ComputerBase Menü
Aktuelles

Internet mit Captive Portal umgehen bzw. sicherer machen

S

splatschi

Cadet 2nd Year
Registriert
Okt. 2013
Beiträge
28
Hallo,

ich bin vor kurzem in ein Apartment gezogen, dass Internet (100 Mbit/s) kostenlos zur Verfügung stellt, aber man muss mich über ein Captive Portal (von Zyxel) anmelden. Das Internet wird einmal per LAN-Dose im Zimmer und einmal per WLAN (ich denke durch APs von Zyxel) bereit gestellt.
Ich würde das gerne sicherer gestalten, da es sich dabei um eine Art Wohnheim handelt. Ich bin leider kein Experte in diesem Bereich.
Momentaner Zustand:
Internet aus LAN-Dose (Captive Portal) -> Ethernet-Kabel -> PC
Internet aus WLAN /APs -> restliche Geräte

Gewünschter Zustand:
Internet aus LAN-Dose (Captive Portal) -> Ethernet-Kabel -> GL.iNet GL-AR300M-Ext -> Ethernet-Kabel -> PC
-> WLAN (GL.iNet in WPA2) -> restliche Geräte

Soweit ich mich eingelesen habe, bräuchte ich ein GL.iNet GL-AR300M-Ext, um das Captive Portal zu "umgehen" und dann an den PC weiterzuleiten. Brauche ich dann noch einen AP bzw. Router, da das GL.iNet GL-AR300M-Ext schon ein WLAN (WPA2?) für die restlichen Geräte erzeugt, oder?

Vielen Dank für jegliche Hilfe. Tut mir Leid, falls ich die Begriffe falsch benutzt habe. :)
 
Hört sich für mich nicht nach einem Sicherheitsaspekt* an, sondern nach dem umgehen von gewissen Regeln (Bsp. Endgeräte-Anzahl).

*rein aus Sicherheitsgründen macht das Vorhaben nämlich nicht wirklich Sinn.
 
  • Gefällt mir
Reaktionen: DaRealDeal, John Sinclair und kamanu
Frag doch einfach den Betreiber.

Wenn ich als Betreiber mitbekommen wuerde was Du da veranstalten willst, wuerdest Du nicht mehr lange das Netz benutzen duerfen. 😎

BFF
 
  • Gefällt mir
Reaktionen: DaRealDeal, teufelernie und John Sinclair
Wenn das System auch nur ansatzweise wie ein FritzBox Mesh Netzwerk funktioniert, per Gastzugang, wirst du um das Portal und die damit verbundenen Filter auch mit einem eigenen Endgerät nicht herumkommen.

Wenn es um das umgehen von Filtern geht, schau doch einmal nach einem VPN, das 'Capitve Portal' sieht dann nur die Verbindung zum VPN-Anbieter, und das wars dann. Nichts, was da drüber läuft.

Die Gastzugang-Funktionen filtern z.B. sehr oft Ü18-Videoportale heraus, mit einem VPN kann man diese wieder nutzen.
 
  • Gefällt mir
Reaktionen: splatschi
Hmm okay. Der Betreiber bzw. Vermieter hat leider auch keine Ahnung, da er es nur in Auftrag gegeben hat.
Ich brauche nicht mehr Endgeräte, da durch das WLAN "unbegrenzt" viele Geräte angemeldet werden.

Ist das trotzdem jeder Zugang von jedem Zimmer (Mieter) sicher? Für mich hört sicher das Netzwerk eher an wie ein Hotel Netzwerk, so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?

Ich dachte mein Vorhaben entspricht, das eines Reise-Routers wie z.B.
  • GL.iNet GL-AR750S-Ext
  • TP-Link TL-WR902AC AC750

Vielen Dank schon mal für die Antworten. :)
 
splatschi schrieb:
so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?
Zum Vergrößern anklicken....

Wie immer gilt: Bei Netzen die nicht unter deiner Kontrolle stehen: erst rechte ne Firewall, etc. nutzen, Dateifreigaben im LAN verbieten, etc.
Wenn du mit mehreren Geräten arbeitest und du halbwegs statische IPs bekommst, solltest du in der Firewall, sofern du z.B: nen fileshare nutzen willst nur spezielle Quell-IPs für den Zugang erlauben, das bringt schonmal ganz viel....
 
  • Gefällt mir
Reaktionen: splatschi
Nizakh schrieb:
*rein aus Sicherheitsgründen macht das Vorhaben nämlich nicht wirklich Sinn.
Zum Vergrößern anklicken....
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann. Eventuell benötigt man noch ein VPN.
HiveTyrant schrieb:
Wenn das System auch nur ansatzweise wie ein FritzBox Mesh Netzwerk funktioniert, per Gastzugang, wirst du um das Portal und die damit verbundenen Filter auch mit einem eigenen Endgerät nicht herumkommen.
Zum Vergrößern anklicken....
Er will um das Captive Portal nicht herum kommen, sondern es auf seinen PC durchreichen. Komfortabler wäre ein Script das sich automatisch am Captive Portal anmeldet.
splatschi schrieb:
Ist das trotzdem jeder Zugang von jedem Zimmer (Mieter) sicher?
Zum Vergrößern anklicken....
Kommt darauf an ob das WLAN verschlüsselt ist (jeder Bewohner einen anderen Schlüssel bzw. mit Zertifikat) und ob Client Isolation aktiviert ist.
splatschi schrieb:
Für mich hört sicher das Netzwerk eher an wie ein Hotel Netzwerk, so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?
Zum Vergrößern anklicken....
Könnte sein wenn das Netzwerk so eingerichtet ist.
 
Ein Hotel Netzwerk darf laut DSVGO nicht so erstellt werden, das andere User auf die Daten von anderen User zugreifen können. Selbst das Hotel selber darf nicht auf die Daten der User zugreifen. Und genau das gilt auch
für Netzwerke in Wohngemeinschaften. In der Fritzbox gibt es z.b. dafür das Gast Netzwerk, wo kein User auf
die Daten von anderen zugreifen kann, sofern das da auch aktiviert ist.
 
eigs schrieb:
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann. Eventuell benötigt man noch ein VPN.
Zum Vergrößern anklicken....
Wie wird sowas technisch umgesetzt?

eigs schrieb:
Er will um das Captive Portal nicht herum kommen, sondern es auf seinen PC durchreichen. Komfortabler wäre ein Script das sich automatisch am Captive Portal anmeldet.
Zum Vergrößern anklicken....
Ja, genau. :)

eigs schrieb:
Kommt darauf an ob das WLAN verschlüsselt ist (jeder Bewohner einen anderen Schlüssel bzw. mit Zertifikat) und ob Client Isolation aktiviert ist.
Zum Vergrößern anklicken....
Jeder Mieter bekommt ein Username (seinen Namen) und ein Passwort.
 
splatschi schrieb:
Wie wird sowas technisch umgesetzt?
Zum Vergrößern anklicken....
Indem per Firewallregel DHCP, DHCPv6 und SLAAC zwischen Gastgeräten blockiert wird. Oder Client Isolation, dann können zwischen Gastgeräten keine Daten übertragen werden.
Und die Netzwerkgeräte- und Kabeln sollten nicht potentiellen Angreifern zugänglich sein.
splatschi schrieb:
Jeder Mieter bekommt ein Username (seinen Namen) und ein Passwort.
Zum Vergrößern anklicken....
Die Anmeldedaten gibst du in das Captive Portal ein? Die WLAN Verbindung ist unverschlüsselt?
 
Zitat:"Traue keinen fremden Netzwerk, was Du nicht selbst betreibst"

Ergo egal in welchen Netzwerk Du dich befindest, nie ohne VPN reingehen.
Du weist nicht, was derjenige ausliest, geschweige denn was die zusätzliche User
für Zugangsmöglichkeiten haben.
 
eigs schrieb:
Indem per Firewallregel DHCP, DHCPv6 und SLAAC zwischen Gastgeräten blockiert wird. Oder Client Isolation, dann können zwischen Gastgeräten keine Daten übertragen werden.
Und die Netzwerkgeräte- und Kabeln sollten nicht potentiellen Angreifern zugänglich sein.

Die Anmeldedaten gibst du in das Captive Portal ein? Die WLAN Verbindung ist unverschlüsselt?
Zum Vergrößern anklicken....

Die Anmeldedaten gebe ich einmalig ein (LAN-Dose). Komischerweise musste ich mit meinem Handy bzw. Ipad keine Zugangsdaten über das WLAN eingeben.

John Sinclair schrieb:
Zitat:"Traue keinen fremden Netzwerk, was Du nicht selbst betreibst"

Ergo egal in welchen Netzwerk Du dich befindest, nie ohne VPN reingehen.
Du weist nicht, was derjenige ausliest, geschweige denn was die zusätzliche User
für Zugangsmöglichkeiten haben.
Zum Vergrößern anklicken....
Dann würde es doch Sinn machen zwischen meiner LAN-Dose und meinem PC ein GL.iNet BRUME (+VPN Client) zwischen zu schalten, oder?
 
eigs schrieb:
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann.
Zum Vergrößern anklicken....
In solchen Netzwerken sind idR per Default alle Teilnehmer voneinander isoliert. Häufig bekommt sogar jeder Nutzer für seine Geräte ein eigenes Netzwerk automatisiert zugewiesen (damit man zwischen seinen eigenen Geräten Daten austauschen kann). Das ist nichts ungewöhnliches. Daher macht das Vorhaben des TE aus Sicherheitsgründen keinen Sinn und ist übrigens auch gegen die gängigen Regeln, da man für die Anzahl der Geräte zahlt oder nur eine bestimmte Anzahl an Geräten nutzen darf. Hier geht es daher klar um eine Umgehung dieser Regeln.
Da solche Systeme überwacht werden, wird das dann auffliegen und dann wird der TE das Netz nicht mehr nutzen dürfen. Ich glaube nicht das dass im Sinne des TEs ist.

Wenn man sich „sicherer“ Fühlen möchte oder bestimmte Ü18-Seiten ansurft, sollte man eineach ein VPN nutzen und fertig.
 
splatschi schrieb:
Dann würde es doch Sinn machen zwischen meiner LAN-Dose und meinem PC ein GL.iNet BRUME (+VPN Client) zwischen zu schalten, oder?
Zum Vergrößern anklicken....
Ja.
Nizakh schrieb:
In solchen Netzwerken sind idR per Default alle Teilnehmer voneinander isoliert. Häufig bekommt sogar jeder Nutzer für seine Geräte ein eigenes Netzwerk automatisiert zugewiesen
Zum Vergrößern anklicken....
In der Regel finde ich mit einem Netzwerkscan in Gastnetzwerken andere Geräte von Gästen und der Infrastruktur vom Betreiber (z.B. Webcams, Audiosysteme). Häufig bekomme ich sogar Geräte ohne Passwortschutz zu Gesicht. In diesem Fall informiere ich den Betreiber.
Nizakh schrieb:
Daher macht das Vorhaben des TE aus Sicherheitsgründen keinen Sinn
Zum Vergrößern anklicken....
Daher macht das Vorhaben des TE aus Sicherheitsgründen Sinn.
Nizakh schrieb:
und ist übrigens auch gegen die gängigen Regeln, da man für die Anzahl der Geräte zahlt oder nur eine bestimmte Anzahl an Geräten nutzen darf.
Zum Vergrößern anklicken....
Die gängigen Regeln dort wo ich wohne ist, dass es gratis ist und man so viele Geräte wie man will verbinden kann. Man muss nur bei jedem Gerät die Bedingungen im Captive Portal akzeptieren.
Nizakh schrieb:
Hier geht es daher klar um eine Umgehung dieser Regeln.
Zum Vergrößern anklicken....
Man kann Regeln die es nicht gibt nicht umgehen. Auch ein Script dass die Nutzungsbedingungen automatisch akzeptiert wäre meiner Meinung kein Umgehen, da man sich diese beim ersten mal durchgelesen und akzeptiert hat.
Nizakh schrieb:
Da solche Systeme überwacht werden, wird das dann auffliegen und dann wird der TE das Netz nicht mehr nutzen dürfen.
Zum Vergrößern anklicken....
Oft kümmert sich um solche Systeme niemand wenn die einmal eingerichtet sind.
Nizakh schrieb:
Ich glaube nicht das dass im Sinne des TEs ist.
Zum Vergrößern anklicken....
Ich denke schon.
 
  • Gefällt mir
Reaktionen: splatschi
Du braucsht einen Travel Router wie z.B. den TP-Link TL-WR902AC
https://geizhals.de/tp-link-tl-wr902ac-a1560401.html

Ich weiß jetzt nicht sicher ob er auch per LAN Captive Portals umgehen kann ( @Raijin ?) aber per WLAN auf jeden Fall. Der Travel Router spannt dir dann ein neues privates Netz mit LAN und WLAN für deine Geräte auf.
Da ist auch überhaupt nicht verwerfliches dabei.
 
  • Gefällt mir
Reaktionen: splatschi
eigs schrieb:
In der Regel finde ich mit einem Netzwerkscan in Gastnetzwerken andere Geräte von Gästen und der Infrastruktur vom Betreiber (z.B. Webcams, Audiosysteme). Häufig bekomme ich sogar Geräte ohne Passwortschutz zu Gesicht. In diesem Fall informiere ich den Betreiber.
Zum Vergrößern anklicken....
Ich kann nur für solche Netze sprechen die ich in Studentenwohnheimen bereits gesehen habe. Und dort war das immer recht gut umgesetzt:

LAN:
Captive Portal fragt Radius Zugangsdaten ab
Auf Basis der Nutzererkennung dann Zuweisung in ein dediziertes (eigenes) VLAN.
WLAN:
Dort „nur“ Anmeldung via Captive-Portal, aber alle Teilnehmer gegeneinander isoliert. Nachteil: Kein Zugriff von den eigenen WLAN Geräten ins „eigene“ LAN VLAN.
eigs schrieb:
Oft kümmert sich um solche Systeme niemand wenn die einmal eingerichtet sind.
Zum Vergrößern anklicken....
Habe ich anders erlebt.
eigs schrieb:
Man kann Regeln die es nicht gibt nicht umgehen.
Zum Vergrößern anklicken....
Warum sollte es diese Regel nicht geben? Wir reden hier nicht von einem Gastnetzwerk irgendeines kleinen Lokals.
eigs schrieb:
Daher macht das Vorhaben des TE aus Sicherheitsgründen Sinn.
Zum Vergrößern anklicken....
Ob du dich hinter einem Router mit NAT „versteckst“ ändert nichts. Ich kann deinen Traffic trotzdem als Provider mitschneiden. Und im Falle des WLANs kommt es auf den Provider an. Isoliert dieser die Teilnehmer: Dann ist das Recht sicher. Wenn nicht, dann kann jeder andere Teilnehmer via Promiscous Mode deinen Traffic mitschneiden.
Deshalb macht es aus Sicherheitsgründen keinen Sinn.

VPN macht aus Sicherheitsgründen Sinn.
 
Zuletzt bearbeitet:
h00bi schrieb:
Du braucsht einen Travel Router wie z.B. den TP-Link TL-WR902AC
https://geizhals.de/tp-link-tl-wr902ac-a1560401.html

Ich weiß jetzt nicht sicher ob er auch per LAN Captive Portals umgehen kann ( @Raijin ?) aber per WLAN auf jeden Fall. Der Travel Router spannt dir dann ein neues privates Netz mit LAN und WLAN für deine Geräte auf.
Da ist auch überhaupt nicht verwerfliches dabei.
Zum Vergrößern anklicken....

Ja, sollte gehen, da dies schon in dem Beitrag diskutiert worden ist. Der Zweck hierbei wird eher der Zugang von mehr als 3 Geräten sein, obwohl das WLAN auch teilweise anscheinend ohne Captive Portal funktioniert und die Kommunikation zwischen den Geräten erlaubt.
https://www.computerbase.de/forum/threads/wlan-zugriff-im-wohnheim.1851865/

Nizakh schrieb:
Ob du dich hinter einem Router mit NAT „versteckst“ ändert nichts. Ich kann deinen Traffic trotzdem als Provider mitschneiden. Und im Falle des WLANs kommt es auf den Provider an. Isoliert dieser die Teilnehmer: Dann ist das Recht sicher. Wenn nicht, dann kann jeder andere Teilnehmer via Promiscous Mode deinen Traffic mitschneiden.
Deshalb macht es aus Sicherheitsgründen keinen Sinn.

VPN macht aus Sicherheitsgründen Sinn.
Zum Vergrößern anklicken....

Reicht dann z.B. eine VPN-Verbindung über Mullvad für den PC bzw. bei mobilen Geräten über eine App ODER wäre es besser die VPN-Verbindung über ein seperates Gerät (z.B. GL.iNet Brume) ausführen zu lassen?

Vielen Dank für die zahlreichen und lehrreichen Antworten.
 
@splatschi Ein VPN Client auf den jeweiligen Geräten, bei dem der gesamte Internettraffic über den VPN geroutet wird, reicht vollständig aus.

Musst halt schauen welcher VPN-Provider das für dich beste Angebot hat. :)

Beispiele:
NordVPN
CyberGhostVPN
F-Secure Freedom
usw.
 
  • Gefällt mir
Reaktionen: John Sinclair und Nizakh
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

KillerCow
WLAN Captive Portal, IP-Netz ohne Login nicht ansprechbar
Antworten
3
Aufrufe
259
norKoeri
N
B
Captive Portal ansurfen
Antworten
6
Aufrufe
630
h00bi
h00bi
K
Router /Access Point hinter Anschluss mit Captive portal?
Antworten
8
Aufrufe
3.714
Kr0nos
K
S
Aus Captive-Portal Internet wie Hotel/Hotspot/etc. ausloggen?
Antworten
6
Aufrufe
1.952
Stimlol
S
D
Access Point mit Hotspot-Funktion + Anmeldung über "Captive Portal"
Antworten
6
Aufrufe
4.528
XN04113
XN04113
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz