martedì 28 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 1

Se sei interessato a realizzare un accesso WiFi per un locale, un albergo, o qualsiasi altra cosa, non puoi certamente perdere questa serie di articoli in cui spiegherò come fare. In questi articoli vedremo come creare  una soluzione sicura e professionale impiegando soluzioni opensource.

In particolare vedremo come configurare AccessPoint, Switch e Firewall per gestire connessioni WiFi (parte 1) poi impareremo a configurare il captive portal per l'accesso tramite vouchers con validità temporanea (Parte 2) e termineremo con due procedure per stampare tesserine personalizzate contenenti i codici di accesso temporanei.


Per la configurazione del nostro sistema partiremo da quanto già visto nell'articolo Separare l'accesso WiFi per utenti ed ospiti

 Per la nostra configurazione utilizzeremo il seguente hardware:
1) un AP multi SSID e, più in particolare, il CISCO WAP200 Wireless-G Access Point;
2) uno switch DELL PowerConnect 2848;
3) un firewall pfSense 2.0 con 2 schede di rete (WAN e LAN).
Per questa configurazione gli unici requisiti dell'hardware impiegato sono il supporto alle VLAN per l'access point e per lo switch, pertanto i modelli impiegati possono essere tranquillamente sostituiti con altre marche e modelli che rispondano ad i requisiti.

Nella nostra configurazione utilizzeremo le seguenti reti:
LAN: 192.168.0.0/24
VLAN_OSPITI: 192.168.3.0/24

1) Configuriamo l'Access Point

Per prima cosa configuriamo l'AP creando SSID e VLAN associati tra loro.

Accediamo al menù Wireless > Basic Settings e creiamo un SSID chiamato TEST


Ora accedendo al menù Wireless > VLAN & QoS assegnamo alla VLAN 4 allo SSID TEST


La configurazione dell'AccessPoint è completa (non ci occuperemo degli altri parametri di configurazione di base). Attenzione, gestendo l'autenticazione tramite captive portal, sull'access point non dovranno essere selezionate modalità di protezione, l'accesso all'AP dovrà essere libero.

2) Configuriamo lo Switch

Passiamo ora alla configurazione dello switch. Sullo switch andremo a configurare la VLAN che andremo poi ad impiegare per il traffico generato dal nostro AP. Nel nostro caso consideriamo di avere connesso sulla porta 1 il firewall e sulla porta 2 l'access point. Entrambe le porte dovranno essere configurate in modalità trunk in modo da "trasportare" tutte le VLAN in uso servendosi dei TAG.

Accediamo al menù Switch > VLAN > VLAN Membership ed aggiungiamo la nostra VLAN.
Cliccare su Add per aggiungere una VLAN così definita:


VLAN ID: 4VLAN Name: TEST
Ports 1: Tag
Ports 2: Tag

Sotto il menù Switch > VLAN > Port Settings verifichiamo che le porte siano assegnate al PVID di default che nel caso degli switch dell è 1
Port 1: PVID 1
Port 2: PVID 1
Anche la configurazione dello switch è terminata, ora lo switch farà passare i pacchetti tra firewall e accesspoint separandoli tramite Tag.

3) Configuriamo pfSense

E' venuto il momento di configurare pfSense in modo che possa ricevere il traffico delle VLAN e smistarlo in modo corretto in base alla provenienza. Nel nostro caso andremo a permettere solo il traffico HTTP ed HTTPS proveniente dalla VLAN TEST e diretto verso internet.

3.1) CONFIGURIAMO LE VLAN


Accediamo al menù Interfaces > (assign) > VLANs
Clicchiamo su Add per creare una nuova VLAN con le seguenti impostazioni:
Parent interface: LAN (in realtà si dovrà specificare la porta fisica es: en0)

VLAN tag: 4
Description: VLAN_TEST

3.2) CONFIGURIAMO LE INTERFACCE

A questo punto sotto il menù Interfaces troveremo la nostra VLAN, l'interfaccia andrà configurata come se si trattasse di un interfaccia fisica.

Accediamo al menù Interfaces > VLAN_TESTe configuriamo l'interfaccia con i seguenti parametri
Type: Static
IP address: 192.168.4.1/24 (questa è la classe d'indirizzamento che verrà assegnata ai membri della VLAN)
Gateway: None

3.3) CONFIGURIAMO IL SERVIZIO DHCP

Ora procediamo con l'attivazione del servizio DHCP per l'assegnamento degli IP ai dispositivi che accederanno in WIFI.
Accediamo al menù Services > DHCP Server > VLAN_TEST e configuriamo il servizio con i seguenti parametri:
Range: 192.168.4.2 - 192.168.4.254
DNS Server: 192.168.4.1
Gateway: 192.168.4.1

3.4) CONFIGURIAMO LE RULES

Ora siamo pronti per configurare le nostre regole di firewall per differenziare il traffico.
Accediamo al menù Firewall >Rules > VLAN_TEST e creiamo le seguenti regole di firewall che avranno lo scopo di:
1) Bloccare il traffico che dalla VLAN_TEST tenta di andare verso la LAN;
2) Consentire il traffico HTTP e HTTPS proveniente dalla VLAN_TEST e diretto verso Internet.

Action: Block
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: LAN net
Port: Any
Gateway:

Action: Pass
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: Any
Port: HTTP
Gateway: *

Action: Pass
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: Any
Port: HTTPS
Gateway: *


A questo punto la prima parte della configurazione è terminata, nel prossimo articolo vedremo come attivare captive portal per gestire l'autenticazione degli utenti con vouchers con validità temporanea.
Posta un commento