Darckya Posted March 31, 2023 Report Share Posted March 31, 2023 Bonjour à tous, Je vais bientôt devoir installer un portail Captif sur l'installation d'un client. (mais c'est la 1ère fois) Son réseau est constitué d'un UDM SE => 2 Switch ( 1 Switch Pro 24 PoE sur lequel sont barnchées 8 AP U6 LR et un 2ème Switch 24 PoE sur lequel 7 camera du même fabriquant sont connectés). Pour simplifier et juste pour l'exemple il y a 2 SSID de dispo ( Invité VLAN 192.168.10.1/24 et Pro VLAN 192.168.20.1/24). D'après toutes les recherches que j'ai pu faire la solution du portail captif de Ubiquiti n'est pas conforme au norme française. (si j'ai bien compris) Je pars donc sur la solution PfSense installé sur un mini PC à double carte réseau. (Je viens de l'installé sur une machine virtuel en attendant pour me familiariser avec l'interface) Si j'ai bien compris il faut que ce Mini PC se trouve entre l'UDM Se et le Switch sur lequel sont branchées mes APs... Ma question est la suivante: Est ce qu'il est possible d'appliquer le portail captif que sur le SSID Invité ou va-t-il s'appliquer sur tous les SSID ? Si c'est sur tous, comment faire pour qu'il n'y est que les Invités qui soient concernés ? Bonne journée Link to comment Share on other sites More sharing options...
ramius179 Posted March 31, 2023 Report Share Posted March 31, 2023 Salut ! oui très facilement, tu peux par exemple utiliser le UDM SE pour ton réseau admin et le PFsense pour ton réseau invité. il te suffit de déclarer un VLAN dans ton contrôleur pour le pfsense et de faire matcher le tout. Attention, il est fort probable par contre que la configuration automatique du wifi en mode guest bloque le portail captif. Si c'est le cas, il faudra faire tes règles de firewall à la main. Link to comment Share on other sites More sharing options...
Darckya Posted April 2, 2023 Author Report Share Posted April 2, 2023 Merci pour ta réponse. Sa me rassure de savoir que c'est faisable. Si je comprends bien. (exemple) Dans l'UDM SE (qui a l'adresse suivante 192.168.0.1), je paramètre un VLAN Invité 192.168.10.1/24 et Pro VLAN 192.168.20.1/24) Je branche le PC PfSense entre l'UDM et le switch POE des Antenne Wifi Je paramètre l'interface WAN du pc PfSence sur une IP 192.168.0.2 et l'interface LAN sur 192.168.10.1 Lors du paramétrage du LAN sur PfSence je configure un Range de 192.168.10.10 à 192.168.10.200 et je configure le portail captif sur cette interface LAN pour qu'il n'apparaisse que sur le réseau invité. Pas sur d'avoir bien compris comment paramétrer... Link to comment Share on other sites More sharing options...
ramius179 Posted April 3, 2023 Report Share Posted April 3, 2023 non tu configure le VLAN invité en VLAN only ! et ce vlan tu l'utilise avec le PFSENSE et tu le déclare sur ton wifi (et les ports de ton switch qui en ont besoins. Link to comment Share on other sites More sharing options...
Darckya Posted April 3, 2023 Author Report Share Posted April 3, 2023 D'accord. Avec mon réseau câblé comme sur le schéma ? Link to comment Share on other sites More sharing options...
ramius179 Posted April 4, 2023 Report Share Posted April 4, 2023 Salut ! dans l'idée, j'aurais plutot fait un truc comme cela: Soit sur ton UDM Lan 1 (ton Lan Pro) - Vlan 1: 192.168.20.1/24 Lan 2 (pour donner internet a ton PFSENSE) - Vlan 50 : 192.168.50.1/29 (inutile d'avoir un range complet d'IP) Vlan Guest - Vlan 100 (VLAN ONLY) Ton PFSENSE avec donc ton Wan sur le Lan 2 de l'UDM et le port LAN pour les guest en 10.0.0.1/23 (512 IP me semble suffisant, a adapter suivant le nombre d'IP dont tu as besoin) ne pas oublier de déclarer le VLAN correctement sur les ports du switch et sur le Wifi des AP Link to comment Share on other sites More sharing options...
Darckya Posted April 4, 2023 Author Report Share Posted April 4, 2023 Merci encore pour ton aide. Si je comprends bien... Dans l'UDM je configure les 3 Vlan suivant: Vlan1 : 192.168.20.1/24 Vlan50 : 192.168.20.1/29 Vlan 100 : 10.0.0.1/23 <== (ou alors c'est dans le PfSence que je configure cette plage d'ip ??) Mon SSID Pro je le mets sur le Vlan 1 Le SSID Guest je le mets sur le Vlan 100 Sur le switch: - je configure le port sur lequel est connecté le Vlan 100 pour ne voir que lui (si j'ai bien compris ...) et je configure l'autre port sur lequel est connecté le Vlan 1 pour ne voir que lui. et tous les autre port sur "ALL" et je connecte mon Switch POE qui alimente mes AP sur se 1er switch ... Link to comment Share on other sites More sharing options...
ramius179 Posted April 5, 2023 Report Share Posted April 5, 2023 tout a fait ! par contre pour configurer tes switch unifi il faudra que tu déclare dans le controleur du UDM SE, le VLAN guest ! sinon tu ne pourras pas configurer tes ports. Link to comment Share on other sites More sharing options...
Darckya Posted April 5, 2023 Author Report Share Posted April 5, 2023 Super ca commence a se préciser dans ma tête et sur le papier ^^. Merci a toi !!!! Par contre le Vlan 100 je le déclare dans l'UDM ou sur Pfsense ? Et autre question, comme tout ce schéma c'est juste pour un portail captif, ne vaut il pas mieux que j'utilise "Alcasar" plutôt que "PfSense" ? Il m'a l'air plus simple à mettre en place. Je bloque un peu avec les histoire de certificat pour le HTTPS sur PfSense. J'ai l'impression que Alcasar se debrouille tout seul pour cette partie là, non ? Link to comment Share on other sites More sharing options...
ramius179 Posted April 5, 2023 Report Share Posted April 5, 2023 tu peux utiliser n'importe quel solution. cela dépend de comment tu gère tes Vlan. si ton PFsense tu tag ton Vlan 100 tu dois le declarer sur le controleur unifi et configurer tes switchs en fonction. le plus simple a mon sens c'est de gerer les vlan via le switch en mettant en vlan par default le vlan 100 sur le port qui sera connecter a ton switch. c'est comme tu le sens ! pour alcasar, je ne l'ai jamais configurer et je ne pourrais pas te guider dessus. concernant PFSENSE, il y a beaucoup de tuto qui existe sur internet, mais je ne vois pas quel est le soucis que tu rencontres avec les certificats SSL ? Attention, la législation française ne parle pas que du portail captif, tu as également l'obligation de rétention des logs de connections ! si tu n'as pas l'habitude de ce genre de solution, il y a beaucoup de solution sur le marché qui existe et qui sont en accord avec la legislation en vigueur. Link to comment Share on other sites More sharing options...
Darckya Posted April 5, 2023 Author Report Share Posted April 5, 2023 En effet j'ai trouver pas mal de tuto pour la configuration de base de PfSense et sur le portail captif avec la rétention des Log. J'ai réussi toute cette première partie. J'ai suivis surtout les tuto de pfSense Archives - PC2S - Bubu . ( Pas vraiment de mérite du coup ^^) Mais dès que je veux allé sur un site en HTTPS il bloque. C'est là que j'ai compris qu'il fallait que j'ajoute un certificat mais hier soir je bloqué la dessus. Je comprends bien qu'il y a pas mal de solution un peu clef en main, ce sera la solution si je baisse les bras. Mais comme j'aime les challenges et c'est comme ca qu'on grandit. Et ca coutera moins chère pour le client final également... Link to comment Share on other sites More sharing options...
ramius179 Posted April 7, 2023 Report Share Posted April 7, 2023 Le 05/04/2023 à 16:39, Darckya a dit : Je comprends bien qu'il y a pas mal de solution un peu clef en main, ce sera la solution si je baisse les bras. Mais comme j'aime les challenges et c'est comme ca qu'on grandit. Et ca coutera moins chère pour le client final également... Personnellement, je te dirais de bien tester en LAB et de déployer le portail chez toi ou un client proche en test sur plusieurs mois avant de déployer et vendre la solution. tu pourras plus facilement tester la solution et voir l'investissement temps que cela peux te prendre pour maintenir la solution en place. Histoire de ne pas te retrouver le bec dans l'eau avec une solution vendu a un client mais qui te demande trop d'investissement temps par rapport a ce que tu lui vends Link to comment Share on other sites More sharing options...
Darckya Posted April 7, 2023 Author Report Share Posted April 7, 2023 Oui c'est ce que je suis en train de faire, Je le teste chez moi. Mais comme je t'ai dis plus au pour le moment je bloque sur la redirection en HTTPS avec l'installation d'un certificat sur Pfsense. Mais avant de poser des questions plus ciblé il faut que je test ce week end. Merci en tout cas pour ton aide pour la partie réseau. Link to comment Share on other sites More sharing options...
Darckya Posted April 13, 2023 Author Report Share Posted April 13, 2023 Salut, J'ai pas mal avancé durant les quelques jours. J'ai recommencé la configuration de Pfsense et du portail captif, maintenant c'est bon ca marche en Https. Mais je me retrouve bloqué dans la programmation des port du switch Unify. (Je fais les tests avec le switch 8 ports déjà installé sur l'UDM SE en attendant l'arrivé du Switch 24 Poe) J'ai fait plusieurs screan de la configuration des équipements: Le paramétrage des Interface Réseau sur le PfSense sont les suivante: J'ai activé le DHCP sur la sortie LAN de PfSence J'ai paramétré les Vlan sur l'UDM de la façon suivante: et les Ports du mini switch: Le Port 2 pour le WAN du PfSense. Le Port 4 pour le LAN du PfSense. et le Port 3 est relié directement par câble sur un pc pour le test et je n'ai rien sur le pc. il me sort une IPV4 en 169:....... et un masque de sous réseau en 255:255:0:0. Link to comment Share on other sites More sharing options...
ramius179 Posted April 14, 2023 Report Share Posted April 14, 2023 ton VLAN 100 est mal configuré. tu dois uniquement déclarer le VLAN pas de Subnet sur unifi. Link to comment Share on other sites More sharing options...
Darckya Posted April 14, 2023 Author Report Share Posted April 14, 2023 Super, maintenant le pc prend bien une IP donnée par le DHCP du PfSense. et il est bien vu dans l'UDM. Par contre il ne me renvoie pas sur la page du portail captif Même lorsque je le force en passant par l'ip 192.168.100.1:8002 dans le navigateur Je suis bien connecté au réseau test J'ai refait un test en configurant mon wifi de Test pour le portail captif de la façon suivante: Suppression du code Wifi Je n'ai toujours pas le portail captif qui se lance automatiquement. Mais si je tape l'ip suivante dans le navigateur 192.168.0.1 il me renvoie vers la 192.168.100.1:8002 et me propose le portail.... Je décide donc de m'authentifier J'apparais bien dans le PfSense mais je n'ai toujours pas internet pour autant et de plus je remarque qu'il n'arrive pas a faire remonter l'adresse M@c. Link to comment Share on other sites More sharing options...
ramius179 Posted April 17, 2023 Report Share Posted April 17, 2023 tu dois avoir un probleme de configuration. attention a ne pas déclarer ton réseau wifi dans l'UDM comme guest. si tu te connecte en direct sur ton PFSENSE, tu as le portail captif ? Link to comment Share on other sites More sharing options...
Darckya Posted April 17, 2023 Author Report Share Posted April 17, 2023 CA MAAAAAAARCHEEEEEEEEEEEEEEEEEEE Je pense que j'ai un soucis soit dans le paramétrage de mon navigateur sur le pc de test soit autre chose mais toujours sur le pc de test.... Car j'ai testé avec 2 pcs de clients, mon tel et celui de Madame et je tombe bien sur le portail directement :) Le dernier point Noir que j'ai, c'est cette histoire d'adresse M@c qui n'apparait pas dans la journalisation du portail Captif ni dans "lightsquid". A-t-on vraiment besoin de l'adresse mac .... (sachant que ca se change assez facilement) Si je fais lier un Code d'authentification sur le PfSense à une Chambre de l'hôtel (donc à un client ...) normalement la loi est respectée vu que le lien est fait ... Ou je dis une bêtise ? Link to comment Share on other sites More sharing options...
ramius179 Posted April 18, 2023 Report Share Posted April 18, 2023 Top ! Pour le reste, aucune idée. Mais il me semble que tu dois pouvoir disposer de l'adresse mac dans les logs pour indiquer quel dispositif. Oui cela se change facilement, mais bon ! Link to comment Share on other sites More sharing options...
Recommended Posts