Portal Cautivo + Freeradius externo
-
Tengo un PfSense en una maquina real y otras virtuales para hacer pruebas.
Tienen diferentes características. He logrado que funcionen todas, pero me gustaría mejorar algunas funciones.
La primera y más importante es:
He configurado un Debian con FreeRadius + Mysql y DaloRadius como gestor web de los usuarios. Ya lo he unido al portal cautivo y funciona. Pero aquí me faltan un par de cosas. La primera es que no pueda desconectar los usuario desde DaloRadius ni desde la consola del servidor Debian. Los usuarios se autentifican y en DaloRadius los veo conectados pero no puedo desconectarlos tengo que entrar en PfSense y desconectarlos, y eso no es lo que quiero. Creo que es un problema de puertos. El DaloRadius envía un paquete tipo “Packet of Disconnect” al puerto 3799 o 1700, puedes seleccionar uno de los dos, por defecto el 3799.
En el portal cautivo tengo configurado como puerto radius el 1812 y el 1813 como “Accounting” como viene por defecto. En “Accounting updates” tengo seleccionado “Interim”. Me podéis ayudar.
Otra duda que tengo es sobre la concurrencia de usuarios. Este portal cautivo es para un establecimiento público, un camping. Me gustaría dar usuario solo a los titulares de las parcelas y con concurrencia se conecten las otras personas dadas de alta en la parcela. Es decir si me en una parcela hay 4 personas, que las 4 se conecten con el mismo usuario, el titular, y si hay 3, pues 3. Pero que la suma total de velocidad, ya sean 5, 4, 3, o los que sean en la parcela, sea siempre la misma. Como se puede hacer, todo desde el FreeRadius o hacer un mix, el número de usuarios en FreeRadius y la velocidad desde el PfSense. Esta es mi duda ya que tengo claro que el numero lo he gestionar a través del FreeRadius pero la velocidad, ya que será siempre igual para todos, no ser si ponerlo en PfSense o en FreeRadius. Pero hay una advertencia bien clara en este apartado así que me parece que tendré que hacerlo todo desde FreeRadius. Es correcto.
El otro problema que tengo, pero no tan importante ya que no pasa casi nunca es:
Tengo un MultiWan con dos ADSL. Funciona bien, el único inconveniente, es que paso por los router de mi operador ADSL. Si falla uno PfSense no se da cuenta e intenta acceder a los dos. Entonces internet va muy mal o directamente no va. Tengo desconectar el router caído para que funcione otra vez. Me gustaría solucionar este problema. Ya sea conectando el PfSense directamente a la línea telefónica o configurando el router y el PfSense para que funcione bien. No ser como hacerlo, me podéis ayudar.Tengo más cosas ya que PfSense no te lo acabas nunca, siempre puedes aprender algo nuevo y hacer las cosas mejor, pero esto es lo más importante.
Gracias por vuestra ayuda.
-
Buen día
No se de portal cautivo, pero lo que si sé es que con respecto al ADSL caído, lo que debes hacer es en system–> routing, selecciona los gateway ADSL, y dentro encontrarás un campo que se llama Monitor IP, esto hace que a través de ese gateway se haga un ping constante hacia la dirección IP que digites ahí, con eso cuando el ping falla por un umbral, te detectará el pfsense automáticamente que se cayó el canal y actuará según la política que hayas configurado ahí en cuanto a failover.
-
Muy interesante con lo que has hecho, pero la verdad es que nunca he usado un freeradius externo, y tendrías que mostrarme como lo has hecho, o al foro para que todos aprendamos.
Lo que si te puedo ayudar es con lo de la caida de los ADSL, el problema, es que tu pfSense siempre ve el router, y por eso quiere salir por los dos, debes poner una ip externa como monitor, habitualmente la puerta de enlace de tu proveedor, pero si tienes el mismo problema que yo, son dos ADSL del mismo proveedor, lo que yo hice fue hacer unos traceroute para ver los siguientes puntos de salida de mi proveedor, y puse un ping a uno de sus servidores, así un ping esta a la puerta de enlace, y el otro a un servidor del mismo proveedor adsl, aunque puede funcionar como monitor cualquier ip externa que responda al ping, ya sea google, yahoo, etc.
-
excelente dato, lo voy a implementar ;)
-
Gracias por la solución.
Hare unas pruebas y os cuento, pero supongo que todo irá bien.
Pero, y es solo para rizar el rizo, ¿se puede conectar el PfSense directo a la línea telefónica, eliminando así los routers del operador?
Es una duda que tengo.
Perdóname, pero soy nuevo y no ser como funciona el foro, iré cogiendo práctica.
Respecto a mi montaje lo quiero hacer así, con FreeRadius externo, también para sacarle carga al PfSense. Pero sobre todo porque al ser un establecimiento publico los usuarios wifi los gestionan las recepcionistas y no quiero que me toquen el PfSense.
Básicamente lo que he hecho es separar el problema.
Por una parte probé el FreeRadius2 de PfSense, para habituarme. Siguiendo documentación de este foro y otras búsquedas por internet. Al ser todo del mismo sistema es relativamente fácil. No tuve ninguna dificultad. Hay mucha información muy bien detalla. No es que no quiera poner como lo he hecho, es que simplemente busque en este foro y encontré la solución, la seguí y todo funciono bien. Yo os lo explicaría peor, seguro.
Una vez vi que funcionaba el portal cautivo con el FreeRadius de PfSense, monte un servidor, yo lo he hecho con Ubuntu y con Debian, con LAMP (Linux, Apache, MySql, PhP), hasta aquí bien. Después instale FreeRadius, hasta aquí hay mucha información. Después busque un administrador web para FreeRadius y encontré DaloRadius. Y aquí es donde empiezan los problemas. Os pongo la página que seguí y os digo donde tuve problemas.
http://blog.e2h.net/2011/07/01/servidor-radius-con-gestion-web-freeradius-daloradius/
1 Lo que sí que os puedo decir es que me funciona mejor con Debian. Lo probé primero con Ubuntu, porque estoy más habituado, y por ahora tengo todos los Server con Ubuntu Server. Pero me quiero pasar a Debian, siempre me han dicho que es mejor. Y lo probé con Debian y he de decir que estoy muy satisfecho. Me costó menos, aunque lo conseguí con ambos con Debian me fue más fácil. Y con Ubuntu el servicio de FreeRadius no me arranca solo, no ser por qué ocurre.
2 En /etc/freeradius/sites-enabled/default te pone que des comentes SQL de authorize y accoutting, yo he des comentado todo menos la parte de Post-Auth-Type, hasta los sql_log. En otras páginas lo des comentan todo menos los sql_log. Si mal no lo entendí cuando des comentas le dices a Freeradius que guarde esa información en el MySql. Yo tengo una VM únicamente para esta función así que no me importa cargar un poco más la BBDD y guardar log.
3 Como descargar DaloRadius
wget http://sourceforge.net/projects/daloradius/files/daloradius/daloradius0.9-9/daloradius-0.9-9.tar.gz
4 Yo he movido la carpeta DaloRadius a /var/www/html/ no a /var/www/. Creo que lo tengo que hacer asi porque no doy de alta la carpeta en el servidor web. Pero esto son problemas menores.
5 Importante. El dueño de la carpeta y los permisos. Fijaros que se cambien bien, porque o sino no funciona. Hay algun archivo mas tipo .log pero no son un problema. Cuando entras en DaloRadius y quieres ver los registros si no puedes acceder te lo dice y tambien el patch del archivo, Vas cambias permisos y se acabo el problema. Asi de facil, lo impportante en entrar el DaloRadius.
6 Poner bien las variables del archivo daloradius.conf.php.
db_user=”radius”
db_pass=”radpass”
db_nameBBDD = “radius”
7 El .sql que teneis que cargar es este, fr2-mysql-daloradius-and-freeradius.sql, en esta pagina esta bien pero en otras no.
Esto es todo. La verdad es que cuando lo has hecho cinco o seis veces parece hasta fácil :)
Una vez entras en DaloRadius configuras el NAS, como si fuera el PfSense, solo tienes que tener en cuenta que en el foro de PfSense + FreeRadius el PfSense utilizan la IP 127.0.0.1 porque es local y ahora en el portal cautico de PfSense tienes que poner la IP del Servidor FreeRadius y en el Nas del FreeRadius la de PfSense. Perdonarme, aqui si hay una cosa a tener en cuenta pero es donde yo creo que fallo. El la configuracion del NAS a traves del DaloRadius te pide:
NAS IP = la IP de PfSense. Si teneis varias LANs no hace falta que sea la del Portal Cautivo sino en la que este conectado. Me explico, yo tengo una red exclusida para el PortalCautivo sin nada mas, LAN_HOSTOP 172.20.0.1, y tengo otra para los jefes, LAN_PRIVADA 192.168.5.1 en el PfSense, los servidores los tengo en la privada. El servidor Radius esta en la privada gestionando los clientes de la HotSpot. Yo com IP del NAS pongo la IP del PfSense pero de la privada 192.168.5.1. Que de aqui surgue otro proyecto. Hacer una "Rule" para aprovechar el servidor web y dar informacion abierta a todos los que se conecten a mi red. Es una idea. DaloRadius tiene DaloRadius-Users, cuando os funcione poner http://IP-Freeradius/daloradius/daloraius-user o users ahora no me acuerdo bien si es con o sin "s". Esto es una pagina para que los mismos usuarios se gestiones su conexion. Entonces si tienes el servidor Radius en la LAN_PRIVADA has de hacer una "Rule" para dejar paso a los clientes que estan por la RED_HOTSPOT hacia la pagina http://IP-Freeradius/daloradius/daloraius-user o users. Es otra utilidad que te da DaloRadius.
NAS Secret = la que pones en el portal cautivo de PfSense.
Tipo de NAS = cisco, en PfSense tambien has de poner cisco en RADIUS Options/Type
Como nombre corto = al que querais, yo he puesto PfSense.
Puertos del NAS = Aqui es donde creo que fallo, Si no pones nada funciona pero hay el problema que no puedes desconectar a los usuarios desde DaloRadius. Yo lo he probado con:1812 i con 1812,1813 i con 1813 y funciona siempre, no hace nada. Hasta que no tenga el manual no se que hacer.
Y creo que eso es todo. Ahora mismo estoy traduciendo el manual del usuario de DaloRadius. Lo he encontrado por internet, son 253 páginas en ingles y no lo puedo descargar. Me lo estoy traduciendo.
Esto es todo por ahora. Si tenéis alguna duda y puedo ayudarlos no dudéis que lo hare.
Por si os interesa el PfSense lo tengo montado en un viejo PC, dual core con 2 GB de RAM. Le compre un SSD pequeño, de 26 Gb para que arranque rápido, y una caja rack de 4 unidades, precio=100 Euros. Y tengo un firewall buenísimo, que creo que nunca acabare de dominarlo del todo, si soy capaz de sacarle el 20% o 30% de sus capacidades estaré contento. -
Muy interesante, tendré que armarme un pfsense para hacer algunas pruebas, sobre lo de las líneas telefónicas, en mi caso puedo poner el router en modo puente, y usar la clave pppoe para que el pfsense gestione todo sin que lo haga el router de mi proveedor ya que pfsense es un router con mayor potencia lo dejo hacer todo, no se si en tu caso podrías hacerlo, si tienes adsl, podrías hacer lo que yo, le dije a mi proveedor que adquirir un linksys para cambiar los de ellos, y que necesitaba el usuario pppoe para poder hacer la conexión, y me dieron mi usuario y los parámetros a utilizar.