Blue redirection captive portail

par **Franki973** » 01 Juin 2008 16:48

Bonjour,

Je souhaterai installer une page d'accueil sur l'interface bleue, mais qq chose de plus simple (sans authentification ni serveur radius) que l'addon CopSpot.
En résumé, tout utilisateur se connectant sur la borne wifi (donc avec une adresse locale attribuée par le DHCP) mais dont l'adresse MAC n'est pas validée se verrait automatiquement redirigé (captive portail) lors de ses requêtes internet vers la page d'accueil de la boîte, placée sur le serveur HTTP local en orange, qq chose de plus aimable et détaillé que DNS error ou autre.
Je présume qu'on peut rajouter un règle a iptables, mais jusqu'a présent, je n'ai pas trouvé l'incantation magique...

par **ccnet** » 01 Juin 2008 18:21

Sans aller jusqu'au incantations (ni jusqu'à tripoter iptables dans ipcop), Pfsense fait cela en standard.

par **Franki973** » 02 Juin 2008 14:55

En effet, PFsense est très intéressant, mais quelques fonctionnalités particulières a IPcop et la richesse des Addons font que je préfère IPcop.

par **ccnet** » 02 Juin 2008 15:11

Puisque je travaille sur les deux, je suis intéressé pour connaître les points qui, dans une situation donnée, vous font préférer ipcop. Merci.

par **Franki973** » 02 Juin 2008 15:47

Je me suis intéressé a PFsense a un moment ou j'ai mis en place un "load balancing" sur 2 wans, Kourou étant particulièrement mal desservi par le monopole local FT-Orange en matière de débit. Je me revenu a une solution Ipcop + Xincom DGP503 pour les raisons suivantes (si mes souvenirs sont bons):
- Répartion de charge plus avancée avec Xincom, surtout avec des wans instables et non symétriques.
- Pas de proxy, celui-çi sauvant la face quand le 8Mb/s tombe à ...0.1Mb/s (en fait il ne dépasse jamais 2Mb/s).
- Pas de snort.
- Pas de gestion rapide et aisée des utilisateurs wifi
- Pas de connexion PPPT (en secours, problèmes récurrents du cable sous-marin)
- Pas d'addons type NetTraffic ou ExtraGraphs, intéressants dans le cas d'un internet public + cabines VOIP
Ceci dit, je trouve que les solutions légères basées sur FreeBSD, telles Freenas (en service) très convaincantes. Je suis un adepte de la compact-flash !

par **ccnet** » 02 Juin 2008 16:42

J'ignore à quand remonte votre dernière visite sur Pfsense.org, mais sur plusieurs points, il me semble que la version 1.2 donne satisfaction.

La répartition de charge actuellement implémentée : je n'ai pas testé en asymétrique.
Proxy, Snort, et gestion utilisateurs Wifi sont présents. En 1.3 le portail captif supportera directement les authentifications sur une source Ldap.
L'interface wan supporte maintenant pptp.
Sur le dernier point je ne sais pas. J'ai bien vu des graphiques, mais je ne sais si cela conviendrait.

par **Franki973** » 02 Juin 2008 17:14

Merci de vos précisions. En effet, je pense que je dois refaire des tests avec une version récente de Pfsense. Ceci dit, je garde un faible pour Ipcop qui ne m'a jamais trahi, en service continu (Via Epia + CF + 5 eth) depuis plusieurs années...on commençait à se connaître ! La difficulté de repartir un routage à 0 quand il y a du monde derrière et que ça marche bien au premier coup sans gêner personne. En fait, la fonction recherchée, ce captive portal est la seule fonction qui me manque. Je crois que je deviens sentimental, comme avec un bon outil que l'on a dans sa caisse depuis des années et dont la perte vous chagrine !

par **MaRCoOf** » 13 Juin 2008 23:22

Bonsoir !

C'est vrai qu'ipcop c'est classe... Et Pfsense l'est aussi !
Les addons sur ipcop en ce moment c'est un peu calme...
Je me sert pas mal de pfsense, cela fonctionne bien.
Ideal pour faire du hotspot avec un peu de tweak.
Ipcop le fait aussi, mais il faut une serveur a coté.
A bientot

par **Franki973** » 14 Juin 2008 00:00

Bonsoir,

Cependant l'addon adv-proxy permet de créer une authentification locale sur l'ipcop. Le hic c'est que le proxy transparent ne peut être actif. Pour une utilisation publique DNS-DHCP doivent être 100% auto.
Et le proxy http, hélas absent de pfsense est bien pratique pour pallier aux baisses de régime FT en Guyane. On pourait mettre aussi Ipcop+pFsence en série, mais c'est un peu lourdingue.
Je teste en ce moment pFsence, clair et net, très pro. Captive portal, authentification locale ou Radius. Très très intéressant.

par **jdh** » 14 Juin 2008 00:10

Non, non.

PfSense dispose de Squid à installer comme package (et qui apparaît alors dans Services > Proxy server).

De plus, avec la version 1.2, le package SquidGuard est devenu officiel (et opérationnel) (et il apparaît alors dans Services > Proxy content).

Même si la blacklist de Toulouse n'est pas aussi bien intégrée qu'à IPCOP (merci à Franck78), on peut arriver à filtrer de façon tout à fait satisfaisante le trafic http (après quelques essais ...).

Je ne vois AUCUN intérêt à enchaîner IPCOP et pfSense. Je pense même que ce serait un erreur en terme d'architecture (et un faux sentiment de sécurité).

(De plus il y a un beau package de reporting : lightsquid).

par **cyberyoda** » 03 Nov 2008 11:49

Bonjour,

J'utilise IPcop depuis bientôt un an. L'installation a été faite par un expert et je n'ai pas trop envie de changer pour une nouvelle solution (IPcop tourne bien).

Mes questions :

- Copspot nécessite t'il obligatoirement un serveur radius ?
- Existe t'il d'autres add-ons pour gérer des hotspot ?

Actuellement, chaque PC portable voulant se connecter au Wifi (blue) doit me demander l'autorisation pour que j'ajoute l'adresse mac dans la base des accès autorisé. Le wifi est ouvert uniquement de 8h à 21h gràce à squidguard.

Mon idée aurait été que prochainement, tout le monde puisse se connecter mais en ayant fourni une adresse mail et en ayant accepter les conditions d'utilisations avant (case à cocher).

C'est ce que j'appelle un portail captif "ouvert".

par **ccnet** » 03 Nov 2008 12:06

L'installation a été faite par un expert et je n'ai pas trop envie de changer pour une nouvelle solution (IPcop tourne bien).

Et, a priori, vous avez bien raison.

Mon premier réflexe est de vous demander pourquoi ne vous tournez vous pas vers la personne qui a réalisé l'installation initiale ?

- Copspot nécessite t'il obligatoirement un serveur radius ?
- Existe t'il d'autres add-ons pour gérer des hotspot ?

Je n'ai pas vu que l'on puisse se passer de Radius et je n'en connais pas d'autre.

Mon idée aurait été que prochainement, tout le monde puisse se connecter mais en ayant fourni une adresse mail et en ayant accepter les conditions d'utilisations avant (case à cocher).

Et bien sur il faut en vérifier la validité. Je ne pense pas qu'il soit facile de faire cela avec ipcop sans développement.

En fait ici vous induisez déjà une solution alors que vous ne dites rien du besoin.

par **cyberyoda** » 03 Nov 2008 12:38

Bonjour et merci de cette réponse rapide,

ccnet a écrit:Mon premier réflexe est de vous demander pourquoi ne vous tournez vous pas vers la personne qui a réalisé l'installation initiale ?

Car cette personne fait cela bénévolement et que je ne veux pas abuser de son temps :-)

ccnet a écrit:Je n'ai pas vu que l'on puisse se passer de Radius et je n'en connais pas d'autre.

En fait, je voudrais me passer de base de donnée d'utilisateur autorisée ou non. Comme dit dans mon précédent message mon besoin serait que TOUT le monde puisse se connecter une fois qu'ils ont acceptés les conditions et fournit leur adresse mail.

Autres questions sur le serveur RADIUS. Qu'est ce que l'installation d'un serveur RADIUS nécessite ?

Du matériel ? (Si oui, quoi ?)
Une installation ? (Si oui, est ce possible de le faire sur le PC ou tourne IPcop)
Autre ?

D'avance merci de votre aide

par **ccnet** » 03 Nov 2008 13:02

En fait, je voudrais me passer de base de donnée d'utilisateur autorisée ou non. Comme dit dans mon précédent message mon besoin serait que TOUT le monde puisse se connecter une fois qu'ils ont acceptés les conditions et fournit leur adresse mail.

Je repose le problème : vérification de l'adresse mail ou pas ? Il es t utopique d'espérer que tous les utilisateurs fourniront une adresse mail valide ET leur appartenant. Si je vais sur cette page, au hasard, http://medias.sncf.com/resources/fr_FR/ ... le_pdf.pdf je trouve plein d'adresses mails qui vont très bien convenir. En cas de problème que faite vous ? Postmaster, info, contact, devrait être assez commode aussi. Je vous invite à y réfléchir.

Autres questions sur le serveur RADIUS. Qu'est ce que l'installation d'un serveur RADIUS nécessite ?

Une Debian + FreeRadius par exemple.

Une installation ? (Si oui, est ce possible de le faire sur le PC ou tourne IPcop)

Un soft à installer. Non.

Mais vous allez tourner en rond. Qui dit Radius dit authentification sur une base (SQL - Ldap - etc ... ) or c'est justement ce que vous ne voulez pas faire. Mais CopSpot ne fonctionne pas sans Radius. On boucle.

par **gunsnroses** » 04 Nov 2008 10:38

Je suis tombé sur ce projet il y a quelque jours mais je n'ai pas eu le temps de m'y interresser encore sérieusement http://www.alcasar.info.
Il est peu être possible de le monter en parallèle de l'IPCOP sur la patte bleu et de mettre l'adresse MAC de la machine sur laquelle tourne Alcasar comme autorisée à utiliser l'interface bleu d'IPCOP.
Le point d'accès serai bien sur monté sur Alcasar.

En tout cas, j'avais pensé à tester un truc dans ce genre là, masi je manque un peu de temps pour l'instant.

Alors si tu essaye, donne nous le retour d'expérience.

@+