Portail captif

grinderfurax

Bonjour à vous. Ma problématique est simple, la solution peut être moins.

J'ai actuellement dans mon maillage un pfsense qui fait proxy (bouh pas bien je sais), ce qui est amené à évoluer à terme mais dans l'urgence on a monté un serveur au plus vite et avec les moyens du bord.

J'aurais maintenant besoin d'un portail captif pour identifier les utilisateurs d'appareils mobiles, mais également les utilisateurs de notre futur serveur TSE.
Là également je cherche à mettre rapidement une solution en place, quit à faire quelques changements par la suite.

J'ai donc testé le portail intégré et géré nativement par pfsense, tout d'abord sur une base interne pour éviter les éventuels problèmes liés à mon AD.

Je créé donc une zone, sur laquelle j'active le portail, avec comme interface d'écoute mon port réseau côté LAN.
Je sélectionne le "Local User Manager".

1/ Il me semble que cela est suffisant pour faire un premier essais, mais visiblement non puisque je continue de passer à travers pfsense sans voir de demande d'authentification apparaitre. J'ai loupé quoi?

2/ Plus que restreindre les accès, ce qui va surtout m'intéresser c'est d'avoir des log sur la navigation que je n'ai pas sur mes appareils mobiles ou TSE, en passant par le portail captif de pfsense cela va résoudre ma problématique, ou il vaudrait mieux que je me tourne vers le portail captif fourni en bundle avec Squid ? (qui lui me génère déjà des logs de navigation par IP).

Merci par avance de l'aide que vous pourrez m'apporter.

Tatave

Salut salut

Portail captif et proxy sont deux choses différentes.
On peut mettre en œuvre un portail captif sans avoir un proxy dans la boucle et inversement.
Personnellement, je suis sur un portail captif en mode local user pour la partie wifi dont les ap on des mac address en whitlist.

Pour une meilleur sécurisation sauf erreur de ma part, il est fortement conseillé de mettre sur une machine dédiée (os a votre convenance) un radius et un annuaire.
C'est au niveau de l'annuaire que vous avez à affiner votre gpo sur qui accède à quoi et comment.
C'est en suite au niveau du proxy et plus coté blacklist/whitlist sur vous allez gérer l'accessibilité des sites, si bien évidement vous avez autorisé x ou y à aller sur le web :p

Je viens de regarder aussi du coté du servir d'adressage DHCP qu'il est possible de mettre une option ldap, cela peut être une piste supplémentaire.

Cordialement.

grinderfurax

Tout d'abord merci pour ce premier élément de réponse.

Une piste sur la raison pour laquelle, même en base locale, le portail de pfsense ne réagit pas et me laisse passer au travers ?

Tatave

Salut salut

Que les tuto sur le portail captif ?
je pense qu'il vous faut un fichier en php à télécharger sur votre Pf et activer l'option qui "Portal page contents" ?
En plus de mon AP qui me demande un pass pour mon ssid wifi, j'ai au moment de naviguer sur le web un encart qui me demande mes log user.

Sauf erreur vous avez mis cela en place pour sur un réseau local, cela fonctionne de la même façon, l'authentification wifi en moins.

Cordialement