PfSense : Portail Captif, quelques questions.

Plipou

Bonjour,

Je suis en train d'installer et de configurer Pfsense pour l'utiliser en tant que portail captif sécurisé pour des bornes WiFi.

Cependant quelques questions se posent.

Voici tout d'abord ma configuration :

• 'Allow DNS server list to be overridden by DHCP/PPP on WAN’ : Désactivé
• DNS Server : 10.1.0.1
• LAN : 10.34.5.250, passerelle 10.34.5.1
• WAN : 10.34.6.150/24, passerelle 10.34.6.1
• Enable DNS Forwarder
• DHCP Server : Activer / Passerelle : 10.34.5.250 / DNS : 10.34.5.250
• Captive portal : Activer / Authentification : Local

Cependant j'aurai aimé que ma borne Wifi accepte plusieurs SSID (2 ou 3) et uniquement un seul qui serait utilisé par des clients invités soit redirigé vers le portail captif dans un VLAN bien spécifique. Es-ce possible ? Si oui, pourriez vous m'expliquer la démarche à prendre ?

Si besoin je peux fournir des informations supplémentaires.

Je vous remercie d'avance de vos explications et de votre aide.

A bientôt.  ;)

Plipou

Pour les SSIDs je pense qu'il faut tout de même que les deux passent par Pfsense. *
La solution serait peut-être qu'en fonction du VLAN, l'un passe par le portail captif et l'autre non. Suffit de trouver où !  :D J'effectue mes recherches et je vous tiens au courant si je trouve.

Les questions restent d'actualités si un âme charitable passe par ici.  :)

A bientôt.

ccnet

@Plipou:

Cependant j'aurai aimé que ma borne Wifi accepte plusieurs SSID (2 ou 3) et uniquement un seul qui serait utilisé par des clients invités soit redirigé vers le portail captif dans un VLAN bien spécifique. Es-ce possible ?

Il y a environ un an j'ai traité un problème semblable. Je confirme que c'est possible. Toutefois la configuration matérielle n'est pas la même. Nous des bornes passives Cisco et un contrôleur wifi qui va avec. Sur ce réseau wifi il y a 3 Vlans (2 pour les datas, 1 pour la voip). Le firewall est encore un ipcop. Le SSID du lan utilisateur n'est pas broadcasté et il utilise un cryptage wpa. Le master des machines des salariés contient la clé wpa. Le vlan invité est connecté au portail captif Cisco avec une lage dhcp sur ce vlan. Ce réseau wifi (SSID = wifiguest) est ouvert, son vlan est sur l'interface Bleue de l'ipcop.
Le premier problème, pour lequel je n'ai pas la réponse, est la capacité de votre borne à gérer plusieurs SSID. Si la réponse est positive la suite devrait ne poser aucun problème particulier. Une fois ce point vérifié nous essaierons d'aller plus loin.

ccnet

Es-il possible que l'accueil gère les comptes sans avoir à aller dans la page d'administration puis dans les options du portail captif ? (Pour évité les mauvaises manipulations.):

A priori dans la version 1.3 à venir  peut être la solution : http://blog.pfsense.org/?tag=13 :
Citation :
User manager - multiple administrative users can be created, with varying levels of access. Access groups can be defined to easily grant identical access rights to multiple users. Rights can be defined individually for each page in the web interface.

Plipou

Bonjour,

Merci de vos réponses.

Ma borne WiFi est sur le même réseau que mon portail captif. C'est une borne 3Com. Elle accepte plusieurs SSIDs qui sont paramétrè de la façon suivante :
SSID Interne : VLAN 20, WPA AES.
SSID Invité : VLAN 35, Ouvert.

Pour l'administration, hâte d'être à la sortie de la prochaine version alors.  :)

A bientôt.

Plipou

Coucou,

Pour l'historique des utilisateurs j'ai trouvé ceci :
Aller dans 'Diagnostics' puis 'States'.
Ici vous pouvez voir les sites visités (les IPs des sites).
Je sais pas encore combien de temps sa dure (peut-être jusqu'au prochaine reboot du serveur).

Pour limiter la bande passante par utilisateur je suis en train de me tourner vers les Firewall de Pfsense voir si il y a des options intéressantes, je vous tiens au courant si je trouve quelque chose.

Cependant pour la redirection de uniquement un des SSID de ma borne vers l'authentification du portail captif, je cherche toujours. Si quelqu'un à des infos, je suis preneur.

A bientôt.

Edit : Petite érreur de ma part, en faite les 'States' ne restent que le temps où l'utilisateur est sur la page, pour voir par exemple quels sites sont visités par l'utilisateur.

ccnet

Cependant pour la redirection de uniquement un des SSID de ma borne vers l'authentification du portail captif, je cherche toujours. Si quelqu'un à des infos, je suis preneur.

Vous avez deux vlans, donc une interface (physique ou non) par Vlan sur Pfsense, avec deux numéros de réseaux distincts et comme vous spécifiez sur quelle interface le portail captif est activé … le problème est réglé. Ensuite vous ajustez vos règles pour que les utilisateurs du portail captif ne fassent que ce que vous souhaitez.
Désolé mais dans ma réponse précédente cela me semblait "évident".

Plipou

Je vois à peu près ce que vous voulez dire cependant je reste un peu bloqué.

J'ai deux interface physique (deux cartes réseaux) sur pfsense :

• LAN : 10.34.5.250, passerelle 10.34.5.1 - Vlan 40. (DHCP Sever activé sur pfsense de 10.34.5.10 à 10.34.5.100)
• WAN : 10.34.6.150/24, passerelle 10.34.6.1 - Vlan 35. (Vlan limité à internet uniquement)

SSID Interne : VLAN 20 (ouvert à l'intranet et internet), WPA AES.
SSID Invité : VLAN 35 (ouvert à internet uniquement), Ouvert.

Ce qui fait :
WAN (VLAN 35)–- PfSense --- LAN (VLAN 40) --- AP (2 SSID VLAN 20 et 35)---

Ce qu'il faut modifier est dans Interface -> Assign -> Vlan ? Comment le paramétrer ?
Dans mon portail captif je ne peux que spécifier l'interface LAN pour le portail captif.

Je vous remercie grandement de votre aide.

A bientôt.

ccnet

Ce qui fait :
WAN (VLAN 35)–- PfSense --- LAN (VLAN 40) --- AP (2 SSID VLAN 20 et 35)---

Non ce n'est pas correct. Le vlan 35 doit être derrière Pfsense (vu d'internet)

|–- LAN (VLAN 40)
WAN --- PfSense -----| AP --- WifiGuest (1 SSID VLAN 35)
                                | AP --- WifiSecure (1 SSID VLAN 20)

Si vous n'avez pas besoin de séparer LAN et WifiSecure supprimez un des deux Vlans. Il vous faut un switch qui gère les vlans bien sur.

Vous allez créer vos interfaces vlan sur la carte Lan : Intefaces -> Assign -> Vlan. Nommer vos interfaces, WifiGuest et WifiSecure par exemple, placer vos id Vlan (35 et 20).
Il faudrat redémarrer Pfsense ensuite (conseillé), puis vous activez les interfaces et vous leur donnez une ip 10.34.8.254/24 et 10.34.7.254/24 par exemple.
Et là vous pourrez activer le portail captif sur wifiGuest.

Si, à ce stade vous ne vous en sortez pas, il faut retravailler sur vos connaissances réseaux et sur la doc Pfsense (MonoWall).

Plipou

Bonjour,

Merci beaucoup, j'ai compris. Ce que j'avais peur c'est que lorsque j'assigne deux vlans logique sur la carte physique lan que je perde l'accès à l'administration si je ne suis pas sur un des deux vlan définis.

Je vous remercie.

A bientôt.

Plipou

Je ne peux pas supprimer le LAN.

Voici maintenant ma configuration :

SSID "WifiGuest" (VLAN 35) – |                                        | - VLAN 35 sur carte Lan 10.34.8.254
                                        |-- Lan (VLAN 40) -- PfSense  |
SSID "WifiSecur" (VLAN 20) -- |                                        | - VLAN 30 sur carte LAN 10.34.7.254

J'ai configuré le portail captif sur le VLAN 35.

Seulement sa ne marche pas.

Je pense que le problème viens de la configuration des DHCPs.
Avant pour avoir le portail captif uniquement sur le lan j'avais configurer le DHCP du lan avec comme passerelle et dns l'adresse du lan et cela fonctionné correctement. Le problème vient du fait que je ne peux pas activer le DHCP (dans pfsense) sur les VLAN 35 et 30 car ils en ont déjà un sur leurs réseaux.

ccnet

Dans ce schéma je ne comprend pas la présence du vlan 35 de chaque coté de Pfsense.
Vous pouvez activer un dhcp par réseau sans problème, chacun avec sa plage ainsi que les autres paramètres.

le DHCP (dans pfsense) sur les VLAN 35 et 30 car ils en ont déjà un sur leurs réseaux.

Vous voulez dire un autre serveur dhcp qui tourne sur ces numéros de réseaux ? Pour chaque réesau la passerelle doit être l'interface connectée à ipcop et pour les dns mettez ceux de votre fai dans la config dhcp de chaque réseau.

Plipou

En faite, les VLANs sont configuré dans la borne Wifi par ssid et assignés aussi dans pfsense.
Lorsque je me connecte à la borne sur l'un des SSIDs je suis bien renvoyé sur le réseau du VLAN mais pour le 35 je n'ai pas le portail captif qui s'ouvre.

Pour les DHCP je veux dire que sur chaque réseaux des VLANs il y à déjà un DHCP qui distribue les adresses. (Normalement les utilisateurs de la bornes se voit affectés une adresse lorsqu'il se connecte, je veux juste qu'un portail captif s'interpose pour les utilisateurs du vlan 35)

Plipou

Configuration :
AP - Lan - Pfsense - Wan

AP :
Dans l'AP il y à deux SSIDs. Un sur le VLAN 35 et l'autre sur le 20.
Chacun de ces VLANS à un serveur DHCP qui lui est propre et distribue les adresses aux utilisateurs se connectant sur ceux-ci.

L'AP est configuré avec une IP fixe et passerelle qui est sur le même réseau (même vlan) que le LAN de Pfsense.

LAN :
Une des cartes physique de la machine.
Sur le VLAN 40.
Sur ce VLAN pas de serveur DHCP. J'ai donc activer le DHCP dans Pfsense et définis une plage d'adresses. J'ai mis comme passerelle et DNS pour ce DHCP l'adresse IP du LAN.

PFsense
Dans Pfsense j'ai assigné deux VLAN à la carte réseau LAN.
Le VLAN 20 et le VLAN 35.
Et je les ai configuré pour qu'il prennent leurs adresses sur les serveurs DHCPs présent sur les réseaux de ces VLANs.

J'ai activer le portail captif et je l'ai configuré pour qu'il utilise le WifiGuest (Interface du VLAN 35).

WAN :
En sortie de ma machine j'ai une autre carte réseau que j'ai finalement connecté à un nouveau VLAN sans serveur DHCP. (je ne sais pas si cette carte est vraiment nécessaires mais peut-être pour faire la transition avec internet).

Si je ne rajoute pas de VLAN et que je configure mon portail captif sur l'interface LAN, le portail captif fonctionne.
Si je met ces VLAN, lorsque l'on se connecte à l'un des SSIDs on obtient bien une adresse IP du VLAN que l'on à choisis, mais pas de portail captif pour le VLAN 35.

J'espère que c'est un peu plus claire.

Merci beaucoup à vous.

A bientôt.

ccnet

Je crains un problème de configuration réseau. Vous avez des switchs ?
Un autre utilisateur à reporté le même problème alors qu'un autre fait fonctionner ce type de configuration normalement :
http://forum.pfsense.org/index.php/topic,8719.0.html

Plipou

Oui j'ai des switchs.
Un problème réseau ? C'est à dire ?
Je pensais que celà venait des DHCPs comme pour un SSID sans VLAN j'avais du configurer le DHCP du lan avec lui même comme passerelle.

Plipou

J'ai ma petite idée, je test sa sous peu et je vous tiens au courant, effectivement c'est peut-être un problème réseau du au VLAN configuré dans le Switch.

Plipou

Je pensais que le problème venait de ma configuration des VLANs à l'intérieur de mon port où est brancher ma borne. En effet celui-ci était configuré avec tous les VLANs de la borne. Hors si un utilisateur se connecte sur le vlan 35 il ne passera pas part pfsense mais directement sur ce vlan.
J'ai donc supprimé le VLAN 35 du port. Maintenant il faut que je trouve comment lorsqu'un utilisateur se connecte au SSID de la borne possédant le vlan 35 celui-ci se voit redirigé vers pfsense. J'ai bien assigné au LAN un vlan 35, mais lorsque l'on se connecte au SSID Wifiguest, pas d'adresse ip reçus par l'utilisateur. Peut-être en fonction des rules ?

ccnet

Possible en effet. Activez les logs sur toutes les règles de rejet. Si pas d'ip c'est donc que UDP 68 et, ou 67 est bloqué quelque part. Le DHCP Request est émis par le client sur le port 68.

Plipou

Pas l'impression que sa vienne de la. J'ai définis une règle pour que tout le trafic entrant soit sortant.