[Tuto]Rédacteur invité: Portail captif avec PfSense

Merci à Julien pour ce tuto très utile pour sécuriser un hotspot WiFi !


Tout d’abord, qu’est-ce qu’un Portail Captif ?

Un portail Captif est une infrastructure qui redirige les connexions des utilisateurs vers une page d’authentification. Le portail captif propose à l’utilisateur d’entrer un nom et un mot de passe, qui lui permettra d’accéder à une ressource en fonction de son statut. Cette page d’authentification est stockée sur le portail captif, que l’on accède via un navigateur internet. Les identifiants de connexion (nom et mot de passe) sont stockés dans une base de données locale ou à travers un serveur distant via le protocole RADIUS. Quand l’utilisateur est connecté, le portail captif autorise la connexion pour une durée déterminée, sinon celui-ci ne peut pas se connecter. Ce type d’infrastructure est particulièrement bien adapté dans le cadre de réseaux sans-fils.

Dans la pratique il existe une dizaine de solution de Portails Captifs, mais nous allons nous intéresser à PfSense.

C’est parti:

Les utilisateurs connectés sur une borne d’accès sans-fils voulant accéder à internet sont redirigés vers une page d’authentification du portail captif.

Note : Tous les protocoles sont « refusés » tant que l’utilisateur n’est pas authentifié.

L’utilisateur devra saisir un « login » et un mot de passe pour s’authentifier et ainsi sortir sur Internet.

PfSense est un pare-feu comprenant une fonction de Portail Captif. Il est téléchargeable à l’adresse suivante : www.pfsense.com.

Une fois PfSense téléchargé, gravez-le sur un CD-ROM et démarrez la machine en bootant sur le CD-ROM.

Entrez 99 pour installer Pfsense sur le disque dur de la machine.

Une fois l’installation effectuée, entrez « 1 » pour définir les interfaces. Spécifiez quelles cartes correspondent à l’interface LAN et WAN.

Rappel : Vous devez disposer de deux cartes réseau, une pour la connexion à Internet et l’autre pour la connexion au réseau locale.

Ensuite, il faut configurer l’adresse IP de l’interface locale « LAN ». Entrez une adresse IP dans le même plan d’adressage que votre réseau local. Exemple : 192.168.1.252.

A l’aide d’une machine dans le réseau « LAN », connectez vous sur l’interface graphique de PfSense en entrant dans un navigateur Web l’adresse IP locale définie plus haut : http://192.168.1.252

Un assistant nous guide pour la configuration de PfSense. Entrez le « HOSTNAME » (exemple : pfsense), le « DOMAIN » (laissez « local »). Si vous avez un serveur DNS, entrez son adresse IP ici.

Puis cliquez sur « Next », puis « Next » à nouveau. Enfin choisissez un mot de passe administrateur pour le portail captif. Vous êtes à présent sur l’interface de configuration de PfSense.

Dans la partie « SERVICES », vous trouverez un onglet « DHCP server ». Cochez la case « Enable DHCP server on LAN interface ».

Sélectionnez une plage d’adresse, et remplissez le champ « Gateway » avec l’adresse IP locale de PFSense, soit 192.168.1.252 dans notre cas.

Note : PfSense fait office de Pare-feu authentifiant, c’est lui qui doit gérer les services d’attribution dynamique d’adresses IP (DHCP).

Ensuite, toujours dans la partie « SERVICES », l’onglet « Captive Portal » va nous permettre de configurer l’authentification des utilisateurs.


Cochez la case « Enable captive portal ». Et choisissez l’interface à écouter, ici l’interface LAN .

Vous pouvez spécifier une URL de redirection : une fois les utilisateurs authentifiés, ils seront automatiquement redirigés vers la page en question. (exemple : le site de votre entreprise).

Cochez ici « Local user manager » si vous n’avez pas de serveur dédié pour l’authentification. Cliquez sur le lien « user manager » en bleu afin d’être redirigé vers la création des utilisateurs.

Vous pouvez créer votre propre page d’authentification, avec le logo de l’entreprise par exemple.

Par défaut, copiez-collez le texte commençant par « <form method=’post’…. » et terminant par </form> dans un fichier index.html.

Cliquez sur « parcourir » et ajoutez votre fichier index.html.

Le portail Captif est opérationnel. Connectez-vous à internet depuis une machine et vous devriez voir deux champs pour l’authentification (login/mot de passe).

Note : Pour aller plus loin, pensez à activer l’authentification HTTPS et à générer les certificats correspondants ainsi que l’installation d’un serveur RADIUS pour l’authentification des utilisateurs.

Je remercie Julien pour ce tuto et je rajouterais juste un conseil: Penchez vous sur les extensions assez nombreuses qui sont diponibles directement par l’interface de PFSense. Je pense notamment à Freeradius pour consolider la sécurité du portail.

Et si vous voulez suivre Julien c’est ici!

Articles Similaires:

  • http://www.facebook.com/profile.php?id=1074758560 Brice Ouh

    Salut,

    Excellent tuto, je viens moi même d'installer pfsense au bureau (nous sommes actuellement confrontés a une masse d'utilisateurs téléchargeurs via p2p ..)
    Pourrais tu m'en dire plus sur le branchement d'une antenne wifi (car les pc portable connectés en wifi passent par le wifi de la livebox et donc ne passent pas via le firewall.. Je comprend le fonctionnement du portail captif, mais je pense qu'il fait que j'ajoute une interface (borne wifi par exe) et que j'active le portail captif sur cette interface et non sur le lan comme sur ce tuto.. Je me trompe ?
    Merci

    • gizeek

      C'est exactement cela. En fait si tu regarde bien le tout fonctionne sur ce principe. le portail captif est "actif" sur l'interface sans fil.

  • Flo.ftv

    Bonjour,
    Je suis débutant la dedans et je voulais savoir à partir de quel OS il faut partir
    pour installer ce Portail Captif.
    Merci

    • gizeek

      Comme expliqué dans le tuto tu n'a qu'à télécharger la distribution spécialement adaptée pour pfsense sur le site indiqué, pas besoin de monter un OS ! Sinon PfSense tourne sous FreeBSD.