Conseils pour pfsense + captrive portal + proxy + radius
-
Bonjour à tous,
Avant de démarrer quoi que ce soit, je souhaiterais avoir votre avis et conseils.
Je dois mettre en place une nouvelle solution pour l'accès internet dans notre école. Actuellement j'utilise Kerio Winroute, qui fonctionne mais devient vieillissant et surtout, je n'ai pas de licence.
Je souhaiterais obtenir la solution suivante:
- Chaque utilisateur non authentifié arrive sur la page de login (presque tout le monde)
- Le login du portail se fait via un radius (fait maison, il va controler le login sur une plateforme scolaire via o2auth).
- Utilisation des vouchers en plus pour les visiteurs.
- Utilisation d'un serveur proxy de type squid sur une autre machine.J'ai actuellement un serveur 2012 qui gère mon lan et mes users.
Comment mettre en place ceci au niveau structure, surtout au niveau proxy / pfsense ? Plusieurs cartes réseaux ?
Si j'utilise le portail captif et un proxy, comment et où installer le proxy pour qu'il n’interfère pas avec le portail ?J'ai également un autre truc que je souhaiterais mettre en place mais je ne sais pas si c'est possible. J'aimerais que certains users passent par les dns de google et d'autres par les dns OpenDns.
Merci d'avance pour vos conseils et idées.
-
Le truc auquel il faut que tu fasses attention, c'est que le proxy doit se situer "après" le portail captif, sans quoi tous les clients vont se pointer avec la même adresse, celle du proxy ;D
et le premier qui accède ouvre la porte à tous les autres :opour le DNS… si tu utilises un proxy, ce n'est pas le DNS de l'utilisateur qui est pris en compte mais celui utilisé par le proxy... à moins que tu utilises un proxy en mode transparent, mais dans ce cas je ne peux rien faire pour toi :P
Et d'une manière générale, il est souhaitable de ne pas autoriser les utilisateurs sur le LAN à faire des requêtes DNS sur internet.
-
justement, j'ai bien conscience du problème avec le proxy et le portail captif.
Donc pratiquement, comment mettre cela en place ? Tu dis de le mettre "après" et çà j'en suis déjà convaincu mais justement comment mettre cela en place.
Actuellement je configure mes clients en WPAD pour pointer le proxy. Je suppose que si le proxy est "après", je dois retirer mon WPAD laisser travailler pfsense et le portail captif avant et ensuite faire passer tout le traffic web par le proxy pour filtrer ce qui doit l'être ?
Techniquement, je procède comment pour le faire "proprement" ?
Pour le DNS, pour le moment, tout passe via mon 2012 et seul le 2012 a le droit d'envoyer des requêtes dns vers le net, et uniquement vers opendns pour le moment.
Pour mon histoire de dns en fonction de la source, je ne sais pas trop par ou commencer, mais j'ai poser cette question sur les forums spécialisés en windows server/networdMerci
-
Salut salut
en premier lieu, mettez a plat ce que vous avez et ce que vous voulez faire sur deux feuilles différentes.
en deuxième lieu, pointer les points communs, et les différents.
en troisième lieu, le schéma de votre existant et reportez dessus ce qui devrait le remplacer.
en quatrième lieu, la documentation des solutions des nouveaux éléments.La partie pfsense et le portail captif peut se traiter parmi nous sur le forum et ou sur la documentation (officiel et tutoriel du web).
La partie proxy, il y a et aura un gros point de divergence en te nous, entre les l'intègre tout car ce que il est possible de faire (le tout en un) en faisant abstraction de certaine problématique et ceux qui préfère déporter sur une machine dédié pour des raisons de sécurité et de performances.
La partie authentification est aussi un sujet qui est sujet épineux quand au choix de la mise en place, en interne du pf ou sur une machine deja existante, le w2012 a un module qui peut y etre rajouter si je ne me trompe pas (pas forcement un role ou une fonction propre a windows, mais une application tiers) et si j'ai bonne mémoire.
La partie Ladp est quant à elle traité par le w2012.Cordialement.
-
;D
entre les l'intègre tout car ce que il est possible de faire (le tout en un) en faisant abstraction de certaine problématique
Il y avait longtemps que nous n'avions pas abordé ce sujet ;)
Non ce n''est pas "intégré parce que c'est possible" mais "dans certains cas, il est préférable d'intégrer".
Et la performance n'est définitivement pas un problème mais une question de sizing :PPour la partie authentification, dès lors que le choix est fait de s'appuyer sur le radius du portail captif, il est assez difficile de demander à l'utilisateur de s'authentifier une deuxième fois au niveau du proxy.
Pour la base de compte, sauf à gérer ponctuellement un très petit nombre de comptes, il n'est pas intéressant de les gérer en local sur le pare-feu mais la question ne se pose pas ici puisqu'il y a un serveur Win 2012 qui gère les comptes (donc un domaine Windows je suppose même si ce n'est pas dit explicitement)Ce qui m’interpelle dans le design, c'est cet objectif de vouloir empiler portail captif et proxy en mode explicite.
Avec un proxy en mode explicite qui supporterait une authentification, la seule valeur ajoutée du portail captif serait de permettre, par le biais d'une authentification, de permettre d'autres flux réseau que ceux gérés par le proxy.
Dans une école y en t-il beaucoup ? Lesquels ?