Domande da niubbo assoluto

Francesco

se ti connetti in wireless, finisci sul dlink e da lì vai su internet, quindi non passi dal capitve portal, che non puo' controllarti.

Affinchè il tutto funzioni, bisogna che pfsense con il captive portal sia passaggio obbligato per chi si connette in wireless.

Si potrebbe pensare una topologia di questo tipo:

la macchina pfsense deve avere due interfacce, una connessa verso il gateway (d-link) e l'altra connessa ad un access point wireless. Su quest'ultima deve essere applicato il captive portal.
In tal modo chi si connette in wireless, passa prima dall'access-point, poi dal captive portal (che impone le sue policy) e poi va su internet passando dal d-link.

Francesco

tiri

ok. quindi devo cambaire macchina e fornirla di due SK e un access point.

Apparentemente non ci sarebbero problemi. la macchina ce l'ho. l'access point pure. un d-link 2100.

Ma il problema successivo sarebbe la struttura 'fisica' della rete. disposta su 4 piani di edificio storico. infatti ora, per chi si sifermava al primo piano facevo accedere tramite router con wirless, al 4° piano tramite access point.

Se usassi l'access point collegato alla macchina con CP, avrei segnale disponibile per 2 piani al massimo. quindi dovrei usare un Extender per replicare il segnale dell'access point. funzionerebbe comunque?

in buona sostanza il Wireless nativo del Router, lo posso solo usare per collegare macchine o stampanti o dispositivi "residenziali". per chi va e viene, non c'è storia, giusto?

grazie del suggerimento. attendo ancora un paio di giorni per vedere se escono altre idee o soluzioni alternative, poi decido

Francesco

Con l'extender dovrebbe funzionare. Certo a mio parere sarebbe meglio se tutti gli access point dei vari piani finissero via cavo sull'interfaccia di rete di pfsense su cui attivi il captive portal.
Un altro consiglio che ti posso dare, disabilita il dhcp sugli access point e poni il servizio dhcp sull'interfaccia di pfsense su cui attivi il captive portal. In tal modo ti trovi la gestione del dhcp centralizzata per tutti i dispositivi wireless che sono sotto il controllo del captive portal.

Sappi che con il captive portal c'è anche la possibilità di fare delle eccezioni, cioè di far passare determinati device senza chiedere alcuna autenticazione (per quegli utenti interni, che non sono ospiti…)

tiri

cosa intendi che tutti gli AP finissero via cavo sulla SK di Captive? essendo su vari piani vengono concentrati su gli Switch Zyxel.
o intendi di fare un collegamento FISICO DIRETTO via cavo direttamente ad un Hub collegato solo ed esclusivamente alla Sk di rete della macchinacon CP?
Se intendi questo, è impensabile per me tirare un cavo diretto dal 4° piano ad un punto preciso dove posizionerò la macchina con CP.

mi risulta più semplice due AP con due macchine indipendenti e due CP portal differenti.

Però continuo a pensare che DEBBA esistere una soluzione, previa aggiustamenti di segmenti IP o altro, per piazzare la macchina con CP e farla lavorare, come si farebbe per un Server. o sbaglio?

tiri

ahhhh… giusto DHCP ::)

avevo capito che il dhcp dell'AP andasse disabilitato per poter fare operare la macchin PfSense. ma che conflitto si potrebbe generare con il DHCP (che non posso escludere!) attivo sul Server Windows?

ruio

Suggerisco la seguente soluzione, anche se ho letto che potresti avere problemi con il cablaggio:
-Separazione fisica/tramite VLAN della futura rete wireless da quella attualmente in uso
-Tutti gli AP collegati (fisicamente o con VLAN) all'interfaccia LAN di pfsense
-L'interfaccia WAN di pfsense la colleghi al tuo router attuale
-CP su interfaccia LAN
-Tutti i servizi gestiti da pfSense
-Eviteri l'extender a meno che non sia strettamente necessario. Marca degli apparati wireless: Mikrotik o Ubiquiti

Non riesco a capire perchè vuoi fare due CP portal differenti. Inoltre non confondere il funzionamento del CP con quello di un qualsiasi servizio di un server. Quando un host si collega e deve navigare su internet passa per il gateway.

Francesco

..intendevo dire che è bene che tutti gli AP si trovassero su una LAN a loro dedicata, (reale o una VLAN creata appositamente come suggerisce RUIO) e che su quella LAN ci fosse collegata anche l'interfaccia di rete di pfsense su cui attivi il captive portal.
In tal modo hai una LAN dedicata completamente agli apparati wireless che per poter uscire devono passare obbligatoriamente dal captive portal di pfsense. La macchina con pfsense ruoterà i pacchetti verso il router di Internet (che sarà connesso sull'interfaccia WAN di pfsense).

Non so se esista una soluzione in cui si possa usare il captive portal come un server normale. Nota che il captive portal più che un servizio è un controllo ed in quanto tale deve trovarsi su una zona di passaggio obbligato, è come una dogana e non come una stazione di servizio.

tiri

penso siate stati entrambi chiari. creare una vlan su un ramo ip completamente diverso dalla Lan wired, su cui piazzo AP vari e macchina PfSense che reindirizzerà i pacchetti vlan verso il gateway.

Una cosa del genere l'ho già realizzata agendo solo sul DHCP dell' AccessPoint e "aprendo" la Subnet Mask nella configurazione dell'indirizzo IP del Gateway e dell'AP

Lan e AP sono sul ramo 192.168.1.xxx mentre gli IP assegnati ai client wireless sono 192.168.0.100/150. la subnet 255.255.0.0 permette la navigazione ma non l'uso delle risorse di rete

![dhcp ap dlink.jpg](/public/imported_attachments/1/dhcp ap dlink.jpg)
![dhcp ap dlink.jpg_thumb](/public/imported_attachments/1/dhcp ap dlink.jpg_thumb)

ruio

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

tiri

@ruio:

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

azzz… mi sono perso. non ho capito la tua risposta, scusami. sono una frana... :-[

ruio

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

tiri

@ruio:

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

ahhh ora mi è chiaro. ok, grazie :D

ma il concetto di sdoppiare la mia Lan fisica in due o più vlan l'ho capito. pensavo di riuscire ad evitarlo, ma ho capito che non si riesca a fare.

il mio esempio è lo screenshot del mio AP attuale dove, invece di utilizzare una vlan, ho creato una sottorete usando il CIDR. Le due sottoreti (wired e wireless) sono disgiunte ma riescono ad usare lo stesso gataway.
perchè mi parli di netmask strane? :o il metodo CIDR non mi sembra una aberrazione

ruio

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

tiri

@ruio:

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

ok. non insisto, anche se non capisco CHI debba (e come) cambiarsi l'indirizzo IP assegnato da un DHCP.