[RESOLU] Page d'authentification du portail captif ne se montre pas



  • EDIT : PfSense installé, je cherche maintenant à mettre en place un portail captif.

    Un petit schéma pour commencer :

    Internet –- Routeur --- Switch situé dans mon bureau (relié au WAN de PfSense)
                                                      |
                                                      |
                                              Carte WAN

    Machine contenant PfSense et les deux cartes WAN et LAN

    Carte LAN 
                                                        |
                                                        |
                                    Point d'accès (branché en direct à PfSense sur la carte LAN)
                                                        |
                                          |_
                                          |                            |
                                      PC client                  PC client

    Je pense que ce schéma est bon au vu des différentes docs lu, néanmoins je ne serais pas contre une confirmation de votre part.

    Le besoin initial :

    • Les visiteurs dans l'entreprise se connecte au wifi sur le SSID invité d'un point d'accès (les AP ne sont pas encore achetés, donc je test sur ce que j'ai trouvé, à savoir une Netgear wn2000rpt et puis depuis ce début d'après-midi une cisco linksys wap610n, je vais expliquer le pourquoi du comment ci-dessous).

    • Ces visiteurs une fois connecté au wifi doivent se logger sur un portail captif.

    • Authentification et sauvegarde des logs ne font pas bon ménage alors le proxy transparent sera mis en questionnement plus tard.

    Après avoir installé PfSense, j'ai configuré un portail captif.
    J'ai essayé avec l'authentification "local user" ainsi que sans authentification.
    Mais le soucis c'est que ma page d'authentification n’apparaît jamais, je ne peux pas me log.

    Elle est apparu une seule fois (sans raison particulière car je n'avais pas fait de changements) et ayant copié l'url, je peux confirmer que une fois loggé cela fonctionne, mais c'est l'apparition de la page qui m'intéresse.

    Pour revenir à ce que j'ai dit plus haut, j'avais cru lire il y a quelques temps que l'AP Netgear avait un DNS intégré, ce qui aurait pu faire foirer mon portail captif.
    J'ai donc testé avec la Cisco mais le résultat n'est pas différent.

    Voilà, je ne sais pas trop où chercher de solution sur ce que j'ai fait, mise à part en configurant "comme les autres" sur les divers tutos (j'adapte bien évidemment, même si sur l'activation d'un portail il n'y a rien à adapter).



  • Salut salut

    Je suis débutant

    • 0 - !!!!!!! je me documente et je fait des recherches sur internet et je casse les pieds à mon tuteur et mon formateur IL SONT LA POUR CELA AUSSI !!!!
    • 1 - je passe par une machine physique pour me faire la main avec les branchements et les bases du produit.
    • 2 - je prends des cartes réseaux non exotique.
    • 3 - je dois comprendre les bases du réseaux.

    Je suis débutant avec deja de bonnes notions réseaux

    • 0 - !!!!!! je me documente et fait des recherches sur internet
    • 1 - je peux tenter la virtualisation avec des produits non sujet à des problématique d'incompatibilité soft/hard.
    • 2 - j'étudie mon outils de virtualisation avec ces avantages et ces défauts ainsi que les bonnes pratiques.

    Quoi qu'il en soit je ne poste pas de question sans avoir faire de vrai recherche.
    un diagnostique qu'avec une simple requête icmp n'est pas un vrai bonne résolution de diagnostique , mais une infime partie.

    NB : un pc de récupération fait très bien l'affaire avec ou sans écran, en évitant les pc portables.

    Cordialement.



  • Bonjour,

    @Tatave:

    • 1 - je peux tenter la virtualisation avec des produits non sujet à des problématique d'incompatibilité soft/hard.
    • 2 - j'étudie mon outils de virtualisation avec ces avantages et ces défauts ainsi que les bonnes pratiques.

    Je confirme les propos de Tatave:

    Ayez au moin la finesse de faire vos test avec une machine disposant de 2 cartes ETH et en utilisant un hyperviseur qui tiens la route (Esx, Proxmox, Xen)

    Et surtout, par pitier arreter de désactiver le pare-feu car cela ne vous mène à rien fusse en test ! On parle d'un FIREWALL quand même ! pas d'un cuiseur à riz !!!!



  • @baalserv:

    en utilisant un hyperviseur qui tiens la route (Esx, Proxmox, Xen)

    Et Hyper-V?



  • @Nightwolf:

    @baalserv:

    en utilisant un hyperviseur qui tiens la route (Esx, Proxmox, Xen)

    Et Hyper-V?

    Je ne l'ai pas mis, car même s'il est ''gratuit'' comme les autres cités, il requier tout de même un Wx serveur (qui est loin d'être gratuit lui^^) alors que notre user fait ses tests ''At Home'' ;)

    Mais, j'en conviens, il tiens la route lui aussi  ;D



  • @Nightwolf

    Hyper-V est un hyperviseur avec une certaine solidité et avec des contraintes certaines.
    Mais est-il fréquemment rencontré en entreprise ? (hors organisme de formation et autres avec cout licence Windows faible)

    Je veux bien que vous augmentiez votre nombre de post : il vaudrait mieux que vos interventions apportent de la valeur ajoutée …



  • Bien que le débat soit passionnant, je n'ai pas voulu répondre à baalserv pour couper court à cette discussion hors sujet dans ce topic.

    Mon nombre de post… Heu comment dire? Je m'en fou royalement!
    Un forum c'est fait pour échanger et si certains s'attachent à ce détail c'est regrettable car un posteur fou ne sera pas forcément de bons conseils.

    ESX est gratuit? Ah oui comme Centos et RHEL  :o
    Tant que l'on n'a pas besoin de support c'est gratuit... Mais les entreprises paient majoritairement le support au cas où, car il y a de vraies clauses GTR incluses souvent en 4 heures, pas en 24 heures ou 8 jours. En regardant bien, le cout de ce support (hors hardware) est équivalent au cout de licence + CAL Windows serveur dont le support est inclus. Je dirai même que 8 fois sur 10 une infra Hyper-V revient moins chère que Vsphère ESX.

    Sinon quelques chiffres qui font mal? Hyper-V c'est 20% du marché en 2012, 33% en 2014 et plus de 40% en 2015. Loin derrière RedHat avec 25% en 2016. Tous les open source et OSS réunis ne pèsent que 20% du total.
    Donc oui Hyper-V existe bien en entreprise, Microsoft a fait des efforts considérables avec ses solutions SCCM, SCVMM, etc…

    Mais je ne suis pas commercial de Microsoft, d'où ma volonté au départ de ne pas poursuivre ce fil sur cette voie.



  • Ayant farfouillé quelques topics, je trouve l'ambiance de ce forum très désagréable.

    J'ai déjà été modo et membre actif sur divers forum et je n'ai jamais été aussi virulent envers les débutants, aussi nul et peu respectueux de la charte soit-ils.

    M'enfin bref, j'ai suivi votre conseil de l'installer sur une machine physique, et ai eu la chance de trouver une documentation m'apportant un élément sûrement évident pour vous mais qui je l'avoue ne m'étais pas venu à l'esprit, à savoir la nécessité de relier le PfSense à un switch / AP et que les utilisateurs s'y connecte et soient donc reliés à PfSense par ce biais.

    Du coup, cela marche très bien, j'ai un seul soucis sur lequel je me pencherais demain, c'est lors de l'activation de mon portail captif.
    Je le configure pour avoir une authentification en local, mais la page d'authentification n’apparaît pas.
    Elle m'est apparue une fois sans que je sache pourquoi, mais pas de seconde fois.

    Voilà c'est tout pour moi, je chercherais demain.

    P.S: Hyper-V est utilisé dans la boîte où je suis en stage, pour confirmer les propos de Nightwolf :)



  • @Nightwolf

    Hyper-V étant inclus (et gratuit) avec Windows Server, comment compter les install REELLES d'Hyper-V ?
    (Dans les entreprises dont je m'occupe, j'ai pas mal de licences de Windows Server, mais aucune avec Hyper-V)
    Vos chiffres ne sont que du marketing Microsoft, mais certainement pas la réalité pratique !

    Si je me réfère à la société fournisseur, ils n'ont qu'une société industrielle ou de service qui a choisi Hyper-V, toute les autres ont choisi VMware.
    Pourquoi la majorité de celle là, préfèrent payer un produit tel VMware plutôt que d'utiliser un produit gratuit Hyper-V ou Proxmox ?
    Il est notable que, tous ces produits comporte une version gratuite limitée et une solution payante ou avec support.

    En ce qui me concerne, j'ai essayé, en pratique, TOUTES ces solutions (Hyper-V, VMware, Proxmox, Xen) … et pas juste pour un lab.

    Concernant vos interventions, hier, autour de 14h, en moins d'1 heure, vous êtes intervenu sur 5 fils différents, avec une valeur ajoutée, disons, faible.
    C'est juste un constat ...

    @zeb50
    Vous êtes stagiaire.
    Avez vous une certaine expérience pratique de plusieurs années, sur ces sujets (firewall, virtualisation, protocoles, pratique des tests) ? Probablement non.

    Nous avons régulièrement écrit sur la difficulté de comprendre des phénomènes, notamment en cas de virtualisation.

    Votre présentation est assez difficile à comprendre :

    • vous parlez d'une VM, mais ne donnez aucune indication sur celle-ci;
    • vous parlez de Portail Captif, mais on en est pas encore là;
    • vous parlez de Wifi, de SSID invité, mais il n'y a pas encore d'information à ce sujet;
    • vous avez cherché sur les forums, et vous avez vu peu de cas de test (réussite) avec Virtualbox, mais ça ne fait pas tilt;
      Et vous ne comprenez pas pourquoi, vous n'êtes pas compris ?
      Auriez vous oublié de vous relire avant d'appuyez sur 'Post' ?
      Auriez vous oublié de vous posez la question : est ce que ce que j'écris est compréhensible, complèt, cohérent ? (les 3 C)

    Enfin est ce bien raisonnable de dire, dans un 2ième post, après 1 post aussi incomplet et peu clair, que l'ambiance serait désagréable ?
    Auriez vous du mal à vous mettre en cause ?
    Ca ne va pas être facile de tirer des enseignements des tests si vous allez sur ces chemins ...



  • En ce qui concerne Hyper-V, je n'en vois que très peu entreprises (que ce soit de 100 ou 10 000 personnes). Les chiffres de Microsoft sur sa présence réelle sur le marché, cela me rappelle la certification C2 de Windows NT4 Server. ceux qui ont connu l'affaire verront de quoi je parle.
    Le schéma économiquement viable en ce qui concerne Hyper-V nécessite deux prérequis :
    1 L'entreprise a une large majorité de système sous OS Microsoft.
    2 Elle achète des licences Windows 2012R2 Datacenter car alors toutes les licences serveurs sont incluses pour autant de vm que vous le souhaitez.
    Dans ces conditions la solution Microsoft concurrence, économiquement, la solution Vmware.
    4600 € pour deux CPU chez Microsoft, ce qui n'est pas nécessairement suffisant pour virtualiser des serveurs à charges même moyennes.



  • Salut salut

    Hou-là ça date cette affaire C2, elle avait fait grand bruit.

    Effectivement la guerre entre Microsoft et Vmvare ne date pas d'aujourd'hui non plus.
    les principaux acteurs (les gros editeurs) sont eux deux et aussi xen qui est repris par Microsoft via citrix de mémoire.

    Au final on a quoi comme choix qu'au deux.

    Bon pour en revenir au poste initial

    Virtualiser avec virtaulbox n'est vraiment pas une bonne solution quelques soit le niveau de connaissance et de compétence dans le domaine.

    • Hyper-v 2012 est utilisable avec ca version hyper-v core que si seulement vous avez des un serveur 2012 avec AD et un avec services center 2012.
      Je ne parlerais pas plus de la version 2016 qui n'est pas totalement au point et encore trop jeune pour avoir suffisamment de recule objectif sur le produit.
    • Exsi gratuit est le compromis le plus pragmatique pour ce faire la main en virtualisation sans pour autant rentrer dans du montage de world compagnie pour que cela fonctionne surtout pour un stagiaire. Il y a pas mal de mise en oeuvre de esxi/pfsense pour des quidam qui outre les problématiques de sécurité et de compromission du méta-barre ont fait de bon howto.
    • Proxmox je n'a pas d'expérience suffisante pour avoir un avis
    • xen serveur a beaucoup évolué et n'en étais resté qu'à la version 5XX open et j'en rencontre plus gère sur les différente mission. c'est un produit qui pourrait etre une solution outsider.

    Mais sérieusement pour commencer avec les pare-feu il faut quand meme bien mettre les mains dans le camboui cable/carte/configuration en physique pour se lancer dans le virtuel
    Avant de courir il faut apprendre a marcher et bien avant de se redresser sur deux pieds avancer a quatre pattes (les parents comprendront je pense)

    ++



  • Bonjour,

    Je vais faire cour car ce n'est pas le sujet du topic  ::)

    J'invite ceux qui résume la virtualisation à un choix entre ESX et Hyper-v à s'interresser sérieusement à Proxmox. Il est très pertinant et ce à plusieurs niveaux et supporte plus que facilement la comparaison  ;)

    Dans bien des cas, l'essayer c'est l'adopter  ;D



  • Bonjour,
    Je ne cherche pas à faire la guerre @jdh, je me suis remis en cause ainsi que ce que j'utilisais, et ait finalement réussi à installer PfSense sur une machine physique.

    Dorénavant j'ai un autre problème, je ne sais pas si vous préférez que je continue ce post ou que j'en refasse un second, dans le doute je vais écrire ici.

    Un petit schéma pour commencer :

    Internet –- Routeur --- Switch situé dans mon bureau (relié au WAN de PfSense)
                                                      |
                                                      |
                                              Carte WAN

    Machine contenant PfSense et les deux cartes WAN et LAN

    Carte LAN 
                                                        |
                                                        |
                                    Point d'accès (branché en direct à PfSense sur la carte LAN)
                                                        |
                                          |_
                                          |                            |
                                      PC client                  PC client

    Je pense que ce schéma est bon au vu des différentes docs lu, néanmoins je ne serais pas contre une confirmation de votre part.

    Ensuite, je rappelle le besoin initial :

    • Les visiteurs dans l'entreprise se connecte au wifi sur le SSID invité d'un point d'accès (les AP ne sont pas encore achetés, donc je test sur ce que j'ai trouvé, à savoir une Netgear wn2000rpt et puis depuis ce début d'après-midi une cisco linksys wap610n, je vais expliquer le pourquoi du comment ci-dessous).

    • Ces visiteurs une fois connecté au wifi doivent se logger sur un portail captif.

    • Authentification et sauvegarde des logs ne font pas bon ménage alors le proxy transparent sera mis en questionnement plus tard.

    Après avoir installé PfSense, j'ai configuré un portail captif.
    J'ai essayé avec l'authentification "local user" ainsi que sans authentification.
    Mais le soucis c'est que ma page d'authentification n’apparaît jamais, je ne peux pas me log.

    Elle est apparu une seule fois (sans raison particulière car je n'avais pas fait de changements) et ayant copié l'url, je peux confirmer que une fois loggé cela fonctionne, mais c'est l'apparition de la page qui m'intéresse.

    Pour revenir à ce que j'ai dit plus haut, j'avais cru lire il y a quelques temps que l'AP Netgear avait un DNS intégré, ce qui aurait pu faire foirer mon portail captif.
    J'ai donc testé avec la Cisco mais le résultat n'est pas différent.

    Voilà, je ne sais pas trop où chercher de solution sur ce que j'ai fait, mise à part en configurant "comme les autres" sur les divers tutos (j'adapte bien évidemment, même si sur l'activation d'un portail il n'y a rien à adapter), et malgré les mésentente, j'espère trouver une solution à mon soucis.

    Cordialement.



  • Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

    Vos postes clients sont bien derriere pF et configurer en Dhcp ?

    Reçoivent il une adresse coérante donner par pF ?

    Ont il bien l'ip lan de pF comme GW et 1er redirecteur Dns ?

    Fonctionne il correctement avant l'activation du CP ?



  • J'ai oublié la configuration détaillé dans mon dernier post, toute mes excuses.

    Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

    Carte WAN : 192.9.182.53

    Carte LAN : 192.9.182.1

    Point d'accès :

    • IP :  192.9.182.10
    • Subnet : 255.255.255.0
    • Gateway : 192.9.182.1

    DHCP de PfSense : 192.9.11 - 254

    Vos postes clients sont bien derriere pF et configurer en Dhcp ?

    Mon PC sert de poste client, mais je teste avec d'autre chose comme mon téléphone ou un autre PC, et oui la carte wifi est configuré en DHCP.
    Ils se connectent au point d'accès par le wifi donc IMHO c'est cohérent.

    Reçoivent il une adresse coérante donner par pF ?

    Tout à fait, je suis actuellement en 192.9.182.11, dans la plage de mon DHCP donc.

    Ont il bien l'ip lan de pF comme GW et 1er redirecteur Dns ?

    Résultat d'un ipconfig sur ma carte wifi :

    Suffise DNS propre à la connexion : ici, j'ai le nom de domaine de mon entreprise
    Adresse IPv4 : 192.9.182.11
    Masque de sous-réseau : 255.255.255.0
    Passerelle par défaut : 192.9.182.1

    Je vais retourner voir la configuration du DNS resolver, j'avais laissé par défaut.

    Fonctionne il correctement avant l'activation du CP ?

    Oui, je navigue fluidement sur internet lorsque je suis juste connecté à mon point d'accès et sans avoir "enable" le portail captif, et je navigue fluidement aussi quand je suis connecté au portail, via le lien que j'ai récupéré lors de son seul affichage (à savoir : http://192.9.182.1:8002/index.php?zone=test ).

    La configuration du portail captif :

    Enable : coché
    Interfaces : LAN
    Maximum concurrent connection : 60
    Idle timeout : 60
    Hard timeout : 5
    Concurrent user logins : coché
    MAC filtering : coché
    Authentification : Local user manager / only users/groups with "captive portal login" privilege

    Cordialement.



  • salut salut

    Carte WAN : 192.9.182.53

    Carte LAN : 192.9.182.1

    Point d'accès :

    • IP :  192.9.182.10
    • Subnet : 255.255.255.0
    • Gateway : 192.9.182.1

    DHCP : 192.9.11 - 254

    wan et lan sont dans le même réseau ==> problèmes
    il faut que ces deux réseaux soient différents

    c'est comme si sur une deux fois deux voies routière vous faisiez passer tout le monde dans le même sans sauf vous a contre sens.

    Manque de compréhension du réseau de manière générale, demandez à votre tuteur un complément de formation ou a votre formateur.
    Il est quand meme étrange que vous ayez trouver un stage dans du réseau sans en avoir les bases

    Ce site " http://irp.nain-t.net/doku.php " ne vous fera pas de mal, ayant eu des tuteurs aux abonnés absents pour leurs fonctions tutorales.

    A oui pour une meilleur compréhension de votre adressage ne faites pas une écriture raccourci de celle ci cela prete a confusion.

    ++



  • Bonsoir,

    Merci pour l'explication et pour le lien (que je vais lire), j'ai appris sur le tas et ça se ressent.

    Je vais régler ça demain, je n'avais pas vu les choses de cette façon.



  • @zeb50 :

    Le lien donné par Tatave se trouve dans un post en Sticky et se nomme : A tous les débutants  ;)



  • La totalité des fils en "sticky" (étiqueté en haut du forum) sont à lire pour tous ceux qui s'inscrivent sur le forum, et à relire régulièrement pour les autres.

    Bien que ce soient des choses tellement évidentes, certains oublient de les lire et d'agir en tenant compte …

    Cela concerne les règles d'usage de tout milieu de vie (sociale) :

    • faire des recherches avant de poster
    • bien présenter son problème
    • rester courtois
    • ...

    Bref du bon sens ...



  • @zeb50:

    Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

    Carte WAN : 192.9.182.53

    Carte LAN : 192.9.182.1

    Point d'accès :

    • IP :  192.9.182.10
    • Subnet : 255.255.255.0
    • Gateway : 192.9.182.1

    Non seulement lan et wan sont dans le même réseau mais en plus il s"agit d'ip publiques qui appartiennent à Oracle.

    j'ai appris sur le tas et ça se ressent.

    Alors vous avez encore deux ou trois sujets à regarder de près.



  • Être cordial, tout à fait, être cassant malgré cette cordialité de façade, non, et c'est ce que je reprocherais au forum FR (car je fais mes petites recherches en deux langues).

    Bref, encore toute mes excuses de dire ce que je pense, d'autre débutants se sont fait rabrouer beaucoup plus violemment que moi, mais le résultat est que ces débutants/particuliers n'ont sans doute jamais retouché à leur projet, ont laissé tombé, et je trouve personnellement cela dommage.

    Enfin, peut-importe, grâce à vos conseils j'ai finalement réussi à mettre en place le portail captif  :)

    Je n'ai pas encore bien saisi pourquoi si l'adresse IP de la carte LAN commençait par "192.x.x.x" cela ne peut pas marcher.
    Je pensais que 192.9.x.x était différent de 192.168.x.x, l'allégorie de l'autoroute m'ayant fait tilter, mais si vous avez un exemple précis je veux bien (Même si cela ne presse pas car je vais lire votre site et me renseigner).

    Du coup je vous remercie, et je vais paramétrer mon portail comme il se doit (et chercher une solution de proxy transparent après l'authentification, qui permet d'avoir les logs de connexions des utilisateurs, comme demandé par la loi).

    Merci encore et peut-être à plus tard  :)



  • La section française du forum se distingue en effet de la section anglaise de part son accueil…  :-X

    Concernant les adresse IP:
    1 - il faut, tu l'as bien compris, qu'elles soient dans des plages différentes entre les toutes les sections de ton réseau, pas uniquement entre LAN et WAN
    2 - l'autre point important, c'est que sur un réseau privé, tes adresses doivent être dans les sections définies par la RFC 1819 qui décrit spécifiquement les réseau privés.

    Ces adresses spécifiques (il y a un range en classe A, B et C, le plus utilisé étant celui de la classe C en 192.168.x.x/24 (habituellement) ne sont pas routées sur internet, alors que les autres le sont.
    Si ton réseau utilise le même plan d'adressage que Oracle, tu ne pourras pas joindre le réseau d'Oracle si un jour ce besoin apparaît...



  • Enfin, peut-importe, grâce à vos conseils j'ai finalement réussi à mettre en place le portail captif

    C'est déjà un résultat.

    Je pensais que 192.9.x.x était différent de 192.168.x.x,

    C'est le cas mais ce n'est pas ce que nous avons lu. Et encore une fois 192.9..0.0 est un réseau publique qui appartient à Oracle. 192.168.0.0 est bien un réseau privé (voir RFC). Une interface Pfsense = un numéro de réseau distinct.
    Donc une configuration correcte s'agissant des interfaces pourrait être :
    Wan 192.168.75.1 (si votre box ne sait pas gérer le mode pont (bridge)
    Lan 192.168.16.254 ou .1 ou . ce que vous voulez avec des masques en /24.
    Si vous avez beaucoup de machines dans le Lan ce peut être aussi 172.30.2.254, par exemple, et des masque en /16.



  • @chris4916:

    La section française du forum se distingue en effet de la section anglaise de part son accueil…  :-X

    ;D ;D ;D au lieu d'empiler de "smite" donc je me moque d'ailleurs éperdument  :P :P il serait bien plus intéressant de démontrer que ce n'est pas vrai  ::)

    Vous devriez aller parcourir un peu les sections des autres langues que vous pratiquez pour vous rendre compte de cette spécificité de la section française  8)
    Et si malgré cette visite "à l'étranger" ça ne vous saute pas aux yeux, probablement n'y a t-il effectivement rien à faire  :-X



  • Bonjour,
    Après quelques questions à mon tuteur je ne peux pas vous apporter de réponses pour vos remarques sur le réseau oracle, le réseau était configuré comme ça avant que lui même arrive et pour l'instant ça ne changera pas, quand on changera l'infra je remettrais la question sur la table.
    Sinon j'ai utilisé une configuration en 10.x.x.x pour essayer de respecter la RFC 1918 au mieux.

    Je profite de ce message pour une dernière question, que j'avais évoqué précédemment mais qui n'étais pas ma priorité.

    J'aurais besoin d'un proxy transparent avec ce portail captif, sauf que bah c'est incompatible.
    Du coup ma question : Comment faire? Peut-être déjà, un nouveau topic? :)

    J'ai imaginé plusieurs solutions et j'aimerais savoir si elles sont réalisable, sachant que je n'ai pas trouvé de solution "parfaite", c a d qui authentifie et trace , et du coup fait le lien entre les deux.

    Mettre un proxy avant PfSense, et renseigner son IP dans la configuration de PfSense. Je ne peux actuellement pas tester mais cette solution me parait juste inutile, les utilisateurs passant par PfSense pour s'authentifier uniquement, ils n'y restent pas.

    Mettre un proxy transparent sur le réseau touché par le portail captif, et en cas de demande des logs internet, donner les deux fichiers de logs, et après ils se débrouillent pour recouper manuellement les infos, sachant que y a la date, l'heure, l'ip, etc… donc c'est possible pour moi (ou alors faire un script qui recoupe les infos tout les jours et qui est stocké sur le serveur du proxy transparent)

    Une solution avec WPAD? (je viens de tomber dessus, je ne suis pas sûr que cela desserve mon besoin, je m'y penche!)

    En vous remerciant encore.



  • Il te faut d'abord répondre à la question de "pourquoi tu veux mettre un proxy".

    ensuite, pourquoi faut-il que ce proxy soit transparent ?

    En fonction de la réponse, tu pourras choisir ton design.
    Un proxy "avant" le portail captif, oui c'est incompatible car dans ce cas, c'est le proxy qui accède le portail et donc celui-ci va ouvrir la porte au proxy, donc à tous les utilisateurs qui passent par le proxy => donc c'est un proxy "après".
    Est-ce que ce proxy doit être transparent ou pas ? ça dépend de l'usage que tu veux faire du proxy.

    D'une manière générale, je suis plutôt opposé au proxy transparent qui pose quelques problèmes de sécurité et qui offre moins de possibilité de filtrage et aucune possibilité de profiling, c'est à dire de filtrage en fonction de l'utilisateur.
    Mais il y a des cas de figures dans lesquels ce mode de proxy se justifie.



  • C'est pour respecter la loi demandant les logs de connexion des utilisateurs : https://www.cdse.fr/wifi-et-conservation-des-donnees

    Et du coup, c'est pour les visiteurs extérieurs à l'entreprise, qui quand ils arrivent pour par exemple une journée, le portail captif leur donne accès au réseau et les identifie.
    L'idée ensuite c'est de ne pas toucher à leur machine grâce au proxy transparent, et d'avoir quand même une trace de leur passage grâce à lui.

    Car sinon pour des utilisateurs de l'entreprise, des employées avec un compte dans l'AD, une GPO qui déploie le proxy et c'est terminé, mais je ne peux pas me permettre ceci sur les visiteurs.