Duda implementar portal cautivo wireless, en red ya creada
-
Tengo la siguiente duda, ¿como implementar el portal cautivo en la sgte. red?
isp-router–-----firewall/proxy---------------switch core----------switch1---------------pcs-lan
dhcp:192.168.1.x/24 ----------switch2---------------pcs-lan
ip:192.168.1.254 ----------switch3---------------pcs-lanla red esta solo cableada y la idea es implementar un sistema wifi con access point que se conecten desde los switchs 1,2,3.
¿es posible solo conectar a la red un pc"server"con pfsense y que los access point se validen en el o se debe colocar entre el proxy y el switch core con interfaces lan y wan configuradas?, la idea es solo usar el portal cautivo para la red wifi.
¿que pasa con el dhcp?alguien podria hechar una mano o que haya hecho algo similar.
-
¡Hola!
Si no entiendo mal quieres mezclar WLAN y LAN en la misma red y, por tanto, colgando todo de la LAN de pfSense.
No hay problema en hacerlo, porque en el portal cautivo tienes una opción de by-pass por MAC. Esto quiere decir que los equipos con MAC hay puestos se saltan el portal cautivo. En tu caso serían los de la red cableada.
Sin embargo, piénsatelo bien. Es una situación insegura. De tener que aprovechar el cableado yo miraría si tus switches soportan VLAN y aislaría la WiFi y la red cableada para que no se vieran entre sí.
Bueno, verse si se podrían ver, con las reglas que definieras en pfSense. Ahí tendrías una LAN y además una VLAN en la misma interfase, con reglas distintas.
En cuanto al DHCP no veo problema. El DHCP que lleva pfSense es muy flexible. Puedes forzar IPs por MAC para los equipos fijos y dejar un rango para los WiFi, en el caso de hacer lo primero (sin VLAN). Si empleas VLAN, cada una de ellas tiene su DHCP.
Saludos,
Josep Pujadas
-
mira ante todo gracias por responder, mi pregunta apunta a si es posible solo usar una interfaz lan configurada en pfsense, solo para que se validen los clientes por access point, es decir el accesss point lo apunto al pfsense, la red cableada la idea es dejarla tal como esta sin portal cautivo.
ahora entiendo por lo que señalas que no es muy seguro hacerlo asi, entonces el ideal seria conectar la wan del pfsense al switch core (192.1687.1.x/24) y la lan (192.168.2.x/24) con otro segmento de red a un nuevo switch que solo conecte los access point asi se tendria la red separada fisicamente tambien. ¿es eso estimado?
gracias
p.d. esto es para un hotel de pasajeros, la red cableada y la inalambrica es para los mismos pasajeros.
red cableada habitaciones, inalambrica lugares comunes. -
¡Hola de nuevo!
Si puedes, emplea un pfsense con tres tarjetas. Una será WAN, otra LAN y la tercera (OPT1) es donde puedes conectar los APs y activar el portal cautivo.
De esta manera tendrás las funciones de cortafuegos tanto para los equios que cuelguen de LAN como loes que cuelguen de OPT1 (tu WiFi).
La otra opción es la que dices (un pfSense con dos tarjetas), dejar los equipos fijos directamente conectados a la conexión acon Internet. Pero ahí pierdes la posibilidad de gestionarlos con el cortafuegos. En este caso los APs cuelgan de la LAN de pfSense.
Ojo con el DHCP. Sólo puede haber uno en cada segmento de red. Esto quiere decir que lo más conveniente es que los APs no hagan de DHCP y que sea pfSense quien se ocupe de asignar IPs… Para facilitar la gestión de tus APs pónles IPs fijas y securiza su gestión.
Saludos,
Josep Pujadas
-
para complementar la idea anterior solo seria valida para separar la red de forma fisica si los switch no soportan vlan, ¿cierto?.
-
Sí, con tres tarjetas separas físicamente si no tienes VLAN en los switches. Pero el cableado tiene que ser totalmente independiente, para no entrar en bucle…
