Creazione radius con pfsense
-
Mmm ma così chiede l'autenticazione solo di quelli che si collegano in wifi? Io vlevo fare un radius per poi buttarmi a cercar di fare anche un hotspot, volevo procedere per gradi tutto quì!
ps: ovviamente l'access point deve avere la modalità radius immagino, giusto?
-
credo che captive + autenticazione locale sia la meglio ! io lavoro per un Wisp e offriamo connessione wirless mediante connessioni point to point con Ap finale per irradiare per esempio campeggi , stabilimenti balneari ecc…
lascia stare l'autenticazione radius sugli access point, io ho smatteggiato con i dlink , netgear, zyxell ecc.. e devi fare i conti con utenti che nemmeno sanno che devono pigiare il pulsantino con le ondine.....
IL METODO PIU SEMPLICE E' DHCP + CAPTIVE PORTAL ..e' a prova di imbecille!poi se vorrai aggiungere un server radius vero e proprio con database eccc.. sarai sempre intempo !
attualmente usiamo pfsense come autenticatore captiveportal + ppoe server per gli utenti residenziali ...
risposta alle domande:1 richiede l'autenticazione di tutti quegli utenti che (tramite dhcp o manualmente) hanno come gateway pfsense quindi dipende da che interfaccia usi per il wifi !! noi arriviamo syu uno switch nortel e da li confluiscono sia celle wireless che cavi rg45!
2 non e' necessario che deve supportare la modalita radius ! deve solo essere in grado dipassare il dhcp di pfsense (non occorre neanche la m0odalita router! )
-
mmm interessante … quindi io cosa devo fare su captive portal per dirgli che qnd un pollo si collega wifi gli deve kiedere nome e pas e non la wep o wpa?
grz1000 scs le domande che sicuramente sono cretine :D
-
il discorso e un pochettin o diverso:
per accedere all'access point se tu hai messo una chiave wpa o wep l'utente dovra inserirla per forza senno non puo comunicare con esso !
noi facciamo cosi:
abbiamo circa 40 punti di accesso, ognuno per esempio dentro ad un camping, stabilimento balneare ecc…
mettiamo una chiave wpa unica per tutti e la comunichiamo ai gestori.
l'utente arriva chiede la carta ricaricabile, paga, si attacca all'access point e poi inserisce l'username, si registra e riceve la password sul suo numero di telefono cellulare ( fa fede quello per le garanzie rigurdo l'identita..) e poi naviga..tecnicamente e' possibile anche togliere la chiave wpa o wep dall'access point ( in fondo sbattono sempre sul firewall pfsense che e' una buona macchina.....) cosi da poter tenere l'access point sempre aperto con rilascio di dhcp a tutti ( ma possibilita di navigare solo a chi ha le credenziali..).. diverse persone credono che sia una politica insicura ma credo che se implementi un sistema solido non hai problemi visto che il radius e' l'unico sistema con autenticazione forte inviolato..
nel caso volessi eliminare le chiavi pero devi prendere un access point che blocchi il protocollo netbios ( nella netgear si chiama client isulation credo) perche senno le cartelle condivise di un utente potrebbero essere visibili a tutti quelli che sono agganciati all'access point e senza chiave sai un tubo chi si aggancia!!! ( implica che in windows 2 client per poter usare il prot. netbios abbiano lo stesso workgroup ma TUTTI o usano workgroup o mshome ..... quindi sta a te proteggere gli sprovveduti!!
-
Ciao, innanzi tutto grz 1.000.000 della tua pazienza e del tuo tempo, allora per il netbios mi frega poco perchè per ora è solo in casa mia per fare esperienza, e poi anche se non si è sotto lo stesso workgroup mi sa che basta fare \nomecomputer in esegui e si apre il mondo se non blocco il netbios, giusto?
cmq un ultima domandina … ma le credenziali vengono chieste solo a chi si collega wifi o anche a chì si collega col cavo? Perchè a me serve solo wifi! Grz
per chiaezza ti spiego un attimo la mia rete
HAG FASTWEB
^
||
v
PFSENSE (ICARO :D)
^
||
v
switch 5 porte zyxell
^ ^
|| ||
v v
PC1 (con ip fisso Portatile in DHCP
xemule e NAT 1:1
su uno dei 3 ip fastw)E' abbastanza semplice soprattutto per voi che masticate di più complicato :D, ora a quello switch vorrei attaccarci l'access point e fare l'accesso con autenticazione, tutto qua poi piano piano fare esperienza ed evolvermi fino a magari un giorno fare cose più complesse come te fai con i camping con la registrazione via sms ecc. ma per ora vorrei partire dalle basi e mi accontento di fare una semplice wifi con autenticazione! Volevo fare il radius perchè pensavo fosse l'unico modo, tutto quì, ma mi sta bene anche con captive portal!
Posso fare riferimento a qualche guida o qualche link? Grz 2.000.000 :D
-
purtroppo io di giude non ne ho mai trovate :
nel caso volessi che solo il wifi venga rediretto sul captive ti conviene prendere una altra scheda di rete e da li andare direttamente sull ' access point
potresti anche riservare degli ip nel dhcp (tipo fai partire gli indirizzi dal 10 in poi e dall'1 al 10 li riservi per i tuoi pc fissi e fai passare i loro mac o usi il pppoe …a tua scelta!
-
mh … capito! Mi sa che mi butto sulla funzionalità radius allora dato che il captive mi chiederebbe il login anche per la parte ethernet e io in camera ho uno pseudo laboratorio dove mi faccio dei lavoretti per conto mio non posso stare ogni volta a segnarmi il mac address per fare il dhcp riservato ecc. Vabbè ... aspetto che arriva l'access point (linksys WAP200) e magari apro un altro post per il radius! Grz1000 sei stato molto gentile!
-
puoi fare cosi:
pfasense ip 192.168.1.1
parti con il dhcp da 5 o 6 (start 192.168.1.4 –>stop 192.168.1.254)
dai un ip fisso al pc da scrivania tipo 192.168.1.2
vai su captive portal e clicchi su allowed ip adress e aggiungi l'ip del pc fisso.... cosi non passi per la schermata di autenticazione !! capito ? -
Si non è sbagliata come strategia … ma il probl è ke nella mia camera ogni 2-3 vengono 3-4 pc ke non possono passare per la schermata di login .... ma il radius è così rognoso?
-
….considera se il captive e rompiscatole 3 il radius e' rompiscatole 9 ..
in ogni caso, il radius riceve il nome e la password dal captive o dal pppoe quindi implementare il radius e piu noioso che usare il semplice captive portal con magari 10, 11 utenti preconfezionati in locale che colpo colpo presti a chi viene da te. con il radius l'unica cosa e' abilitare le credenziali di accesso tramite mac adress ma siamo da punto a capo!
-
Porca mucca … 9??? Mamma mia ... però il fatto è anche che oltre a casa mia che ci potrei pure sta a mette 1pc in dhcp riservato e tutti gli altri in captive, poi questo lo avrei voluto fare anche a lavoro da me, dove arrivano e vanno decine di pc notebook per non parlare delle stampanti di rete come faccio con quelle??? Per questo mi serviva l'autenticazione RADIUS solo wifi!!!
-
tecnicamente e' facile, ma se vuoi implementare una soluzione efficente e stabile devi almeno mettere un database…. noi abbiamo un cluster di mysql e 2 radius server ma e' stato tutt'altro che facile !!!!
ps: non so se si puo autenticare tramite mac adress , credo di si ma ricordati che tranne in quel caso, dovranno sempre autenticarsi con pagina di captive portal. se poi ce l'autenticazione locale di pfsense o il radius e' uguale !! sempre di li devono passare!!!!