[Resolvido] Captive Portal + Filtro de MAC
-
Bom dia pessoal,
Estou com uma dúvida sobr euma implementação que estou tentando fazer, trata-se do seguinte cenário:
1. Tenho vários hot spot espalhados pela cidade, e preciso que esses acessos sejam validados pelo Captive Portal do pfSense;
2. A questão é que quando o primeiro usuário de um hot spot acesso o Captve Portal ele libera o acesso aos demais usuários que vem utilizar a internet pelo mesmo hot spot, já que ele faz a liberação pelo IP nateado do hot spot;
3. Preciso que os usuários mesmo vindo nateado pelo hot spot solicitem a autenticação do Captoive Portal.Na documentação do pfSense é comentado a opção de Disable Mac Filtering, que tem algo relacionado a isso, mas não consegui fazer funcionar, pois ele trata essa liberação em outra camada.
PS: Não posso consfigurar os hot spots em modo bridge, pois a rede é muito grande e com muitos usuários, e já possuímos problemas de segmentação de rede, impedindo o crescimento das redes que já utilizamos para esse fim.
Alguém poderia me ajudar? Obrigado..
mfmota -
mfmota,
Você não precisa colocar ele em modo bridge, deixe em modo router, desabilite o nat dos hotspots e configure as rotas no pfsense.
Outra coisa, bem vindo ao fórum! :)
att,
Marcello Coutinho -
Grande Marcelo,
Muito obrigado pela informação… eu fiz exatamente o que você falou e funcionou perfeitamente... abaixo segue os passos adotados por mim para que os demais amigos possam utilizar:
1.) Habilitei o Captive Portal e apontei o mesmo para autenticação em um servidor FreeRadius integrado ao meu LDAP;
2.) Existe uma opção no Captive Portal chamada Disable Mac Filtering, com ela habilitada o Captive Portal realiza a autenticação usando apenas o IP da estação, dessa forma eu posso ter diferentes redes autenticando no Captive Portal, sendo necessário apenas criar as rotas para essas redes no pfSense;
3.) No meu Hot Spot eu habilitei o mesmo como Router, onde no meu caso eu entregava IPs via DHCP do Hot Spot aos meus clientes (13.229.100.0/24) e a Interface Wan do Hot Spot fica na mesma faixa de IP do pfSense (no meu cenário foi assim, mas vocês podem fazer de forma mais complexa utilizando regras mais avançadas de roteamento);
4.) Criar as rotas no Hot Spot e criar as regras de Nat de saída no pfSense, pois os meus clientes conectados aos Hot Spots tentam sair para a Internet com o IP 13.229.100.0/24 e não existe regra de NAT de saída para essa rede, sendo necessário criar;
5.) Liberar as regras de firewall de acesso de acordo com a política de vocês, e pronto!!Marcelo, só tenho mais uma dúvida... quando efetuo a autenticação em uma estação (192.168.200.2) no mesmo segmento do pfSense (192.168.200.1) após a autenticação bem sucedida eu sou redirecionado para a página que eu cadastrei no Captive Portal do pfSense... porém quando os clientes que possuem IP da rede 13.229.100.0/24 não são redirecionados, ou seja, eles autenticam normalmente e acessam a internet normalmente, mas não são redirecionados.
Uma coisa que percebi é que após a autenticação bem sucedida o browswer dos clientes ficam aguardando o acesso ao site (que nesse caso é o www.uol.com.br) no endereço http://200.22.2.45:8000 ... imagino que deva existir alguma regra de firewall para redirecionamento no pfSense da rede 192.168.200.0/24 (mesmo segmento que o pfSense) que devo replicar para a rede 13.229.100.0/24.
O que você acha?
Mais uma vez, muito obrigado pelo apoio...
Marcio Mota
-
Marcello,
Consegui resolver o problema mencionado acima conforme abaixo:
1.) O arquivo inserido como páginal principal do captive portal continha o o seguinte conteúdo:
2.) Inseri um arquivo chamado auth.php na configuração "File Manager" do Captive Portal do pfSense. Nesse arquivo continha o código HTML criado por nossos web designers para autenticação dos usuários no captive portal, seguindo é claro a notação abaixo:
Feito isso os redirecionamentos, independente da rede de origem, passaram a funcionar normalmente, redirecionando o acesso à página cadastrada na opção "After authentication Redirection URL" do Captive Portal do pfSense.
Mais uma vez, valew Marcello… espero que esse comentário possa ajudar alguém.
Att,
Marcio Mota