Probleme portail captif



  • Bonjour à tous j'ai un petit problème avec le portail captif, voici mon schéma, ma borne distribue en wifi via le portail captif un réseau protégé par le firewall pfsense, mon problème vient du fait qu'à partir du moment ou un utilisateur s'est authentifié, tout les autres user peuvent navigué, pfsense voit comme ip celle de la borne et non celle de l'utilisateur. Du coup toute les requêtes venant de la borne sont automatiquement accepté…
    N'y as-t'il pas un moyen de faire autrement afin que mes utilisateurs aient tous à ce loger ???

    Voici mon schéma:

    J'ai oublié de préciser que tout les masque étaient en /24

    Merci



  • Ne serait-pas plus simple que le routeur wifi soit branché en "point d'access" ?

    Il suffit de changer l'adresse ip du routeur wifi et d'oublier le port wan (=brancher pfsense sur un port lan et non wan).

    D'ailleurs, c'est une curieuse idée que d'avoir un routeur derrière un pfSense !



  • @jdh:

    Ne serait-pas plus simple que le routeur wifi soit branché en "point d'access" ?

    D'ailleurs, c'est une curieuse idée que d'avoir un routeur derrière un pfSense !

    Ce serait effectivement plus simple mais je n'ai que ce point d'accès (un Netgear WGR614) en tant que PA Wifi…

    @jdh:

    Il suffit de changer l'adresse ip du routeur wifi et d'oublier le port wan (=brancher pfsense sur un port lan et non wan).

    Il faudra que je désactive le serveur DHCP de mon routeur, sinon les client auront une mauvaise passerelle ???



  • Ce type de routeur (1 port wan + 4 ports lan + 1 ou plusieurs antennes comme beaucoup !) est tout simple à mettre en mode "point d'accès".

    • on ne branche rien sur le port wan,
    • on branche le port lan avec la carte ethernet "réseau wifi" du firewall (câble croisé),
    • on affecte une adresse ip au lan du routeur compatible avec avec la carte ethernet,
    • on configure le wan du routeur en static avec une adresse ip inutilisée (idem pour la passerelle),
    • on ne configure pas de dhcp : le firewall fournira ce qui est nécessaire.

    Chez moi, cela donne :

    • fw / réseau lan = 192.168.2.1/24
    • fw / reseau wifi = 192.168.3.1/24
    • routeur wifi / lan = 192.168.3.254/24 (+ dns 192.168.3.1)
    • routeur wifi / wan = 192.168.99.254/24 + passerelle 192.168.99.1
    • routeur wifi : pas de dhcp
    • fw / dhcp wifi : range 192.168.3.20-39, dns 192.168.3.1, passerelle 192.168.3.1, domaine xxx.xxx
      (- routeur wifi : ssid genre WANADOO-xxxx, clé 25 caractères aléatoires a-zA-Z0-9, WPA-PSK + AES)

    Simple et efficace.



  • @jdh:

    • on branche le port lan avec la carte ethernet "réseau wifi" du firewall (câble croisé),
    • on affecte une adresse ip au lan du routeur compatible avec avec la carte ethernet,

    Rien compris là ???

    @jdh:

    Chez moi, cela donne :

    • fw / réseau lan = 192.168.2.1/24
    • fw / reseau wifi = 192.168.3.1/24

    Je ne comprend pas trop mon pfSense n'as que 2 sortie WAN et LAN

    J'ai fait un schéma pour voir si j'avais tout bien compris :



  • Chez moi, le firewall a une interface wan, une interface lan et une interface wifi (3 cartes ethernet).

    Pour la partie wifi, cela donne

    • fw / eth "wifi" : 192.168.3.1/24
    • fw / dhcp : range 192.168.3.20−39, dns=passerelle=192.168.3.1
    • routeur wifi : un câble fw <-> 1 port lan
    • routeur wifi / lan : 192.168.3.254/24
    • routeur wifi / wan : 192.168.99.254

    Cela correspond donc bien à ton schéma (sauf que les pc fixes ne sont pas connectés sur les ports lan restants mais l'interface lan du firewall = à ne pas confondre !).
    Le wan du routeur n'est pas connecté mais les ports lan et l'antenne wifi sont naturellement bridgés, d'où fonctionnement en AP.

    Ce mode AP simplifie notablement la connectivité : le firewall fournit le dhcp (et le dns) tant à ses clients RJ (lan) qu'à ses clients wifi !



  • @jdh:

    Cela correspond donc bien à ton schéma (sauf que les pc fixes ne sont pas connectés sur les ports lan restants mais l'interface lan du firewall = à ne pas confondre !).

    N'ayant que deux cartes reseaux sur mon pfSense cela veut dire que je doit ajouter un switch après pfSense ? je ne comprend pas bien pourquoi je ne peux me connecter via le port switch de mon routeur wifi ? En quoi cela pose t'il un probleme sachant que ces stations (en libre accès) devront également s'authentifier sur le portail captif ?



  • Bonjour,

    En faite si je ne me trompe pas tu peux mais il ne faut pas que ton routeur wifi soit en mode " routeur " c'est une façon de parler mais plutôt en mode " point d'accés ". Le mode point d'accés se définit généralement dans les fichiers de configuration de ton routeur wifi.
    Ensuite c'est pfsense qui fera dhcp en ayant pour adresse dns et passerelle 192.168.1.1.
    Ton routeur wifi servira uniquement de point d'accés et rien d'autre.
    Enfin si j'ai bien compris ton probléme.



  • J'ai du mal m'exprimer !

    Chez moi, perso, j'ai un firewall à 3 pattes, dont l'une est relié à un routeur wifi configuré comme AP. Mes pc fixes utilisent un switch relié à une patte qui n'est pas la patte reliée au routeur wifi. Enfin cela c'est chez moi !

    Dans le schéma proposé, il n'y a que 2 pattes au firewall. Dont la patte "lan" est reliée à un routeur wifi configuré en AP.
    On peut connecter des PC fixes ethernet directement sur l'un des ports "lan" sur routeur wifi sans aucun problème.

    Donc ton schéma est tout à fait correct ! (Et puisqu'il reste 3 prises dispo sur les 4 ports "lan" du "routeur wifi"-AP, il ne faut pas se gêner à les utiliser !)

    Bien que n'ayant pas essayé le portail captif, je peux supposer que pc en ethernet ou pc en wifi se comporteront de la même façon.

    La façon de configurer un routeur wifi comme AP est celle que je décris.



  • Merci pour tout ces précisions,
    Une petite question d'ordre Hardware, avez vous plutot installé pfSense sur une machine de type PC auquel vous rajouté des carte réseaux, ou privilégié un mini PC embedded de type Alix ???



  • PC avec 2 cartes réseaux pour moi.



  • PC avec 3 cartes réseau (pci).

    A la maison, si on souhaite séparer la fonction firewall (pfSense) et la fonction hébergement-test-nas-…, l'idéal serait d'avoir un petit boitier embarqué pour le firewall.
    Donc j'ai une vielle Debian avec Shorewall + tous les services qu'il me faut ...

    En entreprise, c'est direct un PC en salle info, et souvent c'est 2 PC : pfSense sait faire du failover si rapidement !


Log in to reply