có thể giao tiếp với máy chủ DNS.

4. Máy chủ DNS trả lời với địa chỉ chính xác tới www.bbc.com.

5. Trình phân giải cho trình duyệt biết địa chỉ IP nào sẽ sử dụng dựa trên phản hồi DNS.

6. Trình duyệt khởi tạo kết nối TCP tới cổng 80 của địa chỉ www.bbc.com.

7. Bộ điều khiển chặn kết nối và giả mạo các bắt tay TCP ban đầu của quy trình HTTP. Tại thời điểm này, trình duyệt máy khách nghĩ rằng nó đang liên lạc với máy chủ bbc.com.

8. Khi trình duyệt gửi yêu cầu HTTP GET cho trang web, bộ điều khiển trả lời rằng bbc.com đã tạm thời chuyển đến.

9. Trình duyệt đóng kết nối.

10. Trình duyệt cố gắng kết nối với, nhưng trước tiên cần gửi yêu cầu DNS cho địa chỉ.

11. Máy chủ DNS thực tế phản hồi rằng nó không thể giải quyết https://securelogin.arubanetworks.com , nhưng bộ điều khiển chặn trả lời đó và thay đổi gói để nói rằng securelogin.arubanetworks.com nằm ở địa chỉ IP của chính bộ điều khiển. Hãy nhớ rằng điều quan trọng là máy chủ DNS sẽ gửi lại phản hồi cho truy vấn. Chỉ sau đó, bộ điều khiển mới có thể giả mạo trả lời từ máy chủ DNS. Gửi một yêu cầu DNS mà không nhận được trả lời là không đủ, vì không có trả lời, bộ điều khiển sẽ không bao giờ giúp khách hàng giải quyết securelogin.arubanetworks.com.

12. Trình duyệt khởi tạo kết nối HTTPS tới địa chỉ của bộ điều khiển, phản hồi với trang đăng nhập cổng bị khóa, nơi khách xác thực.

13. Sau khi xác thực thành công, người dùng được gán vai trò xác thực bài (vai trò xác thực khách trong cấu hình ví dụ). Đây là vai trò mặc định trong hồ sơ cổng bị giam cầm.

14. Sau khi xác thực, trình duyệt được chuyển hướng đến bbc.com tại địa chỉ ban đầu được DNS giải quyết. Ngoài ra, nếu trang chào mừng được định cấu hình, trình duyệt sẽ được chuyển hướng đến trang chào mừng.

15. Để chuyển hướng thành công đến trang web ban đầu, bộ điều khiển giả mạo một câu trả lời từ bbc.com để nói với khách hàng rằng bbc.com đã chuyển vĩnh viễn đến thành bbc.com. Bước này sửa lỗi di chuyển tạm thời, đã xảy ra như một phần của đăng nhập cổng bị khóa.

16. Điều này khiến máy khách truy vấn lại DNS cho địa chỉ của www.bbc.com.

17. Trình duyệt bắt đầu giao tiếp với máy chủ bbc.com thực tế.

da chuột
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.