Captive portal uzman network sorusu?



  • merhaba arkadaşlar…

    yeni başladığım bir hastane ortamına pfsense 2.0.1-RELEASE sistemim 3-4 aydır gayet guzel calısıyor.
    yanlız söyle bir yapı mevcut

    benden önceki arkadaların kurulumu;

    tek internet hattı var

    bir adet airties modem var gateway:172.16.0.1  (dhcp kapalı)

    cisco switcle vlan yapılmış yani hastanede ki ziyaretciler yada personeller wifi hattına 172.16.0.1 gateway'den cıkıyorlar

    lan  ise 192.168.1.x (bu hastan ici local networdk verilmiş.

    benim yaptığım işlemler pfsense kurulumundna sonra

    modemden gelen wan gateway;172.16.0.1

    pfsense;

    wan;172.16.0.253
    lan;192.168.1.100

    captive portalı aktif ettiğimde

    ekran satırına 172.16.0.253:8000 yazdığımda geliyor.

    ama modem den cıkan :172.16.0.1 baçağından aktif olmuyor

    bu haliyle modem üzerinden cıkan gateway üzerinden (172.16.0.1) nasıl aktif edebilirim,yönlendirebilirim.

    ben hasta yakınları yada personelin notebook ipad cep telefonları gibi buraya kural uygulamak istiyorum.

    bu konuda yardımcı olursanız sevinirim teşekürler

    sistemle ilgili anlamadığınız eksik bilgiler olursa  buradan tamamlayabilirim.



  • Selam,

    Bu gibi durumda ben olmuş olsaydım pfSense üzerine ya bir ethernet kartı ilave eder ya da mevcut switch üzerindeki vlan aracılıgıyla ikinci bir ethernet tanımlayıp bütün trafiğin pfSense üzerinden geçmesini sağlardım. Sonuç itibariyle üzerinden geçmeyen bir trafiğin denetimini yapman zor. Bana kalırsa en sağlıklısı ethernet kartı takıp ap leri bu ethernet üzerinden nete çıkarmak.

    Sevgilerle,
    SGTR



  • öncelikle SGTR' ın dediğini yapman daha mantıklı bir çözüm olacaktır ancak elinde bulunan cisco l2 switch i kullanarakta yapman mümkündür,

    switch teki ap lerin bağlı olduğu portu bir vlan x olarak ayır, sonrasında diğer bir portunu vtp olarak tanımla ve tanımladığın trunk portu pfsense in wan bacağına bağla, pfsense içinde aynı taglı vlan oluştur, bu şekilde ap lerin isteklerini pfsense içinden geçirmiş olacaksın ve bu vlana ap ler için istediğin kuralı oluştur, anlatım biraz karışık oldu ama yapılması mümkündür, anlamadığın kısımlarda yardımcı olmaya çalışırım

    Aslında burada switch te ve pfsense de oluşturduğun her vlan birer farklı interface gibi davranacaktır.



  • network yapını sağlıklı istiyorsan müşteriler ve personeli ayırman bence  mantıklı.

    Cisco siwtch üzerinde farklı vlanlar yaratarak yapabilirsin. Hatta modemi bridge modda kullanarak port açma işlemlerini pfsense üzerinden yaparak ilerideki  karışıklığı önyebilirsin.
    MC_MaCESte üstadın anlattığı yöntem  mantıklı. cisco switchi programlayabiliyorsan ,pfsense makinaya kart eklemeden yapabilirsin.

    Kolay gelsin.



  • şöyle birşey olabilir mi peki pfsense ye 3 adet ethernet kartı taksak.

    2 grubumuz olsa 1. grubu radius server captive portal üzerinden çıkarsak.
    2. grubu ise captive portal bi yere ugraşmadan direk olarak internete çıkış yaptırsak bu şekilde yine hız sınırlaması vb kontrolleri yaptıra bilirmiyiz ?



  • @eXcitinG:

    şöyle birşey olabilir mi peki pfsense ye 3 adet ethernet kartı taksak.

    2 grubumuz olsa 1. grubu radius server captive portal üzerinden çıkarsak.
    2. grubu ise captive portal bi yere ugraşmadan direk olarak internete çıkış yaptırsak bu şekilde yine hız sınırlaması vb kontrolleri yaptıra bilirmiyiz ?

    olur



  • @SGTR:

    Selam,

    Bu gibi durumda ben olmuş olsaydım pfSense üzerine ya bir ethernet kartı ilave eder ya da mevcut switch üzerindeki vlan aracılıgıyla ikinci bir ethernet tanımlayıp bütün trafiğin pfSense üzerinden geçmesini sağlardım. Sonuç itibariyle üzerinden geçmeyen bir trafiğin denetimini yapman zor. Bana kalırsa en sağlıklısı ethernet kartı takıp ap leri bu ethernet üzerinden nete çıkarmak.

    Sevgilerle,
    SGTR

    nasıl yapılacağını acaba resimli anlatma imkanınız var mı acaba.
    benim pfsense makinasında 3 adet eth kart var yanlız 2 sini kullanıyorum diğeri pasif durumda.

    wan ve lan olan 2 eth kartından pfsende radius üzerinden çalışıyor.

    diğer kart ise captive portal olmadan trafik shapping üzerinden hız sınırlaması yaparak internete çıkmalarını istiyorum.

    wan ip : 192.168.0.1
    lan ip : 10.0.1.1



  • Sevgili arkadaşım, diğer bir ethernet kartı takarak gruplama yapmana gerek yok.
    captive portalını aktif duruma getir, hel kullanıcıya kullanıcı adı ve şifresi ver.
    Ayrıcalık istediğin personele gerekli ayrıcalıkla hesabı ayarla,
    daha sonra şifre girmeden hesabını açmak istediğin personelin mac adresini
    FreeRADIUS: MACs kısmında sabitle,
    artık mac adresi olmayan bilgisayarlara oturan kullanıcılar şifrelerini girecek,
    mac adresi sabitlediğin kullanıcıların da şifresi olduğu halde şifre girmeden giriş yapacak.
    böylece hız sınırları da aktif olmuş olacaktır.


Locked