Captive Portal com Freeradiuns
-
Seria assim, alem do captive portal utilizar a base de usuários do freeradius para validar utilizar tambem o ip e mac do cliete, caso as 2 situações não baterem o captive portal não libera a conexão.
-
ip + usuario + mac ou usuario desde que ip + mac autorizados na rede?
-
Bom dia.
A ideia que após o login do captive portal se a maquina não tiver o mac com o ip cadastrado no freeradius ele não conseguiria ter sua conexão liberada. -
você pode usar o ipguard para fazer este filtro de mac + ip.
Outra solução mais complexa/completa é usar o 802.1x, autenticando os clientes antes de entrar na rede.
-
Boa tarde.
Estou utilizando o ipguard para que não esteja ip duplicados na rede.
Porem ele não evita que algum usuário informe um ip que não esteja sendo utilizado no momento conecte no pfsense. -
sua rede é publica? você tem o controle dos macs da sua rede?
-
Sim tenho o controle do mac.
Só não tenho o controle de algum usuário setar o IP manualmente na interface. -
Sim tenho o controle do mac.
Só não tenho o controle de algum usuário setar o IP manualmente na interface.Neste caso, uma boa sugestão é "iniciar pelo começo".
Implemente um PDC na sua rede e evite, dentre outras coisas, que usuários sejam capazes de alterar configurações em seus sistemas operacionais de endpoint.
Se você busca "controle" precisa começar pela base! ;)
Abraços!
Jack -
Certo.
Eu tenho o PDC openldap.
Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário. -
Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário.
Sim… Mas é exatamente para estes casos que você reserva/utiliza um hotspot (Captive Portal), não?!
Ele vai precisar de um usuário/senha e/ou um voucher para acessar a rede.
Na medida do possível, deixe estes usuários esporádicos num segmento de rede diferente da sua LAN, por exemplo. Assim não tem que se preocupar com IP + MAC.
Abraços!
Jack
