Onderwerp: Captive portal voor Wifi netwerk

Bij watersportverening De Blocq van Kuffeler hebben we al jaren een Wifi netwerk voor leden en gasten. Dit werkt prima, zolang het niet te druk is op de haven. Zodra er meer dan 20 of 30 gebruikers zijn wordt het traag.
Volgens onze eigen analyse is het probleem de beperkte bandbreedte naar het internet. Het haventerrein ligt op flinke afstand van het dichtsbijzijnde KPN punt en de ADSL verbinding is daardoor veel trager dan volgens de specificaties. We hebben nu een dubbele ADSL aansluiting, en meer zit er volgens KPN niet in. Tenzij we extra, of andere kabels laten leggen maar dat is te duur.

We vragen van onze leden om het Wifi gebruik te beperken, dus alleen het noodzakelijke email verkeer en opvragen van weerberichten. Maar in de praktijk zit men natuurlijk op Facebook, probeert te skypen en 'uitzending gemist' te kijken enzovoort. Als het druk is lukt dat niet. Of het lukt wel als je een betere Wifi antenne hebt dan je buren, maar dan heeft de rest helemaal geen bandbreedte meer over.

We overwegen om de bandbreedte per gebruiker te gaan beperken, en zo te zorgen dat de bandbreedte niet door een paar grootgebruikers kan worden gekaapt. Dit willen we graag duidelijk maken door het tonen van een welkomsscherm (een 'captive portal'). De vraag is nu hoe we dit het best kunnen realiseren. Liefst zonder extra apparatuur en tegen lage kosten.

Het netwerkje bestaat op dit moment uit:
- een dubbele ADSL verbinding gekoppeld aan een Draytek Vigor 2860 router.
- 2 bekabelde AP's

Ik heb oplossingen gevonden waarbij een router voorzien wordt van nieuwe firmware bijv. DD-WRT, maar zo te zien wordt onze router niet ondersteund.
En er zijn oplossingen waarvoor een server moet worden toegevoegd, bijv. Wifidog of DNSRedirector.
Is er iemand met ervaring in dit soort zaken die een gouden tip kan geven?

Bij voorbaat bedankt voor het meedenken,
Jan Willem

Bij onze vereniging heb ik een Engenius Cloudtrax router geinstalleerd(ca. E200,00). Deze heeft een ingebouwde welkomstpagina waar om een toegangscode wordt gevraagd. Ook is de bandbreedte per gegenereerde toegangscode te bepalen.

De router is volledig via het internet te beheren, zodat ik in geval van storingen niet naar de haven hoef.

De havenmeester verstrekt de bonnetjes met codes aan de leden en passanten.

jmarinis schreef : Doe een webinar bij Meraki (cisco), en ontvang een MR12 met 3 jaar gratis licentie
(meraki.cisco.com/lp/free-demo)

Maak een een wifi netwerk aan en koppel de 2e lan aansluiting daar aan door naar je bestaande accesspoints.

Op de meraki kan je op de controller (in de cloud(hip woord)) via internet onder wireless & trafic shaping met vinkjes instellen wat wel en niet mag.


het ding geeft je vervolgens ook inzicht in wat er precies gedaan wordt en je kan dus redelijk gericht gaan blokkeren.

De licentie is 3 jaar, en daarna koop je onder de 200 euro een licentie voor wederom 3 jaar.

je kan ook een inlog portaal aanmaken en nummers uitgeven

Jan Willem,

Kan eenvoudig door streaming/download poorten dicht te zetten in de firewall daardoor kun je gebruik behoorlijk remmen.

bandwidthcontroller.com/applicationPorts.html

Richard

inderdaad als je poort 80 en 443 dicht zet komt 99.9% niet meer binnen. inclusief het gewone Internet.

je moet op layer 7 filteren. niet op layer 3

Alle bijdragers tot zover bedankt voor de tips.

Inmiddels ben ik er achter dat in de bestaande Vigor router ook een web portal optie zit. Dat is geen echte captive portal want je kunt gewoon doorklikken naar andere sites. Maar we gaan nu eerst bekijken of het voldoende is om de gebruikers telkens te herinneren aan de beperkingen van onze wifi voorziening.

De bestaande router kan ook ongewenste applicaties filteren, en heeft verschillende opties voor het 'afknijpen' van grootgebruikers. Helaas kan ik nog geen mogelijkheid vinden om een connectie na bijv. een half uur automatisch te verbreken. Ik heb een paar dingen aangezet en geconfigureerd.

Nu maar kijken of het werkt. Ik laat jullie nog weten wat de ervaringen zijn. Het wachten is op een druk weekend of de herfstvakantie om te zien hoe de nieuwe instellingen het doen bij drukte op het netwerk.

Groeten,
Jan Willem

Jan Willem,

Als ik na een weekend zeilen terugkom op het Blocq wil ik wel het ZF op om alle recente berichten te lezen. Kan dat dan nog wel?

Paul E45

Jan Willem,

Even iets ter overweging:
Onlangs heb ik digitale kaarten aangeschaft, met regelmatige up-date service. Tijdens mijn vakantie kreeg ik een mailtje dat er up-dates beschukbaar waren voor het zeilgebied waar ik op dat moment was.

De update service bestaat er uit dat de complete set wordt vervangen door een actuele set. Zo'n 100 tot 130mb per set. Om die update goed te laten verlopen ben ik dicht in de buurt gaan zitten van de wifi zender. Gezien de reisplannen was het noodzakelijk 3 sets te updaten. Bij elkaar zomaar 400 mb.

Ik begrijp uiteraard de overwegingen om te kunnen knijpen in de individuele internet verbinding van mensen in de haven, maar ik zal vast de enige niet zijn die ivm maritieme klussen even grootverbruiker is van de bandbreedte. Het zou mooi zijn als je daar een oplossing voor weet te verzinnen.

Ik kan me indenken dat je bij het havenkantoor een separate verbinding aanlegt voor dit soort doeleinden.

Heel veel gebruikers zullen niet eens in de gaten hebben dat ze grootverbruiker zijn. Bijvoorbeeld als iOs een nieuwe update uitrolt het apparaat is op wifi aangesloten en op de lader zal die het nieuwe iOs gaan downloaden. Daar is als eindgebruiker nauwelijks iets aan te doen. Behalve niet tegelijk laden en wifi aan hebben.
Volgens mij kun je bij vensters 10 dit soort gedrag ook niet voorkomen.

Als er opmerkingen over gemaakt worden is het commentaar steevast dat het voor U eigen internet veiligheid noodzakelijk is.

Resumerend als je na verbruik van X data iemand afsluit krijg je een behoorlijk aantal keren de reactie "Maar ik heb het ding niet eens aangeraakt !"

Mocht je iemand hebben die de zin en kunde heeft om er in te duiken zou een kleine linux doos met een Application Layer Packet filter een oplossing zijn.
zie l7-filter.clearos.com/

@Noreen. Bedankt voor je bijdrage.
Er zit in onze Draytek router al een applicatiefilter ingebouwd. Dat heb ik nu geactiveerd, en ben benieuwd naar het effect.

Het is niet de bedoeling om een datalimiet in te stellen voor gebruikers, maar wel een limiet aan de bandbreedte die een individu in beslag kan nemen tijdens drukke uren. Een update tijdens het weekend of drukke vakantieweken zal langer duren dan normaal, dat moet dan maar.

We willen de beperkte bandbreedte zoveel mogelijk eerlijk verdelen. Zoveel mogelijk leden en passanten moeten kunnen rekenen op een werkende wifi verbinding, al is het dan niet supersnel.

Met een kleine linux doos, zou je dan ook een caching proxy server kunnen opzetten. Die bewaart een éénmaal opgevraagde pagina lokaal. De volgende gebruiker die de zelfde pagina opvraagt krijgt dan een lokale kopie en gebruikt geen internet bandbreedte. Dit kan 30 - 40% schelen in het internet verkeer.

dat is inderdaad een goede optie. een Linux doosje neerzetten

voor meer informatie hierover kan je zoeken op PFsense en squid of inderdaad zo als eerder gezegd ClearOS

overigens kan je daar heel veel mee, een captive portal is ook mogelijk alleen moet je inderdaad wel iemand hebben die zin heeft om dat voor je op te bouwen.

.

Een server toevoegen met captive portal software die tevens dient als caching proxy server lijkt me een goede optie. Geeft natuurlijk wel extra beheer en van Linux heb ik geen kaas gegeten. Met Windows kan ik me goed redden.

Ik denk nu aan een Windows 8 bakje met Untangle als web portal sorftware en 'Squid' als web proxy service.

Klink dat als een werkbare opstelling?

Van Windoze weet ik dan weer weinig. Onder linux heb je aan een RaspberryPi(2) genoeg. Allicht een stuk goedkoper. (zowel hardware, software als elektriek)
Squid doet het bij mij goed. Vooral over de GSM scheelt dat veel Mb's.

voor clearos zijn duidelijke handleidingen,en is er voor gemaakt.
squid is van oorsprong geen microsoft pakket. qua documentatie kan je beter Linux pakken

een raspberry pi achtig iets kan, maar ik zou wel iets met meerdere netwerk adapters nemen om het "gedoe" met vlans/switches en virtuele adapters te besparen.

Het antwoord wordt eentonig.

Voor Netwerk toepassingen is Linux(unix) toch beter geëigend.
Om een dergelijk protal te onderhouden zul je toch er af en toe werk aan hebben.
Een raspberry pi zou kunnen als je echt geen budget hebt. Zelf gebruik ik graag iets met 2 gigabit poorten. Iets als een fanless POC Controller.

Omdat het geheel 24/7 moet draaien en blijven draaien, lijkt me dat een watchdog ook nodig is. (iets wat automatisch een reboot uitvoert als de software vastloopt)

Allemaal bedankt voor de bijdragen.

Ik maak me zorgen over de beheersinspanning om een server in ons netwerkje 24/7 draaiend te houden. In deze tijd van het jaar, en met dit weer, is het geen punt om wat te hobby-en met IT spul. Maar in betere tijden ga ik liever varen.

Mijn 'collega's' binnen de vereniging zitten er ook zo in, en daarom hebben we besloten om bij het bestuur budget aan te vragen voor een kant en klare appliance, bijvoorbeeld zoiets

Waarom niet gewoon een QOS instellen op poort 25?

Die snap ik niet....

uit de wiki:

QoS op het internet
Het internetprotocol (IP), dat op internet gebruikt wordt, biedt in versie 4 weinig voorzieningen om de QoS te regelen. In versie 6, IPv6, zijn betere voorzieningen ingebouwd. De QoS die met het internetprotocol geleverd kan worden is echter altijd zacht; er is geen enkele garantie dat de gevraagde QoS geleverd kan worden.

Een netwerktechniek die veel beter geschikt is voor diensten waar QoS van belang is, is ATM. Bij ATM is er een harde garantie dat de gevraagde QoS geleverd kan worden; voordat de verbinding tot stand gebracht wordt, wordt gekeken of de dienst te leveren is; zo ja, dan wordt deze gedurende de verbinding gegarandeerd, zo nee dan wordt de verbinding geweigerd.

Op poort 25 is zinloos, die wordt gebruikt voor uitgaande mail.

De termen zijn bekend, maar ik zag het verband niet met dit topic.

Wat mij betreft kan dit onderwerp nu op een laag pitje worden gezet. Als we begin volgend seizoen een oplossing in werking hebben bij 'De Blocq' dan zal ik hier nog even terugkoppelen wat onze ervaringen zijn.

Ben heel benieuwd naar hoe je gebruikers je gekozen oplossing gaan ervaren. Vooral omdat het een geheel andere aanpak is dan ik pleeg te gebruiken. Ik richt mijn pijlen vooral op data gebruik wat de digibeet geen weet van heeft, en dus niet merkt. Update's ed. Verder moedwillige misbruikers die niet echt van de hoed en de rand weten. Moet je denken aan even lekker uitzending gemist kijken. Natuurlijk iemand die echt ingevoerd is kan bij mij wel de zaak plat leggen en dan moet ik persoonlijk er op af. (Virtueel) Dan kan het op een 1 op 1 gevecht uitdraaien. Mijn idee is echter dat als iemand even een grib file of de krant wil downloaden het niet een half uur moet duren.

Ik zocht het in eerste instantie zelf ook in beperking van het datagebruik per client. En ik heb in de router sinds kort al 'bandwidth control' regels ingesteld.
Het idee van inloggen en tijdslimieten is afkomstig van 1 van de commissieleden die daar goede ervaringen mee heeft opgedaan in Denemarken.

Ben zelf ook wel benieuwd hoe het gaat uitpakken. Er is trouwens nog geen budget voor toegekend door het bestuur, het kan nog afketsen.

Captive sucks. router krijgt het te druk en zal vaker een reset nodig hebben.
Als je provider de haven niet kan voorzien in de bandbreedte nodig om iedereen op zaterdag 19:00 te bedienen, hebben ze gewoon pech. Dat weerbericht kan ook via 4g opgehaald worden.
Elke andere oplossing is alleen maar optimaliseren van het tekort aan bandbreedte.
Duurdere oplossingen kunnen wel interessant zijn zoals packetshapers en Deep packet inspection technologie.
Daarmee kan je prioriteit geven aan je traffic, zoals youtube,facebook, applicaties zoals torrents en andere applicaties. Deze tech is trouwens tevens het einde van "internet neutraliteit"". Providers kunnen bv youtube sneller laten werken dan vimeo zonder dat de klant dit door heeft. Hele slechte zaak.