Auf der Suche nach einem Captive Portal bin ich neben Wifidog u. a. auf CoovaChilli gestoßen. Wifidog hatte ich bereits im letzten Jahr eingesetzt und wollte es deshalb auch in diesem Jahr wieder verwenden, allerdings scheint die Entwicklung des Projektes leider etwas zu stagnieren. Deshalb fiel die Entscheidung auf CoovaChilli.
Auf der Suche nach guten HowTos fand ich schnell das Tutorial der Ubuntu-Community, allerdings entstand beim abarbeiten genau der Fehler, der auch im Titel erschien. Dieser Fehler lies sich auch nach zahlreichen Versuchen nicht lösen, weshalb ich entschied einmal selbst Hand anzulegen und getreu dem Motto “Weniger ist manchmal mehr” zu handeln. Nun genug des Vorgeplänkels:
Voraussetzung ist ein Computer mit 2 Netzwerkkarten:
eth0 – Verbindung in das Internet
eth1 – neues Netzwerk für die zu schützenden Computer
Die Installation des Ubuntu-Servers funktioniert ohne jegliche Besonderheiten. Es muss auch nichts aus dem Auswahlmenü installiert werden, allerdings ist ein SSH-Server sehr hilfreich. Die Netzwerkkonfiguration sollte man hier für die Netzwerkkarte festlegen, die mit dem Internet verbunden ist (bei mir ist das eth0).
Als nächstes sollte das System auf den aktuellen Stand gebracht werden:
sudo apt-get update
sudo apt-get upgrade
sudo reboot
Um die Benutzer zu authentifizieren nutzt CoovaChilli Freeradius, der als nächstes installiert werden sollte:
sudo apt-get install freeradius
Freeradius besitzt eine Vielzahl von unterschiedlichen Ressourcen, in denen die Benutzer gesucht werden, u.a. SQL, LDAP und einfache Dateien. Nach der Installation von freeradius muss lediglich ein Benutzer in die Datei /etc/freeradius/users eingefügt werden. Die Konfiguration von Freeradius, um SQL oder LDAP zu nutzen wird hier nicht weiter erwähnt.
# /etc/freeradius/users
“benutzer” Cleartext-Password:=”password”
Nach dem Speichern und neu starten des Services sollte der Benutzer sich mit radtest bereits erfolgreich testen lassen:
sudo service freeradius restart
sudo radtest “benutzer” “password” 127.0.0.1 0 testing123
Als Resultat müsste etwas wie
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213 length=20
ausgegeben werden. Wenn der Radius-Server auf dem gleichen Rechner läuft wie das Captive-Portal, muss nichts weiter verändert werden, anderenfalls muss der Rechner, auf dem CoovaChilli läuft als Client in die Datei /etc/freeradius/clients.conf eingetragen werden, z. B.:
# /etc/freeradius/clients.conf
client 192.168.0.0/24 {
secret = testing123-2
shortname = private-network-rad
}
Für die nächsten Schritte wird voraus gesetzt, dass Freeradius ordnungsgemäß wie oben beschrieben funktioniert. Sonst müssen erst die Fehler behoben werden, bevor fortgefahren wird.
Installation von CoovaChilli
Die CoovaChilli installation unter Ubuntu 10.04 ist sehr einfach: Den aktuellen Binary-Build herunterladen und mit dpkg installieren:
wget http://ap.coova.org/chilli/coova-chilli_1.2.5_i386.deb
sudo dpkg -i coova-chilli_1.2.5_i386.deb
Damit CoovaChilli startet, muss die Datei /etc/default/chilli so angepasst werden, dass der Parameter START_CHILLI auf 1 steht:
# /etc/default/chilli
START_CHILLI=1
Wenn CoovaChilli beim Systemstart automatisch gestartet werden soll, müssen noch Startuplinks angelegt werden:
sudo update-rc.d chilli defaults 99 1
Eine Konfigurationsdatei von CoovaChilli ist neben der default-Datei noch nicht vorhanden, um also eine eigene Konfiguration zu verwenden, muss die default-Datei kopiert werden. Danach kann diese angepasst werden:
sudo cp /etc/chilli/default /etc/chilli/config
sudo nano /etc/chilli/config
# /etc/chilli/config
# minimale Änderungen die durchgeführt werden müssen
# Radius-Einstellungen:
HS_NASID=0
HS_RADIUS=127.0.0.1
HS_RADIUS2=127.0.0.1
HS_UAMALLOW=10.1.0.1,www.coova.org
HS_RADSECRET=testing123
Alle weiteren Einstellungen können auch modifiziert werden, allerdings sollte Vorsicht walten, bevor man Parameter verändert und danach nichts mehr funktioniert.
Eine letzte Anpassung die gemacht werden muss ist die Installation von Haserl:
wget http://downloads.sourceforge.net/project/haserl/haserl-devel/haserl-0.9.28.tar.gz
tar -xzf haserl-0.9.28.tar.gz
cd haserl-0.9.28
./configure
# Sollten hier Fehler auftreten, liegt es vermutlich daran,
# dass die nötigen Programme nicht installiert sind:
# sudo apt-get install build-essential
# schafft in diesen Fällen Abhilfe
make
sudo make install
# Jetzt einfach neu starten:
sudo reboot
Nach diesem Neustart sollte nun eigentlich alles Funktionieren und bei der Verbindung eines Clients auf der Netzwerkkarte eth1 sollte dieser auf die Login-Seite weitergeleitet werden.
Bei mir trat jedoch ein Fehler auf, beim Versuch eine Seite aufzurufen:
You need to install haserl to serve pages with this wwwsh script!
see http://haserl.sourceforge.net
Der Fehler verwunderte mich, da ja haserl bereits installiert war. Ein Blick in das Script /etc/chilli/wwwsh brachte mich auch nicht weiter, denn das Kommando, um den Pfad von haserl zu bestimmen funktionierte bei mir tadelos. Da der Pfad bekannt war, wurde er schlichtweg statisch eingetragen (vielleicht nicht unbedingt elegant, aber es funktioniert):
#haserl=$(which haserl 2>/dev/null)
haserl=/usr/local/bin/haserl
nun funktionierte alles wie gewünscht und die Clients konnten sich erfolgreich Authentifizieren.
