Pfsense dans un hotel

Ahmed_F

Bonjour,

Avant de me lancer dans un projet d'installation de pfsense (avec surtout la fonctione Portail Captif) dans un hotel de 120 logements environs, je souhaiterai avoir vos recommendations en terme hardware et si pfsense pourra faire l'affaire surtout? Peut etre aussi des bornes wifi (niveau compatibilité)?
Comme vous le savez dans les hotels, le peak sera la nuit lorsque les clients vont streamer…skyper....ou télécharger...biensur cela impliquera la mise en place la QOS mais avant d'en arriver là je vous avoir vos récomandations svp peut être que quelqu'un l'a deja testé?

Merci beaucoup,

Cdlt
Ahmed

chris4916

Si tu ne fais que du portail captif, la vraie limitation va se situer au niveau de la bande passante pour l'accès internet.
Avec un PC assez basique, tu vas largement dépasser, en terme de CPU, ce que ton ISP devrait te fournir. Il n'y a donc pas de gros problème en terme de hardware, à condition que les services restent du domaine du pare-feu et du portail captif.

Si tu rajoutes des services de type proxy ou anti-virus, c'est différent.

En ce qui concerne le wifi, je suis assez partisan de ne pas gérer le wifi au niveau du boîtier pfSense mais de créer un groupe de bornes wifi et de connecter ce réseau à pfSense. Il n'y a pas de problème de compatibilité dans ce cas  ;)

Dans la description de ton projet, les questions que je me pose sont plutôt:

• " est-ce que la gestion des tickets du portail captif de pfSense est adaptée  à la gestion des clients d'un hôtel ?"
• "y a t-il (selon le pays où tu te situes) des contraintes en terme de log, par exemple, qui feraient que pfSense seul ne peut pas être la réponse à mon besoin en terme d'architecture ?"

Ahmed_F

Salut Chris,

Merci pour ta réponse.
J'aurai peut être besoin de plus d'informations :
Que veux tu dire par "la vraie limitation va se situer au niveau de la bande passante pour l'accès internet.", peut être que je me trompe mais avec la QOS je peux très bien mettre une priorité sur le 80 - 443 et skype et le reste après? Exemple en plein Paris avec la fibre ça fera surement l'affaire non en terme de bande passante?

Ensuite alors oui en effet je souhaite utiliser aussi le service proxy pour avoir les logs pendant un an au moins, (je suis en France) soit je vais le stocker sur le serveur même ou alors scripter un bash pour les envoyer sur un serveur distant mais ça je pense que ça posera pas de soucy.

A terme, j'aurai surement un IDS type Snort sur le pfsense pour éviter que des petits malins viennent squatté du wifi gratos ou faire des tests peut recommandés sur le wifi de l’hôtel.

Pour les bornes wifi, je vais peut être me pencher sur les AP Unifi…ils sont vraiment bien faits et discrets..il ne faut pas oublier le côté design dans l’hôtellerie...c'est très important!

Pour le moment je ne sais pas trop comment je vais faire pour le système de gestion de ticket...je pense que celui déjà présent sur pfsense pourra faire l'affaire (Voucher)...mais honnêtement je n'ai pas eu l'occasion de le tester en live avec plusieurs personne connectée au même temps...toute idée sera la bienvenue!

Merci encore

Cdlt

Ahmed

chris4916

Désolé si je n'ai pas été clair. Ce que je veux dire c'est qu'avec un PC très basique (par exemple un Intel Celeron / N2930 @ 1.83GHz avec 4 GB), le CPU et la mémoire ne seront pas le goulet d'étranglement si pfSense ne fait que du portail captif et du pare-feu.
Sauf si tu choisis une machine de vraiment petite capacité, le point le plus sollicité sera très probablement le réseau lui-même.

Si tu as l'intention de faire tourner un proxy et de conserver des logs, il est préférable que ce service tourne sur une autre machine que pfSense, si cela est possible.
Dans le cas contraire, il faut prendre quelques précautions en terme de gestion des partitions et de sauvegarde des logs.

Si tu as de multiples services répartis sur différentes machine, rsyslog est assez pratique.

Pour la gestion des vouchers, le problème n'est pas, à mon avis (mais je n'ai pas essayé dans le mode qui correspondrait à ton besoin) le fait qu'il y ait des connexions simultanées mais l'attribution d'un voucher à un un utilisateur au moment où il paie le service en fonction d'un identifiant unique qui serait, par exemple, le numéro de chambre / date / nom etc… d'autant que si tu gardes les logs, il te faut un référentiel pour savoir, dans 8 mois, qui utilisait le compte pour lequel tu es en train d'investiguer.

Ahmed_F

Je compte au fait prendre une bonne machine bien récente pour bien faire le travail, un truc du genre proc i5, 8 RAM et au moins 1To de disque histoire d'avoir assez d'espace pour le log.
Comme ça plus tard, lorsque j'activerai le Snort et l'Antivirus pour avoir une solution compléte, j'aurai déjà le matériel nécessaire, pas besoin de faire d'upgrade.
Je pense qu'avec un tec espace disque je peux avoir un an de log.

Pour les coucher, le top serai d'avoir prenom.nom comme identifiant et avec le système de réservation de l’hôtel de toute façon on pourra savoir qui était là 5 ou 7 ou 9 mois en arrière, ils doivent avoir leur historique aussi.

A long terme l'idée est de mettre une interface avec son système de réservation pour ouvrir l'accès internet dès que le client arrive et là je serai tranquil :D

ccnet

Pour le débit : https://forum.pfsense.org/index.php?topic=84405.msg463205#msg463205
Proxy dédié et rsyslog me semblent de rigueur. On peut envisager des vm pour ces services, pas Pfsense.

ccnet

Je répète : les cartes réseaux sont critiques. Proc i5 c'est du poste de travail.

Ahmed_F

@ccnet:

Je répète : les cartes réseaux sont critiques. Proc i5 c'est du poste de travail.

Quand je dis I5 je voulais dire un bon proc quoi mais serveur bien évidement.
Mais dans ce cas je me pose la question, pourquoi avons nous le package proxy dans pfsense? ou c'est juste pour 4-5 users?

Merci

chris4916

@ccnet:

Je répète : les cartes réseaux sont critiques.

Effetivement la qualité des cartes réseau est critique  :) et RealTek qui équipe beaucoup de configs est parfois extrêmement pénible et lent.
Mettre un chip Intel, c'est s'assurer qu'il n'y aura pas de problème de ce coté là.

Proc i5 c'est du poste de travail.

En effet mais en quoi est-ce un problème  ???

un autre lien qui décrit les besoins hardware pour pfSense

http://www.firewallhardware.it/en/pfsense_selection_and_sizing.html

La différence entre un serveur et un poste de travail, ce n'est pas vraiment le CPU, même si Intel et AMD ont tous les 2 des CPU plutôt dédiés à des machines de type serveur.
L'architecture de la carte mère, la possibilité d'avoir une alimentation redondante, la qualité du refroidissement sont des aspects autrement plus importants.

chris4916

@Ahmed_F:

Quand je dis I5 je voulais dire un bon proc quoi mais serveur bien évidement.

Il faut juste faire attention, il y a des i5 à 2 cœurs, ce qui peut être un aspect limitant.
Plus que la puissance brute du CPU, le nombre de cœurs risque d'impacter la performance. Nous discutons de machine pour faire du réseau: les 2 cibles sont la bande passante et le nombre de session.

• le nombre de session va avoir un impact (quoique faible au final) sur la mémoire
• l'accroissement de la demande en bande passante va être géré plus efficacement avec une machine multi-cœurs qu'avec une machine pédalant très vite sur un seul cœur.

Mais dans ce cas je me pose la question, pourquoi avons nous le package proxy dans pfsense? ou c'est juste pour 4-5 users?

Ce n'est pas une problématique de puissance mais plutôt des considérations de sécurité et stabilité en terme d'exploitation.
Pour certains utilisateurs de pfSense, Squid ne fait pas partie de pfSense car c'est un package développé en dehors, ce qui présente potentiellement des risques.

chris4916

Afin de clarifier cet aspect "worstation" vs. "server", il est intéressant de regarder par exemple cette page de Intel qui compare un Xeon avec un i7.
La principale différence se situe au niveau du chip graphique intégré, inutile ici, ainsi que sur les aspects virtualisation qui ne sont pas non plus à considérer dans le cas d'un pare-feu.

Ceci pour ce qui est du CPU  ;)

En revanche, il y a potentiellement plus de différence au niveau des cartes mère, mais aussi plus de choix, ce qui rend la comparaison difficile.
Il y aura beaucoup plus de choix dans les cartes mère multi CPU à base de Xeon (bien que ça existe pour du i7  ;D) mais là on discute de pare-feu avec des capacités qui sont bien au delà du sujet initial (et bien au delà de la plupart des besoins du commun des administrateurs  ;D ;D) si on se limite, et c'est le point important, à un pare-feu qui gère des fonctions de pare-feu, c'est à dire, grosso-modo, iptables et fonctions associées.

L'ajout de services supplémentaires tel que du VPN, du proxy, de l'anti-virus etc… change considérablement la donne en terme de besoins hardware.
Si pour une raison quelconque, le choix final était de tout mettre sur une même machine, il convient de bine étudier le dimensionnement pour chaque service avant d'essayer de définir la machine cible, sachant que ce travail ne se limite pas à une simple addition de CPU et mémoire. Il y a par exemple des aspects relatifs aux I/O (disque) qui peuvent avoir des impacts très important en terme de performance.

EDIT: le même type de page comparant le i5 avec un Xeon. Idem peu de différence, en apparence  ;D  le point important ici est le manque d'hyperthreading pour le i5. Mais encore une fois, )à mon avis ce n'est pas un souci dans la config dont nous discutons, pour du FW.

ccnet

grosso-modo, iptables et fonctions associées.

Grosso-modo oui, donc pf et non iptable
Je pense aussi que les caractéristiques du matériel serveur (redondance des composants, ventilation, "endurance") sont essentielles pour l'usage prévu si vous ne voulez pas être en train de bricoler tous les matins. Idem pour la gestion hors bande donc à distance.

Ahmed_F

Bonjour,

Désolé pour le retour tardif, dimanche très chargé!
En tout cas merci pour vos réponses, je vais donc d'abord voir en terme de services nécessaires puis je définirai le besoin en hardware. Pour le moment c'est qui est sur, c'est que j'aurai besoin des services primaires, firewall, squid, portail captif, gestion de ticket et un snort à long terme.

merci

Ahmed_F

Hello,

Je me permets de revenir sur ce sujet…qui est toujours en phase de réflexion...et je me demande si au lieu de créer un user / mot de passe pour le portail captif, peut-on demander à ce que le user rentre son username / password mais comment faire pour "obliger" le client de rentrer son vrai nom? genre le username je veux que ce soir prenom.nom par exemple. Si y a un moyen de checker son identité quoi..

Merci d'avance,

chris4916

la gestion d'un vrai compte pour tes clients est très probablement quelque chose de peu réaliste et certainement bien plus compliqué que ce que tu sembles imaginer (et là je peux t'en parler dans le détail car l'identity management, c 'est mon cœur de métier  8) ).
Pour les populations qui en ont un usage ponctuel, la technologie associée au portail captif est celle du voucher. Mais l'implémentation de pfSense n'intègre  pas, à ma connaissance, d'extension permettant d'enrichir le fonctionnement de base afin de stocker des information nominatives et uniques pour identifier les personnes à qui un voucher a été alloué.

Il te faut donc imaginer une solution externe (et ça me parait d'ailleurs préférable) pour maintenir une liste de à qui a été alloué un voucher et quand.

Ahmed_F

En posant ma question, je m'attendais bien evidement à une réponse de ce genre…mais je me suis dit je pose quand même, sait-on jamais :p
Bon ben je pense que je vais utiliser pfsense uniquement pour en faire un firewall / routeur.

Merci

chris4916

ça ne dépend pas de tes obligations légales en tant que fournisseur d'un accès internet publique ?
J'imagine qu'en tant qu'hôtelier, tu as obligation de garder une trace de qui tu héberges. Si tu crées un compte pour cette personne par exemple dans un annuaire LDAP, tu peux ensuite lui demander de s'authentifier avec un login style prenom.nom.quelquechose ou tout autre mécanisme qui rend unique ce login.
Le besoin d'unicité est lié au fait que tu ne devrait normalement pas réutiliser un compte existant: sur la simple base de prenom.nom, tu vas inévitable avoir des homonymes, probablement pas lors du même séjour mais il faut que ce lien compte <=> personne physique reste unique.

Sur quelle durée ? je ne sais pas, c'est toi qui, en tant que fournisseur du service d'hébergement, sait quelles sont tes contraintes  ;)

Si tu rentres dans le cadre de l'article 6‑I‑1 de la loi du 21 juin 2004 et du décret n° 2011-219 du 25 février 2011, la conservation des données, c'est 1 an ?
En plus ce domaine reste, dans ma compréhension, flou pour les cybercafés et hotspots (je pense que rentres dans ce cadre) car l’obligation est d'identifier les données de connexion mais pas les données liées au personnes.

Bref, le débat est peut-être avant tout sur les aspects légaux à éclaircir avant de se lancer dans la solution techniques.

Dans tous les cas, si tu dois conserver des données, un proxy HTTP me semble indispensable.

EDIT: un article de la CNIL que tu connais peut-être déjà, qui traite du sujet.

Ahmed_F

Oui les délais sont de 1 an pour les logs, en tout cas en France.
J'aurai bien sur un proxy, mais je pense que je le mettrai sur un autre serveur comme vous me l'avez conseillé plus haut.
Concernant les logins, le but était de trouver une solution qui ne demande pas beaucoup d'effort à la réception  :P mais qui permet tout de même d'avoir les vrais données des clients de l’hôtel
Sinon oui effectivement dans le logiciel de réservation, je peux voir qui était dans quel chambre à une date donnée et donc je pourrai fournir les logs nécessaires.

latitude

si ça peut aider, j'ai mis en place une config pour un établissement de 40 chambres
en gros, l'idée c'est de faire très simple, vu qu'il y a une multitude de clients qui majoritairement n'a aucune idée de comment fonctionne un réseau, avec des équipement disparate (portable, tablette, pc, console de jeux etc..) et en plus le personnel n'est pas forcément qualifié, à autre chose à faire.

j'utilise un portail captif avec une authentification par voucher

le serveur est un proliant dl380 sous esxi 5.5 (version gratuite) acheté d'occase chez ebay  (avec une carte reseau de plus), attention, faut vraiment une pièce pour, ca fait un boucan d'enfer (dessus, j'ai ma vm pfsense, une vm elastix (voip), la vm du serveur squid)…le prix d'occase est tellement bas que j'ai prevus d'en acheter un 2° en "clone" en cas de panne hardware

2 box (orange et sfr)

voici en gros comment le réseau est fait

box orange -----------------                    ----------------- Lan "administration" (192.168.1.XX via dhcp pfsense)
                                      I -- pfsense----I
box sfr ----------------------                    ----------------- Lan wifi client (portail captif 192.168.3.XX via dhcp pfsense)

donc les réseaux client (les bornes wifi) et "administration" sont physiquement séparé et via pfsense je route chacun sur une box spécifique , il y a que le réseau "admin" qui a une régle en failover pour passer sur l'autre box en cas de coupure
l'idée est de faire en sorte que les clients ne sature jamais l'usage du lobby
un serveur squid sur une vm pour les logs, avec une petite gestion administrative des vouchers pour garder les traces n° du voucher/date/N°de chambre, juste un tableau en faite comme ca :
Code XXXXXXXXXX          Code XXXXXXXXXXXXXX          Date :  Chambre :

le 1er CodeXXXXXXXX est en coupon détachable , un coup de ciseau quoi, donc, le client vient, tu note la chambre la date et tu détache le voucher, (tu a donc gardé le double)..si un jours tu dois sortir des logs, tu aura les infos pour les retrouver et ca te prends 2s à la réception)..moi quant la page est finis, je la scan et la stock dans un dossier par semaine, comme ça je m’embête même pas à garder les papiers

quelques régles sur la boucle "wifi" (avec des limites de débits aussi)
je branche donc mes bornes wifi sur la boucle "wifi" tout est planqué dans les gaines techniques (pas hésiter à bien mailler le réseau) en mode point d'accès
j'ai séparé les SSID (wifi1, wifi2 etc..) mais là, plus par habitude (et surtout, si je met le même SSID sur mes bornes pour que les clients ne voient qu'un seul gros réseau, je ne suis pas certains de comment le roaming va être géré, hors dans un hôtel les gens se déplacent (terrasse/chambre/salon) et j'ai pas envie que la réception soit encombré par des gens qui viennent râler pour des questions de débits ou déconnexion etc..)
là mon système, c'est du fuck&forget ! tu file le voucher, 10s d'explication très simple et on ne revois plus le client.

ça tourne sans soucis j'ai eu une pointe avec plus de 60 clients co en même temps cet été et tout à bien tenu
j'ai édité sur les 3 derniers mois pas loin de 1200 voucher (3 appareil / 4 jours par voucher) pour donner une idée du volume
ne pas hésiter à blinder la partie hardware (d'ou le serveur prolian, disque en raid0, etc..) en l'espace de 2 ans le nombre de connections a été doublé pour le même nombre de clients (et oui, il y a 2-3 ans, c'était juste le laptop, maintenant, c'est le téléphone, la tablette etc...donc je vois très souvent le clients utiliser les vouchers sur plusieurs appareils)

le seul problème, c'est le portail captif quant les gens on une page https en défaut sur leur navigateur (mais ca, ce n'est pas de la faut de pfsense, mais du principe même du filtrage des adresses https par le portail captif si j'ai bien compris)...j'ai prévus de m'y pencher en 2016 ! (mais là, je suis sur autre chose qui me donne bien la migraine)

maintenant, j'attend plus que la fibre ! sniffff

chris4916

la gestion par voucher simplifie la déclaration à la CNIL et certainement, comme tu le soulignes, l'administration à la réception.

La question qui me vient à l'esprit compte tenu de ce que nous avons discuté dans ce fil, c'est "où se trouve ton proxy HTTP" en terme de réseau et comment les utilisateurs (clients) en bénéficient-ils ?"

En fait, c'est un peu plus que "bénéficier": comment s'assurer que ton proxy est forcément utilisé car c'est, je pense, le seul moyen simple de générer des logs de connexion.

Si c'est un proxy transparent, as-tu déployé MITM ? dans le cas contraire, est-ce un problème de ne pas collecter les données de connexion HTTPS ?
Si c'est un proxy explicite (et donc WPAD ?) avant le portail captif, qu'est-ce qui empêche l'utilisateur d'accéder à internet si il a accès au proxy
Si c'est un proxy après le portail, comment as-tu résolu le fait que le client qui a chargé proxy.pac est intercepté par le portail captif alors qu'il essaie de se connecter sur un port qui n'est pas intercepté par ce dernier ?

@Ahmed_F: Du coup, en écrivant ça, je ne comprends plus, il faut que je relise tes messages, pourquoi ça ne marche pas avec un proxy.pac derrière le portail captif. le navigateur cherche le proxy.pac/wpad.dat décrit dans DHCP/DNS. Si celui-ci est sur un réseau "externe", le client passe par le portail captif, charge le proxy.pac qui le pointe vers le proxy via le portail. à l’expiration du voucher, le portail ferme l'accès…

je vais faire un petit schéma  ;)

EDIT: en dessinant le schéma, ça se clarifie un peu:
au démarrage, le browser va chercher le proxy.pac mais comme celui-ci est derrière le portail captif et que le portail n'a pas encore intercepté de requête "pour une page" sur le port 80, il ne peut pas rediriger vers une page d’authentification.