Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    PfSense, firewall et portail captif

    Français
    4
    6
    1831
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      Heafstaag last edited by

      Bonjour tout le monde !

      Je suis un étudiant et je m'occupe du réseau d'un petit foyer d'étudiant, environ 150 étudiants l'utilisent quotidiennement.

      La configuration actuelle est un réseau Wi-Fi ouvert avec un portail captif, Ucopia. Nous rencontrons certains problèmes actuellement, particulièrement avec un paramètre sur le serveur embarqué LDAP, hérité sur le RADIUS (lui aussi embarqué sur l'Ucopia) qui déconnecte les utilisateurs. Impossible de modifier ce paramètre car je ne peux pas accéder au fichier, accessible uniquement en root, et le compte root Ucopia n'est pas disponible.

      Une solution serait d'utiliser un serveur externe pour l'annuaire et le radius, j'y réfléchis encore.

      Une autre solution serait de remplacer le serveur Ucopia par un serveur pfSense, et c'est la raison pour laquelle je suis venu poser des questions. :)

      Quelques nécessités de base :

      • Est-ce qu'il y a un système d'authentification (type couple annuaire/radius) qui permet de gérer les utilisateurs facilement ?
      • Est-ce que l'on peut accéder à un historique de navigation par utilisateur ? (nécessité légale)
      • Est-ce qu'on peut sortir facilement des données statistiques, par exemple l'utilisation de la bande passante par utilisateur, sur une échelle d'heures, jours, semaines et mois ? (Il me semble que pour cela, ça se base sur ntop non ?)
      • Je suis uniquement bénévole car domicilié à mon foyer d'étudiant, est-ce qu'une partie de l'administration (au moins celle des utilisateurs, création, blocage ect…) est suffisamment instinctive, pour qu'un étudiant pas forcément en informatique/réseau puisse prendre ma suite quand je partirai ?
      • On ne devrait avoir besoin que d'une interface de sortie et une interface d'entrée, et je souhaiterai utiliser un boitier tout fait en tant que pare-feu. Lesquels des produits proposés sont capables de supporter 150 connexions spontanées (même si ce pic n'est jamais atteint) ? https://netgate.com/products/sg-2440.html

      Voilà, je crois que j'ai à peu près fait le tour des questions que je me posais. Merci à ceux qui me lisent de m'accorder leur attention. :)

      1 Reply Last reply Reply Quote 0
      • Tatave
        Tatave last edited by

        Salut salut

        Vous avez deja bien dégrossi la problématique bien que ne suivant pas strictement la charte de la section.

        Si je suis bien votre souhait qui est de substituer un router/parefeu/portail captif par un pf et ajouter à coté un serveur radius/ldap si non existant dans votre réseau.

        web (accès internet)

        =

        pf === wifi ==== point d'accès wifi

        =

        =
        lan filaire + serveur ldap/radius

        En terme de puissance le produit que vous avez cité est adéquat avec ce que vous voulez faire.
        Deux options s'offre à vous :

        • faire l'acquisition du produit cité.
        • monter une machine (de récupération ou neuve) avec 3 interfaces réseau (wan/wifi/lan)

        Ne par perdre de vu que pour un portail captif accessible au public (étudiant ou visiteurs) il faut que vous puissiez fournir les log à toutes organismes de contrôles ou judiciaire (du moins en France se dont je suis sûre) et conserver les log entre un à deux ans si je ne me trompe pas.
        Cela implique de fait une conservation des log du pf et du serveur d'authentification.

        Autre chose que cela implique aussi est je pense d'ajouter en fonction des problématique d'ages et de responsabilité judiciaire, un traçage des log des sites web visiter, et la pour ma part cela implique aussi un proxy qui ne pourra pas évidemment être sur le pf mais redirigé vers le proxy par le pf. idéalement sur une machine autre ou sur le serveur radius/ldap si vous ne pouvez pas faire autrement.

        Cordialement.

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • H
          Heafstaag last edited by

          Salut Tatave ! Merci pour votre réponse ! :)

          Vous avez plutôt bien saisi la problématique. La connexion des utilisateurs, actuellement, que ce soit en filaire ou en Wi-Fi, se fait par le portail captif. Le portail Ucopia reçoit un lien trunk et est capable de gérer les différents VLANs, il me semble. pfSense en est capable également ?

          J'étais au courant pour la nécessité d'être en capacité de fournir des logs, mais je ne savais pas qu'il fallait les garder aussi longtemps, c'est bon à savoir.

          Okay pour le proxy et les logs. Vous êtes sûr que l'on ne peut pas utiliser le pfSense en tant que proxy ? Si c'est un firewall, il est en capacité de faire du NAT, donc d'agir comme proxy, non ?

          Egalement, il n'est pas possible d'auto-générer le serveur ldap/radius sur le pfSense lui-même ?

          À voir également en bonus, si il serait possible, pour avoir un réseau plus sécurisé, de remplacer la connexion portail captif par du WPA2-TLS enterprise pour sécuriser le réseau local.

          1 Reply Last reply Reply Quote 0
          • Tatave
            Tatave last edited by

            Salut salut

            bon à vos réponse et intérrogations vous n'avez pas les compétences et les notions adéquates pour comprendre ce qu'est un pare-feu

            Vous avez plutôt bien saisi la problématique. La connexion des utilisateurs, actuellement, que ce soit en filaire ou en Wi-Fi, se fait par le portail captif. Le portail Ucopia reçoit un lien trunk et est capable de gérer les différents VLANs, il me semble. pfSense en est capable également ?

            Oui pfsense le fait si vous aviez lu la documentation et présentation du produit, encore un point qui saute aux yeux, votre non recherche.

            J'étais au courant pour la nécessité d'être en capacité de fournir des logs, mais je ne savais pas qu'il fallait les garder aussi longtemps, c'est bon à savoir.

            Ici aussi pas de recherche ni de vrai intérrogations

            Okay pour le proxy et les logs. Vous êtes sûr que l'on ne peut pas utiliser le pfSense en tant que proxy ? Si c'est un firewall, il est en capacité de faire du NAT, donc d'agir comme proxy, non ?

            Un pare-feu qui fait router n'a pas pour vrai vocation de faire tout, c'est sous la pression que quidam comme vous que cela est possible, mais pas sécure pour votre réseau cela ouvre des trous en plus dans un pare-feu, libre a vous de le faire, je m'en lave les mains dans ce cas.

            Egalement, il n'est pas possible d'auto-générer le serveur ldap/radius sur le pfSense lui-même ?

            Non c'est a proscrire pour la bonne et simple raison que c'est une application a rajouter qui n'est pas pour autant prévu pour.
            Je vous ai donné la bonne marche a suivre pour un établissement scolaire du moins en France.

            À voir également en bonus, si il serait possible, pour avoir un réseau plus sécurisé, de remplacer la connexion portail captif par du WPA2-TLS enterprise pour sécuriser le réseau local.

            les bras m'en tombent, oui les deux sont a utiliser.

            Bref il nous manque la géolocalisation de votre établissement chose où vous ne répondez pas. Cela déclenche d'autres questions, donc j'en reste la : débrouillez vous renseignez vous, formez vous et seulement ensuite revenez vers nous.

            Que faire des personnes qui sont des consommateurs et pas des personnes qui réfléchissent pour lesquels la compréhension des concepts est inutile d'assimiler pour savoir ce qu'ils font et pourquoi il le font.

            Non cordialement.

            aider, bien sûre que oui
            assister, évidement non !!!

            donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
            apprendre à un homme comment cuisiner, il sera vivre.

            1 Reply Last reply Reply Quote 0
            • C
              chris4916 last edited by

              @Tatave:

              Ne par perdre de vu que pour un portail captif accessible au public (étudiant ou visiteurs) il faut que vous puissiez fournir les log à toutes organismes de contrôles ou judiciaire (du moins en France se dont je suis sûre) et conserver les log entre un à deux ans si je ne me trompe pas.
              Cela implique de fait une conservation des log du pf et du serveur d'authentification.

              Autre chose que cela implique aussi est je pense d'ajouter en fonction des problématique d'ages et de responsabilité judiciaire, un traçage des log des sites web visiter, …/...

              Il serait certainement intéressant de citer le ou les articles de loi concernés  ;)

              D'autant que c'est compliqué et parfois contradictoire  :P

              Dans tous les cas, cela n'a rien à voir avec la technologie mise en œuvre (du moins du point de vue de la loi): i.e. la loi ne se soucie pas de savoir si c'est un portail captif, un proxy ou autre, ni même qu ce soit filtré ou pas.
              Il existe des document dont la structure est intéressante, comme celui-ci par exemple mais qui trop ancien pour être vraiment utilisé car la loi autour d'internet a évolué très rapidement ces dernières années.

              Lorsque j'écris que la loi n'impose pas de filtrage, cela ne signifie pas qu'il n'y a pas des préconisations de la part des ministères concernés, mais même ces ministères renvoient, en ce qui concerne l'école, vers des liens qui sont obsolète (mon tout premier lien dans ce message en fait partie… 2003  ::))

              A lire quand même: internet responsable.
              et définitivement: informatique et liberté
              et dans le même ordre d'idée.

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • N
                Nightwolf last edited by

                Le tracking des logs, authentifications, etc… Ainsi que le stockage de ses données doit aussi faire l'objet d'une déclaration à la CNIL car dans l'absolu on peut savoir qui fait quoi où quels jours à quelle heure. Déterminer les habitudes de chacun pour faire du mailing, publishing, etc...

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post