= Portail Captif : Conversation = {{{#!highlight irc (11:07:59) emmanuel.tagne-tagne: ---------------- ATELIER ' Portail-captif-wifi' --------------------------------- (11:08:11) emmanuel.tagne-tagne: Bonjour à tous et à toutes (11:08:36) emmanuel.tagne-tagne: Je commence par remercier Roger Yerbanga pour le travail colossale abattu (études, expérimentations, implémentions et surtout documentation) ; travail d'ailleurs qui sert de base au présent atelier. (11:08:55) thierry.tsitoara [thierry.tsitoara@auf.org/Bureau] a rejoint le salon. (11:09:03) emmanuel.tagne-tagne: *** Définition *** (11:09:27) emmanuel.tagne-tagne: Le portail captif est une passerelle (logiciel ) qui permet de gérer l'authentification des utilisateurs sollicitant l'accès à Internet à partir d'un sous réseau généralement sans fil. (11:09:54) emmanuel.tagne-tagne: Le portail-captif est généralement exploité dans les réseaux sans fil publics ( universités, aéroports, hôtels, etc.) où, l'accès à Internet est ouvert, sans aucune sécurité (WEP, WPA , etc.) entre le client et le point d'accès sans fil, mais nécessite une simple authentification de l'usager. (11:10:23) emmanuel.tagne-tagne: *** Quel outil utiliser pour le portail captif ? *** (11:10:54) emmanuel.tagne-tagne: Il existe plusieurs solutions logicielles libres pour l'implémentation d'un portail captif. Une liste non exhaustive des solutions est donnée ici: http://fr.wikipedia.org/wiki/Portail_captif (11:11:29) emmanuel.tagne-tagne: Pour le projet 'Portail captif WIFI,' de l'AUF, Pfsense a été retenu pour servir de portail captif. (11:12:20) emmanuel.tagne-tagne: Selon la page d'accueil du site http://www.pfsense.org/, il est claire que : « pfSense est une distribution Linux libre, open source basée sur FreeBSD adapté pour une utilisation en tant que pare-feu et routeur ». J'ajouterai que: « Pfsense intègre une option portail-captif simple et conviviale». (11:12:56) willy.manga a quitté le salon (11:13:12) emmanuel.tagne-tagne: Comme l'a dit notre cher Roger dans sa documentation : « On l'a déjà dit, Pfsense est un OS, donc y'a pas à dire qu'il tourne sous Debian, Ubuntu, ou même son papa FreeBSD. On l'installe comme on installe un OS ». (11:13:53) emmanuel.tagne-tagne: *** Quoi choisir comme matériel WIFI ? *** (11:14:25) emmanuel.tagne-tagne: Selon les recommandations de Roger, un simple Access Point ferait largement l'affaire. (11:15:09) emmanuel.tagne-tagne: Vu qu'on a besoin que de sa fonction WIFI et rien d'autre. Autrement, si vous avez déjà un routeur WIFI, il ne faut pas le jeter, suivez la procédure qui va suivre pour l'exploiter. (11:15:42) emmanuel.tagne-tagne: *** Schéma récapitulatif *** (11:15:51) moussa.nombre: question (11:15:59) emmanuel.tagne-tagne: ok (11:16:09) moussa.nombre: Nacer où installe t on le logiciel? sur l'accès point/routeur wifi ou à l'intérieur du réseau? (11:16:28) moussa.nombre: dans le même sens Arnaud ça supposue qu'il faut une machine dédiée ou un CT (11:16:55) emmanuel.tagne-tagne: on a bien remarqué que c'est un OS basé sur FreeBSD (11:17:12) emmanuel.tagne-tagne: on l'installe sur un serveur à deux interfaces réseau (11:17:27) emmanuel.tagne-tagne: voir schéma à suivre (11:17:38) moussa.nombre: tu peux continuer (11:17:55) emmanuel.tagne-tagne: Pour comprendre l'architecture globale d'un portail captif, je vous invite à consulter le schéma du portail-captif en cours d'implémentation à Montréal actuellement : http://wiki.auf.org/wikiteki/ZA/Montr%C3%A9al/Projets/PortailCaptif2012 (11:18:32) emmanuel.tagne-tagne: comme vous pouvez voir sur l'architecture du portail captif, il comprend plusieurs éléments : (11:18:41) david.violette a quitté le salon (11:19:10) emmanuel.tagne-tagne: une passerelle (machine physique avec deux interfaces réseau sur laquelle on installe Pfsense) (11:19:30) emmanuel.tagne-tagne: un serveur d'authentification (sous Debian Squeeze avec Freeradius installé) (11:20:03) emmanuel.tagne-tagne: un serveur Mysql/LDAP (sous Debian squeeze où se trouve la base de données d'authentification) (11:20:33) emmanuel.tagne-tagne: un ou plusieurs routeurs sans fil, point d'accès sans fil ou répéteurs selon l'étendu de la zone à couvrir . (11:20:53) emmanuel.tagne-tagne: *** Concrètement comment l'ensemble fonctionne ? *** (11:21:42) moussa.nombre: question (11:21:52) moussa.nombre: Alex comment ça fonctionne avec plusieurs bornes Wifi ? comment sont-elle cablées entre elles ? Et un seul SSID ? (11:22:22) emmanuel.tagne-tagne: En fait, sela dépend de l'étendue de la zone de couverture WIFI (11:22:45) emmanuel.tagne-tagne: si elle est grande, il faut un AP et des répéteurs (11:22:58) emmanuel.tagne-tagne: C'est la cas pour Montréal (11:23:39) emmanuel.tagne-tagne: Pour avoir un meme SSID dans deux batiments il a fallut des répéteurs (11:24:40) emmanuel.tagne-tagne: Mais , on peut aussi mettre en place dans ce cas un syste en maille appelé WDS (Wireless Ditribution System) (11:25:29) emmanuel.tagne-tagne: Pour exploiter Internet à travers le réseau sans fil public ('portail-captif-wifi') relier à l'interface WLAN du portail-captif (pfsense), l'usager ajoute le réseau 'portail-captif-wifi' sur son appareil (portable, tablette, téléphone) sans aucune clé de sécurité partagée (WEP, WPA, etc) puisqu'il en existe pas. (11:25:57) emmanuel.tagne-tagne: il est redirigé vers une page web d'authentification du portail captif où il devra fournir un identifiant et un mot de passe. (11:26:33) claudine.mosozi: 9 (11:26:36) emmanuel.tagne-tagne: Lorsque l'usager saisi son identifiant et son mot de passe , le portail captif ( pfsense ) va l'authentifier à travers sa liste locale d'utilisateurs si c'est l'option choisie. (11:27:13) emmanuel.tagne-tagne: Sinon, le portail-captif transmettra les paramètres d’authentification au serveur freeradius qui s'en chargera à travers /etc/passwd , à travers un LDAP ou Mysql selon le cas. (11:27:22) thomas.bierry a quitté le salon (11:27:59) emmanuel.tagne-tagne: Pour les usagers nom employés à l'AUF, un utilisateur générique 'visiteur', sera créé dans /etc/passwd sur le serveur freeradius , sachant qu'ils non pas d’identifiant dans la base de données existante. (11:28:27) moussa.nombre: je précise (11:28:41) moussa.nombre: pour notre cas actuel de ldap centralisé (11:28:52) moussa.nombre: pour a-d-u (11:29:07) moussa.nombre: ça se fait directement dans la BdD (11:29:16) emmanuel.tagne-tagne: merci pour la précision (11:29:28) emmanuel.tagne-tagne: NB: un filtrage sur MAC des clients WIFI peut être fait au niveau du portail captif afin de laisser passer sans authentification. (11:30:02) moussa.nombre: cela sera utile, par exemple pour nos iPhones et autres de bureau (11:30:31) emmanuel.tagne-tagne: Pour la procédure de mise ne œuvre , nous l'avons ici :https://redmine.auf.org/projects/portail-captif-wifi/wiki/Proc%C3%A9dure_de_mise_en_place (11:31:41) emmanuel.tagne-tagne: *** Mise en œuvre de portail captif Montréal *** (11:32:32) emmanuel.tagne-tagne: Nous avons commencé par concevoir l'architecture globale du portail captif adapté l'infrastructure existant. (11:33:07) emmanuel.tagne-tagne: Pfsense a été téléchargé (www.pfsense.org) et installé en suivant le guide soigneusement préparé par Roger (cf plus haut) (11:34:13) emmanuel.tagne-tagne: Une fois pfsense installé et configuré selon la procédure, nous avons configuré notre point d'accès (IP : 172.16.2.252) que nous avons branché sur l'interface WLAN du portail-captif . (11:35:14) emmanuel.tagne-tagne: NB : pour ceux qui utilisent des routeurs WIFI (avec DHCP et multiples ports LAN), bien vouloir brancher le câble venant de pfsense sur un port LAN du routeur. (11:36:12) emmanuel.tagne-tagne: bien sur en ayant désactivé le DHCP du routeur et autre options de sécurité (11:36:39) moussa.nombre: question (11:36:43) moussa.nombre: Khone J'ai un routeur LinkSys 120N, avec PfSense quel type de connection Internet qu'on doit utiliser pour authenfifier avec Mysql/LDAP entre: - Automatic Configuration - DHCP - Static IP - PPPoE - PPTP - L2TP - Telstra Cable (11:37:08) moussa.nombre: je vais y répondre (11:37:33) moussa.nombre: ton mysql ou ton ldap est supposé être dans ton réseau local (11:37:55) moussa.nombre: donc, tu ne passes pas par Internet pour y avoir accès (11:38:23) moussa.nombre: tout ceci s'aligne aussi dans le projet présenté par JC, la dernière fois (11:38:59) moussa.nombre: projet sur lequel tu as travaillé, Khone. : l'authentification distribuée (11:39:17) moussa.nombre: continue ETT (11:39:23) emmanuel.tagne-tagne: merci sauveur :) (11:39:36) emmanuel.tagne-tagne: Dès lors, on active le portail captif dans l'interface de pfsense (services / Captive portal /Enable captive portal) , on crée un compte local ( toto, toto) et on sélectionne l'authentification locale. (11:39:54) emmanuel.tagne-tagne: A ce niveau on peut tester le portail-captif sur un client WIFI en ajoutant le réseau sans-fil 'portail-captif-wifi' . (11:40:29) emmanuel.tagne-tagne: On essaie d’accéder à une page web. Pfsense (portail captif ) affiche une page d’authentification dans laquelle nous entrons (toto, toto) et nous somme redirigé vers la page www.auf.org configurée comme page par défaut. (11:40:51) emmanuel.tagne-tagne: Si le portail devrait servir pour une dizaine de personne, on pourrait arrêter là et créer nos comptes locaux sur pfsense, sans serveur freeradius. (11:41:33) emmanuel.tagne-tagne: Pour nous (AUF), il faut pouvoir demander à n'importe quel employé de l'AUF de passage dans notre bureau d'utiliser son compte TSE ( prenom.nom, mot de passe) habituel pour accéder à Internet à travers portail-captif-wifi. (11:41:53) emmanuel.tagne-tagne: Et pour le faire (11:42:22) emmanuel.tagne-tagne: On installe et on configure donc le serveur d'authentification freeradius sur un serveur Debian Squeeze. (11:42:37) moussa.nombre: question (11:42:42) emmanuel.tagne-tagne: ok (11:42:48) moussa.nombre: Alex obligé de passer par FREERADIUS et pas directement par LDAP ? (11:43:49) emmanuel.tagne-tagne: Disons que pfsense donne d'installer freeradius comme extension (11:44:24) emmanuel.tagne-tagne: Dans ce cas que nous n'avons pas explorer c'est possible. (11:44:42) moussa.nombre: disons qu'il te faut un module qui gére l'aspect authentification (11:45:05) moussa.nombre: en récueillant les codes et en les vérifiant quelque part (11:45:19) moussa.nombre: c'est ce que fait radius (11:45:22) moussa.nombre: entre autre (11:45:37) moussa.nombre: continues ETT (11:45:40) moussa.nombre: reste 15min (11:45:41) emmanuel.tagne-tagne: Comme Moussa l'a dit en réponse à une question, nous avons utilisé LDAP pour authentifier nos utilisateurs , vous pouvez utiliser plutôt Mysql, la procédure existe dans le fichier d'installation de freeradius de la page citée plus haut. (11:45:58) emmanuel.tagne-tagne: Du coté infrastructure WIFI, nous avons eu quelques soucis qui sûrement seront les vôtres. (11:46:23) emmanuel.tagne-tagne: Ici à Montréal nous avions jusqu'alors 2 routeurs WIFI , un par bâtiment avec deux SSID différents. Les deux wifi étaient ajoutés sur tous les portables, tablettes et iphones. (11:46:39) emmanuel.tagne-tagne: Il s'est posé la question d'exploiter un seul réseau WIFI (un SSID) pour couvrir les deux bâtiments. (11:47:10) emmanuel.tagne-tagne: Dans une tentative de réponse, nous avons commandé et testé un modèle de Point d'Accès / Répéteur longue portée comme ceci: http://www.engeniustech.com/business-networking/indoor-access-points-client-bridges/16217-eap350 (11:47:34) emmanuel.tagne-tagne: Nous avons fait un 'field survey' dans différents points des deux bâtiments pour localiser l'endroit où le signal WIFI couvre le mieux les deux bâtiments de Montréal. (11:47:53) emmanuel.tagne-tagne: Ainsi, nous placerons le point d'accès principal à cet endroit et les autres comme répéteurs à une position où ils recevront au moins 50% du signal du principal. (11:48:44) emmanuel.tagne-tagne: Comme je l'ai dit plus haut , une autre méthode plus professionnel consisterait à acheter des Point d'accès pouvant fonctionner en mode WDS (Wireless Distribution System). Ce système permet de mettre deux ou plusieurs point d'accès en maille pour couvrir une grande étendue en avec un seul WIFI (SSID) comme dans les universités, hôtels ou aéroports. (11:49:18) emmanuel.tagne-tagne: question? (11:49:45) moussa.nombre: non (11:50:34) moussa.nombre: Ha PoE aussi Moussa ça coute combien ce model chez toi ? (11:51:32) emmanuel.tagne-tagne: 129 $ CAN exactement (11:53:19) emmanuel.tagne-tagne: il y d'autres modèle outdoor pour mais qui nécessite un cablage externe (11:53:24) moussa.nombre: REMARQUE (11:53:35) moussa.nombre: Victor Juste pour dire que le projet portail captif est un projet global à toutes les implantations de l'AUF. On veut permettre à tous nos personnels nomade de facilement trouver et se connecter au portail quand ils sont en mission sans aller voir un tech (11:53:48) moussa.nombre: Question (11:53:54) moussa.nombre: Khone Dans mon serveur Pfsense, j'ai configuré les interfaces WAN, LAN OPT1(wifi) manuellement, ensuite, j'ai fixé le DNS dans General Setup mais chaque demarré, je trouve tjs le nameserver 127.0.0.1 dans /etc/resolv.conf; comment éviter ça? (11:55:29) moussa.nombre: Khone, si tu veux, on peux regarder ça ensemble plus tard (11:55:30) emmanuel.tagne-tagne: normalement, d'après la documentation c'est dans l'interface web de pfsense que tu configure tout (11:55:56) moussa.nombre: Question pour Victor : (11:56:12) moussa.nombre: Ha je comprends que c'est important donc il y aura un investissement direct du Central par exemple nous envoyer du materiel ? (11:56:33) moussa.nombre: Réponse de Victor (11:56:48) moussa.nombre: Victor normalement, vous devriez pourvoir réutiliser vos matériels existants, mais si c'est nécessaire on inteevriendra au nivau régional, ou à défaut au niveau central (11:58:28) davin.baragiotta [davin.baragiotta@auf.org/Home] a rejoint le salon. (11:58:33) moussa.nombre: Suite de Victor Le central devrait surtout vous accompagner dans votre déamrche (11:58:50) doan.manh.ha a quitté le salon (11:59:14) emmanuel.tagne-tagne: Je vous remercie pour votre attention (11:59:27) emmanuel.tagne-tagne: ##### FIN ATELIER PORTAIL-CAPTIF-AUF ####### }}}