Jump to content

Portail Captif PfSense sur réseau Ubiquiti


Darckya

Recommended Posts

Bonjour à tous,

 

Je vais bientôt devoir installer un portail Captif sur l'installation d'un client. (mais c'est la 1ère fois)

 

Son réseau est constitué d'un UDM SE => 2 Switch ( 1 Switch Pro 24 PoE sur lequel sont barnchées 8 AP U6 LR et un 2ème Switch 24 PoE sur lequel 7 camera du même fabriquant sont connectés).

 

Pour simplifier et juste pour l'exemple il y a 2 SSID de dispo ( Invité VLAN 192.168.10.1/24 et Pro VLAN 192.168.20.1/24).

 

D'après toutes les recherches que j'ai pu faire la solution du portail captif de Ubiquiti n'est pas conforme au norme française. (si j'ai bien compris)

Je pars donc sur la solution PfSense installé sur un mini PC à double carte réseau. (Je viens de l'installé sur une machine virtuel en attendant pour me familiariser avec l'interface)

 

Si j'ai bien compris il faut que ce Mini PC se trouve entre l'UDM Se et le Switch sur lequel sont branchées mes APs...

 

Ma question est la suivante:

Est ce qu'il est possible d'appliquer le portail captif que sur le SSID Invité ou va-t-il s'appliquer sur tous les SSID ?

Si c'est sur tous, comment faire pour qu'il n'y est que les Invités qui soient concernés ?

 

Bonne journée

Link to comment
Share on other sites

Salut !

oui très facilement, 

tu peux par exemple utiliser le UDM SE pour ton réseau admin

et le PFsense pour ton réseau invité.

 

il te suffit de déclarer un VLAN dans ton contrôleur pour le pfsense et de faire matcher le tout.

 

Attention, il est fort probable par contre que la configuration automatique du wifi en mode guest bloque le portail captif.

Si c'est le cas, il faudra faire tes règles de firewall à la main.

Link to comment
Share on other sites

Merci pour ta réponse.

Sa me rassure de savoir que c'est faisable.

 

Si je comprends bien. (exemple)

Dans l'UDM SE (qui a l'adresse suivante 192.168.0.1), je paramètre un VLAN Invité 192.168.10.1/24 et Pro VLAN 192.168.20.1/24)

 

Je branche le PC PfSense entre l'UDM et le switch POE des Antenne Wifi

Je paramètre l'interface WAN du pc PfSence sur une IP 192.168.0.2 et l'interface LAN sur 192.168.10.1

Lors du paramétrage du LAN sur PfSence je configure un Range de 192.168.10.10 à 192.168.10.200

 

et je configure le portail captif sur cette interface LAN pour qu'il n'apparaisse que sur le réseau invité.

 

Pas sur d'avoir bien compris comment paramétrer...

Link to comment
Share on other sites

Salut !

 

dans l'idée, j'aurais plutot fait un truc comme cela:

 

Soit sur ton UDM

Lan 1 (ton Lan Pro) - Vlan 1:  192.168.20.1/24

Lan 2 (pour donner internet a ton PFSENSE) - Vlan 50 : 192.168.50.1/29 (inutile d'avoir un range complet d'IP)

Vlan Guest - Vlan 100 (VLAN ONLY)

 

Ton PFSENSE

avec donc ton Wan sur le Lan 2 de l'UDM et le port LAN pour les guest en 10.0.0.1/23 (512 IP me semble suffisant, a adapter suivant le nombre d'IP dont tu as besoin)

 

ne pas oublier de déclarer le VLAN correctement sur les ports du switch et sur le Wifi des AP

Diagramme sans nom.drawio.png

Link to comment
Share on other sites

Merci encore pour ton aide.

 

Si je comprends bien...

 

Dans l'UDM je configure les 3 Vlan suivant:

Vlan1 : 192.168.20.1/24

Vlan50 : 192.168.20.1/29

 

Vlan 100 : 10.0.0.1/23  <== (ou alors c'est dans le PfSence que je configure cette plage d'ip ??)

 

Mon SSID Pro je le mets sur le Vlan 1

Le SSID Guest je le mets sur le Vlan 100

 

Sur le switch:

- je configure le port sur lequel est connecté le Vlan 100 pour ne voir que lui (si j'ai bien compris ...)

et je configure l'autre port sur lequel est connecté le Vlan 1 pour ne voir que lui.

et tous les autre port sur "ALL"

 

et je connecte mon Switch POE qui alimente mes AP sur se 1er switch ...

 

Diagrammesansnom.drawio.png.aa01f7959a8ebb6edbf5bf322ebd9f3f.png

Link to comment
Share on other sites

Super ca commence a se préciser dans ma tête et sur le papier ^^.

Merci a toi !!!!

 

Par contre le Vlan 100 je le déclare dans l'UDM ou sur Pfsense ?

 

Et autre question, comme tout ce schéma c'est juste pour un portail captif, ne vaut il pas mieux que j'utilise "Alcasar" plutôt que "PfSense" ? 

 

Il m'a l'air plus simple à mettre en place. 

Je bloque un peu avec les histoire de certificat pour le HTTPS sur PfSense.

J'ai l'impression que Alcasar se debrouille tout seul pour cette partie là, non ?

Link to comment
Share on other sites

tu peux utiliser n'importe quel solution.

 

cela dépend de comment tu gère tes Vlan.

 

si ton PFsense tu tag ton Vlan 100

tu dois le declarer sur le controleur unifi et configurer tes switchs en fonction.

 

le plus simple a mon sens c'est de gerer les vlan via le switch en mettant en vlan par default le vlan 100 sur le port qui sera connecter a ton switch.

 

c'est comme tu le sens !

 

pour alcasar, je ne l'ai jamais configurer et je ne pourrais pas te guider dessus.

concernant PFSENSE, il y a beaucoup de tuto qui existe sur internet, mais je ne vois pas quel est le soucis que tu rencontres avec les certificats SSL ?

 

Attention, la législation française ne parle pas que du portail captif, tu as également l'obligation de rétention des logs de connections !

 

si tu n'as pas l'habitude de ce genre de solution, il y a beaucoup de solution sur le marché qui existe et qui sont en accord avec la legislation en vigueur.

Link to comment
Share on other sites

En effet j'ai trouver pas mal de tuto pour la configuration de base de PfSense et sur le portail captif avec la rétention des Log.

J'ai réussi toute cette première partie.

J'ai suivis surtout les tuto de pfSense Archives - PC2S - Bubu . ( Pas vraiment de mérite du coup ^^)

 

 

Mais dès que je veux allé sur un site en HTTPS il bloque.

C'est là que j'ai compris qu'il fallait que j'ajoute un certificat mais hier soir je bloqué la dessus.

 

Je comprends bien qu'il y a pas mal de solution un peu clef en main, ce sera la solution si je baisse les bras.

Mais comme j'aime les challenges et c'est comme ca qu'on grandit.

Et ca coutera moins chère pour le client final également...

 

Link to comment
Share on other sites

Le 05/04/2023 à 16:39, Darckya a dit :

Je comprends bien qu'il y a pas mal de solution un peu clef en main, ce sera la solution si je baisse les bras.

Mais comme j'aime les challenges et c'est comme ca qu'on grandit.

Et ca coutera moins chère pour le client final également...

 

 

Personnellement, je te dirais de bien tester en LAB et de déployer le portail chez toi ou un client proche en test sur plusieurs mois avant de déployer et vendre la solution.

 

tu pourras plus facilement tester la solution et voir l'investissement temps que cela peux te prendre pour maintenir la solution en place.

 

Histoire de ne pas te retrouver le bec dans l'eau avec une solution vendu a un client mais qui te demande trop d'investissement temps par rapport a ce que tu lui vends ;)

 

Link to comment
Share on other sites

Oui c'est ce que je suis en train de faire, 

Je le teste chez moi.

 

Mais comme je t'ai dis plus au pour le moment je bloque sur la redirection en HTTPS avec l'installation d'un certificat sur Pfsense.

Mais avant de poser des questions plus ciblé il faut que je test ce week end.

 

Merci en tout cas pour ton aide pour la partie réseau.

Link to comment
Share on other sites

Salut,

 

J'ai pas mal avancé durant les quelques jours.

J'ai recommencé la configuration de Pfsense et du portail captif, maintenant c'est bon ca marche en Https.

 

Mais je me retrouve bloqué dans la programmation des port du switch Unify. (Je fais les tests avec le switch 8 ports déjà installé sur l'UDM SE en attendant l'arrivé du Switch 24 Poe)

 

J'ai fait plusieurs screan de la configuration des équipements:

 

 

Le paramétrage des Interface Réseau sur le PfSense sont les suivante:

 

image.jpeg.78478df8cdc743bc7840a0a26b55973f.jpeg

 

J'ai activé le DHCP sur la sortie LAN de PfSence

 

image.thumb.jpeg.faa5e265c8a2d7960c4aac78ffc9de56.jpeg

 

 

J'ai paramétré les Vlan sur l'UDM de la façon suivante: 

 

image.jpeg.c1ee1c7d3cbd861910666ff02e121bae.jpeg

 

et les Ports du mini switch:

 

Le Port 2 pour le WAN du PfSense.

Le Port 4 pour le LAN du PfSense.

 

et le Port 3 est relié directement par câble sur un pc pour le test

 

image.thumb.jpeg.ae372fb0015adb0a73c9578558b23593.jpeg

 

et je n'ai rien sur le pc.

 

il me sort une IPV4 en 169:.......

et un masque de sous réseau en 255:255:0:0.

 

 

 

 

 

 

Link to comment
Share on other sites

Super, maintenant le pc prend bien une IP donnée par le DHCP du PfSense.

et il est bien vu dans l'UDM.

 

image.jpeg.2bb7f0a13cdc113bc423a36048ff203d.jpeg

 

Par contre il ne me renvoie pas sur la page du portail captif 

Même lorsque je le force en passant par l'ip 192.168.100.1:8002 dans le navigateur

 

Je suis bien connecté au réseau test 

 

J'ai refait un test en configurant mon wifi de Test pour le portail captif de la façon suivante:

Suppression du code Wifi

 

image.thumb.jpeg.a526c7c42e4061d3fda0d99be58be34e.jpeg

 

Je n'ai toujours pas le portail captif qui se lance automatiquement.

Mais si je tape l'ip suivante dans le navigateur 192.168.0.1 il me renvoie vers la 192.168.100.1:8002 et me propose le portail....

 

Je décide donc de m'authentifier 

J'apparais bien dans le PfSense mais je n'ai toujours pas internet pour autant et de plus je remarque qu'il n'arrive pas a faire remonter l'adresse M@c.

 

image.jpeg.787ce5d2c216debb4423015c1782bd46.jpeg

 

 

Link to comment
Share on other sites

CA MAAAAAAARCHEEEEEEEEEEEEEEEEEEE

 

Je pense que j'ai un soucis soit dans le paramétrage de mon navigateur sur le pc de test soit autre chose mais toujours sur le pc de test....

 

Car j'ai testé avec 2 pcs de clients, mon tel et celui de Madame et je tombe bien sur le portail directement :)

 

Le dernier point Noir que j'ai, c'est cette histoire d'adresse M@c qui n'apparait pas dans la journalisation du portail Captif ni dans "lightsquid".

 

A-t-on vraiment besoin de l'adresse mac .... (sachant que ca se change assez facilement)

Si je fais lier un Code d'authentification sur le PfSense à une Chambre de l'hôtel (donc à un client ...) normalement la loi est respectée vu que le lien est fait ...

 

Ou je dis une bêtise ?

Link to comment
Share on other sites

×
×
  • Create New...