Portail captif.



  • Bonjour bonjour,

    Tout d'abord le contexte, je suis en stage dans un lycée et l'administrateur réseau m'a confié un projet pour celui-ci.
    Le but est filtré les PC (PC portable en majorité) qui se connecte sur le réseau via câble réseau, nous ne parlerons pas du tout de réseau Wi-fi ici.

    Donc le méthode voulue est de discriminer les adresses MAC… Je m'explique : Si un PC se connecte sur le réseau, le but est d'attribuer des adresses seulement aux PC dont l'adresse MAC est connue, si celle-ci est inconnue, je dois lui fournir une alternative, il doit pouvoir s'authentifier avec un login/mot de passe par interface web (je suppose).

    Après quelques recherches, Pfsense me semblait bien approprié pour cela, il est en effet possible de donner des adresses qu'aux adresses MAC connues, mais seulement, je ne vois pas comment permettre à un PC se connectant de pouvoir s'authentifier sur le réseau puisqu'il n'a aucune adresse ip donc pas d'accès au réseau.

    J'ai donc essayer de ne pas filtrer pour l'attribution des adresses, mais activer le portail captif :

    • Les PC ayant une adresse MAC connue n'auront pas à le faire.
    • Les PC ayant une adresse MAC inconnue doivent pouvoir y avoir accès.

    Seulement, j'ai essayer pendant quelques heures de le faire marcher, impossible de proposer cette alternative. Une fois que le PC a une IP, il a accès à tout le réseau...et ne peut se log sur le réseau.

    Voici la liste des actions ayant été faites sur le portail :
        - J'ai coché Enable captive portal
        - J'ai choisi Local user manager

    J'ai laissé tout le reste par défaut.

    Ce sujet et non exhaustif, faites moi savoir si vous désirez d'autres information quant à la configuration ou s'il y a un moyen plus simple de parvenir au bout du projet.

    Cordialement.



  • Donc le méthode voulue est de discriminer les adresses MAC… Je m'explique : Si un PC se connecte sur le réseau, le but est d'attribuer des adresses seulement aux PC dont l'adresse MAC est connue,

    Sur ce point la solution consiste à utiliser correctement le serveur DHCP, en cochant l'option "Deny unknown clients", puis en saisissant la liste des clients (sur la base des adresses MAC) pouvant recevoir une adresse.

    Le portail captif ne prend en charge que le protocole http(s). Que voulez vous faire pour les autres ?
    Je ne suis pas certain que vous ayez bien compris le fonctionnement du portail captif tel qu'il existe dans Pfsense. Il reste un petit travail à faire sur vos besoins précis et sur la documentation Pfsense.

    je ne vois pas comment permettre à un PC se connectant de pouvoir s'authentifier sur le réseau puisqu'il n'a aucune adresse ip donc pas d'accès au réseau.

    Effectivement. Il faut donc nécessairement donner une adrese ip à toutes les machines. Une idée, sans préjuger de l'usage de Pfsense consisterait à gérer deux pools dans un serveur dhcp, une avec des adresses réservés en fonction de l'adresse mac et l'autre sans réservation. Vous pourriez ensuite distinguer les pc connus des autres. Néanmoins je ne vis pas bien pour le moment comment implémenter cela dans Pfsense et encore moins avec le portail captif. Pour autant je pense qu'il doit exister des solutions. Juve ? une idée ?

    Merci de soigner un peu votre français, vous êtes parfois difficile à lire.



  • Je me suis mal fait comprendre, je sais comment fonctionne le service DHCP sur Pfsense : au départ, j'ai essayé de filtrer les adresses MAC avec l'outil "Deny unknown clients" en ayant prit soin de définir les adresses connues.

    Mais j'ai très vite abandonné cette idée puisque si les PC n'ont pas d'adresse IP, l'authentification devient impossible.

    Pour faire simple, une fois que les adresses MAC connues ont été ajouter dans "pass-through mac", est-il possible de rediriger les PC ayant une adresse MAC inconnue vers une page d'authentification ?

    Encore une fois, je touche du bois, je débute complètement sur Pfsense.

    Merci pour votre aide en tout cas.



  • Pour faire simple, une fois que les adresses MAC connues ont été ajouter dans "pass-through mac", est-il possible de rediriger les PC ayant une adresse MAC inconnue vers une page d'authentification ?

    J'insiste sur le fonctionnement d'un portail captif. Cela ne se produira que lorsque l'utilisateur lancera son navigateur pour accéder à un site web quelconque. Pas après une séquence dhcp request, dhcp offer etc … qui se déroule en udp alors que le portail captif intercepte le traffic http.
    Ce que vous demandez (tel que je le comprend) n'est pas possible avec le portail captif. Ce n'est pas son rôle. Le portail captif assure une authentification lors d'une tentative d'accès au web via http(s), cela pour la connexion via une interface (et une seule) donnée de Pfsense.



  • Ce sujet me semble connu.

    J'ai une installation pfSense au travail.
    La partie LAN donne l'accès Internet à nos PC sans aucune forme de filtrage.
    La partie 'Opt1' (nommé ‘WiFi' chez nous) possède un switch. Sur ce switch on y trouve 5 PA et quelques prises RJ45 pour un accès filaire. Le portail a été activé sur Opt1.

    Pour nos clients, nous avons une liste avec des codes d'accès et mot de passes.
    Pour nos clients fidèle, je leur a demandé de me communiquer leur adresse MAC (pas vraiment besoin, le log les montre bien  ;) ) - donc ceux présent dans la liste "Pass-throuh-MAC" n'ont jamais besoin de s'authentifier, c'est comme un accès classique à Internet avec l'aide d'une passerelle, ici pfSense.

    Notre entreprise : un hôtel !!

    En gros : les clients connues passeront sans être embêté, et les inconnues doivent s’authentifier. C’est bien ça se que tu demande ?

    Petit astuce hyper important pour nous : nous fournissons l’accès à internet à chaque client connecté sur Opt1. Les switch sont programmé pour qu’il n’accepte uniquement la connexion entre ce client et la passerelle. Toute forme de « LAN » est interdite.

    Question de ma part : le paramétrage du parafeu sur Opt1 (= Captive Portal) m'indique que le protocole TCP et UDP sont filtré avec l'exception des portes UDP 66/67 concernant le DHCP. Surement pas le 'http' comme mentionné plus bas. Je me trompe ?



  • Effectivement c'est comme cela que je vois les choses, et que je les fait fonctionner aussi, mais ce n'est pas ce que j'ai compris de la demande d' Alex_44. J'ai compris qu'il avait sur le même lan, donc arrivant sur la même interface de pfsense et le tout en filaire uniquement l'ensemble des utilisateurs :

    nous ne parlerons pas du tout de réseau Wi-fi ici.

    Et forcément là, ca coince !



  • Ce qui compte, à mon avis, est d'utiliser un Interface Optx (investissement : le cout d'une carte réseau) et que sur cet interface on active le service "Portail".
    Le fait que certains "clients" sont raccordé avec l'aide d'un prise RJ45 (filaire) ou par le Wifi en travers d’un Point d’Accès - le Bluetooth ou même le tam-tam, c'est peu importe ici.

    La carte réseau nommé « LAN » reste disponible pour l’administration de pfSense au minimum, voir complètement utilisable pour tout client ‘de confiance’.



  • C'est totalement mon avis. C'est aussi ce que j'ai recommandé dans un autre post. Depuis une semaine je vois fleurir ici des exemples de config où on met le réseau portant le portail sur lan et la carte Wan sur le lan. Ce que je trouve un peu …



  • Je vais m'intéresser à vos remarques en détail et faire quelques tests.

    Merci de vos réponse.


Log in to reply