问题[captive-portal](server)

我已经在我们的公共 Wi-Fi 上设置了 WebAuth。我们有一个 Cisco WLC 5508，当使用 iOS、Apple、Windows 设备或某些 Android 设备时，页面加载正确，但是当我使用 Chrome 53.0.2785.124 作为 Marshmallow 6.0.1 上的默认浏览器的设备时，我得到一个指示可能的 MTM 攻击的错误页面。它显示“您的连接不是私有的”，然后是其他一些文本和 NET::ERR_CERT_COMMON_NAME_INVALID。这是错误的屏幕截图。

据我了解，这是由于浏览器尝试访问 URL 并期待特定结果，但是请求的 google.com 主页上的证书与返回的 wlc.mydomain.com 上的主机证书不匹配SSL 证书。

www.google.com/chrome/browser/privacy/whitepaper.html 的一部分内容如下：

如果 Chrome 检测到 SSL 连接超时、证书错误或其他可能由强制门户（例如酒店的 WiFi 网络）引起的网络问题，Chrome 将向 http://www.gstatic 发出无 cookie 请求。 com/generate_204 并检查响应代码。如果该请求被重定向，Chrome 将在新选项卡中打开重定向目标，假设它是一个登录页面。不记录对强制门户检测页面的请求。

它实际上是向 http://connectivitycheck.android.com/generate_204 发送请求。我看到的问题是来自 WLC 的响应，状态代码是 HTTP 1.1 200 OK。我希望看到由于页面被阻止或 300 响应指示重定向而导致的错误。根据谷歌上面的文字，当它收到重定向时，听起来浏览器将进入它的 Captive Portal 模式（并打开一个新的标签页进行身份验证）。

我认为这可能是 WLC 配置的问题，但可能是 Android 上的 Chrome 53 的问题。

如果有人有推荐的解决方案，我将不胜感激。

问候， D

我试着解释我的项目。我有一台带有 2 个接口的服务器，其中一个必须提供一个网站，除此之外别无其他。另一个接口将用于控制和管理该服务器。网络服务器的接口将附加一个访问点以连接到该服务器。

图片上网--->eth0=SERVER |FIREWALL| WebServer = eth1 --> AP --> USER1, USER2, ...

我安装了 Apache2 和 dnsmasq，它们现在为 LAN 提供 DHCP。我想要做的是将所有内容从 eth1 重定向到 eth1 172.28.1.1 端口 80。并阻止其他所有内容。这只是为了安全。

谢谢！

- - 解决方案 - -

经过大量搜索并在第一个响应的指导下，我得到了解决方案。我的问题是制作一个强制门户并将所有内容重定向到本地 ip。

解决办法，很简单。设置 dnsmasq 并设置此设置：

/etc/dnsmasq.conf

 address=/#/172.28.1.1

阻止任何类型的流量并将其重定向到本地 ip

# iptables -t nat -I PREROUTING -j DNAT -s 172.28.0.0/16 -p tcp --to-destination 172.28.1.1
# iptables -t nat -I PREROUTING -j DNAT -s 172.28.0.0/16 -p udp --to-destination 172.28.1.1

我正在尝试在我的网络上设置一些东西，以便当用户连接并尝试使用互联网时，他们会被重定向到本地托管的条款和条件以及政策页面。一旦他们单击“接受”，他们将被传递到他们的主页，否则如果他们拒绝，则窗口将关闭或向他们显示错误消息。

我花了一段时间研究这个问题，想知道是否有可能无需设置/添加到防火墙。Otheriwse 让我知道我的选择是什么，我可以传递它。

非常感谢汤姆

我实际上正在尝试开发公共无线网络（不是商业，只是为了教育目的，我正在学习计算机科学......）。但是我缺乏实现这个目标所需的知识（我通常更喜欢编程而不是网络管理[喜欢 Stack Overflow ;-)]）。

我想要做的就像许多城市/学校的公共网络一样，每个地址都被重定向到登录页面，然后才能访问互联网。

我目前的设置是这样的：我的互联网连接到有线路由器。此路由器连接到交换机。我的个人电脑连接到这个交换机。我有一个连接到路由器的 IIS 服务器。

我有一个无线接入点，但我不知道如何设置它以将传入的 IP 重定向到我的 IIS。基本上我想阻止所有互联网并将非本地请求重定向到我的本地 IIS（仅限 WiFi 用户，局域网应该有互联网）。

我想也许在我的服务器上安装一个 DNS 并将其设置为路由器中的主 DNS。或者可能将 WiFi 连接到服务器（使用第二个网络适配器）并通过防火墙/代理重定向，但我不知道这些在理论上是否可行，然后再开始学习如何设置这些选项之一......

非常感谢任何帮助！

我在一所高中工作，我想建立一个公共 Wi-Fi 网络，该网络带有一个强制门户，该门户要求进行身份验证，但也跟踪用户信息，例如传输的数据量（以发现那些做过多的下载）。

我已经有一个几乎覆盖整个学校的无线网络（6 WRT54G V5 和 V8 运行 DD-WRT Micro）。这是由学生使用的学校拥有的笔记本电脑访问的。我的 Wi-Fi 网络受 WPA2 保护，密钥仅用于学校笔记本电脑。由于带宽滥用等明显原因，我从未将无线密钥给学生，但老师有。没有学生能成功敲出钥匙，所以这是完美的……

我想做的是将公共AP放置在学校的特定区域，以允许拥有自己笔记本电脑的学生使用用户名和密码控制互联网访问。

我研究了许多软件解决方案。一个让我的注意力保持了一段时间。它是ZoneCD，但后来我看到它自 2009 年 3 月以来不再免费。这正是我正在寻找的，他们使用WiFiDog作为 Auth 核心。那是完美的解决方案。这并不贵（一年 175 美元，功能齐全），但我想如果可以免费完成，我的老板会更高兴。

仅为此运行专用服务器对我来说不是问题。

我也遇到了 RADIUS，它很好，但没有我想要的会计功能。

所以总而言之，我想建立一个学生可以自己注册一个帐户，然后被迫使用它来访问互联网的东西。由于 WRT54G V1 到 V4（能够运行 DDWRT 标准并允许安装 WiFiDog 网关）现在非常罕见，我可能购买的用于构建这个公共网络的接入点可以是任何东西，但这很不幸。所以我真的需要一个能够实现我想要的服务器解决方案。