This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot with local user authentication

Hello,

we are planning a wifi hotspot where users need to authenticate with appropriate credentials. The users should be created locally on the sophos SG135 Firewall. Currently we are Using Version 9.309003 and the hotspot works fine with voucher and any other authentication option. 

No i tried to switch to backend authentication, and added a group "internet-users" to the hotspot users box where all local users are included. when i enter the credentials on the login page i always get an error  "incorrect Login Data"

2015:03:19-15:07:31 SW***X hshttpd[6395]: portal="REF_HotPorSchlerwohn" user="peter.riederer" mac="XX:XX:XX:XX:XX" comment="" action="login failed" reason="incorrect login data"
2015:03:19-15:09:32 SW***X hshttpd[8490]: portal="REF_HotPorSchlerwohn" user="peter.riederer" mac="XX:XX:XX:XX:XX" comment="" action="login failed" reason="incorrect login data"


the authentication log:

2015:03:19-15:07:31 SW***X aua[3558]: id="3006" severity="info" sys="System" sub="auth" name="Child 7579 is running too long. Terminating child"
2015:03:19-15:07:31 SW***X aua[8312]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" host="" user="peter.riederer" caller="hotspot" reason="DENIED"
2015:03:19-15:09:31 SW***X aua[3558]: id="3006" severity="info" sys="System" sub="auth" name="Child 8312 is running too long. Terminating child"
2015:03:19-15:09:31 SW***X aua[8506]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" host="" user="peter.riederer" caller="hotspot" reason="DENIED"


also tried to enter the users manually in the hotspot user box, but the problem is still the same.

In a sophos KB-Article i read, the users must be Remote Authentication Users, but we dont have any Remote Mechanism like AD available there, hence this is not really an option.

There would be an other option, doing an authentication via the web-proxy which is working, but the login page is not mobile optimized, and it's a popup window where some mobiles have problems with, and i didnt found any option to disable the HTTPS-Login Page, hence on Chrome Browers for mobile e.g. the Page is always blocked on the first attempt.

But we really need a user based authentication for user specified web traffic reports, so any Tipps & Tricks would be appreciated.

Thanks a lot in advance.

Peter


This thread was automatically locked due to age.
  • Peter:

    I to am waiting for something like this. 

    In the meantime I have set up TekRADIUS on a spare machine to authenticate wireless users. However, they get only a pass and no info is sent to the SG for logging.

    I do think this is a missing feature that is causing Sophos to lose market share.

      Tom
  • I can confirm this and furthermore I think there is a bug in recent Firmware 9.309003  due Radius users cannot Login to the Userportal although Radius says "Access OK" - the logfile says the same message you've got "DENIED"
  • Thats really a pity and to me almost a show-stopper now. i know Lancom Hotspot solutions can do this, because we already have such a solution in another branch, but of course i wanted to go with sophos due to a full replacement to sophos products.

    maybe its an option to assign a static ip for each user and creating a host object with the name of the user. also i am going to ask our sophos partner, maybe they have another idea.

    thanks anyway guys
  • At first, you said, "i tried to switch to backend authentication."  How did you do that if you "dont have any Remote Mechanism like AD available there"?

    assign a static ip for each user and creating a host object with the name of the user

    Great idea, Peter - in fact, it's "the" solution if you don't have some form of SSO.  It also avoids the hassle of a Hotspot.  Even with a Hotspot, you would not be able to tie traffic to a user in Web Reporting.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello Bob,

    the option "Backend authentication" is available even if you didnt have any authentication services configured, hence i just tried without thinking about.

    Assigning a static IP to each user, is a nice workaround but its also not very comfortable because i have to do it for every single user and i need the mac-address of each user which is getting quite complicated [:(] at the moment i dont know how i would be able to automate this.

    i am really wondering how people who are using a voucher based configuration e.g. are able to tie down the reports to a special user, if there happens some illegal action? we want to setup several hotspot solutions for our hostels, hence i have to know which user might have dismissed the rules.

    Cheers Peter
  • Peter, if you have the users get DHCP from the UTM, you can easily make static assignments on the 'IPv4 Leases' tab.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob, yes i know that of course, but if there are more users in the lease table i need to know the MAC-Adress as well, otherwises i am not able to create a user-based host object.

    Nevertheless i tried it yesterday and it works like a charm. I am also glad there is an Option in the DHCP Settings allowing only users with a static host entry, hence i am able to lockout unknown users which is quite cool. With that solution the users neither need to sign on everytime. This is really more comfortable because we have some disabled people here too.

    The initial Setup per User is a little bit more effort, but i think i am just writing a small manual how to find out the MAC-Adress of several devices and then everything will be fine.

    Cheers Peter
  • Peter:

    That seems like a lot of initial work and maintenance manually entering each device?

    I recall asking about mac based filtering during Astaro training and the answero was "it is too easy to spoof mac addresses so we do not consider any mac based option to be secure"

    Was not sure why ip based would be more secure?

       Tom
  • Hello Tom,

    sure you are right, it is not more secure but the reason is a little bit different. We want to try an ip and mac-based combined filtering. We have permanent residents in our hostels, and we need to know which sites each person is looking at. Hence we will create host-objects with mac-adress and a static ip assignment and set the DHCP Server to "clients with static mappings only" Its a little bit more initial effort, but the clients dont need to authenticate anymore and i still can track down every users. Due to some disabled people in the hostels, its a little advantage for them not having to log in every time. Currently i dont see any other possibility doing this.

    It is just a small network for internet usage only, we dont want to set up any authentication services like AD, or Radius. We wanna keep it as simple as possible. And there is also Wi-Fi with WPA2 Protection. i think there are definetly more interessting networks to hack, if someone is really into that [:)]

    But thanks anyway for your thoughts.

    Peter