Hot spot WiFi con Captive Portal



  • Salve, è da un paio di giorni che leggo il vostro forum e non ci speravo minimamente ad una community italiana su pfsense, e invece vi ho trovati  ;D

    Vi spiego brevemente il mio problema, premettendo che ho letto tutti i post di interesse qui sul forum e anche altro, però io non sto riuscendo nel mio intento.

    In pratica dovrei realizzare una cosa semplicissima. Il cliente vuole creare una rete WiFi con autenticazione, in futuro sarà previsto anche una connessione a tempo, ma per ora ritengo più importante far partire la cosa.

    Ho visto che per fare l'autenticazione sarebbe meglio un server radius, ma qui parliamo di una cosa semplice e quindi lo eviterei per il momento.

    Ho già messo su una macchina con due schede di rete e chiaramente pfsense e ho configurato il tutto nel modo seguente, purtroppo non posseggo un semplice access point ma un router/AP e sto usando quello per le prove:

    Vari Client in WiFi  <–------------>  Router / Access Point (192.168.0.1)
                            |192.168.0.0/24|              |
                                                                  |
                                                                  |
                                                                  |
                                                        (192.168.0.2) (LAN)
                                                        Server pfsense
                                                        (192.168.1.5) (WAN)
                                                                  |
                                                                  |
                                                                  |
                                                                  |
                                                        (192.168.1.1)
                                                Router Linksys WAG200G  <----------------->  Internet

    quindi le varie schede di rete hanno i seguenti indirizzi:
    Router / Access Point:      192.168.0.1
    Interfaccia LAN pfsense:    192.168.0.2
    Client WiFi:                      DHCP

    dall'altro lato del pfsense
    Interfaccia WAN pfsense:  192.168.1.5
    Router Linksys WAG200G:  192.168.1.1

    nel Router / Access Point ho impostato il DHCP in modo che lo faccia fare un server esterno e chiaramento ho messo l'indirizzo IP del pfsense (192.168.0.2) e funziona, infatti i client che si connettono al Router / Access Point prendono l'IP.

    Ho attivato Captive Portal seguendo questo tutorial

    http://pfsense.mirror.range-id.it/tutorials/cp_usermanager/cp_usermanager.htm

    quindi utilizzando come sistema di autenticazione il Local user manager

    Ho seguito tutto per bene, ma non va niente. La pagina di autenticazione non compare

    Il DHCP Server su pfsense l'ho impostato con un range di IP e in maniera tale che dia come DNS l'indirizzo del router Linksys, quindi 192.168.1.1 e come gateway il pfsense 192.168.0.2.

    In General Setup ho messo in DNS servers sempre 192.168.1.1

    Sicuramente sto sbagliando qualcosa e per questo mi rivolgo a voi più esperti. Ho il dubbio che il Router / Access Point non permetta di fare quello che voglio fare io, però non va neanche se collego direttamente un pc alla LAN del pfsense escludendo il router, quindi presumo ci sia un errore nella mia configurazione



  • sarebbe meglio che mettessi il dns del tuo provider sul dhcp. e anche su pfsense.
    in questa maniera eliminiamo una possibile causa.
    il captive portal e' un reindirizzamento alla pagina di autenticazione (… per errore di pagina non trovata) se non puoi contattare il dns non funge.

    metti come gateway nel dhcp l'ip della lan di  pfsense vedrai che funge.. e se non va richiamami §!!!



  • Purtroppo non va ancora!!! Ho configurato come suggerito da te ma non va ancora.

    Facendo vari smanettamenti con altri settaggi ero riuscito a farlo funzionare, ma per chiarire la situazione ti posto le schermate della sezione General Settings e DHCP server del pfsense

     

    Come vedi in General Settings ho messo come indirizzi quelli di Alice e la stessa cosa ho fatto in DHCP server dove ho impostato come gateway l'IP del pfsense.

    Ho disabilitato Allow DNS server list to be overridden by DHCP/PPP on WAN e anche Services: DNS forwarder

    Come mai non va? Il resto è sicuro che è tutto a posto anche perchè fino a ieri sera andava. Sembra come se quando riaccendo il non va più niente



  • reset to factory default  e riparti da capo…. ci si mette meno tempo.
    fatti un backup delle configurazioni ad ogni modifica....

    nel captive ti appare la pagina di autenticazione quando clicchi sul link ??

    prova a pingare un server di google ( cerca ip google italia.) se il ping non funziona non esci dal firewall .. se lo pinghi resetta!!!



  • Ok appena arrivo a casa riparto da zero, ma quindi i settaggi come da immagini vanno bene?

    Più che altro mi interessa capire bene se è giusto disattivare le due voci Allow DNS server list to be overridden by DHCP/PPP on WAN e Services: DNS forwarder impostando a mano i DNS come da figure.

    Non ho capito cosa intendi quando dici

    nel captive ti appare la pagina di autenticazione quando clicchi sul link ??

    prova a pingare un server di google ( cerca ip google italia.) se il ping non funziona non esci dal firewall .. se lo pinghi resetta!!!

    Cioè devo andare nel menù captive e cliccare su che link?
    Quando ha funzionato l'altro ieri, appena il pfsense assegnava l'indirizzo al note, rispondeva subito il pfsense con la schermata di login. Ora invece cerca di caricare la Home page di default e chiaramente da errore.

    Immagino che la prova del ping la devo fare da pfsense per vedere appunto se riesco ad uscire dal firewall, cosa che trovo strana perchè è impostata correttamente la parte WAN, ma potrebbe giustamente essere come dici tu e cioè che non fa NAT.

    Appena provo ti contatto subito, grazie mille di tutto. Nel frattempo se hai altri suggerimenti io sono tutto orecchie ;D



  • @appavito:

    reset to factory default  e riparti da capo…. ci si mette meno tempo.
    fatti un backup delle configurazioni ad ogni modifica....

    nel captive ti appare la pagina di autenticazione quando clicchi sul link ??

    prova a pingare un server di google ( cerca ip google italia.) se il ping non funziona non esci dal firewall .. se lo pinghi resetta!!!

    Bene ho risolto tutti i problemi relativi al DHCP e al DNS, ora va tutto alla grande sia l'assegnazione dell'ip al client wireless sia Captive Portal con la Local user manager. Il problema era del router che va su Internet (il WAG200G) che andava sistemato.

    Ora il problema è che io dovrò implementare una cosa un attimino più complessa della semplice autenticazione tramite Local user manager.
    Sperando di non annoiarti con domande banali, cerco di descriverti brevemente quello per cui sto facendo tutto sto casino ;D:

    dovrò implementare un sistema wireless per una concessionaria di auto, che dia la possibilità di far iscrivere gli utenti man mano che si presentano e che vogliono quindi navigare. Cioè l'utente va e chiede di navigare, quindi l'addetto inserisce i sui dati anagrafici in un apposito form (che dovrò creare), gli fa la registrazione e di conseguenza fornisce User e Password per navigare, chiaramente il tutto deve essere legato ai documenti d'identità dell'utente ecc… (Di questo magari possiamo discutere in seguito, meglio un passo per volta).

    Credo che l'unico modo per fare questa cosa sia spostare l'autenticazione su un server Radius, che immagino permetta di fare cose tipo la registrazione di utenti e roba varia (al massimo con qualche pacchetto aggiuntivo, non so).

    Poichè sarà una fornitura di connessione gratuita per i clienti in attesa della loro auto, quindi si stima una presenza di al massimo 10 persone nei periodi peggiori, e sono già assai, ho pensato di fare tutto su una macchina server con collegato un Access Point, che dovrà quindi fare da:

    • DHCP Server
    • Firewall
    • Captive Portal
    • Radius server
    • Database iscrizione clienti

    Non mi mangiate per questo!! Lo so che sarebbe meglio separare le cose ma il cliente non ha la possibilità di mettere due o più server anche come spazi, quindi sarebbe obbligatoria una soluzione su unica macchina.

    Ho provato quindi ad installare freeRADIUS su pfsense e a configurarlo, ma non ci sono riuscito…

    Spiego come ho fatto (ho già chiesto aiuto in questo post link, ma non ho ricevuto risposta):

    In Captive Portal nella sezione Authentication ho messo:
    RADIUS Authentication

    • IP Address: 127.0.0.1
    • Port: 1812
    • Shared secret: prova

    Nella configurazione di FreeRADIUS (Services -> FreeRADIUS):
    Users

    • Username: Mario
    • Password: una password
    • Number of Multiple connection: 1 (ho il dubbio che per far connettere solo una persona bisogna mettere 0 qui)
      il resto tutto vuoto

    Clients

    • Client: 127.0.0.1
    • Shortname: pfsense
    • Shared Secret: prova

    Chiaramente non va, inserisco l'user e la password dell'utente creato in Services -> FreeRADIUS -> Users e rimane pagina bianca dando dopo qualche secondo un errore tipo "500 - Internal …."

    Dopo di ciò il pfsense è inutilizzabile, la CPU va al 100% ed è una casino fare qualsiasi dettaggio, riavviando e disattivando l'autenticazione Raidus va a posto.

    La mia domanda è quindi: è possibile avere il Sever RADIUS sulla stessa macchina del pfsense? Se si come va impostata la sezione client? Come IP del client che devo mettere?

    P.S. Ma come si fa il backup della configurazione?



  • ciao hai risolto?? scusa ma ero all'estero!!!!



  • Invece di aprire un nuovo topic penso sia meglio continuarne uno vecchio.
    Continuo questo perchè devo fare la stessa cosa di xool e sono alle prime armi.
    Mentre aspetto un pc baraccone ho fatto il cd di pfsense e ho provato a farlo partire nel mio portatile.
    Ho attaccato il vecchio modem di alice alla porta ethernet e con la scheda di rete speravo di poter far da access point.
    Ho fatto partire il cd senza installarlo, e quando premo 'a' for autodetection mi dice di connettere the LAN interface now and make sure that the link is up. Then press Enter to continue.
    Allora connetto il cavo di rete alla porta del pc e premo enter ma dice "no link-up detected".



  • SCUSA IL RITARDO..  MA SUL TUO PORTATILE HAI 2 SCHEDE DI RETE??? PERCHE ALMENO 2 SCHEDE OCCORRONO (lan +wan)…



  • A rieccomi  ;D
    Allora, è arrivato il famoso PC baraccone. Penso mi sia andata più che bene: un P4 a 2GHz con 256 di ram e 20 GB di HD. Ottimo, no? per il mio hot spot al bar?

    Bene, fretta non ne ho, mi sono giocato i miei 10 minuti disponibili stamattina collegando solo il PC e facendo partire il CD di Pfsense.
    Ho messo l'autodetect e mi trova la scheda. Bene.
    Continuerò il lavoro nei prossimi giorni. Intanto vi chiedo:

    1. Devo per forza già attaccare il modem e il router o posso iniziare a configurare collegando il tutto più tardi? (Sennò mi tocca spostare Baraccone in salotto vicino al router)
    2. ho messo una sola scheda di rete,l'altra ho visto che c'è già una porta integrata nella scheda madre del PC, quindi non serve? Sennò la seconda scheda la riporto inidietro e con quei 10 euro mi ci compro qualcos'altro.
    3. Ho comprato una Dlink DFE-528TX. Questa: http://www.dlink.it/cs/Satellite?c=Product_C&childpagename=DLinkEurope-IT%2FDLProductCarousel&cid=1197319291614&p=1197318958684&packedargs=ParentPageID%3D1197318958651%26TopLevelPageProduct%3DConsumer%26locale%3D1195806717957%26packedargs%3DProductParentID%3D1197318470864&pagename=DLinkEurope-IT%2FDLWrapper


  • non importa che attacchi tutto … poi farlo piu tardi.

    allora ricorda che pf ti deve riconoscere almeno 2 interfacce. se le trova procedi con abilitare la lan su una e la wan sull'altra ( ti verra scritto come interfaccie disponibili per esempio  bge0 em0 ecc)  dopo aver detto di no al setup delle vlan  inserisci uno dei due nomi delle interfaccie per la wan e un altro nome per la lan.
    fatto cio pf inizia a configurarsi. arrivato in fondo alla procedura  avrai il dhcp abilitato sulla lan.
    ora puoi mettere il pc senza monitor dove ce il router fregandotene del monitor e della tastiera perche farai tutto via web.

    prendi un pc portatile ( credo che ce l'hai senno stendi un cavo dal fisso che hai)  e con una patch attacca la lan di pfsense alla tua scheda di rete.

    ora il portatile deve  ricevere in indirizzo ip da pfsense del tipo  192.168.1.xxx .

    apri il browser web e inserisci l0indirizzo ip del tuo gateway del portatile ( ip di pfsense..) che deve essere 192.168.1.1.
    ora ti si apre la schermata con username admin  password pfsense  e sei dentro alla gui web di pfsense!

    da li in poi configuri la connessione wan ( se hai static ip adress oppure dhcp oppure piu provabile pppoe..)

    poi  fammi sapere!



  • a una cosa importantissima!!  se  lo metti in un bar devi tassativamente fare i log di navigazione e avere l'autorizzazione per erogare il servizio!!!  senno sei perseguibile!!!



  • Ho cancellato i miei ultimi due post..putroppo anche in complimenti a Vito, visto che non mi ha risposto. Scherzo ;D
    L'ho fatto perche mi è arrivato un nuovo pc vecchio. Un PIII penso a 700MHz con 128MB di ram e 20GB di HD.
    Mentre faccio varie prove e studio tutto quello che c'è da fare (avevo provato a connettermi con il portatile al pc con pfsense collegato all'AP, mamma mia quante cose da selezionare/modificare :o) vi chiedo una cosa alla volta:

    Mi consigliate di partizionare l'HD o installo su l'HD intero da 20G?



  • intero o partizionato e' lostyesso



  • Ho installato tutto.
    Mi ha chiesto a un certo punto…ora non ricordo, parlava di bit e selezionare un numero che sarebbe poi apparso dopo l'IP e una barra /.
    Che cos'è e cosa dovrei mettere. ho provato a cercarlo ma non lo trovo.

    Mamma quanta roba da selezionare. Non so nemmeno da dove iniziare :'(



  • un modo di rappresentare la netmask:
    allora  l'ip e formato da 8+8+8+8 bit  ( infatti gli indirizzi ip sono al max 255.255.255.255 cioe 4 volte un numero di 8 bit ( 2^8 = 256  cioe 255 se parti a contare da zero)

    ora la netmask  che di solito di usa e' 255.255.255.0  e praticamente questa ti dice quanto e' grossa  diciamo, la tua lan.

    hai 3 dei 4 valori da 8 bit bloccati  al max e ti rimane un solo blocco ( QUELLO CON LO 0 ) che ti dice la dimensione della tua sottorete.

    quandi hai i blocco libero  da 8 bit = 2^8 =256 pc nella tua sottorete con questa netmask.  per calcolare  il numerino dopo la barra che va da  0 al max 32  devi fare cosi:

    32- parte bloccata.    quandi netmask 255.255.255.0  =  32-8=24    quandi la tua rete sara  192.168.1.0/24

    se per esempio la tua rete ha solo 8 ip    nella sia struttura    sara  192.168.1.0/29  perche 32-29 = 3    -> 2^3 =8 pc.
    che corrisponde alla notazione 255.255.255.248    (255-248=8)

    inoltre puoi anche fare reti da migliaia di pc  .  netmask 255.255.0.0  corrisponde a /16  cioe 8^16 = 65500 circa.

    nelle tue necessita metti sempre /24 e un sbagli.

    A TITOLO INFORMATIVO TUTTA STA MENATA SERVE AL TUO PC QUANDO UNA COSA E' INTERNA O ESTERNA( E CIOE LA RICHIESTA VIENE INVIATA AL GATEWAY..)



  • @appavito:

    se per esempio la tua rete ha solo 8 ip     nella sia struttura     sara  192.168.1.0/29  perche 32-29 = 3     -> 2^3 =8 pc.
    che corrisponde alla notazione 255.255.255.248     (255-248=8)

    Grazie Vito!!!
    Ora ho capito che diavolo era quel 255 che si ripeteva!!!
    Sto studiando questa cosa:
    http://it.wikipedia.org/wiki/Netmask
    e non è facilissima,ma pian piano imparo.
    E se non dico una caxxata, terra terra, praticamente uno zero vale più di un 255. Giusto?

    Bene. Allora ho messo giusto il 24 nell'installazione (che culo ;D)
    Quindi posso iniziare.
    Adesso andrò a studiare qualcosa sul captive portal allora.
    Ditemi se sbaglio: pensavo di fare in modo che chi arriva con il proprio notebook o smartphone, si colleghi alla pagina di login.



  • A quel punto mi chiedono cosa devono fare e io (anzi, il barista) gli chiederà la carta d'identità.
    Prenderà un foglio con già scritto un codice (che io avrò già registrato sul server) e ci fotocopierà sopra la carta d'identità.
    Ci faccio mettere una firmetta e mi tengo una copia del foglio.

    Domanda: che ne dite dell'idea di fare già dei codici da assegnare poi?
    Il bar è piccolo, credo che preparerò un centinaio di codice utente.



  • ciao vito non ce e' invacanza a sanvittore..

    con lo zero indichi la subnet  esempio: se ti riferisci a tutti gli host della rete 192.168.20.xxx  con xxx da 1 a 254  puoi scrivere 192.168.20.0

    ATTENZIONE A rivendere la connettività: devi avere i permessi  come isp e sopratutto fare i log del traffico! senza la prima e' multa e processo, se succede qualcosa senza la seconda e' galera!
    se per esempio un utente ''vito''  a  vadere un sito pedopornografico o a rubare qualcosa  per la postale e' il tuo ip ( o meglio l'ip della tua wan  del tuo router ) che ha fatto la chiamata e tu poi devi essere in grado di associare un tuo ip privato a quella chiamata tramite log e sapere precisamente quell'ip a chi era stato datoe a che ora : pena: vacanza con vito a sanvittore!



  • :D
    @appavito:

    devi avere i permessi  come isp e sopratutto fare i log del traffico!

    Per i permessi, quando avrò preparato il sistema, andrò a chiedere in questura.
    Per i log si può fare con pfsense? Ho letto un po' in giro che occorre squid…cose che imparerò più avanti.
    Oppure ci vorrebbe la nuova versione di pfsense, giusto? ...che nessuno sa quando uscirà.



  • oppure un altra macchina locale su qui gira un daemon di syslog 
    oppure un server remoto che ti faccia il logging…

    squid ruota i log..  e li cancella via via.  te li devi conservare almeno per 4 anni !!!



  • @appavito:

    oppure un altra macchina locale su qui gira un daemon di syslog 
    oppure un server remoto che ti faccia il logging…
    squid ruota i log..  e li cancella via via.   te li devi conservare almeno per 4 anni !!!

    Uff…lo sapevo che non ci sarebbe stata una semplice soluzione :'(
    N'altro pc, no.
    Un server remoto sembra interessante, ma sento puzza di robe a pagamento.
    Ma con squid e con un HD da 20GB non dovrebbero cancellarsi,no?
    Cmq vedrò più avanti. Intanto devo attendere di comprare un cavo di alimentazione del monitor perchè non riesco più a connettermi al pc con pfsense. Ho attaccato la scheda di rete(le ho provate tutte e due) al router, e con firefox sul pc in wireless ho messo l'indirizzo 192.168.1.100 (gli avevo assegnato questo).
    Non si vede niente ??? Vedremo cosa dirà il monitor ;)


Log in to reply