Filtrage MAC inactif



  • Bonjour,
    Je fais parti de l'assoc qui gère l'internet de ma résidence étudiante qui comprend 250 personnes.
    Nous possédons 3 box internet et une passerelle qui gère la répartition du réseau dans toute la résidence. Elle tourne bien évidemment sous Pfsense (dernière version)
    Notre organisation est la suivante : nous demandons aux gens de payer une cotisation annuelle de 17€. Suite à cela, ils nous communiquent leur(s) adresse(s) MAC et on leur attribue une IP par adresse MAC.

    Récemment, on s'est aperçu que Windows10 refusait que la passerelle impose une adresse IP, il faut donc aller dans centre réseau et partage pour imposer manuellement l'adresse IP, la masque de sous-réseau et la passerelle par défaut (ainsi que les DNS mais là c'est pas important). J'ai donc communiqué un tuto qui explique à chacun comment faire cette manip (j'appelle cette manip "la manip windows10" pour la suite du post). J'ai envoyé ce tuto à tous les habitants de ma résidence, pas seulement à ceux qui ont payé leur cotiz.

    Seulement voilà, en allant régulièrement sur Traffic Graph en Local, on voyait des adresses IP que nous n'avions pas attribué. Du coup, on a été obligés de créer une Rule qui bloque toutes ces adresses (on doit les rentrer une par une, c'est pas la joie). Je pensais que si ton adresse MAC n'est pas rentrée sur DHCP Server, tu ne pouvais pas avoir accès à Internet … visiblement non.

    Du coup je me demandais : si ton adresse MAC n'est pas listée sur le DHCP mais si, en faisant la manip windows10, tu rentres une adresse IP qui est comprise dans la range de la passerelle, est-ce que ça permet de contourner le filtrage ? Au pire de toute façon, on va voir son adresse IP sur Traffic Graph donc on pourra le bloquer .. mais on a pas que ça à faire quoi.

    Autre soucis, toujours pour quelqu'un qui n'est pas listé qu'on appellera P1, s'il fait la manip windows10 en choisissant l'adresse IP de quelqu'un (qu'on appelera P2) qui est venu s'inscrire (on a fait le test en interne, ça a l'air de fonctionner), on a aucun moyen de savoir que P1 se connecte à internet vu que seule l'adresse de P2 s'affiche sur nos graphs ...

    J'ai passé beaucoup de temps à chercher une solution, je suis tombé sur l'utilisation de l'option "enable Static ARP entries" mais si on l'active, on a instantanément plein de gens qui nous contact car ils n'ont plus internet chez eux ...

    J'espère avoir été le plus clair possible,
    Je reste disponible pour plus de précision.



  • Récemment, on s'est aperçu que Windows10 refusait que la passerelle impose une adresse IP

    Si votre Windows 10 est configuré pour utiliser DHCP, je ne comprend pas bien votre constat. C'est un serveur dhcp qui propose un bail (donc des paramètres) à un client dhcp.

    Je pensais que si ton adresse MAC n'est pas rentrée sur DHCP Server, tu ne pouvais pas avoir accès à Internet … visiblement non.

    Bien sûr que non, je ne sais pas ce qui vous a conduit à penser cela.

    Je n'ai pas tout compris à vos explications. Mais j'ai bien compris votre besoin et la (mauvaise façon) que vous tentez d'utiliser pour satisfaire ce besoin.
    Votre besoin est d'authentifier les utilisateurs afin de leur donner ou non un accès à internet. Une adresse mac ne permet pas d’identifier un utilisateur et même pas une machine. Au passage il faut bien déterminer ce que l'on veut authentifier : des utilisateurs, des machines, les deux ?
    Dans votre cas il s'agit le plus probablement des utilisateurs. La seule solution, dans votre cas, c'est un proxy. Lors de sa tentative d'accès l'utilisateur se verra demander un login et le mot de passe associé.
    Vu votre situation il est hautement conseillé de mettre en œuvre cette méthode aussi pour répondre aux obligations légales qui sont les vôtres. La jurisprudence dispose que la mise à disposition d'un accès à internet vous assimile à un FAI auquel s'applique les disposition de la LCEN. Ce qui impose authentification et archivage des logs d'accès sur une année glissante. Ces logs contenant souvent des données à caractère personnel vous êtes aussi concerné par la loi informatique et liberté. Vous devez sécuriser ces logs.



  • Deux remarques complémentaires :

    l'option "enable Static ARP entries"

    Cette option ne peut pas régler votre problème. Voyez vous à quoi sert le protocole arp ?

    Il faut bien comprendre que DHCP est un moyen (protocole) pour distribuer dynamiquement des configurations réseaux. Et rien d'autre. En aucun cas son usage n'implique une quelconque politique de filtrage. Il s'agit de deux choses distinctes qui doivent être gérées indépendamment.



  • Pas mieux: la gestion des MAC en statique, ce n'est pas la bonne approche.

    Le proxy avec authentification pour contrôle qui a le droit ou pas, (i.e. "qui a payé") c'est bien :-)
    Sur des durées courtes, le portail captif également.

    J'ai une machine en Windows 10 qui n'a pas le moindre problème avec DHCP  ;)
    Je n'en dirais pas autant en ce qui concerne WPA2  >:(  mais c'est un autre sujet



  • Le mieux est surement de mettre un portail dans lequel vous mettez en passthrough toutes les machines autorisés à surfer et le reste ne pourra rien faire…



  • Non…
    Ou alors il faut expliquer comment tu fais 😉



  • @mozes:

    Le mieux est surement de mettre un portail dans lequel vous mettez en passthrough toutes les machines autorisés à surfer et le reste ne pourra rien faire…

    Effectivement non. Vous mélangez authentification machine et authentification utilisateur. Ici c'est une authentification utilisateur qui nécessaire.Pour ne pas dire obligatoire.