Portail captif décentralisé



  • Bonjour à tous,
    J'aimerais connaitre la faisabilité du projet ci-dessous, et du coup, les outils à mettre en oeuvre.

    L'idée est de mettre en place un pfsense, chez OVH par exemple, avec dessus 1 squid + squidguard, et un portail captif avec vouchers.

    Installer ensuite chez chaque client (gites, camping…) en tête de réseau un routeur DD-WRT, (relié en VPN?) sur le PFsense pour profiter du proxy + portail captif pour tous les PC se connectant au réseau local...

    La solution vous parait-elle réalisable?

    Là où j'ai un doute c'est que mon PFsense aura forcément qu'une seule interface qui aura l'IP fournie par OVH; je ne vois donc pas comment configurer le portail captif, qui en temps normal est configuré sur le LAN...

    Merci d'avance pour vos lumières.

    Ab



  • Ce serait plutôt en portail centralisé. Cela me semble très difficile et aussi peu sûr.



  • Jouable techniquement avec une solution virtualisée chez OVH et plusieurs pfsense (2 à minima) , des réseaux virtuels d'interco et une connexion VPN openVPN avec redirection de tout le traffic au travers du VPN pour chaque site distant.

    Avec un bon niveau technique vous pouvez réaliser ce genre de chose, sinon il faut oublier.



  • @Juve:

    Jouable techniquement avec une solution virtualisée chez OVH et plusieurs pfsense (2 à minima) , des réseaux virtuels d'interco et une connexion VPN openVPN avec redirection de tout le traffic au travers du VPN pour chaque site distant.
    Avec un bon niveau technique vous pouvez réaliser ce genre de chose, sinon il faut oublier.

    Merci, la réponse m'intéresse beaucoup!
    Pouvez-vous par contre développer l'idée "de plusieurs pfsense, 2 à minima", j'ai du mal à voir "qui aura quel rôle". Pouvez-vous m'en dire plus?

    Merci.
    Adrien



    • un pfsense jouant le rôle de concentrateur VPN openVPN, recevant les connexions de tous les sites distants
    • un pfsense jouant le rôle de portail captif

    il faudra desactiver le MAC filtering  sur le portail captif par contre, vu que les clients seront derrière un routeur et donc que la MAC des clients finaux ne sera pas vue par le portail captif.

    bien entendu tout ceci n'est que supposition, il faudrait réaliser une maquette pour tout valider.



  • Cela me semble une élucubration !

    Un Squid partagé est idiot en terme de confidentialité : il n'y a pas de raison de "cacher" des éléments pour des individus distincts, de lieux différents, …
    Ce qui se fait, c'est une base centralisé d'identifiants pouvant se connecter à des hot-spots en lieux divers (avec le même identifiants.
    Exemple : Sputnik, Fon, les fai habituels, ...



  • Je ne suis pas tout à fait d'accord, dans certains cas c'est utile si la population est similaire et soumise aux mêmes contraintes de filtrage, pour le cache c'est effectivement une autre histoire…

    Je te donne un exemple précis. Si tu fournis des milliers de tablettes à des milliers d'écoliers aux quatre coins de la france, je t'assure qu'il est bien plus efficient, sécurisé et rapide de mettre en oeuvre un proxy central en datacenter et de rediriger toutes les tablettes par cet élément central (quelque soit le medium de connexion du device ou le lieu).


Log in to reply