Besoin d'aide pour configurer Pfsense avec gestion des accès, portail captif, gestion BP



  • bonsoir et très belles fêtes de fin d'année à tous,

    Je ne suis absolument pas une experte en réseau. Voilà je m'adresse à vous car j'ai vraiment besoin d'aide pour paramétrer PFsense avec le besoin suivant :
    Authentification des utilisateurs via le portail captif
    Gestion des accès avec blacklist via Squidguard et opendns
    Conservation des logs
    Gestion de la BP
    Gestion des ports
    L'objectif est de s'assurer que la connexion invité est utilisée de manière conforme à nos règles nationales (Hadopi, blacklist contenus illicites et authentification de l'utilisateur comme pour un FAI wifi )
    Je peine depuis des semaines avec ce sujet. J'ai installé Pfsense via Virtualbox mais la cible est un vieux PC non VT-x donc sur une partition dédiée.
    Pour l'instant je n'arrive même pas à accéder à l'url du web configurateur avec le LAN saisi et je pense que je n'arriverai pas au bout sauf à y consacrer des mois et bcp d'efforts tant les compétences me font défaut.
    J'ai vraiment besoin d'une assistance pas à pas ou chez moi (à Montreuil) si quelqu'un veut bien m'aider (contre rémunération à discuter bien sûr). J'espère ne pas contrevenir à la charte en faisant cet appel à l'aide.
    J'espère que ma demande est assez claire car je sais que vous êtes exigeants pour la précision du besoin.
    Merci de vos réponses et belle année 2020 !



  • Bonjour,
    Ce n'est pas très compliqué mais pas non plus complètement évident lorsqu'on débute avec les concepts réseau.
    1 - il existe une section "bounty" dans le forum international qui permet d'acheter, en quelque sorte, une prestation
    2 - dans le mode DIY, je pense qu'il ne faut pas chercher à atteindre la cible que tu décris du premier coup mais bien identifier les composants et s'assurer que chacun d'entre eux fonctionne avant de faire l'assemblage
    3 - la mise en conformité vis à vis de la législation, c'est assez difficile à atteindre, même dans les grands comptes, mais c'est bien de viser cet objectif ☺

    Je ne pense pas que tu puisses mettre en œuvre une configuration comme celle que tu vises avec uniquement un pfSense, surtout en mode virtualbox. Tout au plus tu pourras tester partiellement ta compréhension de comment les différents composants fonctionnent.

    il y a certainement plusieurs manières de couvrir ton besoin mais si j'avais à faire ça, je configurerais pfSense avec un portail captif (reste la question de l’authentification des invités et donc de la gestion des vouchers si tu ne veux pas créer un compte pour chaque utilisateur). Au fait, es-tu bien certaine que le portail captif est un besoin. Je veux dire un "vrai" besoin. Je trouve que souvent les personnes qui évoquent le sujet le confonde avec le besoin d'authentification au niveau du proxy (besoin que tu va avoir par ailleurs, j'y reviens plus tard.

    En ce qui concerne le proxy, il faut, si tu as vraiment besoin d'un portail captif, que le proxy soit derrière celui-ci d'un point de vue réseau. Le bon emplacement est un serveur proxy en DMZ. Reste à définir comment tu vas récupérer les logs. Attention, selon la population concernée et son activité, ça peut être volumineux. tu n'évoques d'ailleurs pas le nombre d'utilisateurs.

    Et comme tu mets en place un proxy, il faut te poser la question de comment tu communiques l'information aux utilisateurs. Si ce sont des utilisateurs dans un domaine Windows (mais tu parles d'invités), des GPOs ça marche. D'une manière générale, WPAD fonctionne, sauf pour la plupart des smartphones Android !

    A défaut d’authentification au niveau du proxy, celui-ci ne va conserver que l'adresse IP du client. Dans ce cas, il faut également conserver les logs du portail captif et faire des analyses croisées le jour où tu as besoin de savoir, ou de montrer, qui a accédé à quoi. Ce n'est pas aussi simple, sauf à mettre en place des solutions qui me semblent être au delà du sujet que tu évoques, comme Splunk> par exemple.

    OpenDNS, c'est très facile par contre: gràaces aux règles de FW, tu peux d'assurer que seul pfSense fait office de DNS pour ton réseau et donc imposer que celui-ci s'appuie sur OpenDNS. en cas d'utilisation d'un proxy, c'st d'ailleurs le proxy qui fait la résolution de nom 😎

    Pour la gestion de la bande passante (QoS ?) , il faut que tu décrives plus précisément ce que tu veux obtenir.

    Bon courage et bonne lecture car ça fait pas mal de documentation à assimiler !



  • Merci Chris4916 pour votre réponse.
    J'ai regardé la section bounties https://forum.netgate.com/category/30/bounties mais malheureusement très peu d'activité depuis 2013 et encore moins en français donc pour une assistance de proximité ce sera difficile.
    Je vais peut-être devoir reconsidérer l'utilisation de Squid et Squidguard en essayant de rédiger 2 fichiers de config fonctionnels en me débrouillant avec les différences sources sur le net.
    Dommage de ne pouvoir trouver cette forme d'entraide et je ne suis pas certaine de trouver les bonnes compétences sur une plateforme qui met en relation l'offre et la demande moyennant E.
    Ma demande reste ouverte si quelqu'un passe et veut me rendre service.
    Merci à tous et très belle année 2020 !



  • Je ne comprends pas cette histoire de "redirection de fichiers de conf Squid".
    De quoi s'agit-il ?

    Il y a pas mal de prose sur le web relatif à la mise en œuvre de Squid + Squidguard + la liste des domaines / sites le blacklist de l'université de Toulouse. De mon point de vue, ce n'est pas ça qui pose de réelle difficulté. A l’extrême limite pour ceux qui sont vraiment réfractaires à la ligne de commande, webmin permet de gérer ça avec une interface graphique, mais ce n'est pas indispensable, au contraire.

    Il est bien plus délicat de se reposer la question du pourquoi du portail captif, de la manière dont on va diffuser les informations relatives à l'emplacement du proxy et l’authentification des utilisateurs.


Log in to reply