IPCop-CopSpot-Addon installieren und einrichten

Server

Mit dem  CopSpot-Addon wird der IPCop zum WLAN-Hotspot-Portal aufgerüstet und bietet so eine komfortable Möglichkeit mit wenig Aufwand ein sicheres WLAN aufzuspannen. Zur Benutzer-Authentifizierung benötigt CopSpot einen Radius-Server.

Für die einfache Installation auf einem paedML/openML-System existiert ein Softwarepaket linuxmuster-ipcop-addon-copspot¹, das das CopSpot-Addon installiert und einrichtet. Der Befehl

# aptitude install linuxmuster-ipcop-addon-copspot

eingegeben auf der Serverkonsole lädt die Installationsdateien auf den IPCop hoch, installiert und konfiguriert das Addon. Falls der Radius-Server noch nicht installiert war, wird das im Zuge der Installation nachgeholt. Nach einem IPCop-Neustart ist das Addon "gebrauchsfertig" eingerichtet.

I.E. werden bei der Installation folgende Anpassungen automatisch vorgenommen:

• Das Radius-Secret aus /etc/freeradius/clients.conf wird in die CopSpot-Konfiguration auf dem IPCop eingetragen.
• Der DHCP-Server auf BLAU wird deaktiviert, da CopSpot seinen eigenen DHCP-Server mitbringt.²
• Die Squid-Konfiguration wird so gepatcht, dass transparenter Zugriff aus dem CopSpot-Netz möglich ist.
• Der CopSpot-Start-Befehl wird in /etc/rc.d/rc.firewall.local eingetragen.
• OpenVPN auf BLAU wird deaktiviert.
• Die Option "Redirect-Gateway" des OpenVPN-Servers wird deaktiviert.³

Auf dem IPCop-Webinterface findet sich nun eine neue Einstellungsseite unter Netzwerk | CopSpot.

Falls bei den Radius-Server-Einstellungen das Shared Secret geändert wurde, muss es hier unter Radius Settings und UAM Settings ebenfalls geändert werden.

Darunter befinden sich zusätzliche paedML/openML-spezifische Firewall-Einstellungen für den Zugriff auf die Netze GRÜN, ROT und ORANGE. In der Standardeinstellung ist den Clients nur der Internet-Zugriff per http-Protokoll über den Proxy-Port des IPCop erlaubt⁴:

Die folgende Einstellung ermöglicht den Clients den Internetzugriff per http (über transparenten Proxy) und https und den Zugriff auf den paedML/openML-Server ausschließlich per https:

Es ist auch möglich den Zugriff auf das grüne Netz nur über OpenVPN zu erlauben⁵. Dazu muss allerdings die Protokoll-Einstellung des OpenVPN-Dienstes auf dem IPCop in tcp geändert werden⁶:

Die entsprechenden Einstellungen des CopSpot sehen dann folgerichtig so aus:

Access-Points

Beim Einrichten der Access-Points muss Folgendes beachtet werden:

• WAN-Interface deaktivieren,
• DHCP-Server deaktivieren,
• LAN-IP aus dem Blauen Netz (Bsp.: 172.16.16.0/255.255.255.0) statisch vergeben⁷,
• DHCP-Forwarding auf die IP-Adresse (Bsp.: 172.16.19.1, siehe 2.) des CopSpot einrichten,
• keine Verschlüsselung einrichten.

Clients

Auf den WLAN-Clients muss für den WLAN-Zugriff über CopSpot keinerlei zusätzliche Clientsoftware und/oder Schlüssel installiert werden. Mit dem WLAN-Netz verbundene Clients werden beim Aufruf einer Internetadresse mit dem Browser zwangsweise auf das CopSpot-Portal umgeleitet:

Nur Benutzer, die sich hier authentifizieren, erhalten Netzzugriff.

---

1. Für paedML 4.0.x muss das  testing-Repository zu den Paketquellen hinzugefügt werden:

   deb http://pkg.lml.support-netz.de/paedml40-testing ./
   

Ab paedML 5 ist das nicht mehr notwendig.

2. Es wird ein eigenes CopSpot-Netz im IP-Bereich 172.16.19.0/255.255.255.0 auf dem virtuellen Interface tun1 (172.16.19.1) eingerichtet (3. Oktett richtet sich nach dem 2. Oktett des internen (grünen) Netzes: 16 -> 19, 32 -> 35, 48 -> 51 usw.).
   
3. Unter Advanced Server Options auf der IPCop-OpenVPN-Seite.
   
4. Erfolgt vollkommen transparent, d.h. es sind keine Einstellungen auf dem Client notwendig.
   
5. Der OpenVPN-Zugriff erfolgt dann über ROT, d.h. es muss dann auch die Konfigurationsdatei für ROT verwendet werden.
6. CopSpot tunnelt keine udp-Verbindungen. Denken Sie daran, dass die Protokolländerung von udp auf tcp auch in den Clientkonfigurationsdateien vollzogen werden muss!
   
7. ab 172.16.16.1 aufwärts, da IPCop-IP auf 172.16.16.254 festgelegt ist.