Mise en place d'un portail captif sous pfSense
Rédigé par Ben'Oua - - Aucun commentaire
J'avais commencé ce projet durant mon stage au Lycée Agricole des Vaseix, mais faute de temps, je n'ai pu le terminer. Je l'ai alors repris pour l'examen du BTS en ajoutant plusieurs choses, notamment le passage du portail en https et l'auto configuration du proxy.
Contexte : (Les noms des réseaux et les IP sont bien sur fictives, elles ont uniquement été utilisées dans le cadre de l'examen.)
Le réseau du lycée est composé de deux sous-réseaux, un sous-réseau Administratif et un sous-réseau Pédagogique. Dans cette situation, aucune modification n’est apportée au réseau Administratif, qui était représenté ici par le réseau de la section SIO. Le sous-réseau Pédagogique est celui qui est mis en place. Il communique avec le réseau Administratif via un routeur.
L’objectif était de mettre en place un portail captif, de façon à ce que des personnes de l’extérieur puissent accéder à internet sans pour autant accéder aux ressources du réseau. Pour ce faire, le réseau du portail captif est intégré à un VLAN, et le réseau local à un autre. Du filtrage est mis en place sur le pfSense afin de ne laisser transiter que les requêtes HTTP, HTTPS et DNS. La solution de portail captif choisie est pfSense. Sur le serveur pfSense est relié un point d’accès sans-fil diffusant un SSID ouvert. Les personnes venant de l’extérieur se connectent à ce point d’accès, mais l’accès à internet n’est opérationnel qu’une fois les identifiants de connexion entrés dans la page web qui s’affiche après ouverture du navigateur.
Afin d’accéder à internet, les clients se connectant au portail captif devront passer par le proxy. Cependant, il est trop lourd de demander à chaque utilisateur de configurer manuellement son navigateur pour utiliser un proxy. J’ai donc créé un fichier d’auto-configuration de proxy.
Pour mettre en place le portail captif en HTTPS, j’ai créé des certificats via l’interface web de pfSense.
J’ai modifié la page de connexion du portail captif afin de la rendre un peu plus accueillante.
Mise en place de VLANs sur le commutateur du réseau Pédagogique, activation du mode trunk sur le port 1, où est relié le routeur, de façon à faire transiter les VLANs 10 et 20. Activation du mode access sur le port 2, où est relié le pfSense, pour l’intégrer au VLAN 10. Activation du mode access sur les ports 3 à 24, de façon à intégrer les postes du réseau filaire sur le VLAN 20. Activation du routage inter-VLAN sur le routeur, et création de deux interfaces virtuelles, une pour le VLAN 10 et une pour le VLAN 20. Mise en place de la table de routage, ainsi que d’une table NAT, afin de faire communiquer le réseau Pédagogique et le réseau Administratif.