1 (11:07:59) emmanuel.tagne-tagne: ---------------- ATELIER ' Portail-captif-wifi' ---------------------------------
2 (11:08:11) emmanuel.tagne-tagne: Bonjour à tous et à toutes
3 (11:08:36) emmanuel.tagne-tagne: Je commence par remercier Roger Yerbanga pour le travail colossale abattu (études, expérimentations, implémentions et surtout documentation) ; travail d'ailleurs qui sert de base au présent atelier.
4
5 (11:08:55) thierry.tsitoara [thierry.tsitoara@auf.org/Bureau] a rejoint le salon.
6 (11:09:03) emmanuel.tagne-tagne: *** Définition ***
7 (11:09:27) emmanuel.tagne-tagne: Le portail captif est une passerelle (logiciel ) qui permet de gérer l'authentification des utilisateurs sollicitant l'accès à Internet à partir d'un sous réseau généralement sans fil.
8 (11:09:54) emmanuel.tagne-tagne: Le portail-captif est généralement exploité dans les réseaux sans fil publics ( universités, aéroports, hôtels, etc.) où, l'accès à Internet est ouvert, sans aucune sécurité (WEP, WPA , etc.) entre le client et le point d'accès sans fil, mais nécessite une simple authentification de l'usager.
9
10 (11:10:23) emmanuel.tagne-tagne: *** Quel outil utiliser pour le portail captif ? ***
11 (11:10:54) emmanuel.tagne-tagne: Il existe plusieurs solutions logicielles libres pour l'implémentation d'un portail captif. Une liste non exhaustive des solutions est donnée ici: http://fr.wikipedia.org/wiki/Portail_captif
12 (11:11:29) emmanuel.tagne-tagne: Pour le projet 'Portail captif WIFI,' de l'AUF, Pfsense a été retenu pour servir de portail captif.
13 (11:12:20) emmanuel.tagne-tagne: Selon la page d'accueil du site http://www.pfsense.org/, il est claire que : « pfSense est une distribution Linux libre, open source basée sur FreeBSD adapté pour une utilisation en tant que pare-feu et routeur ». J'ajouterai que: « Pfsense intègre une option portail-captif simple et conviviale».
14 (11:12:56) willy.manga a quitté le salon
15 (11:13:12) emmanuel.tagne-tagne: Comme l'a dit notre cher Roger dans sa documentation : « On l'a déjà dit, Pfsense est un OS, donc y'a pas à dire qu'il tourne sous Debian, Ubuntu, ou même son papa FreeBSD. On l'installe comme on installe un OS ».
16 (11:13:53) emmanuel.tagne-tagne: *** Quoi choisir comme matériel WIFI ? ***
17 (11:14:25) emmanuel.tagne-tagne: Selon les recommandations de Roger, un simple Access Point ferait largement l'affaire.
18 (11:15:09) emmanuel.tagne-tagne: Vu qu'on a besoin que de sa fonction WIFI et rien d'autre. Autrement, si vous avez déjà un routeur WIFI, il ne faut pas le jeter, suivez la procédure qui va suivre pour l'exploiter.
19 (11:15:42) emmanuel.tagne-tagne: *** Schéma récapitulatif ***
20 (11:15:51) moussa.nombre: question
21 (11:15:59) emmanuel.tagne-tagne: ok
22 (11:16:09) moussa.nombre: Nacer
23 où installe t on le logiciel? sur l'accès point/routeur wifi ou à l'intérieur du réseau?
24 (11:16:28) moussa.nombre: dans le même sens
25 Arnaud
26 ça supposue qu'il faut une machine dédiée ou un CT
27 (11:16:55) emmanuel.tagne-tagne: on a bien remarqué que c'est un OS basé sur FreeBSD
28 (11:17:12) emmanuel.tagne-tagne: on l'installe sur un serveur à deux interfaces réseau
29 (11:17:27) emmanuel.tagne-tagne: voir schéma à suivre
30 (11:17:38) moussa.nombre: tu peux continuer
31 (11:17:55) emmanuel.tagne-tagne: Pour comprendre l'architecture globale d'un portail captif, je vous invite à consulter le schéma du portail-captif en cours d'implémentation à Montréal actuellement :
32 http://wiki.auf.org/wikiteki/ZA/Montr%C3%A9al/Projets/PortailCaptif2012
33 (11:18:32) emmanuel.tagne-tagne: comme vous pouvez voir sur l'architecture du portail captif, il comprend plusieurs éléments :
34 (11:18:41) david.violette a quitté le salon
35 (11:19:10) emmanuel.tagne-tagne: une passerelle (machine physique avec deux interfaces réseau sur laquelle on installe Pfsense)
36 (11:19:30) emmanuel.tagne-tagne: un serveur d'authentification (sous Debian Squeeze avec Freeradius installé)
37 (11:20:03) emmanuel.tagne-tagne: un serveur Mysql/LDAP (sous Debian squeeze où se trouve la base de données d'authentification)
38 (11:20:33) emmanuel.tagne-tagne: un ou plusieurs routeurs sans fil, point d'accès sans fil ou répéteurs selon l'étendu de la zone à couvrir .
39 (11:20:53) emmanuel.tagne-tagne: *** Concrètement comment l'ensemble fonctionne ? ***
40 (11:21:42) moussa.nombre: question
41 (11:21:52) moussa.nombre: Alex
42 comment ça fonctionne avec plusieurs bornes Wifi ? comment sont-elle cablées entre elles ? Et un seul SSID ?
43 (11:22:22) emmanuel.tagne-tagne: En fait, sela dépend de l'étendue de la zone de couverture WIFI
44 (11:22:45) emmanuel.tagne-tagne: si elle est grande, il faut un AP et des répéteurs
45 (11:22:58) emmanuel.tagne-tagne: C'est la cas pour Montréal
46 (11:23:39) emmanuel.tagne-tagne: Pour avoir un meme SSID dans deux batiments il a fallut des répéteurs
47 (11:24:40) emmanuel.tagne-tagne: Mais , on peut aussi mettre en place dans ce cas un syste en maille appelé WDS (Wireless Ditribution System)
48 (11:25:29) emmanuel.tagne-tagne: Pour exploiter Internet à travers le réseau sans fil public ('portail-captif-wifi') relier à l'interface WLAN du portail-captif (pfsense), l'usager ajoute le réseau 'portail-captif-wifi' sur son appareil (portable, tablette, téléphone) sans aucune clé de sécurité partagée (WEP, WPA, etc) puisqu'il en existe pas.
49 (11:25:57) emmanuel.tagne-tagne: il est redirigé vers une page web d'authentification du portail captif où il devra fournir un identifiant et un mot de passe.
50 (11:26:33) claudine.mosozi: 9
51 (11:26:36) emmanuel.tagne-tagne: Lorsque l'usager saisi son identifiant et son mot de passe , le portail captif ( pfsense ) va l'authentifier à travers sa liste locale d'utilisateurs si c'est l'option choisie.
52 (11:27:13) emmanuel.tagne-tagne: Sinon, le portail-captif transmettra les paramètres d’authentification au serveur freeradius qui s'en chargera à travers /etc/passwd , à travers un LDAP ou Mysql selon le cas.
53 (11:27:22) thomas.bierry a quitté le salon
54 (11:27:59) emmanuel.tagne-tagne: Pour les usagers nom employés à l'AUF, un utilisateur générique 'visiteur', sera créé dans /etc/passwd sur le serveur freeradius , sachant qu'ils non pas d’identifiant dans la base de données existante.
55 (11:28:27) moussa.nombre: je précise
56 (11:28:41) moussa.nombre: pour notre cas actuel de ldap centralisé
57 (11:28:52) moussa.nombre: pour a-d-u
58 (11:29:07) moussa.nombre: ça se fait directement dans la BdD
59 (11:29:16) emmanuel.tagne-tagne: merci pour la précision
60 (11:29:28) emmanuel.tagne-tagne: NB: un filtrage sur MAC des clients WIFI peut être fait au niveau du portail captif afin de laisser passer sans authentification.
61 (11:30:02) moussa.nombre: cela sera utile, par exemple pour nos iPhones et autres de bureau
62 (11:30:31) emmanuel.tagne-tagne: Pour la procédure de mise ne œuvre , nous l'avons ici :https://redmine.auf.org/projects/portail-captif-wifi/wiki/Proc%C3%A9dure_de_mise_en_place
63
64 (11:31:41) emmanuel.tagne-tagne: *** Mise en œuvre de portail captif Montréal ***
65 (11:32:32) emmanuel.tagne-tagne: Nous avons commencé par concevoir l'architecture globale du portail captif adapté l'infrastructure existant.
66 (11:33:07) emmanuel.tagne-tagne: Pfsense a été téléchargé (www.pfsense.org) et installé en suivant le guide soigneusement préparé par Roger (cf plus haut)
67 (11:34:13) emmanuel.tagne-tagne: Une fois pfsense installé et configuré selon la procédure, nous avons configuré notre point d'accès (IP : 172.16.2.252) que nous avons branché sur l'interface WLAN du portail-captif .
68 (11:35:14) emmanuel.tagne-tagne: NB : pour ceux qui utilisent des routeurs WIFI (avec DHCP et multiples ports LAN), bien vouloir brancher le câble venant de pfsense sur un port LAN du routeur.
69 (11:36:12) emmanuel.tagne-tagne: bien sur en ayant désactivé le DHCP du routeur et autre options de sécurité
70 (11:36:39) moussa.nombre: question
71 (11:36:43) moussa.nombre: Khone
72 J'ai un routeur LinkSys 120N, avec PfSense quel type de connection Internet qu'on doit utiliser pour authenfifier avec Mysql/LDAP entre:
73 - Automatic Configuration - DHCP
74 - Static IP
75 - PPPoE
76 - PPTP
77 - L2TP
78 - Telstra Cable
79 (11:37:08) moussa.nombre: je vais y répondre
80 (11:37:33) moussa.nombre: ton mysql ou ton ldap est supposé être dans ton réseau local
81 (11:37:55) moussa.nombre: donc, tu ne passes pas par Internet pour y avoir accès
82 (11:38:23) moussa.nombre: tout ceci s'aligne aussi dans le projet présenté par JC, la dernière fois
83 (11:38:59) moussa.nombre: projet sur lequel tu as travaillé, Khone. : l'authentification distribuée
84 (11:39:17) moussa.nombre: continue ETT
85 (11:39:23) emmanuel.tagne-tagne: merci sauveur :)
86 (11:39:36) emmanuel.tagne-tagne: Dès lors, on active le portail captif dans l'interface de pfsense (services / Captive portal /Enable captive portal) , on crée un compte local ( toto, toto) et on sélectionne l'authentification locale.
87 (11:39:54) emmanuel.tagne-tagne: A ce niveau on peut tester le portail-captif sur un client WIFI en ajoutant le réseau sans-fil 'portail-captif-wifi' .
88 (11:40:29) emmanuel.tagne-tagne: On essaie d’accéder à une page web. Pfsense (portail captif ) affiche une page d’authentification dans laquelle nous entrons (toto, toto) et nous somme redirigé vers la page www.auf.org configurée comme page par défaut.
89 (11:40:51) emmanuel.tagne-tagne: Si le portail devrait servir pour une dizaine de personne, on pourrait arrêter là et créer nos comptes locaux sur pfsense, sans serveur freeradius.
90 (11:41:33) emmanuel.tagne-tagne: Pour nous (AUF), il faut pouvoir demander à n'importe quel employé de l'AUF de passage dans notre bureau d'utiliser son compte TSE ( prenom.nom, mot de passe) habituel pour accéder à Internet à travers portail-captif-wifi.
91 (11:41:53) emmanuel.tagne-tagne: Et pour le faire
92 (11:42:22) emmanuel.tagne-tagne: On installe et on configure donc le serveur d'authentification freeradius sur un serveur Debian Squeeze.
93
94 (11:42:37) moussa.nombre: question
95 (11:42:42) emmanuel.tagne-tagne: ok
96 (11:42:48) moussa.nombre: Alex
97 obligé de passer par FREERADIUS et pas directement par LDAP ?
98 (11:43:49) emmanuel.tagne-tagne: Disons que pfsense donne d'installer freeradius comme extension
99 (11:44:24) emmanuel.tagne-tagne: Dans ce cas que nous n'avons pas explorer c'est possible.
100 (11:44:42) moussa.nombre: disons qu'il te faut un module qui gére l'aspect authentification
101 (11:45:05) moussa.nombre: en récueillant les codes et en les vérifiant quelque part
102 (11:45:19) moussa.nombre: c'est ce que fait radius
103 (11:45:22) moussa.nombre: entre autre
104 (11:45:37) moussa.nombre: continues ETT
105 (11:45:40) moussa.nombre: reste 15min
106 (11:45:41) emmanuel.tagne-tagne: Comme Moussa l'a dit en réponse à une question, nous avons utilisé LDAP pour authentifier nos utilisateurs , vous pouvez utiliser plutôt Mysql, la procédure existe dans le fichier d'installation de freeradius de la page citée plus haut.
107 (11:45:58) emmanuel.tagne-tagne: Du coté infrastructure WIFI, nous avons eu quelques soucis qui sûrement seront les vôtres.
108 (11:46:23) emmanuel.tagne-tagne: Ici à Montréal nous avions jusqu'alors 2 routeurs WIFI , un par bâtiment avec deux SSID différents. Les deux wifi étaient ajoutés sur tous les portables, tablettes et iphones.
109 (11:46:39) emmanuel.tagne-tagne: Il s'est posé la question d'exploiter un seul réseau WIFI (un SSID) pour couvrir les deux bâtiments.
110 (11:47:10) emmanuel.tagne-tagne: Dans une tentative de réponse, nous avons commandé et testé un modèle de Point d'Accès / Répéteur longue portée comme ceci:
111 http://www.engeniustech.com/business-networking/indoor-access-points-client-bridges/16217-eap350
112
113 (11:47:34) emmanuel.tagne-tagne: Nous avons fait un 'field survey' dans différents points des deux bâtiments pour localiser l'endroit où le signal WIFI couvre le mieux les deux bâtiments de Montréal.
114 (11:47:53) emmanuel.tagne-tagne: Ainsi, nous placerons le point d'accès principal à cet endroit et les autres comme répéteurs à une position où ils recevront au moins 50% du signal du principal.
115 (11:48:44) emmanuel.tagne-tagne: Comme je l'ai dit plus haut , une autre méthode plus professionnel consisterait à acheter des Point d'accès pouvant fonctionner en mode WDS (Wireless Distribution System).
116 Ce système permet de mettre deux ou plusieurs point d'accès en maille pour couvrir une grande étendue en avec un seul WIFI (SSID) comme dans les universités, hôtels ou aéroports.
117 (11:49:18) emmanuel.tagne-tagne: question?
118 (11:49:45) moussa.nombre: non
119 (11:50:34) moussa.nombre: Ha
120 PoE aussi Moussa ça coute combien ce model chez toi ?
121 (11:51:32) emmanuel.tagne-tagne: 129 $ CAN exactement
122 (11:53:19) emmanuel.tagne-tagne: il y d'autres modèle outdoor pour mais qui nécessite un cablage externe
123 (11:53:24) moussa.nombre: REMARQUE
124 (11:53:35) moussa.nombre: Victor
125 Juste pour dire que le projet portail captif est un projet global à toutes les implantations de l'AUF. On veut permettre à tous nos personnels nomade de facilement trouver et se connecter au portail quand ils sont en mission sans aller voir un tech
126 (11:53:48) moussa.nombre: Question
127 (11:53:54) moussa.nombre: Khone
128 Dans mon serveur Pfsense, j'ai configuré les interfaces WAN, LAN OPT1(wifi) manuellement, ensuite, j'ai fixé le DNS dans General Setup mais chaque demarré, je trouve tjs le nameserver 127.0.0.1 dans /etc/resolv.conf; comment éviter ça?
129 (11:55:29) moussa.nombre: Khone, si tu veux, on peux regarder ça ensemble plus tard
130 (11:55:30) emmanuel.tagne-tagne: normalement, d'après la documentation c'est dans l'interface web de pfsense que tu configure tout
131 (11:55:56) moussa.nombre: Question pour Victor :
132 (11:56:12) moussa.nombre: Ha
133 je comprends que c'est important donc il y aura un investissement direct du Central
134 par exemple nous envoyer du materiel ?
135 (11:56:33) moussa.nombre: Réponse de Victor
136 (11:56:48) moussa.nombre: Victor
137 normalement, vous devriez pourvoir réutiliser vos matériels existants, mais si c'est nécessaire on inteevriendra au nivau régional, ou à défaut au niveau central
138 (11:58:28) davin.baragiotta [davin.baragiotta@auf.org/Home] a rejoint le salon.
139 (11:58:33) moussa.nombre:
140 Suite de Victor
141 Le central devrait surtout vous accompagner dans votre déamrche
142 (11:58:50) doan.manh.ha a quitté le salon
143 (11:59:14) emmanuel.tagne-tagne: Je vous remercie pour votre attention
144 (11:59:27) emmanuel.tagne-tagne: ##### FIN ATELIER PORTAIL-CAPTIF-AUF #######