Настройка Captive Portal для авторизации пользователей
Captive Portal – сетевой сервис авторизации и идентификации пользователей. Наиболее часто используемый при построении общественных Wi-Fi сетей, где необходимо ограничивать права доступа в сеть Интернет или взымать дополнительную плату за её использование. По сути своей представляет веб-портал где пользователю предлагается указать учетные данные для дальнейшей идентификации в сети.
С точки зрения информационной безопасности, Captive Portal необходимая мера при использовании корпоративной Wi-Fi сети. И с реализацией его прекрасно справляются межсетевые экраны нового поколения (NGFW) Palo Alto Networks.
Далее мы рассмотрим подробную инструкцию по установке и настройке Captive Portal для использования в корпоративной Wi-Fi сети. А так же наиболее часто возникающие проблемы, с которыми приходится сталкиваться системному администратору.
Настройка шаг за шагом.
Шаг 1. Необходимо определить по какому из интерфейсов будут инициироваться запросы от пользователей на авторизацию и дать ему права на данную процедуру.
В нашем случае это ethernet1/5. Для того чтобы разрешить данному интерфейсу авторизацию Captive Portal, необходимо в Network – Network Profiles – Interface Mgmt создать или использовать уже имеющийся профиль, в котором разрешить сервисы Response Pages и User-ID.
Далее на вкладке Network – Interfaces выбрать нужный нам интерфейс и в Advanced – Other Info указать ранее созданный профиль:
Шаг 2. Необходимо сгенерировать или использовать сертификат, подписанный третьей стороной, для идентификации самого Captive Portal и дальнейшего безопасного с ним соединения. В этой статье мы будем рассматривать первый вариант. На вкладке Device – Certificate Management – Certificates нажимаем кнопку Generate. В появившемся окне нам необходимо внести данные для генерации корневого сертификата.
Certificate Name – произвольное имя сертификата
Common Name – IP или FQDN адрес интерфейса, который будет использоваться для Captive Portal
Certificate Authority – установить галку, для того чтобы сертификат был корневым
Теперь нам нужно сгенерировать сертификат непосредственно самого портала, подписанного корневым. Для этого еще раз нажимаем кнопку Generate и вводим следующие данные:
Certificate Name – произвольное имя сертификата
Common Name – IP или FQDN адрес Captive Portal
Signed By – указываем ранее созданный корневой сертификат
IP – добавляем IP атрибут Captive Portal
Host Name – в случае если у Captive Portal имеется FQDN адрес, то указываем и его
После нажатия на кнопку Generate в списке сертификатов у нас должен появится наш новый, подписанный корневым.
Шаг 3. Создаем SSL/TLS профиль, который будет использоваться для авторизации пользователей.
Переходим на вкладку Device – Certificate Management – SSL/TLS Service Profile и нажимаем Add.
Name – произвольное имя профиля
Certificate – выбираем ранее созданный сертификат (подписанный корневым)
Min Version – рекомендуется использовать наиболее защищенный TLSv1.2
Шаг 4. Переходим к настройкам непосредственно самого CaptivePortal.
Enable Captive Portal – включаем портал
Idle Timer (min) – таймер бездействия пользователя, по окончанию которого портал потребует повторного введения учетных данных
Timer (min) – общий таймер, по окончанию которого пользователю будет предложено заново ввести учетные данные
Mode – во избежание ошибки сертификата в браузере пользователей, рекомендуется использовать режим Redirect, таким образом будет происходить перенаправление на страницу Captive Portal. В случае же с Transparent, шлюз будет подменять запрашиваемый сайт пользователем на страницу Captive Portal, что может быть расценено браузером как попытка кражи конфиденциальных информации
SSL/TLS Service Profile – выбираем ранее созданный нами профиль шифрования
Authentication Profile – выбираем профиль, который указывает на список пользователей, для которых разрешена авторизация с помощью Captive Portal
Session Cookie (опционально) – использовать куки вместо повторного ввода учетных данных
Redirect Host – IP или FQDN интерфейса шлюза Palo Alto, на который будет производиться перенаправление пользователей
Шаг 5. Далее настроим правило авторизации, которое бы перенаправляло все HTTP запросы от неизвестных пользователей на портал авторизации.
Для этого переходим на вкладку Policies – Authentication и нажимаем Add для добавления нового правила. Выбираем зону нашей Wi-Fi сети в качестве источника и зону INTERNET (Untrust) в качестве назначения. Т.к. пользователь нам еще неизвестен, то в качестве User выбираем Any. И наконец на вкладке Actions нужно указать действие default-web-form, в нашем случае это отправлять пользователей на Captive Portal.
В итоге должно получиться так:
Шаг 6. Завершающим шагом нам необходимо создать правило, которое бы разрешало всем авторизированным пользователям доступ в интернет. Следуя рекомендациям по безопасности мы выбираем web-browsing и ssl в качестве приложений для доступа в интернет, а также назначаем используемые по умолчанию порты (80 и 443).
Разрешающее правило создаем в Policies – Security и в итоге оно должно выглядеть следующим образом:
На данном этапе вы можете создавать сколь угодно различные правила доступа для пользователей, так как после авторизации сетевой шлюз уже знает от кого конкретно исходит тот или иной трафик. Вы можете разрешить или запретить доступ к определенным сайтам, или же ограничить использование таких приложений как WhatsApp, Viber, Telegram для одних пользователей и дать разрешение другим. Все зависит лишь от ваших потребностей.
Главное придерживаться концепции, что чем более детально мы описываем условия правил, тем меньше возможностей для атак злоумышленников мы оставляем.
На этом настройку Captive Portal можно считать оконченной!
Как быть с HTTPS?
После настройки Captive Portal вы возможно столкнетесь с проблемой, что в отличи от HTTP запросов, HTTPS не обрабатываются для перенаправления на страницу авторизации. И даже если явно указать в правиле авторизации на обработку таких запросов, то это все равно не решит проблему.
Дело в том в отличии от HTTP, HTTPS пакеты являются зашифрованными и шлюз просто не в состоянии определить какому сайту предназначен тот или иной пакет, и уж тем более изменить его для перенаправления на свою страницу авторизации.
Но межсетевые экраны (NGFW) Palo Alto Networks способны решить и эту проблему. Благодаря аппаратной функции дешифровки, шлюз способен проникать в зашифрованные пакеты и читать их содержимое. Данная возможность будет также полезна для мониторинга и отслеживания передачи конфиденциальной информации третьей стороне.
Для включения дешифрации нам необходимо на вкладке Policies – Decryption создать два правила. Первое включает эту функцию для всех неизвестных пользователей, которые еще не авторизовались на портале. Второе отключает дешифрацию, если авторизация пройдена.
В качестве Decryption Profile используем профиль встроенные по умолчанию:
В итоге должно получиться так:
Незабываем указать HTTPS трафик для авторизации в ранее созданном нами правиле на вкладке Policies – Authentication:
После всех описанных выше действий попытка зайти на любой сайт будет переадресована шлюзом на страницу авторизации Captive Portal.
CaptivePortalLogin что это такое то?
Всем привет 
Поговорим мы о такой штуке как CaptivePortalLogin, я расскажу что это такое и почему оно у вас появляется. Как я думаю, то CaptivePortalLogin предназначен для безопасного пользования открытыми вай фай частными сетями, то есть публичными. Когда вы захотите подключится к такой сети, то у вас выскочит предупредительное сообщение CaptivePortalLogin, где нужно нажать кнопку и в принципе все… Это касается вроде бы только телефонов Samsung, но у других тоже может быть такой прикол 
Если отключить CaptivePortalLogin, то есть риск что вы не сможете подключиться к вай фай сети, так что учтите это 
Я пошел в гугловский переводчик и написал туда Captive Portal Login:
И вот что мне выдал переводчик:
То есть все верно, это вход в систему, можно сказать еще что CaptivePortalLogin это некая дополнительная авторизация перед использование публичной беспроводной сети.
Вот смотрите, нашел картину, это Application manager, вкладка All и тут есть приложение CaptivePortalLogin:
Весит приложение 96 Кб, а это оч и оч мало…
В окне Сведения о приложении (App info) вы можете попробовать отключить приложение, если нажмете на FORCE STOP (но как я уже писал тогда у вас может быть ошибка при подключении к беспроводной сети):
Значит можно ли отключить CaptivePortalLogin, то я уже написал, что в принципе может и можно, но будут ли в таком случае нормально подключаться вай фай сети, то это неизвестно. В сети я также нашел способ как отключить CaptivePortalLogin, так чтобы и можно было подключаться к вай фай сетям, для этого нужно установить приложение WifiAutoLogin. Собственно из названия WifiAutoLogin понятно уже, что главная функция проги это автологин для вай фай сети, чтобы вы вручную не подтверждали. Ссылку где можно скачать WifiAutoLogin я давать не буду, скажу только то, что при желании все легко находится в поисковике 
Так, еще раз, какой делаем вывод? CaptivePortalLogin это приложение для вывода запроса-подтверждения при подключении к вай фай сети. Если отключить, то есть риск что вообще не будет подключаться сеть. Решение это использовать WifiAutoLogin, пойдите на форум 4PDA, там есть тема с обсуждениями.
Надеюсь что все тут было понятно. Удачи вам 
Билайн без авторизации. Настройка роутера
Настройка роутера на билайн без авторизации. Домашний интернет
Билайн без авторизации стал открытием для меня в ближайшее время. Недавно столкнулся с такой вешью. Настраиваю новый Zuxel Keenetik на билайн, не помню какая точно модель, и по старинке вбиваю все настройки как раньше — tp.internet.beeline.ru, логин, пароль и тп. настроил вай фай. думаю все. Перезагрузил роутер, думаю все. А вот и нет ) роутер перезагрузился но не видит обновления. Проверяю соединения — isp в порядке, зеленое, роутер получил адреса. а вот l2tp — серое. не работает. Ошибка авторизации. Открыл поиск в браузере — и получил такую картинку:
Билайн без авторизации. Ошибка авторизации
Это меня реально удивило. Я ввел логин и пароль — и увидел следующее следующее сообщение. Своими словами — билайн переходит на новую систему авторизации, теперь не нужно вводить логин и пароль в настройки роутера. То же касается домашнего подключения. Просто подключить роутер или ПК к сети, в браузере ввести логин и пароль. Просто. И экономит кучу времени. Особенно для неопытных пользователей. Сделал как говорят — настройки соединения не менял. не работает. Набираю техподдержку билайн.
Билайн без авторизации. Техподдержка
Набираю техподдержку, удивительно быстро дозвонился. Объясняю ситуацию, назвал модель кинетика. На что в ответ получаю следующее. Сказали что теперь необходимости в L2TP нет. Все настраивается по новому. В роутере просто тип подключения ставим dynamic ip. Перезагружаем роутер и ждем 10 минут. и все должно заработать. Сделал как сказали — реально заработало. Роутер авторизовался в их сети, подключил к вай фаю все устройства — все успешно вышли в интернет. Ура!
Билайн без авторизации. теперь, как получается, билайн решил упростить жизнь всем. Хотя может быть это касается только Краснодарского края, забыл спросить у поддержки зону действия данного нововведения. Чтобы настроить роутер на билайн достаточно указать динамический адрес и пароль на вай фай. Остальное они настроят сами. Удобно.
Билайн без авторизации. Отвал пользователей
Забыл еще уточнить у них один момент. Что будет с пользователями у которых все настроено по старинке,через L2TP. Они отвалятся? или продолжат работать как и раньше? насколько умная у них система. Ведь если всем кто подключен через l2TP придется перенастроить свой роутер — компанию билайн завалят звонками. Надеюсь этого не случится ). А если и случится — всем админам прибавится работы. на этом все, спасибо за внимание.
Что может дать Captive Portal для вашей WiFi-сети
Если вы пользовались Wi-Fi в аэропорту, гостинице или бизнес-центре, то наверняка помните – во время первого открытия веб-страницы, прежде чем вы получите доступ в интернет, вас просят заполнить информацию. Как правило это веб-страница Captive Portal, которая используется для аутентификации и управления гостевым доступом. Данное, достаточно простое средство создает отдельный идентификатор SSID и ключ доступа для гостевых пользователей. Оборудование и ПО с одной стороны предоставляют пользователям доступ к беспроводной сети, а с другой могут лимитировать их работу, а в некоторых случаях и взимать с них плату.
Вариантов реализации Captive Portal несколько и один из них – использование контроллера. Таким устройством является Edimax APC500, который может обслуживать до 32 точек доступа серии Edimax Pro. Контроллер не только управляет настройками точек доступа, но и позволяет выставить индивидуальные параметры Captive Portal гостевой аутентификации.
.jpg)
Контроллер Edimax APC500
Рассмотрим простую пошаговую инструкцию создания Captive Portal с помощью APC500
Шаг 1.
Сначала создайте имена пользователей и пароли, а затем составьте из них пользовательские группы. Каждая группа пользователей может быть определена в качестве пользователя гостевого портала (Role Type of Guest Portal User) или диспетчера (Front Desk Manager). Пользователи гостевого портала могут войти в систему и получить доступ в интернет. Диспетчеры не обладают полными правами администратора, но они могут войти на страницу «Ресепшен» для создания и управления гостевыми учетными записями, генерировать и если это необходимо, распечатывать пароли входа в Wi-Fi-сеть для гостевых пользователей. Как показано ниже, мы создали имя пользователя гостевого портала, затем имя пользователя диспетчера и обоих пользователей поместили в связанную группу.
Шаг 2.
Создаем гостевой портал, который является страницей аутентификации гостей, где будет видно, когда они заходят в Wi-Fi-сеть. На этой странице вы можете определить (исходя из данных Шага 1), какая группа пользователь сможет войти в гостевой портал и пользоваться интернетом, а какая может войти в Front Desk Manager, для управления учетными записями. На этом рисунке вы видите страницу настроек посетителей гостевого портала и чуть ниже – экран входа в систему по умолчанию.
Шаг 3.
Теперь создаем гостевые сети. Вы можете указать идентификатор SSID и VLAN, управление широковещательными функциями SSID, определить, следует ли изолировать клиентов друг от друга в одном SSID, а также назначить параметры балансировки нагрузки пользователей. Последнее фактически означает ограничение количества гостевых клиентов на SSID (максимум до 50). Методы Wi-Fi аутентификации (не путать с проверкой подлинности пользователя гостевого портала) не включают в себя WEP, 802.1x, WPA-PSK и WPA-EAP. Поддержка типов WPA: WPA, WPA2 и смешанный. Поддерживается TKIP, AES и смешанное шифрование.
Дополнительная Wi-Fi аутентификация может быть выполнена на основе MAC-адресов, определяемых контроллером APC500 в локальной таблице фильтра MAC-адресов, на основе MAC-адресов, которые прошли проверку подлинности на внешнем RADIUS-сервере или путем проверки паролей на внешнем RADIUS-сервере.
Одной из опций конфигурирования SSID является настройка политики доступа таким образом, чтобы ваша Wi-Fi сеть направляла посетителей в гостевой портал. Политика доступа также может применяться для установления максимальной пропускной способности downlink и uplink на SSID (до 50 Мбит/с). Другие функции включают в себя фильтрацию по IP, которая поможет установить разрешение или запрет доступ пользователей к трем различным подсетям. Также есть функция планирования групп, которая позволит гостевым сетям автоматически включаться и выключаться по дням недели и по времени суток.
Для завершения настройки нужно связать гостевую сеть с сетью группы посетителей. Ниже вы можете увидеть параметры гостевой сети, политики доступа, настройку расписания и страницу конфигурации сети группы посетителей.
Шаг 4.
Конфигурация гостевой сети завершена, теперь конфигурация применяется к одной или нескольким точкам доступа, находящимся под управлением APC500. Это делается просто – путем выбора нужных точек доступа и применения настроек сети группы посетителей, начиная с шага 3, как показано ниже.
Вуаля! – Ваш Captive Portal настроен и работает. Как показано ниже, вы можете настроить веб-страницу гостевого портала, установив собственное изображение и логотип, вы также можете написать Правила пользования гостевой сетью или разместить иной текст по своему усмотрению.
Используя Edimax Captive Portal вы в существенно большей степени контролируете работу и доступ посетителей в сеть, чем с помощью простого гостевого Wi-Fi SSID.
Для более детального изучения вопроса ознакомьтесь с руководствомнастроек Captive Portal контроллера Edimax APC500.
Вход в роутер Билайн: инструкция, как зайти
Начинающие пользователи Интернета часто спрашивают, как выполнить вход в Билайн роутер для получения информации об оборудовании и точной настройки девайса. После авторизации пользователям доступно внесение настроек, изменение пароля, фильтрация пользователей и другие опции.
Ниже рассмотрим, как войти в роутер Билайн для домашнего Интернета и 4g, приведем доступные модели и перечислим актуальные действия при возникновении трудностей с подключением.
Что учесть
Перед установкой и входом в оборудование учтите, что компания Билайн работает не со всеми роутерами. Провайдер поддерживает устройства Билайн D150L и N150L, некоторые модели АСУС серии RT, маршрутизаторы D-Link, ZyXEL, TP-Link и другие устройства. Подробные сведения по актуальной аппаратуре, а также недоступным устройствам приведены на сайте moskva.beeline.ru/customers/pomosh/home/domashnij-internet/nastrojki-s-routerom/.
Что касается 3G и 4G, здесь также поддерживаются не все устройства. В группу доступных моделей входит ZTE (MF90+, MF823D, MF831, MF 667, MF823, MF 192 и другие), а также Хуавей Е171, E3272, E3131, E355, 3G модем E3533 и 4G модем 1K6E. Подробные сведения можно также получить на сайте Билайна по ссылке moskva.beeline.ru/customers/pomosh/mobile/tarify-i-uslugi/instrukcii-k-ustrojstvam-dlja-mobilnogo-bilajna/usb-modemy/.
Вход в роутер Beeline: пошаговая инструкция
Если роутер поддерживается провайдером, можно переходить к его подключению и переходу в режим настроек. Рассмотрим принципы для разных устройств — для домашнего Интернета и 3G/4G.
Вход в обычный роутер
Для начала рассмотрим, как зайти в Билайн роутер домашнего Интернета. Здесь работает стандартная инструкция, актуальная для большей части маршрутизаторов.
Вход в настройки проходит по такому алгоритму:
Если все сделано правильно, вы осуществили вход в личный кабинет роутера Билайн. Здесь можно вносить данные по настройке соединения, задать имя сети, указать пароль, внести некоторые номера в «черный список» и решить иные задачи. Возникли проблемы? Читайте почему роутер мигает зеленым.
Вход в 3G/4G роутер
Многие клиенты Билайн пользуются 4G устройствами. Они устанавливаются в USB-разъем и играют роль модема. Рассмотрим правила входа в настройки на примере модели ZTE MF90Plus, которая поддерживается провайдером. В комплекте с девайсом идет USB-кабель, зарядное устройство, руководство и талон гарантии.
Для начала сделайте следующие шаги:
Производителем предусмотрено два способа войти в Вай Фай роутер Билайн 4G — с помощью провода или по WiFi. При выборе первого варианта необходимо установить программное обеспечение на ПК. Оно инсталлируется автоматически через некоторое время после подключения девайса к компьютеру или ноутбуку. Если этого не произошло, войдите в раздел Мой компьютер, жмите на диск Билайн и следуйте инструкции.
Для перехода в интерфейс роутера после его соединения с ПК по Wi-Fi или USB сделайте следующие шаги:
После входа можно перейти в интересующую страницу — сообщения, доступ к SD-карте, подключение, личный кабинет, проверка баланса, настройки и т. д. По аналогичному принципу можно выполнить вход в другие виды 4G роутеров Билайн. Здесь расскажем как сменить пароль вай фай роутера.
Не получается войти в роутер Билайн
Бывают ситуации, когда войти в http router beeline ru не удается, а приведенные выше инструкции не срабатывают. Перед принятием более серьезных мер попробуйте сделать следующие шаги:
Если эти действия не дали результата, необходимо разобраться с причинами сложившейся ситуации. Выделим основные:
Выполнение рассмотренных выше советов позволяет устранить трудности и войти в настроечный режим маршрутизатора.
