La risorsa Italiana per pfSense

28 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 1

Se sei interessato a realizzare un accesso WiFi per un locale, un albergo, o qualsiasi altra cosa, non puoi certamente perdere questa serie di articoli in cui spiegherò come fare. In questi articoli vedremo come creare  una soluzione sicura e professionale impiegando soluzioni opensource.

In particolare vedremo come configurare AccessPoint, Switch e Firewall per gestire connessioni WiFi (parte 1) poi impareremo a configurare il captive portal per l'accesso tramite vouchers con validità temporanea (Parte 2) e termineremo con due procedure per stampare tesserine personalizzate contenenti i codici di accesso temporanei.


Per la configurazione del nostro sistema partiremo da quanto già visto nell'articolo Separare l'accesso WiFi per utenti ed ospiti

 Per la nostra configurazione utilizzeremo il seguente hardware:
1) un AP multi SSID e, più in particolare, il CISCO WAP200 Wireless-G Access Point;
2) uno switch DELL PowerConnect 2848;
3) un firewall pfSense 2.0 con 2 schede di rete (WAN e LAN).
Per questa configurazione gli unici requisiti dell'hardware impiegato sono il supporto alle VLAN per l'access point e per lo switch, pertanto i modelli impiegati possono essere tranquillamente sostituiti con altre marche e modelli che rispondano ad i requisiti.

Nella nostra configurazione utilizzeremo le seguenti reti:
LAN: 192.168.0.0/24
VLAN_OSPITI: 192.168.3.0/24

1) Configuriamo l'Access Point

Per prima cosa configuriamo l'AP creando SSID e VLAN associati tra loro.

Accediamo al menù Wireless > Basic Settings e creiamo un SSID chiamato TEST


Ora accedendo al menù Wireless > VLAN & QoS assegnamo alla VLAN 4 allo SSID TEST


La configurazione dell'AccessPoint è completa (non ci occuperemo degli altri parametri di configurazione di base). Attenzione, gestendo l'autenticazione tramite captive portal, sull'access point non dovranno essere selezionate modalità di protezione, l'accesso all'AP dovrà essere libero.

2) Configuriamo lo Switch

Passiamo ora alla configurazione dello switch. Sullo switch andremo a configurare la VLAN che andremo poi ad impiegare per il traffico generato dal nostro AP. Nel nostro caso consideriamo di avere connesso sulla porta 1 il firewall e sulla porta 2 l'access point. Entrambe le porte dovranno essere configurate in modalità trunk in modo da "trasportare" tutte le VLAN in uso servendosi dei TAG.

Accediamo al menù Switch > VLAN > VLAN Membership ed aggiungiamo la nostra VLAN.
Cliccare su Add per aggiungere una VLAN così definita:


VLAN ID: 4VLAN Name: TEST
Ports 1: Tag
Ports 2: Tag

Sotto il menù Switch > VLAN > Port Settings verifichiamo che le porte siano assegnate al PVID di default che nel caso degli switch dell è 1
Port 1: PVID 1
Port 2: PVID 1
Anche la configurazione dello switch è terminata, ora lo switch farà passare i pacchetti tra firewall e accesspoint separandoli tramite Tag.

3) Configuriamo pfSense

E' venuto il momento di configurare pfSense in modo che possa ricevere il traffico delle VLAN e smistarlo in modo corretto in base alla provenienza. Nel nostro caso andremo a permettere solo il traffico HTTP ed HTTPS proveniente dalla VLAN TEST e diretto verso internet.

3.1) CONFIGURIAMO LE VLAN


Accediamo al menù Interfaces > (assign) > VLANs
Clicchiamo su Add per creare una nuova VLAN con le seguenti impostazioni:
Parent interface: LAN (in realtà si dovrà specificare la porta fisica es: en0)

VLAN tag: 4
Description: VLAN_TEST

3.2) CONFIGURIAMO LE INTERFACCE

A questo punto sotto il menù Interfaces troveremo la nostra VLAN, l'interfaccia andrà configurata come se si trattasse di un interfaccia fisica.

Accediamo al menù Interfaces > VLAN_TESTe configuriamo l'interfaccia con i seguenti parametri
Type: Static
IP address: 192.168.4.1/24 (questa è la classe d'indirizzamento che verrà assegnata ai membri della VLAN)
Gateway: None

3.3) CONFIGURIAMO IL SERVIZIO DHCP

Ora procediamo con l'attivazione del servizio DHCP per l'assegnamento degli IP ai dispositivi che accederanno in WIFI.
Accediamo al menù Services > DHCP Server > VLAN_TEST e configuriamo il servizio con i seguenti parametri:
Range: 192.168.4.2 - 192.168.4.254
DNS Server: 192.168.4.1
Gateway: 192.168.4.1

3.4) CONFIGURIAMO LE RULES

Ora siamo pronti per configurare le nostre regole di firewall per differenziare il traffico.
Accediamo al menù Firewall >Rules > VLAN_TEST e creiamo le seguenti regole di firewall che avranno lo scopo di:
1) Bloccare il traffico che dalla VLAN_TEST tenta di andare verso la LAN;
2) Consentire il traffico HTTP e HTTPS proveniente dalla VLAN_TEST e diretto verso Internet.

Action: Block
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: LAN net
Port: Any
Gateway:

Action: Pass
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: Any
Port: HTTP
Gateway: *

Action: Pass
Protocol: Any
Source: VLAN_TEST net
Port: Any
Destination: Any
Port: HTTPS
Gateway: *


A questo punto la prima parte della configurazione è terminata, nel prossimo articolo vedremo come attivare captive portal per gestire l'autenticazione degli utenti con vouchers con validità temporanea.

5 commenti:

Patrizio ha detto...

Ciao,
con questa configurazione ho sia la WiFi in LAN che su LAN-Pubblica senza protezione password. Non è possibile fare la stessa configurazione ma con la protezione con password su SSID della LAN?

Complimenti per l'articolo. Ciao

Fabio Viganò ha detto...

Ciao,
con la configurazione dell'articolo non serve assegnare una password al ssid anzi è pensata per non dover assegnare una password unica ma per far si che per navigare uno sia in possesso di un voucher.

Se hai rispettato la configurazione, chi accede alla tua rete wifi non può fare nulla perchè per navigare o fare qualsiasi altra cosa deve inserire il codice di un voucher valido.
Ciao Fabio

Patrizio ha detto...

Ciao Fabio,
scusami mi sono espresso male. In azienda ho pfsense con una rete wifi pensata per la lan quindi con password wpa2. Ora ho da qualche settimana implementato il captive portal con vouchers con un access point a parte che copre una determinata area e come dici tu senza protezione. Ora leggendo la scorsa settimana il tuo articolo avevo pensato di poter configurare tutti gli access point in azienda (quindi access point in LAN e access point in HotSpot), per poter fornire accesso sia alla rete LAN sia alla rete HotSpot coprendo un area maggiore, ma naturalmente ho bisogno che l'accesso in LAN aziendale rimanda protetto. Spero di essere stato chiaro scusami ma sono un po un cane a spiegare le cose.
Ciao e grazie mille per la pronta risposta e per gli articoli che trattano esigenze reali.
Ciao!

Fabio Viganò ha detto...

Ok, ora ho capito.
Si la configurazione è fattibile, devi avere un access point che supporta gli ssid multipli.
Il modello che ho usato per la configurazione dell'articolo è un esempio (CISCO WAP200 Wireless-G Access Point)
Imposti due SSID differenti Es: Gues con accesso libero e Users con wpa2, associ i due SSID a 2 VLAN diverse.
Dal firewall gestisci le due reti in modo che la VLAN Guest si autenticherà con i vouchers e la VLAN Users solo con WPA2. E' più facile da fare che da descrivere, in ogni caso ti serve un AP che supporti il multi SSID.
Ciao Fabio

Unknown ha detto...

Ciao questo tutorial vedo che e' molto datato, secondo te funziona correttamente con pfsense 2.4? ho notato quanto segue :

non ho creato le vlan ma ho fatto direttamente un'interfaccia fisica, ho abilitato un dhcp su tale interfaccia ho fatto le 3 regole 1 di blocco sulla lan_net e le due pass su porta http e https

ma ho notato che entro lo stesso sui volumi di rete della lan anche quando sono collegato sull'interfaccia wifi
cosa potrebbe essere? un problema di versione che cambiano i procedimenti di regola?