Portail captif avec Access Point cisco virtualisé

lezekiell

Bonjour,

Dans le cadre de mes études je dois réaliser un projet.

J'ai choisit de mettre en place un portail Captif avec Pfsense, connecter à un access point  cisco (WAP4410N) le tout virtualisé avec Virtual Box.
Donc je voudrais qu'un utilisateur se connecte à ma borne wifi et sois dirigé vers mon portail captif pfsense pour pouvoir accéder à internet (en entrant identifiant mot de pass, Local User)

Configuration –-------------------

Version de Pfsense : 2.3.2

Ma borne access wifi cisco est connecté en ethernet à mon mon ordinateur portable.
J'ai donné à ma borne l'addresse : 192.168.56.245/24  -  Gateway 192.168.56.12/24

Dans virtual Box, j'ai crée la machine virtuel PFsense avec 2 cartes Réseaux, toutes les 2 en bridge.

La première interface réseau : em0, prend la carte réseau Ethernet de mon ordinateur physique et est configuré en 192.168.56.12/24

La deuxième interface réseau : em1 prend la carte Wifi de mon ordinateur et est configuré en DCHP : 192.168.1.20

---

J’accède a mon interface web d'administration, je peux faire un ping avec :Diagnostic --> ping vers google ( 8.8.8.8 ) avec l'interface WAN et cela fonctionne.

J'ai crée mon service portail captif sur l'interface LAN, j'ai crée des utilisateurs et des groupes dans:  system/User Manager / Users avec  les privilèges : User - Services: Captive Portal login.

J'ai configuré le DHCP :
Sercies / DHCP Server / LAN , activé sur le LAN avec comme range : 192.168.56.21 - 192.168.56.245

Mon problème est quand j'essaye de me connecter à mon point Access, je réussi à me connecter mais je n'ai pas accès à internet.

Dans Diagnostics/ ARP Table je vois mon appareil qui est présent dans la table ARP avec :
LAN 192.168.56.21 e8:50:XX android-xxx

Donc je ne comprend pas ce qu'il me manque pour que mon appareil accède au portail captif ???

Je pense qu'il y a une regle NAT à rajouté ou une redirection de port ou quelque chose comme cela :/.

J'ai aussi essayé dans System / advanced / admin Access --> Firewall & NAT d'activer le Network Address Translation en : pure NAT
De cocher le Enable NAT reflection for 1:1 et Enable automatic outboud NAT for reflection.

Voila j’espère avoir été clair et merci de votre aide.

jdh

Ceci est votre 2ième post. Et vous n'avez pas bien intégré les excellents conseils de (l'excellent) Tatave !

Merci de lire le fil A LIRE EN PREMIER pour présenter correctement votre question.

Il est très difficile de tester correctement un firewall avec juste un portable et VirtualBox/VMware Player parce que :

• défaut de compréhension des principes de la virtualisation
• défaut de paramétrage de virtualisation faute de lecture de la doc
• mauvaise interprétation des observations
• 1 seule interface physique pour 2 interfaces logiques (minimum)

Par ailleurs, que vient faire vos hypothèses NAT dans une problématique 'portail captif' : cela n'a strictement rien à voir !

Le basic du basic est de commencer, sans portail captif, à faire fonctionner un matériel (du côté LAN) à accéder à WAN. (seul aspect où interviendra du NAT).

Quand à 'NAT reflexion' : si vous ne savez pas ce que c'est, c'est que c'est inutile pour vous ! (C'est TRES peu utilisé.)

ccnet

@lezekiell:

Bonjour,

Je pense qu'il y a une regle NAT à rajouté ou une redirection de port ou quelque chose comme cela :/.

J'ai aussi essayé dans System / advanced / admin Access –> Firewall & NAT d'activer le Network Address Translation en : pure NAT
De cocher le Enable NAT reflection for 1:1 et Enable automatic outboud NAT for reflection.

Voila j’espère avoir été clair et merci de votre aide.

Je ne sais pas ce qui vous fait penser cela. Il serait intéressant de savoir pourquoi vous en arrivez à cette conclusion. En quoi l'activation de l'option "nat reflection" pourrait régler votre problème ? En ce qui me concerne et sachant de quoi il s'agit, je ne vois pas. Si vous avez une hypothèse, je suis preneur.

chris4916

@lezekiell:

Ma borne access wifi cisco est connecté en ethernet à mon mon ordinateur portable.
J'ai donné à ma borne l'addresse : 192.168.56.245/24  -  Gateway 192.168.56.12/24

…/...

La première interface réseau : em0, prend la carte réseau Ethernet de mon ordinateur physique et est configuré en 192.168.56.12/24

La deuxième interface réseau : em1 prend la carte Wifi de mon ordinateur et est configuré en DCHP : 192.168.1.20

Déjà à ce stade, je ne comprends pas
J'ai l'ipression qu'il y a un mélange entre ce qui est LAN, WAN, wifi.
Bref, je suis largué

J'ai configuré le DHCP :
Sercies / DHCP Server / LAN , activé sur le LAN avec comme range : 192.168.56.21 - 192.168.56.245

dont serveur DHCP recouvre l'adresse IP de ta borne wifi ?

Donc je ne comprend pas ce qu'il me manque pour que mon appareil accède au portail captif ???
Je pense qu'il y a une regle NAT à rajouté ou une redirection de port ou quelque chose comme cela :/.
J'ai aussi essayé dans System / advanced / admin Access –> Firewall & NAT d'activer le Network Address Translation en : pure NAT
De cocher le Enable NAT reflection for 1:1 et Enable automatic outboud NAT for reflection.
Voila j’espère avoir été clair et merci de votre aide.

Non ce n'est pas clair.

Ce que tu devrais faire, c'est déjà t'assurer que sans le portail captif, tout fonctionne correctement, c'est à dire que tu te connectes en wifi et que tu accèdes bien à internet.
Une fois que tu as fait ça, tu peux activer le portail captif. Ne te soucies pas de l'authentification mais assure toi que la page par défaut du portail s'affiche bien, que tu ais le prompt pour l'authentification.
Il suffit ensuite de mettre en œuvre l’authentification de ton choix  ;)

lezekiell

Bonjour et merci des réponses.

Voici un petit shema qui sera peut être plus clair … j’espère.

http://www.zimagez.com/zimage/pfsense.php

dont serveur DHCP recouvre l'adresse IP de ta borne wifi ?

haaa effectivement je n'avais pas pensé a cela. L'adresse de la borne est dans la plage d'adresse. Mais non la Borne est en statique. je vais arrêter le pool d'adressage avant.

Ce que tu devrais faire, c'est déjà t'assurer que sans le portail captif, tout fonctionne correctement, c'est à dire que tu te connectes en wifi et que tu accèdes bien à internet.
Une fois que tu as fait ça, tu peux activer le portail captif. Ne te soucies pas de l'authentification mais assure toi que la page par défaut du portail s'affiche bien, que tu ais le prompt pour l'authentification.
Il suffit ensuite de mettre en œuvre l’authentification de ton choix  ;)

En fait c'est la partie qui ne fonctionne pas, l’accès aux visiteur à internet.
J'ai désactivé l'authentification pour faire les tests mais ca ne fonctionne pas alors que mon Pfsense à lui bien accès à internet c'est pour cela que je parlais de NAT mais oui ca n'a peut être rien à voir

Je ne sais pas ce qui vous fait penser cela. Il serait intéressant de savoir pourquoi vous en arrivez à cette conclusion. En quoi l'activation de l'option "nat reflection" pourrait régler votre problème ? En ce qui me concerne et sachant de quoi il s'agit, je ne vois pas. Si vous avez une hypothèse, je suis preneur.

Non c'est juste que je me suis perdus dans tout cela je pense .. :/.

J'ai vraiment l'impression que c'est ma configuration dans l'interface web qui ne va pas car dans le coté "LAN" avec le visiteur + la borne + interface Lan de pfsense ca communique bien et prend en compte les informations. Du coté "Wan" aussi vu que je ping google avec l'interface Wan de pfsense.

chris4916

C'est bien plus clair avec un schéma. Au moins ça montre qu'il y a quelques détails pas très nets dans le design et ta réponse confirme ce que je décris, à savoir qu'il faut d'abord que ça fonctionne sur les aspects "basiques" à savoir accès internet.

Le ping n'est pas forcément l'outil le plus adapté, en tous cas pour une vérification de bout en bout.

Je suppose que ta borne wifi est bien configurée en "wifi access point" (sans quoi ça ne fonctionnerait pas du tout)
sur le client wifi si la default gateway est bine l'interface LAN de pfSense et que tu peux la joindre, lorsque tu essaies d'accéder au web (pas à internet  ;)) donc avec ton navigateur, tu dois avoir des traces dans pfSense au niveau des log.

• quelles sont les règles sur le FW ? es-tu bien autorisé à faire des requêtes DNS au travers de pfSense ? pfSense lui-même est-il serveur DNS ?

Une fois que cette partie là va fonctionner, tu auras fait un grand pas en avant  ;D
tu peux activer les logs sur pfSense pour tout et pas uniquement pour ce qui est rejeté, ça devrait t'aider.

ccnet

J'ajoute que, si vous ne vous en sortez pas avec ce qui précède (passage obligé), il faut mettre à niveau vos connaissances qui sont sans doute dans ce cas insuffisantes pour traiter le problème auquel vous êtres confronté.
Les problématiques de nat n'ont rien à voir, pas plus que le nat reflection. Documentez vous sur la fonctionnalité, vous verrez ce qu'il en est. D'une façon générale avant de cliquer pour activer une option, comprenez à quoi elle sert. Et pas le contraire. Sans méthode vous aller dans le mur. Vous y êtes déjà d'ailleurs pour l'instant. Il est temps de passer la marche arrière !

lezekiell

Je suppose que ta borne wifi est bien configurée en "wifi access point" (sans quoi ça ne fonctionnerait pas du tout)

Oui c'est ça.

quelles sont les règles sur le FW ?

C'est à ce niveau que je bloque clairement, il y a les regles de base et j'en ai ajouté :

Sur la Wan :
IPv4 TCP/UDP LAN net * WAN net * * none    
IPv4 TCP/UDP LAN address * WAN address * * none

Sur la LAN :

IPv4 TCP/UDP LAN net * WAN net 80 (HTTP) * none

Mais bon il faut effectivement que approfondisse là-dessus.

es-tu bien autorisé à faire des requêtes DNS au travers de pfSense ? pfSense lui-même est-il serveur DNS ?

Je préférais utilisé le DNS de google car pareil je n'ai pas tout compris entre le DNS Forwarder et le DNS Resolver .

tu peux activer les logs sur pfSense pour tout et pas uniquement pour ce qui est rejeté, ça devrait t'aider.

ok merci :) j'ai activer les logs :
Log Filter

Manage Log

Monitoring Settings

Il est temps de passer la marche arrière !

Oui c'est pas faux :/ Je vais passer plus de temps à me documenter.

jdh

Sur la Wan :
IPv4 TCP/UDP  LAN net  *  WAN net  *  *  none           
IPv4 TCP/UDP  LAN address  *  WAN address  *  *  none

Ah bon ? Vous ignorez que, pour pfSense (PF), on insère les règles nécessaires selon l'interface d'arrivée ?

On est à la base de la base …

lezekiell

Ah bon ? Vous ignorez que, pour pfSense (PF), on insère les règles nécessaires selon l'interface d'arrivée ?

On est à la base de la base …

Merci pour cette réponse constructive. Non effectivement je ne savais pas.

Du coup je remercie pour les indications qui m'ont été fournis, j'ai finalement réussi à faire ce que je voulais et … c’était bien un problème au niveau de mes cartes réseaux.

Si jamais ça peut aider, il fallait partager la connexion Internet entre la carte Wifi et la Carte Ethernet du pc physique.

Au niveau des règles : Wan :
IPv4 TCP * * * * * none

Après niveau sécurité je pense pas que ce soit optimal .. mais bon pour l'instant ça me va.

Merci  chris4916 d'avoir pris le temps d'essayer de me comprendre ;)  ;D

chris4916

@lezekiell:

Si jamais ça peut aider, il fallait partager la connexion Internet entre la carte Wifi et la Carte Ethernet du pc physique.

Au niveau des règles : Wan :
IPv4 TCP * * * * * none

Je ne pense pas. Je ne sais pas ce que tu entends par "partager" mais si ta carte wifi est (logiquement) sur le LAN, elle se connecte sur l'interface LAN, c'est tout.
Et les règle de FW se gèrent sur l'interface LAN

Sur l'interface WAN, par défaut, tu interdis tout.
Pour faire simple, avec les règles FW par défaut, il n'y a rien à changer: tu peux sortir vers internet et interdire les flux entrants sur le WAN.
Avec ta règle, tu fais exactement le contraire  :o

Après niveau sécurité je pense pas que ce soit optimal .. mais bon pour l'instant ça me va.

Effectivement, c'est le moins qu'on puisse dire  ;)

Sur le LAN, tu peux pour le moment, tout autoriser vers tout
sur le WAN, tu peux tout interdire

ccnet

Après niveau sécurité je pense pas que ce soit optimal .. mais bon pour l'instant ça me va.

Si on parle d'une configuration de test je comprend que cela vous convienne.
Mais ne parlons pas de sécurité. on se facherait :-)

jdh

Merci pour cette réponse constructive. Non effectivement je ne savais pas.

On met en place un firewall quand on a un objectif de sécurité.

Alors quelle sécurité, si on le fait sans AUCUNE recherche active sur la mise en place, le fonctionnement, en commençant par ne pas lire (basiquement) la doc ?

Votre fil, c'est juste 'je m'amuse, je bricole avec mon pc', mais ce n'est pas de la sécurité …

Au lieu de récriminer après les autres, regardez juste la réalité (et vos 2 fils) ...