openNDS

openNDS (Open Network Demarkation Service) ist ein leistungsstarkes Captive Portal mit geringem Platzbedarf.

Es stellt ein Grenzkontroll-Gateway zwischen einem öffentlichen lokalen Netzwerk und dem Internet bereit.

Es unterstützt alle Bereiche von kleinen eigenständigen Veranstaltungsorten bis hin zu großen Mesh-Netzwerken mit mehreren Portaleinstiegspunkten.

Sowohl die clientgesteuerte Captive Portal Detection (CPD)-Methode als auch die Gateway-gesteuerte Captive Portal Identification-Methode (CPI – RFC 8910 und RFC 8908) werden unterstützt.

In seiner Standardkonfiguration bietet openNDS eine dynamisch generierte und adaptive Splash-Page-Sequenz. Der Internetzugang wird durch Klicken auf die Schaltfläche „Weiter“ gewährt, wobei die Nutzungsbedingungen akzeptiert werden. Eine einfache Option ermöglicht Eingabeformulare für die Benutzeranmeldung.

Das Paket enthält die FAS-API, die viele flexible Anpassungsoptionen ermöglicht.

Die Erstellung anspruchsvoller Authentifizierungsanwendungen von Drittanbietern wird vollständig unterstützt.

Im Internet gehostete https-Portale können ohne Sicherheitsfehler implementiert werden, um maximales Benutzervertrauen zu schaffen.

2.1 CPD

Captive Portal Detection (CPD) ist ein clientgesteuerter Prozess, der auf allen modernen Mobilgeräten, den meisten Desktop-Betriebssystemen und den meisten Browsern verfügbar ist. Der CPD-Prozess stellt bei der Verbindung mit einem Netzwerk automatisch eine Port-80-Anfrage aus, um nach einem Captive-Status zu suchen.

Dieser vom Kunden gesteuerte Prozess, der manchmal als „Kanarienvogeltest“ bezeichnet wird, hat sich im Laufe der Jahre zu einem zuverlässigen De-facto-Standard entwickelt. openNDS erkennt diese Sondierung und stellt dem verbindenden Clientgerät eine spezielle „ Splash “-Webseitensequenz zur Verfügung.

2.2 CPI – RFC 8910 und RFC 8908

Captive Portal Identification (CPI) ist ein Gateway-gesteuerter Prozess, wie in den Standards RFC8910 (Captive-Portal Identification in DHCP and Router Advertisements) und RFC8908 (Captive Portal API) definiert.

Ein Gateway-Router informiert einen verbindenden Client darüber, dass er sich in einem Captive-Zustand befindet, indem er eine URL bereitstellt, auf die ein Client zur Authentifizierung zugreifen kann.

Ein Client kann auf diese URL zugreifen, um die gleiche Portal- Splash -Seitensequenz wie bei der herkömmlichen CPD-Methode zu erhalten.

Alternativ kann ein Client diese URL verwenden, um auf die RFC8908 Captive Portal API zuzugreifen, wobei ihm letztendlich eine Splash-Page-Sequenz zur Authentifizierung bereitgestellt wird.

Ab openNDS v9.5.0 wird die CPI-Methode in beiden Formen unterstützt und ist standardmäßig aktiviert. Es kann als Konfigurationsoption deaktiviert werden.

Hinweis: Zum Zeitpunkt des Verfassens dieses Artikels (November 2021) unterstützen nur sehr wenige Client-Geräte CPI.

Unmittelbar nach der Installation wird den verbindenden Clients eine einfache dreistufige dynamische HTML-Begrüßungsseitensequenz bereitgestellt. Client-Anmeldungen werden in einem Protokoll aufgezeichnet.

• Auf der ersten Seite wird der Benutzer aufgefordert, die Nutzungsbedingungen des Portals zu akzeptieren.
• Die zweite Seite begrüßt den Benutzer.
• Abhängig von der CPD-Implementierung des Clientgeräts wird möglicherweise eine dritte Seite angezeigt. Es bestätigt, dass der Benutzer Zugriff auf das Internet hat.

Diese Option ist der Standardeinstellung „Zum Fortfahren klicken“ sehr ähnlich und verfügt über eine anfängliche „Anmeldeseite“, die dem Benutzer ein Formular anzeigt, in das er einen Namen und eine E-Mail-Adresse eingeben muss.

Schwellenwerte für Datenvolumen und Datenrate werden ohne zusätzliche Abhängigkeiten unabhängig für Upload und Download mit konfigurierbaren Standardwerten für alle Clients oder spezifischen Werten pro Client unterstützt.

Bei Überschreiten eines Datenvolumenschwellenwerts wird der Client deauthentifiziert.

Wenn ein Ratenschwellenwert überschritten wird, wird pro Client ein dynamischer Bucket-Filter verwendet, um die Datenraten auf Paketebene zu begrenzen, indem entweder die Raten nahe am Schwellenwert begrenzt werden oder indem die Bucket-Größe auf Kosten einer erhöhten Latenz erhöht wird.

Es können auch Verkehrskontrollpakete von Drittanbietern verwendet werden, um beispielsweise gleichzeitig mit den integrierten Schwellenwerten systemweite Tarifobergrenzen bereitzustellen.

Es gibt viele Methoden zum Anpassen von openNDS:

• Einfache Änderungen am Inhalt mithilfe grundlegender HTML- und CSS-Änderungen.
• Theme-Spezifikationen ermöglichen die vollständige Kontrolle über das Erscheinungsbild mit der Option zur Konfiguration definierter Formularfelder, die dynamisches HTML erzeugen.
• Vollständige Entwicklung durch Dritte , bei der openNDS als „Engine“ hinter den anspruchsvollsten Captive-Portal-Systemen verwendet wird.

Die Portalkomponente von openNDS ist der Forward Authentication Service (FAS) .

FAS bietet Benutzervalidierung/-authentifizierung in Form einer Reihe dynamischer Webseiten.

Diese Webseiten können von openNDS selbst oder von einem Webserver eines Drittanbieters bereitgestellt werden. Der Drittanbieter-Webserver kann sich entfernt im Internet, im lokalen Netzwerk oder auf dem openNDS-Router befinden.

Die Standardoptionen „Zum Fortfahren klicken“ und „Anmeldung mit Benutzername/E-Mail-Adresse“ sind Beispiele, bei denen openNDS die Begrüßungsseitensequenz selbst bereitstellt.

Die vollständige Dokumentation finden Sie unter https://opennds.rtfd.io/

Sie können entweder „Stabil“ , „Neueste“ oder die historische Dokumentation älterer Versionen auswählen.