Internet mit Captive Portal umgehen bzw. sicherer machen

splatschi

Cadet 2nd Year
Dabei seit
Okt. 2013
Beiträge
27
Hallo,

ich bin vor kurzem in ein Apartment gezogen, dass Internet (100 Mbit/s) kostenlos zur Verfügung stellt, aber man muss mich über ein Captive Portal (von Zyxel) anmelden. Das Internet wird einmal per LAN-Dose im Zimmer und einmal per WLAN (ich denke durch APs von Zyxel) bereit gestellt.
Ich würde das gerne sicherer gestalten, da es sich dabei um eine Art Wohnheim handelt. Ich bin leider kein Experte in diesem Bereich.
Momentaner Zustand:
Internet aus LAN-Dose (Captive Portal) -> Ethernet-Kabel -> PC
Internet aus WLAN /APs -> restliche Geräte

Gewünschter Zustand:
Internet aus LAN-Dose (Captive Portal) -> Ethernet-Kabel -> GL.iNet GL-AR300M-Ext -> Ethernet-Kabel -> PC
-> WLAN (GL.iNet in WPA2) -> restliche Geräte

Soweit ich mich eingelesen habe, bräuchte ich ein GL.iNet GL-AR300M-Ext, um das Captive Portal zu "umgehen" und dann an den PC weiterzuleiten. Brauche ich dann noch einen AP bzw. Router, da das GL.iNet GL-AR300M-Ext schon ein WLAN (WPA2?) für die restlichen Geräte erzeugt, oder?

Vielen Dank für jegliche Hilfe. Tut mir Leid, falls ich die Begriffe falsch benutzt habe. :)
 

Nizakh

Captain
Dabei seit
Juni 2010
Beiträge
3.816
Hört sich für mich nicht nach einem Sicherheitsaspekt* an, sondern nach dem umgehen von gewissen Regeln (Bsp. Endgeräte-Anzahl).

*rein aus Sicherheitsgründen macht das Vorhaben nämlich nicht wirklich Sinn.
 

BFF

Admiral
Dabei seit
Okt. 2017
Beiträge
9.878
Frag doch einfach den Betreiber.

Wenn ich als Betreiber mitbekommen wuerde was Du da veranstalten willst, wuerdest Du nicht mehr lange das Netz benutzen duerfen. 😎

BFF
 

HiveTyrant

Cadet 3rd Year
Dabei seit
Nov. 2018
Beiträge
57
Wenn das System auch nur ansatzweise wie ein FritzBox Mesh Netzwerk funktioniert, per Gastzugang, wirst du um das Portal und die damit verbundenen Filter auch mit einem eigenen Endgerät nicht herumkommen.

Wenn es um das umgehen von Filtern geht, schau doch einmal nach einem VPN, das 'Capitve Portal' sieht dann nur die Verbindung zum VPN-Anbieter, und das wars dann. Nichts, was da drüber läuft.

Die Gastzugang-Funktionen filtern z.B. sehr oft Ü18-Videoportale heraus, mit einem VPN kann man diese wieder nutzen.
 

splatschi

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
27
Hmm okay. Der Betreiber bzw. Vermieter hat leider auch keine Ahnung, da er es nur in Auftrag gegeben hat.
Ich brauche nicht mehr Endgeräte, da durch das WLAN "unbegrenzt" viele Geräte angemeldet werden.

Ist das trotzdem jeder Zugang von jedem Zimmer (Mieter) sicher? Für mich hört sicher das Netzwerk eher an wie ein Hotel Netzwerk, so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?

Ich dachte mein Vorhaben entspricht, das eines Reise-Routers wie z.B.
  • GL.iNet GL-AR750S-Ext
  • TP-Link TL-WR902AC AC750

Vielen Dank schon mal für die Antworten. :)
 

teufelernie

Lt. Commander
Dabei seit
Sep. 2004
Beiträge
1.803
so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?
Wie immer gilt: Bei Netzen die nicht unter deiner Kontrolle stehen: erst rechte ne Firewall, etc. nutzen, Dateifreigaben im LAN verbieten, etc.
Wenn du mit mehreren Geräten arbeitest und du halbwegs statische IPs bekommst, solltest du in der Firewall, sofern du z.B: nen fileshare nutzen willst nur spezielle Quell-IPs für den Zugang erlauben, das bringt schonmal ganz viel....
 

eigs

Commander
Dabei seit
Sep. 2005
Beiträge
2.472
*rein aus Sicherheitsgründen macht das Vorhaben nämlich nicht wirklich Sinn.
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann. Eventuell benötigt man noch ein VPN.
Wenn das System auch nur ansatzweise wie ein FritzBox Mesh Netzwerk funktioniert, per Gastzugang, wirst du um das Portal und die damit verbundenen Filter auch mit einem eigenen Endgerät nicht herumkommen.
Er will um das Captive Portal nicht herum kommen, sondern es auf seinen PC durchreichen. Komfortabler wäre ein Script das sich automatisch am Captive Portal anmeldet.
Ist das trotzdem jeder Zugang von jedem Zimmer (Mieter) sicher?
Kommt darauf an ob das WLAN verschlüsselt ist (jeder Bewohner einen anderen Schlüssel bzw. mit Zertifikat) und ob Client Isolation aktiviert ist.
Für mich hört sicher das Netzwerk eher an wie ein Hotel Netzwerk, so dass quasi jeder Mieter auf Daten von anderen Mieter zugreifen könnte?
Könnte sein wenn das Netzwerk so eingerichtet ist.
 

John Sinclair

Lt. Commander
Dabei seit
Nov. 2010
Beiträge
1.768
Ein Hotel Netzwerk darf laut DSVGO nicht so erstellt werden, das andere User auf die Daten von anderen User zugreifen können. Selbst das Hotel selber darf nicht auf die Daten der User zugreifen. Und genau das gilt auch
für Netzwerke in Wohngemeinschaften. In der Fritzbox gibt es z.b. dafür das Gast Netzwerk, wo kein User auf
die Daten von anderen zugreifen kann, sofern das da auch aktiviert ist.
 

splatschi

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
27
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann. Eventuell benötigt man noch ein VPN.
Wie wird sowas technisch umgesetzt?

Er will um das Captive Portal nicht herum kommen, sondern es auf seinen PC durchreichen. Komfortabler wäre ein Script das sich automatisch am Captive Portal anmeldet.
Ja, genau. :)

Kommt darauf an ob das WLAN verschlüsselt ist (jeder Bewohner einen anderen Schlüssel bzw. mit Zertifikat) und ob Client Isolation aktiviert ist.
Jeder Mieter bekommt ein Username (seinen Namen) und ein Passwort.
 

eigs

Commander
Dabei seit
Sep. 2005
Beiträge
2.472
Indem per Firewallregel DHCP, DHCPv6 und SLAAC zwischen Gastgeräten blockiert wird. Oder Client Isolation, dann können zwischen Gastgeräten keine Daten übertragen werden.
Und die Netzwerkgeräte- und Kabeln sollten nicht potentiellen Angreifern zugänglich sein.
Jeder Mieter bekommt ein Username (seinen Namen) und ein Passwort.
Die Anmeldedaten gibst du in das Captive Portal ein? Die WLAN Verbindung ist unverschlüsselt?
 

John Sinclair

Lt. Commander
Dabei seit
Nov. 2010
Beiträge
1.768
Zitat:"Traue keinen fremden Netzwerk, was Du nicht selbst betreibst"

Ergo egal in welchen Netzwerk Du dich befindest, nie ohne VPN reingehen.
Du weist nicht, was derjenige ausliest, geschweige denn was die zusätzliche User
für Zugangsmöglichkeiten haben.
 

splatschi

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
27
Indem per Firewallregel DHCP, DHCPv6 und SLAAC zwischen Gastgeräten blockiert wird. Oder Client Isolation, dann können zwischen Gastgeräten keine Daten übertragen werden.
Und die Netzwerkgeräte- und Kabeln sollten nicht potentiellen Angreifern zugänglich sein.

Die Anmeldedaten gibst du in das Captive Portal ein? Die WLAN Verbindung ist unverschlüsselt?
Die Anmeldedaten gebe ich einmalig ein (LAN-Dose). Komischerweise musste ich mit meinem Handy bzw. Ipad keine Zugangsdaten über das WLAN eingeben.

Zitat:"Traue keinen fremden Netzwerk, was Du nicht selbst betreibst"

Ergo egal in welchen Netzwerk Du dich befindest, nie ohne VPN reingehen.
Du weist nicht, was derjenige ausliest, geschweige denn was die zusätzliche User
für Zugangsmöglichkeiten haben.
Dann würde es doch Sinn machen zwischen meiner LAN-Dose und meinem PC ein GL.iNet BRUME (+VPN Client) zwischen zu schalten, oder?
 

Nizakh

Captain
Dabei seit
Juni 2010
Beiträge
3.816
Ich finde schon, dass ein getrenntes Netzwerk Sinn macht. Die Frage ist ob geeignete technische Maßnahmen getroffen wurden damit die Verbindung über den LAN Port nicht von anderen Teilnehmern manipuliert werden kann.
In solchen Netzwerken sind idR per Default alle Teilnehmer voneinander isoliert. Häufig bekommt sogar jeder Nutzer für seine Geräte ein eigenes Netzwerk automatisiert zugewiesen (damit man zwischen seinen eigenen Geräten Daten austauschen kann). Das ist nichts ungewöhnliches. Daher macht das Vorhaben des TE aus Sicherheitsgründen keinen Sinn und ist übrigens auch gegen die gängigen Regeln, da man für die Anzahl der Geräte zahlt oder nur eine bestimmte Anzahl an Geräten nutzen darf. Hier geht es daher klar um eine Umgehung dieser Regeln.
Da solche Systeme überwacht werden, wird das dann auffliegen und dann wird der TE das Netz nicht mehr nutzen dürfen. Ich glaube nicht das dass im Sinne des TEs ist.

Wenn man sich „sicherer“ Fühlen möchte oder bestimmte Ü18-Seiten ansurft, sollte man eineach ein VPN nutzen und fertig.
 

eigs

Commander
Dabei seit
Sep. 2005
Beiträge
2.472
Dann würde es doch Sinn machen zwischen meiner LAN-Dose und meinem PC ein GL.iNet BRUME (+VPN Client) zwischen zu schalten, oder?
Ja.
In solchen Netzwerken sind idR per Default alle Teilnehmer voneinander isoliert. Häufig bekommt sogar jeder Nutzer für seine Geräte ein eigenes Netzwerk automatisiert zugewiesen
In der Regel finde ich mit einem Netzwerkscan in Gastnetzwerken andere Geräte von Gästen und der Infrastruktur vom Betreiber (z.B. Webcams, Audiosysteme). Häufig bekomme ich sogar Geräte ohne Passwortschutz zu Gesicht. In diesem Fall informiere ich den Betreiber.
Daher macht das Vorhaben des TE aus Sicherheitsgründen keinen Sinn
Daher macht das Vorhaben des TE aus Sicherheitsgründen Sinn.
und ist übrigens auch gegen die gängigen Regeln, da man für die Anzahl der Geräte zahlt oder nur eine bestimmte Anzahl an Geräten nutzen darf.
Die gängigen Regeln dort wo ich wohne ist, dass es gratis ist und man so viele Geräte wie man will verbinden kann. Man muss nur bei jedem Gerät die Bedingungen im Captive Portal akzeptieren.
Hier geht es daher klar um eine Umgehung dieser Regeln.
Man kann Regeln die es nicht gibt nicht umgehen. Auch ein Script dass die Nutzungsbedingungen automatisch akzeptiert wäre meiner Meinung kein Umgehen, da man sich diese beim ersten mal durchgelesen und akzeptiert hat.
Da solche Systeme überwacht werden, wird das dann auffliegen und dann wird der TE das Netz nicht mehr nutzen dürfen.
Oft kümmert sich um solche Systeme niemand wenn die einmal eingerichtet sind.
Ich glaube nicht das dass im Sinne des TEs ist.
Ich denke schon.
 

h00bi

Fleet Admiral
Dabei seit
Aug. 2006
Beiträge
13.639
Du braucsht einen Travel Router wie z.B. den TP-Link TL-WR902AC
https://geizhals.de/tp-link-tl-wr902ac-a1560401.html

Ich weiß jetzt nicht sicher ob er auch per LAN Captive Portals umgehen kann ( @Raijin ?) aber per WLAN auf jeden Fall. Der Travel Router spannt dir dann ein neues privates Netz mit LAN und WLAN für deine Geräte auf.
Da ist auch überhaupt nicht verwerfliches dabei.
 

Nizakh

Captain
Dabei seit
Juni 2010
Beiträge
3.816
In der Regel finde ich mit einem Netzwerkscan in Gastnetzwerken andere Geräte von Gästen und der Infrastruktur vom Betreiber (z.B. Webcams, Audiosysteme). Häufig bekomme ich sogar Geräte ohne Passwortschutz zu Gesicht. In diesem Fall informiere ich den Betreiber.
Ich kann nur für solche Netze sprechen die ich in Studentenwohnheimen bereits gesehen habe. Und dort war das immer recht gut umgesetzt:

LAN:
Captive Portal fragt Radius Zugangsdaten ab
Auf Basis der Nutzererkennung dann Zuweisung in ein dediziertes (eigenes) VLAN.
WLAN:
Dort „nur“ Anmeldung via Captive-Portal, aber alle Teilnehmer gegeneinander isoliert. Nachteil: Kein Zugriff von den eigenen WLAN Geräten ins „eigene“ LAN VLAN.
Oft kümmert sich um solche Systeme niemand wenn die einmal eingerichtet sind.
Habe ich anders erlebt.
Man kann Regeln die es nicht gibt nicht umgehen.
Warum sollte es diese Regel nicht geben? Wir reden hier nicht von einem Gastnetzwerk irgendeines kleinen Lokals.
Daher macht das Vorhaben des TE aus Sicherheitsgründen Sinn.
Ob du dich hinter einem Router mit NAT „versteckst“ ändert nichts. Ich kann deinen Traffic trotzdem als Provider mitschneiden. Und im Falle des WLANs kommt es auf den Provider an. Isoliert dieser die Teilnehmer: Dann ist das Recht sicher. Wenn nicht, dann kann jeder andere Teilnehmer via Promiscous Mode deinen Traffic mitschneiden.
Deshalb macht es aus Sicherheitsgründen keinen Sinn.

VPN macht aus Sicherheitsgründen Sinn.
 
Zuletzt bearbeitet:

splatschi

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
27
Du braucsht einen Travel Router wie z.B. den TP-Link TL-WR902AC
https://geizhals.de/tp-link-tl-wr902ac-a1560401.html

Ich weiß jetzt nicht sicher ob er auch per LAN Captive Portals umgehen kann ( @Raijin ?) aber per WLAN auf jeden Fall. Der Travel Router spannt dir dann ein neues privates Netz mit LAN und WLAN für deine Geräte auf.
Da ist auch überhaupt nicht verwerfliches dabei.
Ja, sollte gehen, da dies schon in dem Beitrag diskutiert worden ist. Der Zweck hierbei wird eher der Zugang von mehr als 3 Geräten sein, obwohl das WLAN auch teilweise anscheinend ohne Captive Portal funktioniert und die Kommunikation zwischen den Geräten erlaubt.
https://www.computerbase.de/forum/threads/wlan-zugriff-im-wohnheim.1851865/

Ob du dich hinter einem Router mit NAT „versteckst“ ändert nichts. Ich kann deinen Traffic trotzdem als Provider mitschneiden. Und im Falle des WLANs kommt es auf den Provider an. Isoliert dieser die Teilnehmer: Dann ist das Recht sicher. Wenn nicht, dann kann jeder andere Teilnehmer via Promiscous Mode deinen Traffic mitschneiden.
Deshalb macht es aus Sicherheitsgründen keinen Sinn.

VPN macht aus Sicherheitsgründen Sinn.
Reicht dann z.B. eine VPN-Verbindung über Mullvad für den PC bzw. bei mobilen Geräten über eine App ODER wäre es besser die VPN-Verbindung über ein seperates Gerät (z.B. GL.iNet Brume) ausführen zu lassen?

Vielen Dank für die zahlreichen und lehrreichen Antworten.
 

Nizakh

Captain
Dabei seit
Juni 2010
Beiträge
3.816
@splatschi Ein VPN Client auf den jeweiligen Geräten, bei dem der gesamte Internettraffic über den VPN geroutet wird, reicht vollständig aus.

Musst halt schauen welcher VPN-Provider das für dich beste Angebot hat. :)

Beispiele:
NordVPN
CyberGhostVPN
F-Secure Freedom
usw.
 

splatschi

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
27
@splatschi Ein VPN Client auf den jeweiligen Geräten, bei dem der gesamte Internettraffic über den VPN geroutet wird, reicht vollständig aus.

Musst halt schauen welcher VPN-Provider das für dich beste Angebot hat. :)

Beispiele:
NordVPN
CyberGhostVPN
F-Secure Freedom
usw.
Super danke, @Nizakh! Ich schaue mir gerade schon diverse Videos und Foren an. :)
VPN Comparison

Ich denke das Thema kann geschlossen werden. Vielen Dank nochmal!
 
Top