Captive Portal com Freeradiuns
-
Boa tarde.
Galera estou com a solução Captive portal mais o Freeratiuns autenticando em base openldap.
Tudo funcionando perfeitamente bem.
Porem quero adicionar mais uma camada de segurança que seria assim.
Quando o usuario abre o navegador e valida com o login e senha ele entra na rede normalmente mas gostaria de cadastrar o mac desta estação no captive portal ou no freeradius para que só aceite maquinas conectadas nele se o mac estiver cadastrado.
Tentei colocando isso no captive portal, mas se eu cadastrar o mac simplesmente ele deixa a maquina entrar na rede normalmente.
Porque não queria deixar este controle no Acess Point, quero centralizar tudo no Pfsense.
Então ficaria assim, não bastaria ter o login do captive portal, a maquina tambem deverá estar cadastrado no captive portal ou no freeradiuns.
Agradeço -
Seria assim, alem do captive portal utilizar a base de usuários do freeradius para validar utilizar tambem o ip e mac do cliete, caso as 2 situações não baterem o captive portal não libera a conexão.
-
ip + usuario + mac ou usuario desde que ip + mac autorizados na rede?
-
Bom dia.
A ideia que após o login do captive portal se a maquina não tiver o mac com o ip cadastrado no freeradius ele não conseguiria ter sua conexão liberada. -
você pode usar o ipguard para fazer este filtro de mac + ip.
Outra solução mais complexa/completa é usar o 802.1x, autenticando os clientes antes de entrar na rede.
-
Boa tarde.
Estou utilizando o ipguard para que não esteja ip duplicados na rede.
Porem ele não evita que algum usuário informe um ip que não esteja sendo utilizado no momento conecte no pfsense. -
sua rede é publica? você tem o controle dos macs da sua rede?
-
Sim tenho o controle do mac.
Só não tenho o controle de algum usuário setar o IP manualmente na interface. -
Sim tenho o controle do mac.
Só não tenho o controle de algum usuário setar o IP manualmente na interface.Neste caso, uma boa sugestão é "iniciar pelo começo".
Implemente um PDC na sua rede e evite, dentre outras coisas, que usuários sejam capazes de alterar configurações em seus sistemas operacionais de endpoint.
Se você busca "controle" precisa começar pela base! ;)
Abraços!
Jack -
Certo.
Eu tenho o PDC openldap.
Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário. -
Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário.
Sim… Mas é exatamente para estes casos que você reserva/utiliza um hotspot (Captive Portal), não?!
Ele vai precisar de um usuário/senha e/ou um voucher para acessar a rede.
Na medida do possível, deixe estes usuários esporádicos num segmento de rede diferente da sua LAN, por exemplo. Assim não tem que se preocupar com IP + MAC.
Abraços!
Jack
