Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portal cautivo

    Scheduled Pinned Locked Moved Español
    10 Posts 5 Posters 5.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      danny0089
      last edited by

      En la universidad estoy realizando un proyecto de seminario, el cual consiste en implementar un portal cautivo con pfsense con el fin de autentificar a los usuarios. Será implementado en una institucion educacional y la idea es que los funcionarios tengan mas privilegios de navegacion que los alumnos. mi consulta es ¿se puede hacer? ¿como? Gracias por la atención  :)

      1 Reply Last reply Reply Quote 0
      • B
        Barahona
        last edited by

        Buenas danny0089,

        Yo necesito implementar una cosa parecida, de echo tengo abierto el tema en este link:
        http://forum.pfsense.org/index.php/topic,42109.0.html
        Te lo dejo por si te sirve.
        De todas formas si los profesores se conectaran des de pc identificados y siempre diferentes de los alumnos, simplemente dándoles un rango de IPs especificas para los profesores, y creando reglas especificas para las IPs (las puedes agrupar con un alias para trabajar más fácilmente).
        Para poder hacerlo así necesitas:

        • Conseguir las MACs de los dispositivos des de los que se conectan los profesores
        • Asignarles un rango de IPs, o IPs fijas a cada uno, en el DHCP
        • Asignar un rango de IPs para los alumnos distinto del de profesores
        • Realizar un alias del rango de profesores y un alias del rango de alumnos
        • Modificar las reglas del firewal para asignar permisos diferentes segun el alias
        • Activar el Portal Cautivo
            - Si quieres como tienes las MACs los profesores pueden navegar sin autentificarse
            - Agregas los usuarios que darás al portal, via usuarios Locales, Radius, …

        Yo creo que con esto ya estaría solucionado.

        Pero por contra si los profesores y alumnos necesitan poderse conectar des del mismo equipo la cosa esta más jodida y entonces te pasa como a mi...

        Espero haberte podido ayudar.
        Saludos,

        1 Reply Last reply Reply Quote 0
        • D
          danny0089
          last edited by

          @Barahona:

          Buenas danny0089,

          Yo necesito implementar una cosa parecida, de echo tengo abierto el tema en este link:
          http://forum.pfsense.org/index.php/topic,42109.0.html
          Te lo dejo por si te sirve.
          De todas formas si los profesores se conectaran des de pc identificados y siempre diferentes de los alumnos, simplemente dándoles un rango de IPs especificas para los profesores, y creando reglas especificas para las IPs (las puedes agrupar con un alias para trabajar más fácilmente).
          Para poder hacerlo así necesitas:

          • Conseguir las MACs de los dispositivos des de los que se conectan los profesores
          • Asignarles un rango de IPs, o IPs fijas a cada uno, en el DHCP
          • Asignar un rango de IPs para los alumnos distinto del de profesores
          • Realizar un alias del rango de profesores y un alias del rango de alumnos
          • Modificar las reglas del firewal para asignar permisos diferentes segun el alias
          • Activar el Portal Cautivo
               - Si quieres como tienes las MACs los profesores pueden navegar sin autentificarse
               - Agregas los usuarios que darás al portal, via usuarios Locales, Radius, …

          Yo creo que con esto ya estaría solucionado.

          Pero por contra si los profesores y alumnos necesitan poderse conectar des del mismo equipo la cosa esta más jodida y entonces te pasa como a mi...

          Espero haberte podido ayudar.
          Saludos,

          Hola, gracias por tu pronta respuesta. Otra consulta, sabrás si se puede hacer de formas más sencilla por VLAN ? y que cada usuario al ingresar entre a la VLAN correspondiente

          1 Reply Last reply Reply Quote 0
          • B
            Barahona
            last edited by

            Buenas,

            No entiendo la pregunta :P
            Quieres que los usuarios esten en VLANs distintas?

            No creo que PfSense soporte marcar los paquetes con VLANs. Pero tal vez alguien con más experiencia te lo pueda confirmar.

            Si sabes las ips de los profesores las puedes hacer salir por una interficie y el resto por otra. Y estas conectadas a bocas del switch que tengan asignada una VLAN o otra.

            De todas formas creo que sería complicar la cosa el hecho de introducir VLANs

            1 Reply Last reply Reply Quote 0
            • F
              frontsidebus
              last edited by

              hola, mira, en teoria con el captive portal y freeradius, puedes hacer que segun sea el usuario que se logee, vaya a una vlan o a otra.
              una vez lo intente pero jamas me funciono, y no hay documentacion acerca de esto. Como dice barahona no se si pfsense puede marcar los paquetes con vlans.
              lo que si es seguro ke funciona, es, por ejemplo, asignar una vlan por puerto del switch, se llama gvrp. en los procurve, puedes activarlo como web-based y configuras el switch para que use una autentificacion con un radius, asi segun sea el user te pondra una vlan u otra.

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                No creo que PfSense soporte marcar los paquetes con VLANs

                pfSense sí soporta VLANs:

                http://doc.pfsense.org/index.php/VLAN_Trunking
                http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense

                Arriba, en Documentación:

                Tutorial portal cautivo y FreeRadius
                http://www.bellera.cat/josep/pfsense/kutrefa_pfsense_captive_portal_freeradius.pdf

                1 Reply Last reply Reply Quote 0
                • B
                  Barahona
                  last edited by

                  Buenas,

                  Lo que nos interesaría saber es si podemos hacer tag de una o otra VLAN según el usuario que se loguine.
                  Puesto que en el caso que plantea "danny0089" el echo de poder hacer tag de VLANs por reglas estáticas no nos sirve…

                  ¿Sería factible hacer tag de una VLAN concreta según el usuario validado en el Portal Cautivo (independientemente de la IP con la que opere)?

                  Gracias,

                  1 Reply Last reply Reply Quote 0
                  • N
                    ncolunga
                    last edited by

                    Al menos yo no entiendo que pretendéis, los usuarios estarán conectados a switches, no al pfsense, así que el trabajo de segregar el tráfico por VLANs debe hacerse en la electrónica de red. Quizá si estan conectados por wifi directamente al pfsense se podría realizar una asignación dinámica de VLAN por 802.1x pero lo desconozco.
                    De todas formas quizá deberíais revisar si a través de la autenticación de squid/squidguard podéis conseguir lo que buscáis.

                    Un saludo.

                    @Barahona:

                    Buenas,

                    Lo que nos interesaría saber es si podemos hacer tag de una o otra VLAN según el usuario que se loguine.
                    Puesto que en el caso que plantea "danny0089" el echo de poder hacer tag de VLANs por reglas estáticas no nos sirve…

                    ¿Sería factible hacer tag de una VLAN concreta según el usuario validado en el Portal Cautivo (independientemente de la IP con la que opere)?

                    Gracias,

                    1 Reply Last reply Reply Quote 0
                    • F
                      frontsidebus
                      last edited by

                      si es cableado y se disponen de switches gestionados lo mejor es usar gvrp por puerto. el switch ya se encarga de validar el usuario con el radius y asignarle la vlan al puerto, con procurve, por ejemplo
                      http://www.terena.org/activities/campus-bp/pdf/gn3-na3-t4-cbpd111.pdf
                      http://www.hp.com/rnd/support/config_examples/gvrp_use.pdf

                      si es una wifi, eso ya es otro cantar,

                      hola, mira, en teoria con el captive portal y freeradius, puedes hacer que segun sea el usuario que se logee, vaya a una vlan o a otra.
                      una vez lo intente pero jamas me funciono, y no hay documentacion acerca de esto.

                      1 Reply Last reply Reply Quote 0
                      • D
                        danny0089
                        last edited by

                        Gracias a todos por sus prontas respuestas me ha servido bastante y ahora probaré y leeré los documentos referentes al tema, después les cuento que tal me fue  ::)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.