Configuration du portail captif

PfSense est désormais disponible à l’adresse du LAN :

http://pfsense.groupe6.esgis

-login : admin ;

-mot de passe : pfsense (par défaut)

C’est à partir de cette adresse que toutes les manipulations vont se dérouler

Lors de la connexion à l’adresse de pfSense, une aide à la configuration apparaît. Elle permet de configurer la base de pfSense. Il est conseillé de l’utiliser même si par la suite les informations renseignées peuvent être changées.

Nous voilà enfin sur la page par défaut d’administration de pfSense

Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN. Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL). Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge. Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par défaut (metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez donc le thème "Pfsense". Vous devriez donc avoir une interface comme ceci :

Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin de l'administrer à distance sans passer par l'interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).

Nous allons maintenant configurer les interfaces LAN et WAN en détail. Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte réseau coté WAN, ainsi que l'adresse IP de la passerelle.

Configurer ensuite la carte LAN (elle doit être normalement bien configuré, mais vous pouvez faire des modifications par la suite ici)

Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients

Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allez dans la section DHCP server. Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera attribuée aux clients. Dans notre cas, notre plage d'IP sera 176.16.0.10 – 176.16.0.30. Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes DNS. Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 176.16.0.6. Voici donc ce que vous devriez avoir

Voila, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de routeur. Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN et obliger les utilisateurs à s'authentifier pour traverser le Firewall.

Nous allons voir la procédure afin de mettre en place le portail captif. Pour cela, allez dans la section Captive portail. Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va écouter (LAN dans notre cas.

Ensuite vient la méthode d'authentification. 3 possibilités s'offre à nous :

- Sans authentification, les clients sont libres

- Via un fichier local

- Via un serveur RADIUS

On précise le type d’authentificateur que l’on désire: dans notre cas, on utilisera l'authentification via notre serveur RADIUS comme l'indique la capture suivante.

Ensuite on va dans System User Manager dans server on crée un nouveau server qu’on nommera radius :para

Maintenant on essaie d’accéder à une page web par exemple google.fr le pfsense nous renvoie vers une page d’authentification :