Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Conseils pour pfsense + captrive portal + proxy + radius

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 936 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      Lenif
      last edited by

      Bonjour à tous,

      Avant de démarrer quoi que ce soit, je souhaiterais avoir votre avis et  conseils.

      Je dois mettre en place une nouvelle solution pour l'accès internet dans notre école. Actuellement j'utilise Kerio Winroute, qui fonctionne mais devient vieillissant et surtout, je n'ai pas de licence.

      Je souhaiterais obtenir la solution suivante:
        - Chaque utilisateur non authentifié arrive sur la page de login (presque tout le monde)
        - Le login du portail se fait via un radius (fait maison, il va controler le login sur une plateforme scolaire via o2auth).
        - Utilisation des vouchers en plus pour les visiteurs.
        - Utilisation d'un serveur proxy de type squid sur une autre machine.

      J'ai actuellement un serveur 2012 qui gère mon lan et mes users.

      Comment mettre en place ceci au niveau structure, surtout au niveau proxy / pfsense ? Plusieurs cartes réseaux ?
      Si j'utilise le portail captif et un proxy, comment et où installer le proxy pour qu'il n’interfère pas avec le portail ?

      J'ai également un autre truc que je souhaiterais mettre en place mais je ne sais pas si c'est possible. J'aimerais que certains users passent par les dns de google et d'autres par les dns OpenDns.

      Merci d'avance pour vos conseils et idées.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Le truc auquel il faut que tu fasses attention, c'est que le proxy doit se situer "après" le portail captif, sans quoi tous les clients vont se pointer avec la même adresse, celle du proxy  ;D
        et le premier qui accède ouvre la porte à tous les autres  :o

        pour le DNS… si tu utilises un proxy, ce n'est pas le DNS de l'utilisateur qui est pris en compte mais celui utilisé par le proxy... à moins que tu utilises un proxy en mode transparent, mais dans ce cas je ne peux rien faire pour toi  :P

        Et d'une manière générale, il est souhaitable de ne pas autoriser les utilisateurs sur le LAN à faire des requêtes DNS sur internet.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • L
          Lenif
          last edited by

          justement, j'ai bien conscience du problème avec le proxy et le portail captif.

          Donc pratiquement, comment mettre cela en place ? Tu dis de le mettre "après" et çà j'en suis déjà convaincu mais justement comment mettre cela en place.

          Actuellement je configure mes clients en WPAD pour pointer le proxy. Je suppose que si le proxy est "après", je dois retirer mon WPAD laisser travailler pfsense et le portail captif avant et ensuite faire passer tout le traffic web par le proxy pour filtrer ce qui doit l'être ?

          Techniquement, je procède comment pour le faire "proprement" ?

          Pour le DNS, pour le moment, tout passe via mon 2012 et seul le 2012 a le droit d'envoyer des requêtes dns vers le net, et uniquement vers opendns pour le moment.
          Pour mon histoire de dns en fonction de la source, je ne sais pas trop par ou commencer, mais j'ai poser cette question sur les forums spécialisés en windows server/netword

          Merci

          1 Reply Last reply Reply Quote 0
          • TataveT
            Tatave
            last edited by

            Salut salut

            en premier lieu, mettez a plat ce que vous avez et ce que vous voulez faire sur deux feuilles différentes.
            en deuxième lieu, pointer les points communs, et les différents.
            en troisième lieu, le schéma de votre existant et reportez dessus ce qui devrait le remplacer.
            en quatrième lieu, la documentation des solutions des nouveaux éléments.

            La partie pfsense et le portail captif peut se traiter parmi nous sur le forum et ou sur la documentation (officiel et tutoriel du web).
            La partie proxy, il y a et aura un gros point de divergence en te nous, entre les l'intègre tout car ce que il est possible de faire (le tout en un) en faisant abstraction de certaine problématique et ceux qui préfère déporter sur une machine dédié pour des raisons de sécurité et de performances.
            La partie authentification est aussi un sujet qui est sujet épineux quand au choix de la mise en place, en interne du pf ou sur une machine deja existante, le w2012 a un module qui peut y etre rajouter si je ne me trompe pas (pas forcement un role ou une fonction propre a windows, mais une application tiers) et si j'ai bonne mémoire.
            La partie Ladp est quant à elle traité par le w2012.

            Cordialement.

            aider, bien sûre que oui
            assister, évidement non !!!

            donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
            apprendre à un homme comment cuisiner, il sera vivre.

            1 Reply Last reply Reply Quote 0
            • C
              chris4916
              last edited by

              ;D

              entre les l'intègre tout car ce que il est possible de faire (le tout en un) en faisant abstraction de certaine problématique

              Il y avait longtemps que nous n'avions pas abordé ce sujet  ;)
              Non ce n''est pas "intégré parce que c'est possible" mais "dans certains cas, il est préférable d'intégrer".
              Et la performance n'est définitivement pas un problème mais une question de sizing  :P

              Pour la partie authentification, dès lors que le choix est fait de s'appuyer sur le radius du portail captif, il est assez difficile de demander à l'utilisateur de s'authentifier une deuxième fois au niveau du proxy.
              Pour la base de compte, sauf à gérer ponctuellement un très petit nombre de comptes, il n'est pas intéressant de les gérer en local sur le pare-feu mais la question ne se pose pas ici puisqu'il y a un serveur Win 2012 qui gère les comptes (donc un domaine Windows je suppose même si ce n'est pas dit explicitement)

              Ce qui m’interpelle dans le design, c'est cet objectif de vouloir empiler portail captif et proxy en mode explicite.
              Avec un proxy en mode explicite qui supporterait une authentification, la seule valeur ajoutée du portail captif serait de permettre, par le biais d'une authentification, de permettre d'autres flux réseau que ceux gérés par le proxy.
              Dans une école y en t-il beaucoup ? Lesquels ?

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.