Separar rede Wifi



  • Bom dia, pessoas!

    Estou travado numa questão a onde eu trabalho.

    Peguei para gerenciar a rede de uma faculdade e estou modificando algumas coisas. Uma delas é que, por enquanto, os alunos não possuem senha de acesso. O que consigo, por enquanto, é pegar o MAC de quem entrar na rede pelo Captive Portal. Só que fiz isso mais para ter um controle de banda.

    No meu cenário atual tenho redes ADM e dos Alunos separada por ip. Criei um Alias para cada rede e na rede ADM amarrei o mac de cada máquina e com isso tenho controle, porém na rede dos alunos não tenho como pegar o mac de cada um para atrelar a um nome de usuário. Ou seja, tenho os macs deles, mas não sei quem é quem.

    Pra resolver isso pensei em fazer uma autenticação e cadastrar os alunos. Assim quando eles fossem acessar teriam que colocar login e senha. Isso seria bom até para eu conseguir gerar relatório no Sarg, que alias, ainda não consegui gerar por usuário, somente por ip. Ainda estou quebrando a cabeça pra entender o porque não está pegando o nome nesse novo cenário que estou montando.

    Bom. Eu até poderia por pra rodar essa autenticação, mas eu queria que na rede wifi, as pessoas cadastradas tivessem que se autenticar apenas uma única vez e nunca mais depois. Consigo fazer isso com o Pass-through MAC, acho. Só que tenho os laboratórios nessa mesma rede e neles tenho que deixar a tela de autenticação para toda vez que alguém quisesse acessar a internet. Só que meu problema é que toda a rede está ligada em switchs não gerenciáveis e não consigo separar.

    Teria como separar essas redes de alguma outra forma sem mexer na estrutura física?

    Atualmente, para esse novo cenário que estou montando, tenho rodando a versão 2.2.6 do Pfsense, FreeRadius2, Sarg, Squid3 e SquidGuard.

    Vlw!!!!!



  • Se o Switch permitir configurar VLAN pode ser feito.



  • @guinao_99:

    Bom dia, pessoas!

    Estou travado numa questão a onde eu trabalho.

    Peguei para gerenciar a rede de uma faculdade e estou modificando algumas coisas. Uma delas é que, por enquanto, os alunos não possuem senha de acesso. O que consigo, por enquanto, é pegar o MAC de quem entrar na rede pelo Captive Portal. Só que fiz isso mais para ter um controle de banda.

    No meu cenário atual tenho redes ADM e dos Alunos separada por ip. Criei um Alias para cada rede e na rede ADM amarrei o mac de cada máquina e com isso tenho controle, porém na rede dos alunos não tenho como pegar o mac de cada um para atrelar a um nome de usuário. Ou seja, tenho os macs deles, mas não sei quem é quem.

    Pra resolver isso pensei em fazer uma autenticação e cadastrar os alunos. Assim quando eles fossem acessar teriam que colocar login e senha. Isso seria bom até para eu conseguir gerar relatório no Sarg, que alias, ainda não consegui gerar por usuário, somente por ip. Ainda estou quebrando a cabeça pra entender o porque não está pegando o nome nesse novo cenário que estou montando.

    Bom. Eu até poderia por pra rodar essa autenticação, mas eu queria que na rede wifi, as pessoas cadastradas tivessem que se autenticar apenas uma única vez e nunca mais depois. Consigo fazer isso com o Pass-through MAC, acho. Só que tenho os laboratórios nessa mesma rede e neles tenho que deixar a tela de autenticação para toda vez que alguém quisesse acessar a internet. Só que meu problema é que toda a rede está ligada em switchs não gerenciáveis e não consigo separar.

    Teria como separar essas redes de alguma outra forma sem mexer na estrutura física?

    Atualmente, para esse novo cenário que estou montando, tenho rodando a versão 2.2.6 do Pfsense, FreeRadius2, Sarg, Squid3 e SquidGuard.

    Vlw!!!!!

    Cara, eu tenho uma situação similar por aqui que talvez se encaixe no seu caso.

    No meu ambiente tenho 2 redes na mesma rede física : uma 10.1.0.0/24 para rede local (IP's fixos) e uma 192.168.46.0/25 para meu wifi com DHCP ativado no pfSense. Fechei a rota de 192.168.46.0/25 para 10.1.0.0/24 e vice-versa para as duas não se conversarem e criei uma zona do Captive Portal para o wifi. Eles se autenticam com usuário e senha + vouchers por lá e na minha rede 10.1.0.0/24 ele autentica pelo Samba no meu AD. Os relatórios pegam somente o que foi autenticado pelo proxy na 10.1.0.0/24, porém não tenho a necessidade - embora tenha a vontade - de gerar relatórios dos acessos feitos pelo wifi.

    Você tem 3 redes distintas : rede do ADM, rede do laboratório e rede wifi. Talvez funcione se você criar 3 redes separadas e vincular cada uma numa zona distinta do Captive Portal : a do laboratório você não coloca para registrar o MAC e ela vai pedir autenticação todas as vezes; a do ADM você configura como for preciso e a do wifi você coloca com a opção "Enable Pass-through MAC automatic additions" marcada e com o bloco "Per-user bandwidth restriction" configurado para limitar a velocidade do client.

    Espero ter dado uma luz !



  • @Tomas:

    Se o Switch permitir configurar VLAN pode ser feito.

    Esse é o problema. Tenho 3 aqui e ACHO que não suportam, mas ainda não tenho certeza. Dois modelos são Intelbras SG 2400 QR e um SG 2620 QR.
    Estou pesquisando sobre isso, pois ainda não manjo muito sobre vlans.

    Caso não permitam essa configuração, eu teria que mexer na estrutura física da rede daí pra deixar um switch somente para o wifi?



  • @bruno.andrade:

    @guinao_99:

    Bom dia, pessoas!

    Estou travado numa questão a onde eu trabalho.

    Peguei para gerenciar a rede de uma faculdade e estou modificando algumas coisas. Uma delas é que, por enquanto, os alunos não possuem senha de acesso. O que consigo, por enquanto, é pegar o MAC de quem entrar na rede pelo Captive Portal. Só que fiz isso mais para ter um controle de banda.

    No meu cenário atual tenho redes ADM e dos Alunos separada por ip. Criei um Alias para cada rede e na rede ADM amarrei o mac de cada máquina e com isso tenho controle, porém na rede dos alunos não tenho como pegar o mac de cada um para atrelar a um nome de usuário. Ou seja, tenho os macs deles, mas não sei quem é quem.

    Pra resolver isso pensei em fazer uma autenticação e cadastrar os alunos. Assim quando eles fossem acessar teriam que colocar login e senha. Isso seria bom até para eu conseguir gerar relatório no Sarg, que alias, ainda não consegui gerar por usuário, somente por ip. Ainda estou quebrando a cabeça pra entender o porque não está pegando o nome nesse novo cenário que estou montando.

    Bom. Eu até poderia por pra rodar essa autenticação, mas eu queria que na rede wifi, as pessoas cadastradas tivessem que se autenticar apenas uma única vez e nunca mais depois. Consigo fazer isso com o Pass-through MAC, acho. Só que tenho os laboratórios nessa mesma rede e neles tenho que deixar a tela de autenticação para toda vez que alguém quisesse acessar a internet. Só que meu problema é que toda a rede está ligada em switchs não gerenciáveis e não consigo separar.

    Teria como separar essas redes de alguma outra forma sem mexer na estrutura física?

    Atualmente, para esse novo cenário que estou montando, tenho rodando a versão 2.2.6 do Pfsense, FreeRadius2, Sarg, Squid3 e SquidGuard.

    Vlw!!!!!

    Cara, eu tenho uma situação similar por aqui que talvez se encaixe no seu caso.

    No meu ambiente tenho 2 redes na mesma rede física : uma 10.1.0.0/24 para rede local (IP's fixos) e uma 192.168.46.0/25 para meu wifi com DHCP ativado no pfSense. Fechei a rota de 192.168.46.0/25 para 10.1.0.0/24 e vice-versa para as duas não se conversarem e criei uma zona do Captive Portal para o wifi. Eles se autenticam com usuário e senha + vouchers por lá e na minha rede 10.1.0.0/24 ele autentica pelo Samba no meu AD. Os relatórios pegam somente o que foi autenticado pelo proxy na 10.1.0.0/24, porém não tenho a necessidade - embora tenha a vontade - de gerar relatórios dos acessos feitos pelo wifi.

    Você tem 3 redes distintas : rede do ADM, rede do laboratório e rede wifi. Talvez funcione se você criar 3 redes separadas e vincular cada uma numa zona distinta do Captive Portal : a do laboratório você não coloca para registrar o MAC e ela vai pedir autenticação todas as vezes; a do ADM você configura como for preciso e a do wifi você coloca com a opção "Enable Pass-through MAC automatic additions" marcada e com o bloco "Per-user bandwidth restriction" configurado para limitar a velocidade do client.

    Espero ter dado uma luz !

    Gostei da sua ideia, porém há um problema no captive portal. Tenho 3 interfaces: Wan, Lan e a outra não estou usando. Se eu criar uma outra zona no Captive Portal terei que usar essa outra interface, de repente como Wifi. Ficaria Wan, Lan e Wifi. Só que mesmo assim eu teria que mexer nos switches, não teria? Para deixar um separado somente para essa rede wifi? Ou posso jogar a Lan e a Wifi tudo junto que o switch consegue administrar isso?
    Porque se não for assim, o Captive Portal não deixar eu criar uma outra zona pra interface  Lan, pois já estou usando em outra zona.

    A questão do Enable Pass-through MAC automatic additions que você citou, já estou usando, justamente para a restrição de banda. Mas obrigado pela dica.

    Meu problema mesmo é fazer com que na rede wifi eu possa cadastrar os alunos, para que eles possam entrar com seu usuário e senha apenas uma vez e já ficar gravado seu mac juntamente ao nome de usuário, pra eu saber quem é quem. E nos laboratórios ter sempre autenticação pra quem quiser navegar, também pra eu ter controle pelo usuário.



  • Acho que estes switchs suportam VLAN, procure pelo datasheet do modelo.

    Tenho um cenário de testes, com um switch intelbras. Tem suporte a VLAN, mas não é layer3.

    A solução para isto chama-se: Router-On-A-Stick!

    O PFsense vai fazer o roteamento das VLANS, já que o switch não entende esta camada.  8)

    Procure por "PFsense router on a stick" e veja como é o funcionamento.

    Com isto, configure o CaptivePortal somente nas VLANS que precisam da autenticação.

    Seja feliz.



  • Da uma olhadinha nesse topico que eu respondi para ver o que eu fiz.

    https://forum.pfsense.org/index.php?topic=91670.msg507463#msg507463



  • @brunok:

    Acho que estes switchs suportam VLAN, procure pelo datasheet do modelo.

    Tenho um cenário de testes, com um switch intelbras. Tem suporte a VLAN, mas não é layer3.

    A solução para isto chama-se: Router-On-A-Stick!

    O PFsense vai fazer o roteamento das VLANS, já que o switch não entende esta camada.  8)

    Procure por "PFsense router on a stick" e veja como é o funcionamento.

    Com isto, configure o CaptivePortal somente nas VLANS que precisam da autenticação.

    Seja feliz.

    Rapaz. Gostei da sua dica. Vou dar uma pesquisada sobre isso.
    Valew



  • @rvl:

    Da uma olhadinha nesse topico que eu respondi para ver o que eu fiz.

    https://forum.pfsense.org/index.php?topic=91670.msg507463#msg507463

    Cara! Obrigado. Vou dar uma olhada sim!