Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portail captif.

    Scheduled Pinned Locked Moved Français
    9 Posts 3 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Alex_44
      last edited by

      Bonjour bonjour,

      Tout d'abord le contexte, je suis en stage dans un lycée et l'administrateur réseau m'a confié un projet pour celui-ci.
      Le but est filtré les PC (PC portable en majorité) qui se connecte sur le réseau via câble réseau, nous ne parlerons pas du tout de réseau Wi-fi ici.

      Donc le méthode voulue est de discriminer les adresses MAC… Je m'explique : Si un PC se connecte sur le réseau, le but est d'attribuer des adresses seulement aux PC dont l'adresse MAC est connue, si celle-ci est inconnue, je dois lui fournir une alternative, il doit pouvoir s'authentifier avec un login/mot de passe par interface web (je suppose).

      Après quelques recherches, Pfsense me semblait bien approprié pour cela, il est en effet possible de donner des adresses qu'aux adresses MAC connues, mais seulement, je ne vois pas comment permettre à un PC se connectant de pouvoir s'authentifier sur le réseau puisqu'il n'a aucune adresse ip donc pas d'accès au réseau.

      J'ai donc essayer de ne pas filtrer pour l'attribution des adresses, mais activer le portail captif :

      • Les PC ayant une adresse MAC connue n'auront pas à le faire.
      • Les PC ayant une adresse MAC inconnue doivent pouvoir y avoir accès.

      Seulement, j'ai essayer pendant quelques heures de le faire marcher, impossible de proposer cette alternative. Une fois que le PC a une IP, il a accès à tout le réseau...et ne peut se log sur le réseau.

      Voici la liste des actions ayant été faites sur le portail :
          - J'ai coché Enable captive portal
          - J'ai choisi Local user manager

      J'ai laissé tout le reste par défaut.

      Ce sujet et non exhaustif, faites moi savoir si vous désirez d'autres information quant à la configuration ou s'il y a un moyen plus simple de parvenir au bout du projet.

      Cordialement.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Donc le méthode voulue est de discriminer les adresses MAC… Je m'explique : Si un PC se connecte sur le réseau, le but est d'attribuer des adresses seulement aux PC dont l'adresse MAC est connue,

        Sur ce point la solution consiste à utiliser correctement le serveur DHCP, en cochant l'option "Deny unknown clients", puis en saisissant la liste des clients (sur la base des adresses MAC) pouvant recevoir une adresse.

        Le portail captif ne prend en charge que le protocole http(s). Que voulez vous faire pour les autres ?
        Je ne suis pas certain que vous ayez bien compris le fonctionnement du portail captif tel qu'il existe dans Pfsense. Il reste un petit travail à faire sur vos besoins précis et sur la documentation Pfsense.

        je ne vois pas comment permettre à un PC se connectant de pouvoir s'authentifier sur le réseau puisqu'il n'a aucune adresse ip donc pas d'accès au réseau.

        Effectivement. Il faut donc nécessairement donner une adrese ip à toutes les machines. Une idée, sans préjuger de l'usage de Pfsense consisterait à gérer deux pools dans un serveur dhcp, une avec des adresses réservés en fonction de l'adresse mac et l'autre sans réservation. Vous pourriez ensuite distinguer les pc connus des autres. Néanmoins je ne vis pas bien pour le moment comment implémenter cela dans Pfsense et encore moins avec le portail captif. Pour autant je pense qu'il doit exister des solutions. Juve ? une idée ?

        Merci de soigner un peu votre français, vous êtes parfois difficile à lire.

        1 Reply Last reply Reply Quote 0
        • A
          Alex_44
          last edited by

          Je me suis mal fait comprendre, je sais comment fonctionne le service DHCP sur Pfsense : au départ, j'ai essayé de filtrer les adresses MAC avec l'outil "Deny unknown clients" en ayant prit soin de définir les adresses connues.

          Mais j'ai très vite abandonné cette idée puisque si les PC n'ont pas d'adresse IP, l'authentification devient impossible.

          Pour faire simple, une fois que les adresses MAC connues ont été ajouter dans "pass-through mac", est-il possible de rediriger les PC ayant une adresse MAC inconnue vers une page d'authentification ?

          Encore une fois, je touche du bois, je débute complètement sur Pfsense.

          Merci pour votre aide en tout cas.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Pour faire simple, une fois que les adresses MAC connues ont été ajouter dans "pass-through mac", est-il possible de rediriger les PC ayant une adresse MAC inconnue vers une page d'authentification ?

            J'insiste sur le fonctionnement d'un portail captif. Cela ne se produira que lorsque l'utilisateur lancera son navigateur pour accéder à un site web quelconque. Pas après une séquence dhcp request, dhcp offer etc … qui se déroule en udp alors que le portail captif intercepte le traffic http.
            Ce que vous demandez (tel que je le comprend) n'est pas possible avec le portail captif. Ce n'est pas son rôle. Le portail captif assure une authentification lors d'une tentative d'accès au web via http(s), cela pour la connexion via une interface (et une seule) donnée de Pfsense.

            1 Reply Last reply Reply Quote 0
            • GertjanG
              Gertjan
              last edited by

              Ce sujet me semble connu.

              J'ai une installation pfSense au travail.
              La partie LAN donne l'accès Internet à nos PC sans aucune forme de filtrage.
              La partie 'Opt1' (nommé ‘WiFi' chez nous) possède un switch. Sur ce switch on y trouve 5 PA et quelques prises RJ45 pour un accès filaire. Le portail a été activé sur Opt1.

              Pour nos clients, nous avons une liste avec des codes d'accès et mot de passes.
              Pour nos clients fidèle, je leur a demandé de me communiquer leur adresse MAC (pas vraiment besoin, le log les montre bien  ;) ) - donc ceux présent dans la liste "Pass-throuh-MAC" n'ont jamais besoin de s'authentifier, c'est comme un accès classique à Internet avec l'aide d'une passerelle, ici pfSense.

              Notre entreprise : un hôtel !!

              En gros : les clients connues passeront sans être embêté, et les inconnues doivent s’authentifier. C’est bien ça se que tu demande ?

              Petit astuce hyper important pour nous : nous fournissons l’accès à internet à chaque client connecté sur Opt1. Les switch sont programmé pour qu’il n’accepte uniquement la connexion entre ce client et la passerelle. Toute forme de « LAN » est interdite.

              Question de ma part : le paramétrage du parafeu sur Opt1 (= Captive Portal) m'indique que le protocole TCP et UDP sont filtré avec l'exception des portes UDP 66/67 concernant le DHCP. Surement pas le 'http' comme mentionné plus bas. Je me trompe ?

              No "help me" PM's please. Use the forum, the community will thank you.
              Edit : and where are the logs ??

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                Effectivement c'est comme cela que je vois les choses, et que je les fait fonctionner aussi, mais ce n'est pas ce que j'ai compris de la demande d' Alex_44. J'ai compris qu'il avait sur le même lan, donc arrivant sur la même interface de pfsense et le tout en filaire uniquement l'ensemble des utilisateurs :

                nous ne parlerons pas du tout de réseau Wi-fi ici.

                Et forcément là, ca coince !

                1 Reply Last reply Reply Quote 0
                • GertjanG
                  Gertjan
                  last edited by

                  Ce qui compte, à mon avis, est d'utiliser un Interface Optx (investissement : le cout d'une carte réseau) et que sur cet interface on active le service "Portail".
                  Le fait que certains "clients" sont raccordé avec l'aide d'un prise RJ45 (filaire) ou par le Wifi en travers d’un Point d’Accès - le Bluetooth ou même le tam-tam, c'est peu importe ici.

                  La carte réseau nommé « LAN » reste disponible pour l’administration de pfSense au minimum, voir complètement utilisable pour tout client ‘de confiance’.

                  No "help me" PM's please. Use the forum, the community will thank you.
                  Edit : and where are the logs ??

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    C'est totalement mon avis. C'est aussi ce que j'ai recommandé dans un autre post. Depuis une semaine je vois fleurir ici des exemples de config où on met le réseau portant le portail sur lan et la carte Wan sur le lan. Ce que je trouve un peu …

                    1 Reply Last reply Reply Quote 0
                    • A
                      Alex_44
                      last edited by

                      Je vais m'intéresser à vos remarques en détail et faire quelques tests.

                      Merci de vos réponse.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.