Captive Portal com Freeradiuns



  • Boa tarde.
    Galera estou com a solução Captive portal mais o Freeratiuns autenticando em base openldap.
    Tudo funcionando perfeitamente bem.
    Porem quero adicionar mais uma camada de segurança que seria assim.
    Quando o usuario abre o navegador e valida com o login e senha ele entra na rede normalmente mas gostaria de cadastrar o mac desta estação no captive portal ou no freeradius para que só aceite maquinas conectadas nele se o mac estiver cadastrado.
    Tentei colocando isso no captive portal, mas se eu cadastrar o mac simplesmente ele deixa a maquina entrar na rede normalmente.
    Porque não queria deixar este controle no Acess Point, quero centralizar tudo no Pfsense.
    Então ficaria assim, não bastaria ter o login do captive portal, a maquina tambem deverá estar cadastrado no captive portal ou no freeradiuns.
    Agradeço



  • Seria assim, alem do captive portal utilizar a base de usuários do freeradius para validar utilizar tambem o ip e mac do cliete, caso as 2 situações não baterem o captive portal não libera a conexão.



  • ip + usuario + mac ou usuario desde que ip + mac autorizados na rede?



  • Bom dia.
    A ideia que após o login do captive portal se a maquina não tiver o mac com o ip cadastrado no freeradius ele não conseguiria ter sua conexão liberada.



  • você pode usar o ipguard para fazer este filtro de mac + ip.

    Outra solução mais complexa/completa é usar o 802.1x, autenticando os clientes antes de entrar na rede.



  • Boa tarde.
    Estou utilizando o ipguard para que não esteja ip duplicados na rede.
    Porem ele não evita que algum usuário informe um ip que não esteja sendo utilizado no momento conecte no pfsense.



  • sua rede é publica? você tem o controle dos macs da sua rede?



  • Sim tenho o controle do mac.
    Só não tenho o controle de algum usuário setar o IP manualmente na interface.



  • @gilmarcabral:

    Sim tenho o controle do mac.
    Só não tenho o controle de algum usuário setar o IP manualmente na interface.

    Neste caso, uma boa sugestão é "iniciar pelo começo".

    Implemente um PDC na sua rede e evite, dentre outras coisas, que usuários sejam capazes de alterar configurações em seus sistemas operacionais de endpoint.

    Se você busca "controle" precisa começar pela base! ;)

    Abraços!
    Jack



  • Certo.
    Eu tenho o PDC openldap.
    Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário.



  • @gilmarcabral:

    Jackson você tem razão mas temos que lembrar como se trata de uma rede sem fio alguém pode chegar com um notebook que não pertence a rede e colocar um ip manual assim ele só ira precisar da senha de rede de algum usuário.

    Sim… Mas é exatamente para estes casos que você reserva/utiliza um hotspot (Captive Portal), não?!

    Ele vai precisar de um usuário/senha e/ou um voucher para acessar a rede.

    Na medida do possível, deixe estes usuários esporádicos num segmento de rede diferente da sua LAN, por exemplo. Assim não tem que se preocupar com IP + MAC.

    Abraços!
    Jack


Locked