Portail captif dans la zone WAN



  • Salut à tous,

    Avant toute chose, je précise que je ne désire pas monter un portail captif (et que personnellement, je trouve ce procédé immonde).

    En fait mon appliance pfsense est connectée via son interface WAN à un routeur comportant un portail captif. J'ai évidemment besoin de m'authentifier pour avoir un accès internet complet. Comment configurer pfsense pour qu'il vérifie sur l'interface WAN qu'il se trouve ou non en face du portail et surtout s'identifier ?

    Merci les gars

    Edit : J'ai également posté dans le forum anglophone, si j'ai des réponses je vous transmets.



  • Si vous chercher à passer outre les sécurités mise en place dans votre établissement/société alors vous n'étes pas sur le bon forum ^^

    Si tel est votre cas, alors passez votre chemin …

    Un portail captif est TOUT sauf un procéder immonde ^^ (à contrario, l'usage d'un proxy SANS informer l'utilisateur peut être considérer comme tel ... pour qui à quelque chose à cacher...)



  • J'ai des identifiants pour ce portail, il n'y a pas de question d'outrepasser quoi que ce soit. Tout est légal. Mais je désire que le procédé d'authentification soit automatique.
    La seule solution que j'ai trouvée pour l'instant est de développer un script à base de Tcl/curl qui va automatiquement s'identifier, c'est peut être la meilleure chose à faire finalement.

    Le portail captif est un procédé immonde dans la mesure où c'est une aberration niveau réseau : les procédés d'authentification existent déjà (802.1x par exemple) et sont pris en charge par un grand nombre de périphériques.
    Il n'est pas normal que pour faire transiter du trafic de plus bas niveau il faille remonter jusqu'à la couche applicative, qui plus est en HTTP, pour s'authentifier. Mais bref c'est une parenthèse.



  • Il y a eu les questions : mon pfsense est branché derrière un proxy, comment faire ?
    Il y aura maintenant cette question.

    Normalement, pfSense est en direct relié à Internet (derrière un usuel routeur ou une box).
    Que WAN soit derrière un proxy ou un portail captif N'EST PAS normal, et dénote soit un test soit un bricolage.
    Il n'est donc pas étonnant que, nous lecteurs, ne comprenions pas le pourquoi : il serait judicieux d'expliquer pourquoi vous tenez à vous mettre en situation anormale.
    NB : anormal = de a et normal : qui n'est pas dans la norme

    Enfin, un portail captif est un dispositif simple de traversée contrôlée de firewall. Il n'y a rien de sorcier ou de vaudou la dedans.
    Un portail captif est très usuel pour donner accès à des machines … que l'on ne maitrise pas : portables, smartphones ... de visiteur par exemple.
    Il parait hors de propos d'aller entrer l'adresse MAC d'un matériel de visiteur dans un système NAC ...

    NB : le portail captif de pfSense permet de passer outre pour des machines données !



  • @jdh:

    Il y a eu les questions : mon pfsense est branché derrière un proxy, comment faire ?
    Il y aura maintenant cette question.

    Normalement, pfSense est en direct relié à Internet (derrière un usuel routeur ou une box).
    Que WAN soit derrière un proxy ou un portail captif N'EST PAS normal, et dénote soit un test soit un bricolage.
    Il n'est donc pas étonnant que, nous lecteurs, ne comprenions pas le pourquoi : il serait judicieux d'expliquer pourquoi vous tenez à vous mettre en situation anormale.
    NB : anormal = de a et normal : qui n'est pas dans la norme

    Je ne pense pas qu'il soit pertinent d'apprécier ou non une quelconque normalité. Je pose une situation contenant des contraintes que j'essaie de décrire le plus clairement possible.

    Pour l'explication puisque vous y tenez : je me trouve dans un local n'ayant que pour seul accès internet une prise rj45 murale reliée à un switch/routeur transportant un trafic classique IP over Eth. Ce qu'il se passe de l'autre côté m'importe peu puisque je n'ai pas de contrôle dessus. Enfin, j'ai besoin d'un routeur comme pfsense pour des besoins bien particuliers.

    Soit quelqu'un a une idée et sait comment répondre au problème que je pose, soit personne n'en est capable et je me débrouillerais. Actuellement, je développe un script permettant l'automatisation de la connexion car il s'agit probablement de la solution la moins coûteuse en terme de temps/argent.

    Enfin, un portail captif est un dispositif simple de traversée contrôlée de firewall. Il n'y a rien de sorcier ou de vaudou la dedans.
    Un portail captif est très usuel pour donner accès à des machines … que l'on ne maitrise pas : portables, smartphones ... de visiteur par exemple.
    Il parait hors de propos d'aller entrer l'adresse MAC d'un matériel de visiteur dans un système NAC ...

    NB : le portail captif de pfSense permet de passer outre pour des machines données !

    Je sais ce qu'est un portail captif et je n'ai jamais qualifié ça de vaudou ou de sorcier. Je dis simplement que d'un point de vue réseau (et certainement bien d'autres), le portail captif est une aberration. Ce système pourrait (et encore) se justifier dans un lieu ou la connexion est occasionnelle (aéroport etc.) mais en aucun cas dans un lieu dont on une utilise une connexion régulière.
    Pas besoin d'entrer d'adresse MAC ou quoi que ce soit : il existe 802.1x/EAP etc.

    Cela dit, c'est un point qui peut être débattu et surtout, cela ne concerne en rien mon problème.



  • J'ai finalement trouvé la solution. J'ai développé un script en TCL permettant de se reconnecter automatiquement au système Wifirst. Il suffit d'exécuter ce script directement sur l'OS.

    Lien du fichier wifirst_keepalive.tcl : https://github.com/Tulux/Wifirst_keepalive

    Tous ceux qui en ont besoin, n'hésitez pas à l'utiliser.



  • @BarakAFrites:

    @jdh:

    Il y a eu les questions : mon pfsense est branché derrière un proxy, comment faire ?
    Il y aura maintenant cette question.

    Normalement, pfSense est en direct relié à Internet (derrière un usuel routeur ou une box).
    Que WAN soit derrière un proxy ou un portail captif N'EST PAS normal, et dénote soit un test soit un bricolage.
    Il n'est donc pas étonnant que, nous lecteurs, ne comprenions pas le pourquoi : il serait judicieux d'expliquer pourquoi vous tenez à vous mettre en situation anormale.
    NB : anormal = de a et normal : qui n'est pas dans la norme

    Je ne pense pas qu'il soit pertinent d'apprécier ou non une quelconque normalité. Je pose une situation contenant des contraintes que j'essaie de décrire le plus clairement possible.

    Pour l'explication puisque vous y tenez : je me trouve dans un local n'ayant que pour seul accès internet une prise rj45 murale reliée à un switch/routeur transportant un trafic classique IP over Eth. Ce qu'il se passe de l'autre côté m'importe peu puisque je n'ai pas de contrôle dessus. Enfin, j'ai besoin d'un routeur comme pfsense pour des besoins bien particuliers.

    Soit quelqu'un a une idée et sait comment répondre au problème que je pose, soit personne n'en est capable et je me débrouillerais. Actuellement, je développe un script permettant l'automatisation de la connexion car il s'agit probablement de la solution la moins coûteuse en terme de temps/argent.

    Enfin, un portail captif est un dispositif simple de traversée contrôlée de firewall. Il n'y a rien de sorcier ou de vaudou la dedans.
    Un portail captif est très usuel pour donner accès à des machines … que l'on ne maitrise pas : portables, smartphones ... de visiteur par exemple.
    Il parait hors de propos d'aller entrer l'adresse MAC d'un matériel de visiteur dans un système NAC ...

    NB : le portail captif de pfSense permet de passer outre pour des machines données !

    Je sais ce qu'est un portail captif et je n'ai jamais qualifié ça de vaudou ou de sorcier. Je dis simplement que d'un point de vue réseau (et certainement bien d'autres), le portail captif est une aberration. Ce système pourrait (et encore) se justifier dans un lieu ou la connexion est occasionnelle (aéroport etc.) mais en aucun cas dans un lieu dont on une utilise une connexion régulière.
    Pas besoin d'entrer d'adresse MAC ou quoi que ce soit : il existe 802.1x/EAP etc.

    Cela dit, c'est un point qui peut être débattu et surtout, cela ne concerne en rien mon problème.

    on discute pas la normalité  on discute votre probité

    a/ automatiser un login CP, ce n'est pas fair vis a vis de l'admin
      et sachant que tout le monde pionce au moins 5 heures par jour
      automatiser == abuser  == vous n'etes pas un utilisateur normal == vous abusez un service non dimensionné pour votre usage

    b/ je vois pas pourquoi vous nous faites une telle prose sur l'applicatif, l'immonde, alors que vous n'etes pas foutu d'ouvrir la source d'une page de formulaire
        et avez besoin qu'on vous ponde un script ready to go, alors qu'il s'agit d'une simple requête post, parfois GET, et avec recupe de token json eventuellement

    c/ vous introduisez un serveur qui se trouve avoir sur sa WAN, la LAN d'un autre, ce qui s'appelle introduire un hote illégitime sur un réseau
      qui peut servir a faire du DHCP Spoofing par exemple, voir toute autre chose du milieu

    d/ c'est mal, et vous ne détaillez pas pourquoi vous le faites.
        et rien ne semble justifier pourquoi vous avez besoin d'un tel hote, …. mais alors... rien!

    e/ c est crade, car vous vous auto double-nattez

    f/ wifirst n'utilise pas pfsense déja.



  • allez je mets ma main a couper que vous allez faire de l'agregation de comptes?

    plusieurs interfaces reliées au portail captif, avec x megas par interface,  pour augmenter votre débit…



  • Bonjour Florian,

    on discute pas la normalité  on discute votre probité

    La probité et la normalité ne veulent rien dire du point de vue technique. J'y ai déjà répondu dans un post précédent.

    a/ automatiser un login CP, ce n'est pas fair vis a vis de l'admin

    Idem que précedemment, fair n'a aucun sens techniquement parlant.

    b/ je vois pas pourquoi vous nous faites une telle prose sur l'applicatif, l'immonde, alors que vous n'etes pas foutu d'ouvrir la source d'une page de formulaire
        et avez besoin qu'on vous ponde un script ready to go, alors qu'il s'agit d'une simple requête post

    Parce qu'il est inutile de réinventer la roue si quelque chose existe déjà. Pour info, il ne s'agit pas d'une simple requête post malheureusement. Voir le script que j'ai fourni. Par contre tu as le droit de rester poli, je n'ai attaqué personne.

    c/ vous introduisez un serveur qui se trouve avoir sur sa WAN, la LAN d'un autre, ce qui s'appelle introduire un hote illégitime sur un réseau
      qui peut servir a faire du DHCP Spoofing par exemple, voir toute autre chose du milieu

    Ce que tu es dis est simplement faux, et une fois de plus, un "hote illégitime" n'a absolument aucune signification. En ce qui concerne le DHCP spoofing, c'est évidemment parfaitement faux (depuis quand pfsense se prend pour un serveur DHCP sur sa patte WAN ??).

    d/ c'est mal, et vous ne détaillez pas pourquoi vous le faites.
        et rien ne semble justifier pourquoi vous avez besoin d'un tel hote, …. mais alors... rien!

    C'est la troisième fois que tu me parles de notions plus que relatives (le bien, le mal toussa) et très subjectives. Autrement, je n'ai pas à détailler pourquoi je le fais, ça me regarde. Tu m'expliques depuis quand on exige les raisons qui amènent à une problématique ? Typique de la communauté francophone de pfsense, je ne sais pas pourquoi. Si tu n'as pas envie de m'aider à trouver une solution sans sortir la littérature, passe ton chemin.

    e/ c est crade, car vous vous auto double-nattez

    Ah non, quatrième fois finalement. Parce que le NAT de base c'est bien ? Le NAT répond à une problématique de manque d'adresses IP. Le NAT2NAT répond à une autre problématique proche de la première. Sais-tu qu'en Chine il existe des routeurs NAT2NAT2NAT (3 niveaux de NAT) ? J'en ai configuré et pas par choix malheureusement.

    f/ wifirst n'utilise pas pfsense déja.

    Je me doute, je ne vois pas à quoi ça leur servirait. Soit tu as mal compris le problème, soit tu as de très grosses lacunes en réseau.

    allez je mets ma main a couper que vous allez faire de l'agregation de comptes?
    plusieurs interfaces reliées au portail captif, avec x megas par interface,  pour augmenter votre débit…

    Et ben tu as perdu. J'ai besoin d'automatiser le système notamment lorsque je joue ou que j'ai besoin de maintenir des connexions SSH sans perdre la main.

    Je ne sais pas quel est le problème avec cette communauté, mais c'est simplement incroyable de devoir justifier ses actions à de parfaits inconnus. Tu vois de l'illégal partout ? Très bien, agit en bon citoyen, ne contribue pas et ferme l'onglet.
    Pour des comportements HS et anti-productifs comme le tiens, tu te ferais kicker de bien des sites, notamment communautaires de type stackoverflow ou autre.

    Je vais être le plus clair possible : si tu n'as pas de solution technique ou de suggestions, abstiens-toi car ton avis et tes considérations morales ne m'intéressent absolument pas.

    Ce que je fais est, selon moi, parfaitement légal et conforme à la charte Wifirst et si ce n'est pas le cas, je rendrais des comptes à qui de droit en assumant ce que j'ai fait. Je n'ai pas de doute sur le fait que la police ou Wifirst pourrait très bien me contacter si besoin est.

    On arrête les divagations. Je lock et je t'invite à me contacter par MP si tu as quelque chose à redire.


Log in to reply