Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    HotSpot lieux publics : expérience et questions pour choisir les bonnes pistes

    Français
    1
    1
    2.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      estragon
      last edited by

      Bonjour,

      intéressé par le projet Pfsense de longue date, je viens d'en une version sur une machine que j'utilise comme firewall dans de cadre d'un hotspot d'hôtel. Je tenais à faire part de cette expérience, si ca peu aider d'autres utilisateurs, et aussi pour mettre a plat certaines questions qui me turlupinent en ce moment.

      Historique:
      Depuis de nombreuses années, je partage ma liaison internet avec nos clients de l'hôtel. Mon approche a toujours été de faire de la liaison internet un service gratuit, mais aussi dans la mesure du possible que je n'ai pas trop de frais supplémentaire, tout en restant "maitre" des opérations. Donc pas de provider intermédiaire, pas non plus d'appareillage "spécifiques hôtel" (qui me paraissent chers).
      Je n'ai jamais mis ni clef de connexion, ni protections particulières (oui je sait c'est pas toujours bien!). Mais je partais du principe que ca pénaliserait les gens de bonne foi, sans vraiment freiner les autres.
      La loi HADOPI aidant, me suis décidé a mettre en place un firewall Pfsense (qui me semblait adapté a mes besoins).

      Matériel et réseau:
      Après avoir longtemps suivis les forums (je ne suis pas un rapide !) et quelques essais infructueux, j'ai acheté sur eBay un matériel JASOMI (FW-7650A, en fait c'est du LANNER qui se "cache derrière") j'ai installe un disque (qui n'y était pas d'origine) et installé un PF sensé 2.0 beta4 (qui semble s'y plaire ;-))

      Apres pas mal de tâtonnements (et grâce à l'aide de membres de l'IRC entre autre) il me semble que la bestiole commence à tenir la route, voici le schéma de mon réseau

      orange   –--> WAN   [PFSENSE]     –-> LAN (utilisé juste pour WebGUI de PFsense)
                                                         ---> MAS (réseau utilisé pour le réseau de nos postes internes)
                                                         ---> PRINT (utilisé pour les imprimantes de façon à les bridgera avec le réseau interne et celui clients)
                                                         ---> CPG   --->  Switch HP PROCURVE   --->  6 bornes AP Wi-Fi Apple Airport Extreme en "bridge" (portail captif des clients)

      Je voudrais m'attarder un peu plus sur la partie "Portail Captif" afin de vous faire part de mes réflexions en cours et me recentrer si je fais fausse piste :

      1/ Obligations en temps que responsable du HotSpot
      J'ai un peu de mal à comprendre réellement mes obligations. Mais à priori principalement :

      • déclaration a l'ARCEPT
      • décret de 2006
      • loi Hadopi
      • prescriptions de la CNIL
        dans la mesure ou je "sous-loue" ma ligne, une partie de ces obligations est de fait déjà faite par mon provider, je me demandais si en fait je n'avais pas "juste" à prendre des précautions pour que le P2P ne passe pas par ma ligne (en fait j'ai fermé beaucoup de ports) et que je garde les logs surtout au cas ou j'ai un problème pour que je puisse justifié que je ne suis pas en cause.
        En tous les cas il ne me semble pas nécessaire (et matériellement difficile) de prendre les identités des personnes.
        Actuellement, je fais valider des conditions d'utilisation et je bloque plusieurs ports, mais pour le moment ni je demande l'identité, ni je garde les logs

      2/ Logs
      Je pense devoir prochainement au moins enregistrer les logs. J'ai vu en lisant différents post qu'il était préférable de les stocker sur une machine autre, mais je devrais installer un proxy. Cela suffit il a répondre a mes obligations d'après-vous (dans la mesure ou le proxy ne mémorise que ce qui passe sur la partie web, mais à priori pas sur les autres ports ...) ? D'après vous, quelle machine serait adaptée, si possible rackable ? et enfin il me semble qu'il devrais y avoir des possibilité de faire enregistre ces logs sur des solutions externalisée, mais avez vous des conseil sur ce point ?

      3/ Radius et auto-inscription
      pour le moment, j'ai choisit le portail captif en mode non authentifie, mais en tenant compte des points précédents, je pense devoir prochainement passer en authentifications Radius. Je souhaiterais que le client s'auto-identifie. Je pense que c'est faisable (surement un peu compliquer pour moi, mais d'ici quelques mois!). Bien que peut-être pas trop recommande, je pense mettre le Radius sur la même machine que Pfsense. Avez vous des expériences dans ce sens, est ce que ca vous parait envisageable ?

      4/ Borne AP layer 2
      Actuellement j'ai comme point d'accès des Borne Airport Extreme, ca marche très bien, mais n'arrive pas à empêcher les "communications" éventuelle entre 2 clients sur la même borne. Il semble qu'il faille des bornes gérant le layer 2 et qui puissent empêcher les échanges intra-BSS. A priori on arrive pas a le faire avec mes bornes (existe-il un "work round" connu ?). Pensez vous que ce soit nécessaire (en fait c'est surtout pour protéger les clients d'éventuel autres clients indélicats). Je pensais pouvoir faire un genre de tunnel entre le client et le routeur, mais pas vraiment réussi à le faire ... Du coup, j'envisage de devoir par la suite changer les bornes. Peut-être temps qu'a faire prendre une borne qui puisse gérer deux réseaux différents (l'un interne pour la voie par exemple, et un pour les accès clients ?)
      Le Cisco, a priori cher et peut être pas temps que ca nécessaire, du coup j'envisage : Aruba - Trapeze - Symbol/Motorola - Zyxel - Proxim, si vous avez des recommandations (ou matériel a éviter) elles sont les bienvenus ...

      5/ Problème des mails sortant et SMTP
      Certains de mes client rencontrent des problèmes d'envoie de mail (mon fournisseur orange, bloque le port 25). J'avais envisagé en relayer ce "trafic" sur mon propre SMTP (comme le font certaines solutions commerciales pour la gestion des HotSpot) mais indépendamment de l'aspect technique (je pense que c'est faisable, mais ca touche mes point d'incompétence) je pense à la lecture de certains échanges ici même que c'est peut être une fausse bonne idée. En fait je conseille simplement aux clients de passer sur leur serveur SMTP en mode sécurisé, ca évite de devenir "spammeur" sans le savoir !

      Désolé pour ce long post, mais c'était pour moi l'occasion de faire un point sur mon installations actuelle afin que ca puisse profiter a d'autres, et me poser les questions a haute voix pour être sur que je soit sur la bonne piste.

      Merci d'avance pour vos avis et vos retour d'expérience, et longue vie à Pfsense

      Gerard

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.