Portal cautivo



  • En la universidad estoy realizando un proyecto de seminario, el cual consiste en implementar un portal cautivo con pfsense con el fin de autentificar a los usuarios. Será implementado en una institucion educacional y la idea es que los funcionarios tengan mas privilegios de navegacion que los alumnos. mi consulta es ¿se puede hacer? ¿como? Gracias por la atención  :)



  • Buenas danny0089,

    Yo necesito implementar una cosa parecida, de echo tengo abierto el tema en este link:
    http://forum.pfsense.org/index.php/topic,42109.0.html
    Te lo dejo por si te sirve.
    De todas formas si los profesores se conectaran des de pc identificados y siempre diferentes de los alumnos, simplemente dándoles un rango de IPs especificas para los profesores, y creando reglas especificas para las IPs (las puedes agrupar con un alias para trabajar más fácilmente).
    Para poder hacerlo así necesitas:

    • Conseguir las MACs de los dispositivos des de los que se conectan los profesores
    • Asignarles un rango de IPs, o IPs fijas a cada uno, en el DHCP
    • Asignar un rango de IPs para los alumnos distinto del de profesores
    • Realizar un alias del rango de profesores y un alias del rango de alumnos
    • Modificar las reglas del firewal para asignar permisos diferentes segun el alias
    • Activar el Portal Cautivo
        - Si quieres como tienes las MACs los profesores pueden navegar sin autentificarse
        - Agregas los usuarios que darás al portal, via usuarios Locales, Radius, …

    Yo creo que con esto ya estaría solucionado.

    Pero por contra si los profesores y alumnos necesitan poderse conectar des del mismo equipo la cosa esta más jodida y entonces te pasa como a mi...

    Espero haberte podido ayudar.
    Saludos,



  • @Barahona:

    Buenas danny0089,

    Yo necesito implementar una cosa parecida, de echo tengo abierto el tema en este link:
    http://forum.pfsense.org/index.php/topic,42109.0.html
    Te lo dejo por si te sirve.
    De todas formas si los profesores se conectaran des de pc identificados y siempre diferentes de los alumnos, simplemente dándoles un rango de IPs especificas para los profesores, y creando reglas especificas para las IPs (las puedes agrupar con un alias para trabajar más fácilmente).
    Para poder hacerlo así necesitas:

    • Conseguir las MACs de los dispositivos des de los que se conectan los profesores
    • Asignarles un rango de IPs, o IPs fijas a cada uno, en el DHCP
    • Asignar un rango de IPs para los alumnos distinto del de profesores
    • Realizar un alias del rango de profesores y un alias del rango de alumnos
    • Modificar las reglas del firewal para asignar permisos diferentes segun el alias
    • Activar el Portal Cautivo
         - Si quieres como tienes las MACs los profesores pueden navegar sin autentificarse
         - Agregas los usuarios que darás al portal, via usuarios Locales, Radius, …

    Yo creo que con esto ya estaría solucionado.

    Pero por contra si los profesores y alumnos necesitan poderse conectar des del mismo equipo la cosa esta más jodida y entonces te pasa como a mi...

    Espero haberte podido ayudar.
    Saludos,

    Hola, gracias por tu pronta respuesta. Otra consulta, sabrás si se puede hacer de formas más sencilla por VLAN ? y que cada usuario al ingresar entre a la VLAN correspondiente



  • Buenas,

    No entiendo la pregunta :P
    Quieres que los usuarios esten en VLANs distintas?

    No creo que PfSense soporte marcar los paquetes con VLANs. Pero tal vez alguien con más experiencia te lo pueda confirmar.

    Si sabes las ips de los profesores las puedes hacer salir por una interficie y el resto por otra. Y estas conectadas a bocas del switch que tengan asignada una VLAN o otra.

    De todas formas creo que sería complicar la cosa el hecho de introducir VLANs



  • hola, mira, en teoria con el captive portal y freeradius, puedes hacer que segun sea el usuario que se logee, vaya a una vlan o a otra.
    una vez lo intente pero jamas me funciono, y no hay documentacion acerca de esto. Como dice barahona no se si pfsense puede marcar los paquetes con vlans.
    lo que si es seguro ke funciona, es, por ejemplo, asignar una vlan por puerto del switch, se llama gvrp. en los procurve, puedes activarlo como web-based y configuras el switch para que use una autentificacion con un radius, asi segun sea el user te pondra una vlan u otra.



  • No creo que PfSense soporte marcar los paquetes con VLANs

    pfSense sí soporta VLANs:

    http://doc.pfsense.org/index.php/VLAN_Trunking
    http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense

    Arriba, en Documentación:

    Tutorial portal cautivo y FreeRadius
    http://www.bellera.cat/josep/pfsense/kutrefa_pfsense_captive_portal_freeradius.pdf



  • Buenas,

    Lo que nos interesaría saber es si podemos hacer tag de una o otra VLAN según el usuario que se loguine.
    Puesto que en el caso que plantea "danny0089" el echo de poder hacer tag de VLANs por reglas estáticas no nos sirve…

    ¿Sería factible hacer tag de una VLAN concreta según el usuario validado en el Portal Cautivo (independientemente de la IP con la que opere)?

    Gracias,



  • Al menos yo no entiendo que pretendéis, los usuarios estarán conectados a switches, no al pfsense, así que el trabajo de segregar el tráfico por VLANs debe hacerse en la electrónica de red. Quizá si estan conectados por wifi directamente al pfsense se podría realizar una asignación dinámica de VLAN por 802.1x pero lo desconozco.
    De todas formas quizá deberíais revisar si a través de la autenticación de squid/squidguard podéis conseguir lo que buscáis.

    Un saludo.

    @Barahona:

    Buenas,

    Lo que nos interesaría saber es si podemos hacer tag de una o otra VLAN según el usuario que se loguine.
    Puesto que en el caso que plantea "danny0089" el echo de poder hacer tag de VLANs por reglas estáticas no nos sirve…

    ¿Sería factible hacer tag de una VLAN concreta según el usuario validado en el Portal Cautivo (independientemente de la IP con la que opere)?

    Gracias,



  • si es cableado y se disponen de switches gestionados lo mejor es usar gvrp por puerto. el switch ya se encarga de validar el usuario con el radius y asignarle la vlan al puerto, con procurve, por ejemplo
    http://www.terena.org/activities/campus-bp/pdf/gn3-na3-t4-cbpd111.pdf
    http://www.hp.com/rnd/support/config_examples/gvrp_use.pdf

    si es una wifi, eso ya es otro cantar,

    hola, mira, en teoria con el captive portal y freeradius, puedes hacer que segun sea el usuario que se logee, vaya a una vlan o a otra.
    una vez lo intente pero jamas me funciono, y no hay documentacion acerca de esto.



  • Gracias a todos por sus prontas respuestas me ha servido bastante y ahora probaré y leeré los documentos referentes al tema, después les cuento que tal me fue  ::)


Log in to reply