Portail captif pfSense

I Contexte

La ville dOlonne sur mer accueille certains lus au sein de la Mairie. Ces lus viennent avec leurs
terminaux mobiles quils utilisent dans le cadre de leur travail (ordinateurs portables, Smartphones,
tablettes) et ont besoin dun accs internet. La plupart de ces terminaux utilisent le Wi-Fi afin de
se connecter Internet. Cependant, afin dviter tout abus, lusage dInternet est rglement. Les
lois Vigipirate et Hadopi2 imposent aux administrateurs rseaux de pouvoir identifier et tracer les
navigations des utilisateurs.

II - Dfinition du besoin

Les lus ayant besoin dun accs internet sans fil, une borne wifi basique tait installe. Hors la seule
scurisation tait une cl WEP. Le but est de scuriser le rseau. Pour cela, lide retenue a t la
mise en place dun portail captif, qui, une fois connect au point daccs, demande lauthentification
avec les identifiants LDAP sur une page web. La borne daccs quant elle est remplace par une
borne avec scurit WPA2-PSK. De plus, lutilisation de ce portail captif permet dobtenir des
informations sur les utilisateurs. En effet, il permet davoir connaissance des utilisateurs connects.
III Installation

Installation de pfSense
Booter sur une cl USB contenant lISO de pfSense puis procder une installation classique :
Configuration de pfSense

Une fois pfSense install, la machine redmarre. Il faut alors dbuter la configuration. Le premier
lment de configuration est lassignation des interfaces : il faut dfinir le LAN et le WAN. Le WAN est
le ct du rseau de la Mairie, le LAN est le ct de la borne daccs sans-fil, o viendront se
connecter les postes clients.

Ladresse IP de la carte WAN va donc se configurer grce au DHCP du rseau de la Mairie.

Ladresse IP de la carte LAN va se configurer par dfaut en 192.168.1.1/24 que nous conserverons.

Une fois ceci fait, nous avons accs au tableau de bord de pfSense, configurable en mode web en
tapant ladresse de la carte LAN dans notre navigateur.
Scurisation

Afin de scuriser le portail captif, il est ncessaire de :

Utiliser le protocole https lors de laccs au configurateur Web et modifier le port :

Activer lutilisation du mot de passe pour protger la console :

Activer le ssh afin dadministrer le pfSense distance :

DHCP

Les postes clients qui se connecteront ce point daccs sans fil auront besoin dune adresse IP. Le
rseau LAN (192.168.1.x) tant configur diffremment du rseau WAN (10.0.x.x) au point de vue
plan dadressage IP, il aura besoin de son propre DHCP. Il faut donc se rendre dans DHCP Server et
activer ce service. La plage dadresses attribues est par dfaut de 10 245 mais est bien sr
modifiable.

Portail captif

Configuration
Activer le portail captif dans Services > Captive portal, puis choisir linterface o lon veut lappliquer,
ici le LAN

Nommer et dcrire le portail

Choisir la page sur laquelle nous voulons rediriger lutilisateur aprs son authentification (optionnel) :

Choisir le type dauthentification, ici nous allons travailler avec RADIUS, qui sera install en package
sur la mme machine. Renseigner le localhost en serveur RADIUS et 1812 pour le port. Le shared
secret est au choix, il faut bien le noter car nous devront le renseigner ailleurs plus tard :

RADIUS
Dans System > Packages, tlcharger et installer le paquet freeradius2
Se rendre dans Services > FreeRADIUS puis dans longlet NAS/Clients puis ajouter un client avec
ladresse 127.0.0.1, le hostname du pfSense, ainsi que le SharedSecret renseign prcdemment :

Dans longlet Interfaces , renseigner linterface sur lequel pfSense doit couter pour le serveur
RADIUS. Ici nous renseignerons 127.0.0.1 puisquil est lui-mme serveur RADIUS :

Puis dans longlet LDAP, cocher Enable LDAP For Authorization et Enable LDAP For
Authentication . Ensuite renseigner les champs suivants :

Server : adresse IP du serveur LDAP

Port : par dfaut 389
Identity : chaine LDAP du compte qui permet laccs au LDAP (doit tre cr dans lAD),
attention, bien renseigner cette adresse, la plus part des problmes de connexion peuvent
potentiellement venir de l
Password : mot de passe du compte pfsense dans lAD
BaseDN : Nom de domaine
 Filter : dfini le User-Name
Base Filter : laisser par dfaut

Diagnostiques derreurs
En cas de problmes de connexion LDAP, lutilitaire dexploration Jxplorer peut permettre de
tester la connexion avec le compte pfsense cr dans lAD. Cela permet galement de vrifier
lexactitude des chanes LDAP :
Connexion
Une fois le portail captif configur, lutilisateur se connecte au rseau avec son terminal. Pour
lexemple nous utiliserons un Smartphone.

1. Lutilisateur cherche le SSID du rseau et le slectionne

2. Lutilisateur entre la cl WPA2-PSK
3. Aprs avoir rejoint le rseau, la page du portail captif apparait, lutilisateur entre ses
identifiants de connexion quil entre dhabitude lors de sa connexion une session Windows
4. Lutilisateur est connect au rseau et redirig sur la page voulue
Page de connexion
Il est possible de modifier la page qui permet lutilisateur de sauthentifier, pour cela, il faut se
rendre dans Services > Captive Portal > Portal Page Contents et uploder la page html voulue :

Voici le code que nous allons uploader :

Dsormais, lorsque le client se connecte, il sidentifie sur cette page :