Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP230W, AP330, AP332CR, AP430CR, AP432)
Ein Captive Portal ist eine Website, an die Sie Clients weiterleiten, wenn diese eine Verbindung zu einer SSID in Ihrem WLAN-Netzwerk herstellen. Die angezeigte Captive Portal-Website wird als Splash-Page bezeichnet.
Mit einem Captive Portal können Sie Gast-WLAN-Clients auf reine Internet-Konnektivität beschränken. Sie können auch Regeln durchsetzen und WLAN-Clients z. B. nur dann auf das Internet zugreifen lassen, nachdem diese die Nutzungsbedingungen und Datenschutzbestimmungen gelesen und akzeptiert, oder Benutzerdaten in einem Web-Formular auf der Captive Portal-Splash-Page eingegeben haben.
Ein Gastanalysebericht ist mit einer WatchGuard USP Wi-Fi Management-Lizenz verfügbar. Der Gastanalysebericht zeigt Details über die Benutzer, die sich mit einem Gast-WLAN-Netzwerk verbinden, wenn Sie Web Form-Felder auf Ihrer von WatchGuard Cloud-gehosteten Captive Portal-Splash-Page aktiviert haben. Weitere Informationen finden Sie unter Access Point-Gastanalysebericht.
Captive Portal-Typen
Sie können die folgenden Captive Portal-Typen hinzufügen:
- In WatchGuard Cloud-gehostet — Das Captive Portal und die Splash-Pages werden in WatchGuard Cloud-gehostet. Sie können bis zu 30 verschiedene Splash-Pages erstellen, die Sie mit mehreren WLAN-SSIDs verwenden können, und Sie können die Bilder und Texte für jede Splash-Page benutzerdefiniert anpassen. Weitere Informationen finden Sie unter Splash-Pages für ein Captive Portal hinzufügen.
- Von Drittanbieter gehostet — Lassen Sie Ihre Captive Portal-Splash-Pages von einem Captive Portal-Drittanbieter hosten. Derzeit unterstützt diese Funktion die Integration mit Purple Wi-Fi, Beonic (Skyfii) und Mambo Wi-Fi. Ausführliche Informationen zur Integration mit bestimmten Drittanbietern finden Sie unter Wi-Fi-Integrationsleitfäden.
Wenn Ihre Captive Portal-Splash-Page oder Ihr Captive Portal-Drittanbieter eine RADIUS-Authentifizierung erfordert, stellen Sie sicher, dass Sie Ihre RADIUS-Server konfigurieren und eine Authentifizierungsdomäne hinzufügen, bevor Sie Ihr Captive Portal konfigurieren. Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen.
Captive Portal hinzufügen
Um ein Captive Portal einer SSID hinzuzufügen, müssen Sie die Option Captive Portal in einer Access Point Site aktivieren.
- Wählen Sie Konfigurieren > Access Point Sites.
Die Seite Access Point Sites wird geöffnet.
- Bearbeiten Sie eine vorhandene Site oder klicken Sie auf Standort hinzufügen, um eine neue Standort hinzuzufügen.
Die Seite Konfigurationsdetails wird geöffnet.
- Klicken Sie auf SSID hinzufügen, um ein WLAN-Netzwerk zur Site hinzuzufügen, das das Captive Portal nutzen wird.
Konfigurieren Sie die folgenden grundlegenden SSID-Einstellungen:
- SSID-Name — Geben Sie den SSID-Namen ein. Dies ist der Name für des WLAN-Netzwerk, der für WLAN-Clients angezeigt wird.
- SSID aussenden — Nutzen Sie die Standardeinstellungen, um den SSID-Namen an WLAN-Clients zu senden.
- SSID-Typ — Wählen Sie ein Privates oder Gast WLAN-Netzwerk. Falls Sie Gast wählen, ermöglicht dies auch die Client-Isolation in den erweiterten SSID-Einstellungen, um eine direkte Kommunikation zwischen Gast-WLAN-Clients zu verhindern.
- Sender — Wählen Sie die Access Point-Sender, die diese SSID senden. Nutzen Sie zum Beispiel die Standardeinstellung 2,4 GHz und 5 GHz, um auf beiden Sendern zu senden.
- Sicherheit — Wählen Sie den Typ der Sicherheit für diese SSID. Wenn Sie das Netzwerk schützen wollen, verwenden Sie als Sicherheit mindestens WPA2 Personal oder höher. Viele öffentliche Hotspots oder von Drittanbietern gehostete Captive Portal-Dienste nutzen den Sicherheitsmodus Offen, sodass Sie keine Passphrase bereitstellen müssen, aber dies erlaubt auch nicht autorisierten Benutzern Zugriff auf das Netzwerk. Sofern von Ihren Geräten unterstützt ist eine sichere Option OWE (Opportunistic Wireless Encryption, auch Enhanced Open genannt) ebenfalls für 802.11ax-Geräte verfügbar. OWE erlaubt es Ihnen, ein offenes Netzwerk zu erstellen, das Daten verschlüsseln kann, um Datenschutz ohne Authentifizierung zu bieten. Aber sowohl der Access Point als auch der Client müssen OWE unterstützen. Wenn Ihr Netzwerk oder Ihr von einem Drittanbieter gehosteter Captive Portal-Provider Enterprise-Authentifizierung verwendet, stellen Sie sicher, dass Sie die erforderlichen RADIUS-Server und Authentifizierungsdomänen konfigurieren, bevor Sie Ihr Captive Portal konfigurieren. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für Access Points konfigurieren.
Kehren Sie nach dem Abschluss der SSID-Konfiguration zu den Site-Konfigurationseinstellungen zurück.
- Klicken Sie auf der Access Point Site-Einstellungsseite auf Captive Portal.
Die Seite Captive Portal-Einstellungen wird geöffnet.
Das Portal nutzt einen intern reservierten IP-Adressbereich, der die NAT-Einstellungen der SSID ersetzt, wenn der WLAN-Client sich mit dem Portal verbindet. Wählen Sie einen empfohlenen IP-Adressbereich (172.16.0.0/12 oder 10.0.0.0/8), der derzeit nicht von den NAT-Einstellungen der SSID oder einem anderen Netzwerk genutzt wird. WatchGuard Cloud legt diese empfohlenen reservierten IP-Adressen anhand der NAT-Netzwerkeinstellungen der in der Site konfigurierten SSIDs fest. Sie müssen auch das Netzwerk berücksichtigen, in dem der Access Point bereitgestellt ist, sowie alle in der Gerätekonfiguration erstellten SSIDs.
Erhält Ihr Access Point die IP-Adresseinstellungen über DHCP, müssen Sie sicherstellen, dass die DHCP-Adresse nicht mit dem für die interne Nutzung des Captive Portal ausgewählten reservierten IP-Adressbereich in Konflikt steht. Wenn Sie RADIUS-Authentifizierung mit Enterprise-Sicherheit nutzen, müssen Sie sicherstellen, dass die RADIUS-Serveradresse nicht mit dem für die interne Nutzung des Captive Portal ausgewählten reservierten IP-Adressbereich in Konflikt steht.
- Klicken Sie auf Captive Portal hinzufügen.
Die Seite Captive Portal hinzufügen wird geöffnet.
- Wählen Sie aus der Dropdown-Liste SSID eine SSID um das Captive Portal zu verwenden.
WLAN-Clients, die sich mit dieser SSID verbinden, werden auf die Captive Portal-Splash-Page weitergeleitet.Sie können kein Captive Portal für eine SSID aktivieren, wenn die SSID bereits für ein Access Point VPN, für das Erzwingen für Netzwerkzugriff, für PPSK oder für Dynamische VLANs konfiguriert ist.
- Wählen Sie in der Dropdown-Liste Captive Portal-Typ In WatchGuard Cloud-gehostet oder von Drittanbieter gehostet.
- Wenn Sie In WatchGuard Cloud-gehostet ausgewählt haben, wählen Sie eine Splash-Page für die Nutzung mit dem Captive Portal aus oder erstellen Sie eine neue Splash-Page. Weitere Informationen zum Erstellen einer Splash-Page finden Sie unter Splash-Pages für ein Captive Portal hinzufügen.
- Wenn Sie von Drittanbieter gehostet ausgewählt haben, konfigurieren Sie diese Einstellungen, um die Integration mit Ihrem von einem Drittanbieter gehosteten Captive Portal-Provider vorzunehmen:
- Splash-Page-URL — Geben Sie die URL für das Captive Portal des Drittanbieters ein. Die richtige URL finden Sie in den Anweisungen Ihres Captive Portal-Drittanbieters.
- Ressourcen abrufen — Klicken Sie auf Ressourcen abrufen, um die Splash-Page-URL nach den Ressourcendomains zu durchsuchen, die für die korrekte Anzeige der Splash-Page erforderlich sind. Sie können die spezifischen Ressourcen auswählen, die Sie zu Ihren Walled Garden-Einstellungen hinzufügen möchten. Der Walled Garden enthält eine Liste von Domänen, auf die WLAN-Clients zugreifen können, bevor sie eine Verbindung über die Portal-Splash-Page herstellen.
- Gemeinsames Geheimnis — Wenn Ihr Captive Portal-Drittanbieter dies verlangt, geben Sie ein gemeinsames Geheimnis für die sichere Kommunikation zwischen dem Access Point und dem Drittanbieter ein. Dieses gemeinsame Geheimnis muss mit dem Wert in der Konfiguration des Captive Portals des Drittanbieters übereinstimmen.
- Landing Page-URL — Geben Sie die URL der Website ein, auf die der Benutzer weitergeleitet wird, nachdem er erfolgreich eine Verbindung über die Splash-Page hergestellt hat.
Der von einem Drittanbieter gehostete Captive Portal-Anbieter könnte die Landing Page-URL mit seinen eigenen Konfigurationseinstellungen außer Kraft setzen.
- Falls Sie bei Ihrem von einem Drittanbieter gehosteten Captive Portal eine RADIUS-Authentifizierung nutzen, wählen Sie im Abschnitt RADIUS-Einstellungen aus der Dropdown-Liste der Authentifizierungsdomäne eine Authentifizierungsdomäne mit den konfigurierten RADIUS-Servern aus. Zeigen Sie die Integrationsdokumentation Ihres Drittanbieters für die RADIUS-Server an, die Sie konfigurieren müssen.
Wählen Sie Keine, falls Ihr Captive Portal-Drittanbieter keine RADIUS-Authentifizierung erfordert.Der gehostete Captive Portal-Drittanbieter könnte die Einstellungen für das vorläufige Aktualisierungsintervall der RADIUS-Rechnungslegung mit seinen eigenen Konfigurationseinstellungen außer Kraft setzen.
- Konfigurieren Sie diese erweiterten Captive Portal-Einstellungen:
- Session-Timeout — Geben Sie die Zeitdauer in Sekunden ein, nach der die Captive Portal-Sitzung des WLAN-Clients abläuft und der Client sich wieder bei der Portal-Splash-Page authentifizieren muss. Sie können einen Wert zwischen 0 und 604.800 Sekunden (7 Tage) eingeben. Der Standardwert beträgt 86.400 Sekunden (24 Stunden).
Der gehostete Captive Portal-Drittanbieter könnte die Session-Timeout-Einstellungen mit seinen eigenen Konfigurationseinstellungen außer Kraft setzen.
Wenn WLAN-Clients sich von einem Access Point aus bei einem Captive Portal authentifizieren und dann zu einem anderen Access Point wandern, muss der Client sich beim neuen Access Point nicht neu beim Captive Portal authentifizieren, es sei denn, die Captive Portal-Sitzungszeit ist abgelaufen. Die Access Points müssen dieselbe Site-Konfiguration haben, damit Captive Portal-Clients ohne erneute Authentifizierung wandern können.
- Timeout Inaktivität — Geben Sie die Zeitdauer in Sekunden ein, nach der ein WLAN-Client getrennt wird und sich für eine Captive Portal-Sitzung neu über die Portal-Splash-Page authentifizieren muss. Stellt der Client vor Ablauf des angegebenen Timeout-Werts für Inaktivität wieder eine Verbindung her, muss der Client sich nicht erneut beim Portal authentifizieren. Sie können einen Wert zwischen 0 und 604.800 Sekunden (7 Tage) eingeben. Der Standardwert ist 0, was bedeutet, dass ein Client sich niemals neu authentifizieren muss, es sei denn der Access Point oder der Captive Portal-Service wird neugestartet.
Der gehostete Captive Portal-Drittanbieter könnte die Timeout Inaktivitäts-Einstellungen mit seinen eigenen Konfigurationseinstellungen außer Kraft setzen.
- Walled Garden — Ein Walled Garden enthält eine Liste von Domänen und IP-Adressen, auf die WLAN-Clients zugreifen können, bevor sie eine Verbindung über die Portal-Splash-Page herstellen. Fügen Sie alle Ressourcen hinzu, die für die korrekte Anzeige der Splash-Page erforderlich sind, z. B. Bilder, die die Seite benötigt. Vielleicht sollten Sie Ihre Firmen- und Support-Websites hinzufügen, damit Benutzer vor der Verbindung mit Ihrem Netzwerk über die Splash-Page auf Hilfe zugreifen können.
Klicken Sie auf Ziel hinzufügen, um einen Domännamen oder eine IP-Adresse hinzuzufügen.
Bei einem von einem Drittanbieter gehosteten Captive Portal können Sie auf Ressourcen abrufen klicken, um die Splash-Page-URL nach Einträgen zu durchsuchen, die Sie Ihrer Walled Garden-Liste hinzufügen können.
Sie können maximal 50 Walled Garden-Listeneinträge hinzufügen.Die Walled Garden-Liste unterstützt keine Platzhalter. Beispielsweise können Sie keine Domäne wie *.watchguard.com angeben.
Der Walled Garden beinhaltet bereits standardmäßige interne Domänen für Branding-Bilder von WatchGuard Cloud und Schriftarten von fonts.googleapis.com und fonts.gstatic.com.
- Klicken Sie auf Speichern.
SSID-Einstellungen von Access Points konfigurieren