Installation du portail captif



  • Contexte : Milieu professionnel, je suis actuellement en stage.

    Besoin : Lors de ma période de stage, on me demande d'installer le portail captif.

    Schéma : LAN (172.16.131.X) –> PfSense LAN (172.16.131.200) - PfSense WAN (192.168.254.12) --> FAI

    WAN (modem/routeur/box) : nombre, type, bridge/routeur, nombre d'ip publique, si multiwan, préciser loadbalancing/failover, adressage, ...

    LAN : 3 Vlan's --> 172.16.1.X (Serveurs) // 172.16.130.X (Plage dhcp) // 172.16.131.X (Plage dhcp wifi)

    Question : Je viens vers vous car j'ai besoin de vos lumières, effectivement, j'ai honteusement beaucoup de mal avec l'installation du portail captif PfSense.
    Voici ma situation, je suis en milieu professionnel où est déjà en place un réseau avec des serveurs DHCP / DNS. J'aimerais pouvoir déployer le portail captif sans utiliser les fonctions DHCP et DNS de PfSense donc.

    Cela fait 3 jours que j'essaye de le mettre en place sans avoir accès à ce portail. Pouvez-vous m'éclairer sur la configuration à mettre en place ?

    Pour le moment, j'ai donc configuré mes deux interfaces, côté lan --> 172.16.131.200, coté wan --> DHCP
    J'ai donc placé une gateway côté lan --> 172.16.131.254.
    Ensuite, côté DNS Server, j'entre donc mes deux adresses 172.16.1.X et 172.16.1.Y. Ensuite, j'active le portail captif et j'ai crée un user de test.
    J'ai donc un PC portable côté LAN en 172.16.131.24 dans lequel j'entre l'adresse de mon PfSense en Gateway.
    J'ai eu une fois accès au portail captif, pour être franc je ne sais comment et depuis plus rien. Evidemment j'ai eu accès après avoir bidouillé côté DNS Resolver / DNS Forwarder. Mais je ne vois pas du tout comment bien le configurer. Suis-je complètement à côté de la plaque ?

    Depuis, j'ai remis les paramètres par défaut et je vous avoue être perdu...

    Recherches : Problème de DNS je pense, quand je suis sur le PC portable avec le portail captif activé et ma Gateway avec l'ip de PfSense, j'ai "DNS PROBE..."

    En espérant que les informations que je vous mentionne vous suffisent, j'ai lu pas mal de documentations mais malheuresement elle sont souvent spécifiques et utilisent bien sur les DNS / DHCP de PfSense, ce que je ne veux pas.

    Merci de votre retour.



  • Bonjour,

    Je manque de temps pour développer, mais :

    Le portable avec pf en gw accède correctement au dns interne et au net (http/https) SANS le portail captif activé ?

    Si oui, ajouter l'ip du dns dans les ip autoriser avant authentification dans les options du portail. (Si j'ai bien compris, le dns n'est pas dans le même réseau)
    Si non, vous voulez aller trop vite et bruler les étapes  ;)
    => Vérifier vos config Vlan ainsi que les règles de fw sur pf

    Cdt

    Cédric



  • Bonjour,

    Je vous remercie pour vos indications et votre aide.

    Effectivement, côté PfSense, j'accède bien des deux côté (ping www.google.fr -> OK, ping PC portable -> OK).
    De l'autre, aucun accès avec l'ip de PfSense en gw.
    Je vais me pencher sur les règles fw car j'ai bien configuré mes Vlan, j'ai même essayé d'ajouter les cartes en virtuel (OPT1, OPT…)

    Je reviens vers vous si je n'arrive pas à avancer dans la matinée,

    Merci.



  • Re Bonjour,

    Merci Cédric, vous m'avez été d'une grande aide, j'ai effectivement vu que par défaut sur la carte WAN les options
    -Bloquer les réseaux privés et les adresses de loopback
    -Bloquer les réseaux invalides
    Sont activées. Je les ai donc désactivées et la miracle, j'ai eu accès au portail captif en renseignant les informations PfSense en GW et DNS.
    J'ai donc pu essayer de me log avec mon compte test et j'ai pu naviguer sans soucis.
    Le test a été effectué plusieurs fois (après redémarrage / changement de configuration).

    Ensuite, j'ai voulu activer mon authentification en serveur distant (mon AD).
    Puis après redémarrage, plus d'accès au portail captif et donc plus d'accès internet non plus. (à savoir que je ping bien mon AD / Google depuis mon PfSense)

    Depuis, j'ai beau revenir en arrière dans ma configuration, je n'arrives toujours pas à ré-acceder à mon portail.

    Toujours, je pense un soucis DNS. Comment dois-je faire la configuration ? J'ai activé mon DNS Resolver en port 53 sur toutes interfaces, j'ai essayé avec le DNS forwarder en port 54 (on ne peut pas mettre le même donc j'avoue j'ai essayé celui-ci au hasard) mais toujours rien.

    J'ai essayé de décocher la case "Autoriser le liste des serveur DNS être écrasée par DHCP/PPP sur le WAN" dans la configuration générale ainsi que "Ne pas utiliser le DNS Forwarder/DNS Resolver comme serveur DNS pour le pare-feu" mais sans succès.

    Pour vous, qu'est-ce qui pourrait être bloquant dans ma configuration sachant que j'ai réussi à accéder au portail de façon assez instable et maintenant plus du tout.

    Je vous remercie pour vos pistes, vous avez déjà été d'une grande aide.



  • @Khyx35:


    Ensuite, j'ai voulu activer mon authentification en serveur distant (mon AD).
    Puis après redémarrage, plus d'accès au portail captif et donc plus d'accès internet non plus. (à savoir que je ping bien mon AD / Google depuis mon PfSense)

    Hein ?
    Et l'accès au console ? Il est temps de découvrir l'utilité de l'option 15.

    @Khyx35:

    Depuis, j'ai beau revenir en arrière dans ma configuration, je n'arrives toujours pas à ré-acceder à mon portail.

    Chaque changement produira une version du config. T'as qu'a choisir la version juste avant le modif "AD". D'ailleurs, c'est quoi, ce "AD" ?.
    Si ça "marche" toujours pas, d'autres soucis de config existe.

    @Khyx35:

    Toujours, je pense un soucis DNS. Comment dois-je faire la configuration ? J'ai activé mon DNS Resolver en port 53 sur toutes interfaces, j'ai essayé avec le DNS forwarder en port 54 (on ne peut pas mettre le même donc j'avoue j'ai essayé celui-ci au hasard) mais toujours rien.

    Garde le resolver avec config par défaut. Ca marche pour moi 'portail, LAN, VPN, tout)
    Activer aussi le Forwarder sur la "54" : ça n'a aucun sens.

    @Khyx35:

    Pour vous, qu'est-ce qui pourrait être bloquant dans ma configuration sachant que j'ai réussi à accéder au portail de façon assez instable et maintenant plus du tout.

    Suivant https://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting : et comme d'hab : le DNS est foutu … et le Portal Captive nécessite que le DNS fonctionne pour les visiteurs.



  • Bonjour à toi,

    Merci de ta réponse même si je la trouve légèrement agressive… Tu dois être las des newb pfsense comme moi, concevable...

    bref,

    "Hein ?
    Et l'accès au console ? Il est temps de découvrir l'utilité de l'option 15."

    "AD" pour "Active Directory", oui j'ai pas précisé, je veux me servir de celui-ci car il a tout les comptes utilisateurs renseignés donc plus pratique pour l'authentification mais la question n'est pas la car j'arrive à le joindre et le test d'authentification est concluant.

    Effectivement, j'ai bien utilisé l'option 15, j'ai même enregistré ma conf en .xml lorsque ça fonctionner. Malgré ça, même si je reviens sur cette conf, ça ne fonctionne plus....

    "Garde le resolver avec config par défaut. Ca marche pour moi 'portail, LAN, VPN, tout)
    Activer aussi le Forwarder sur la "54" : ça n'a aucun sens."

    Effectivement, le forward est une erreur de ma part, je le conçois. Je viens de repartir sur une conf "Factory default".

    J'ai remis l'adresse IP de mon serveur DNS dans ma configuration générale, j'ai enlevé les cases cochantes sur la carte WAN citée tout à l'heure et j'ai posé des règles firewall pour accepter tout trafic (any) que ce soit en LAN ou WAN pour essayer...

    Avec un ptit test entre chaque manipulation qui n'ont pas été concluante.

    Je suis donc sur une configuration propre, je n'ai pas touché au DNS resolver, pas activé le forwarder.

    Le portail captif ne fonctionne toujours pas.

    Sur ce, j'ai l'impression d'être chiant donc ne vous embêter pas, je vais revoir les différentes docs et je vais me débrouiller.

    Merci quand même.



  • Ah, non, pas chiant, et je n'ai pas voulu être 'agressive'.

    Donc le DNS est le Resolver.
    Dans le GUI - dashbord, le DNS mentionné est "127.0.0.1".

    Le portail  captive est sur LAN ? OPT1 ?
    Montre les règles parafue GUI de ce interface stp.
    Puis : désactive le portail captif, l’interface fonctionne normalement => donne accès à Internet ? Ping ok - DNS aussi - IP / Passerelle / DNS ok ? (les deux denier doivent être l'IP de l'interface pfSense).

    Le login-page du captive portail est lui par défaut ?

    Sache que https://doc.pfsense.org/index.php/Captive_Portal_Troubleshootingte permet de tester ton portail captive.

    Une fois connecté à le réseau portail captif (coté wifi - et t'as reçu ton  IP / Passerelle / DNS) et tu force avec un http://www.google.fr, ça fonctionne ?
    A partir de ce même appareil, un ping vers
    google.fr
    ne passe pas, mais le URL est résolu vers un IP ? (le DNS passe toujours !) ?



  • Hello,

    Merci de ta réponse et désolé du retard (Beaucoup de vacances en ce mois de Mai)

    Alors, pour commencer, dans mon GUI (Dashboard) les DNS mentionnés sont les suivants :
    DNS server(s)
    127.0.0.1
    81.253.149.13
    80.10.246.5

    Je pense que les deux 81. et 80. ont été récupéré via DHCP par l'interface WAN.

    Mon portail captif est sur l'interface LAN. Mes interfaces "OPT1, 2 et 3" ne sont même pas "Enable".

    En ce qui concerne les règles FW sur l'interface LAN, je te transmet un screenshot.

    Ensuite mon login-page portail captif est bien par défaut mais même en l'activant où désactivant, je résolve bien les noms externe (www.google.fr par exemple) mais pas mes noms interne. C'est-à-dire, que si je ping mon poste client via son IP, pas de soucis, si je le ping via son nom d'hôte –> ping: cannot resolve "Hostname": unknown host.

    J'ai essayé plusieurs manipulations niveau DNS, et le seul moment où j'arrive à ping mon client via son nom d'hôte est lorsque j'initialise le serveur DNS de mon entreprise (Windows) dans la section "Domain Overrides" du DNS Resolver...

    Mais, dans ce cas de figure, toujours pas de portail captif et d'accès internet depuis mon poste client.

    Je vais prendre des captures de ma configuration DNS si cela peut te permettre de m'aider, je te remercie pour le temps consacré à me répondre en tout cas !!!




  • Voila,

    Je pense que vous aurez toute les informations sur ma configuration.

    Je rappelle, concernant le DHCP, il n'est pas activé côté PfSense car on en a déjà qui distribue l'adressage et je veux éviter de crée des conflits.

    Depuis mon poste client, je passe donc en "Manuel", j'initialise une IP libre et l'adresse IP de PfSense en tant que "Gateway" et "DNS".

    Je vous remercie, je ne vois pas ce que j'ai pu faire de travers :/



  • C'est avec cette partie où tu va hors charte :

    … lorsque j'initialise le serveur DNS de mon entreprise (Windows) ...

    quoi que ça reste réalisable.

    Tout d'abord :
    DHCP et DNS doivent fonctionner.
    Ok si tes appareils ont un 'IP fixe', ils doivent tous avoir un IP / Masque /Passerelle (pfSense) et un DNS (ton "Windows"). Dans ce cas, l'accès Internet fonctionne.

    Suivant https://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting - plus précieusement :

    ipfw table all list
    

    Du coup c'est simple de vérifier si t'as pas "oublié " de marquer le IP de ton serveur DNS dans la liste "Allowed IP Adresses" de ton config Captif portal (ça fait que tes client "portail" ne peuvent s'adresser au serveur DNS qui n'est pas - rappelle-toi - pfSense mais un autre PC.

    Cependant, je te conseille fortement d'utiliser le portail captif sur son interface à lui - et réserver le LAN pour les appareils de confiance.

    Puis surtout activer le serveur DHCP sur cette interface - et laisse pfSense gérer les DNS de ces clients "portail".

    Une méthode pour tout faire fonctionner dès la première fois est :
    Laisse gérer pfSense tout - et surtout : ne touche jamais au paramétrage "réseaux" d'aucun appareil (PC, PA, smartphone, tablette, TV, NAS, etc etc etc). Gère les IP à partir de ton passerelle/serveur DHCP/DNS avec l'aide des IP DHCP Statiques (lease avec adresse MAC). La vie sera simple comme ça.
    Puis, quand tout fonction : complique-toi la vie avec, par exemple : sous-traiter la partie DNS sur un autre appareil que pfSense.
    Tu vas rapidement comprendre les effets sur les clients et au passage aussi portal captif. Le paramétrage correct sera plus facile à trouver.

    PS : ceci : pfSense : System => General Setup - ne coche pas des cases. Sinon tu court-circuite ton Resolver et tes appareils risquent de demander (requête DNS) auprès les serveurs DNS de Orange ce que c'est : pfSense.gorron-indus****.fr et ça risque fort de foirer. Le DNS d'Orange n'a pas de notion de ton réseau local.
    L'idée est que toutes tes apprareils ont qu'UN serveur DNS - pfSense inclus : pfSense.
    Pour tes LAN's, c'est L'IP de tes interface LAN (OPTx). Pour pfSebse lui même c'est lcoalhost ou 127.0.0.1.
    Le Resolverva se débrouiller après.

    PS2 : Le sacre avantage de travailler avec les "DHCP-Static Leases" est que le passerelle de ton "LAN" (pfSense) est aussi informé de toutes tes appareils et leur nom. Raison de plus de jamais travailler avec des adresses statiques. Bien sur il est possible de désigner un autre serveur DNS/serveur DHCP dans ton LAN, tant que tes appareils client seront informés de cette situation, tout va bien.



  • Rebonjour,

    Déjà je te remercie pour la réponse rapide, je vais tenir compte des conseils et je vais essayer de faire mon possible.
    L'aide m'a permis de mieux comprendre le fonctionnement de PfSense.

    PS : Si j'ai mon poste client en IP Fixe c'est parce que je déploie PfSense directement sur l'environnement de production car je n'ai pas d'autres environnements de test à disposition. C'est donc assez compliquer de faire mes essais sans crée d'impact sur les utilisateurs.

    En tout cas encore merci pour l'aide apportée je vais fonctionner dans votre sens, je pense qu'il sera préférable de ne pas brûler les étapes et afin d'arriver à une solution qui fonctionne.

    En espérant que ce post puisse être utile à d'autres.
    Bye