Portail captif

A) Aspect Technique.
Au vu des divers comparatifs, la solution d’un portail de type PfSense semble être la plus performante
et évolutive. Elle répond également aux critères de sécurité dont nous avons besoin (sécurité de
l’authentification et de la communication).
De plus pour des besoins de sécurité et des raisons techniques nous créerons un Vlan. En effet le
serveur PfSense intègre un serveur DHCP pour attribuer des adresses IP à chacun des clients. Lors de
l’utilisation du logiciel Norton Ghost (qui permet le clonage et la réinstallation d’image système), les
responsables informatiques démarrent un serveur DHCP pour permettre à la machine l’acquisition d’une
adresse (il est impossible d’en mettre une manuellement) et ainsi chercher l’image système à travers le
réseau. Si le DHCP de PfSense se trouve sur le même réseau que le DHCP nécessaire a Norton Ghost alors
un conflit entre les deux est assuré. C’est pourquoi il a été décidé de mettre en place un Vlan pour le
réseau Wifi. Nous aurons donc l’architecture suivante :

Le serveur PfSense sera lié avec un serveur Radius que l’on créera sur le serveur Active Directory du
lycée. Cela permettra une gestion centralisée des comptes utilisateurs. Il prendra en compte le SLIS pour
des raisons de sécurité.
Pour la réalisation de ce projet nous installerons le portail captif sur une machine relativement
ancienne. Cependant PfSense requière une petite configuration (un PC avec 500Mo de disque dur, 64Mo
de RAM (128 Mo conseillé), PII 266 MHz minimum, au moins 2 cartes réseaux (on peut également en
mettre plus si l’on désir créer des DMZ)). En effet après plusieurs tests sur des machines plus récentes nous
avons dû nous rabattre sur un Pentium 3 à 700Mghz, avec une barrette de 256mo de Ram et une autre de
128mo de Ram en PC133. Le disque dur quant à lui, est de 40Go. Cette machine possède deux cartes
réseau supportant le Gbit/s. Un des défauts de PfSense est sa compatibilité avec les dernières puces
sorties. Ainsi les autres machines disponibles avaient toutes des chipsets de la marque nVidia et des
disques durs en SATA ce qui rendait l’installation impossible car ces derniers n’étaient pas détectés.
Il faudra prévoir lors de l’installation des bornes à bien définir les canaux utilisés par ces dernières.
En effet, ayant une borne à chaque étage les signaux pourraient se croiser et se perturber entre eux.

La distribution se charge en mémoire, puis lance ses divers composants. Elle nous demande de
configurer les interfaces réseaux. La première question concerne les Vlans. Nous refuserons de les
configurer maintenant (cela se fera par l’interface graphique).
PfSense nous demande ensuite de configurer les interfaces réseaux, il nous suffit d’indiquer que
l’interface LAN est « rl0 » et que l’interface WAN est « rl1 ». Le coté LAN correspondra à l’interface du
réseau Wifi, WAN fait référence au réseau du lycée. Nous avons en suite un récapitulatif des interfaces
qu’il faudra valider en tapant « y ».

PfSense se charge et nous donne l’accès à un nouveau menu où nous ferons le choix « 99 », c’est-à-
dire l’installation sur le disque dur du portail captif.

L’installation se lance et nous propose de configurer des options vidéo ou de clavier si cela est
nécessaire. Une fois ces réglages effectués nous choisirons « accept these setting » pour continuer.

Puis nous sélectionnerons « Install PfSense ».

La distribution nous demandera de choisir le disque dur, n’en ayant qu’un nous nous contenterons
de valider ce choix.

Nous formaterons ce disque pour que le système d’exploitation possède le bon format de fichier en
validant « Format this Disk ».

Le menu suivant nous proposera de changer la géométrie du disque dur. Cette étape n’est en
principe pas nécessaire. En effet, PfSense reconnaît quasiment tous les disques durs existants. A ne
changer donc uniquement que si le disque est trop récent et donc pas reconnu. Nous irons par conséquent
directement à « Use this geometry ».

Un message d’alerte apparaîtra pour nous avertir que le formatage nous fera perdre toutes nos
données. Nous validerons cette action avec « Format ad0 »

PfSense proposera de créer une partition sur le disque dur. Nous validerons « Partion Disk » car
aucune installation de PfSense n’a été effectuée et aucune partition n’existe.

Le menu de partitionnement nous permettra de redimensionner le disque pour installer PfSense. Ici
nous prendrons tout l’espace disque disponible pour créer notre partition. Pour valider nous irons sur
« Accept and Create ».


Une fenêtre d’avertissement s’affichera et nous validerons avec « Yes partition ad0 ». Un message
nous avertira que la partition a bien été créée.

Le menu suivant nous proposera d’installer PfSense sur la partition de notre choix, nous choisirons
notre disque dur.

Le programme d’installation formatera la partition sur laquelle nous souhaitons mettre PfSense.
Nous validerons.

Un message nous avertira que la partition a été formatée.

L’étape suivante consiste à définir la swap et le point de montage. La swap est un espace mémoire
du disque dur réservé pour des opérations d’échange. C’est la mémoire virtuelle qui est utilisée de la
même manière que la mémoire RAM. Nous mettrons 1024M à disposition de cette mémoire. Le point de
montage lui correspond à la racine du système d’exploitation. Nous mettrons « * » pour qu’il prenne le
reste du disque dur. Pour valider ces choix nous ferons « Accept and Create ».

PfSense début alors son installation.

Afin de mieux configurer le noyau de type BSD, l’installeur nous demande de spécifier quel type de
processeur sera utilisé sur cette machine. Au vu de la configuration de notre machine, nous choisirons
« Uniprocessor kernel ». Ce type de demande montre bien à quel point la distribution est faite pour
s’adapter au mieux aux performances de la machine et ainsi être la plus proche du matériel possible.

Nous allons maintenant installer le bootloader de PfSense sur le disque dur. Ce dernier permettra
de démarrer sur la partition du portail captif. Pour ce faire nous sélectionnerons « Accept and install
BootBlocks ». Un message nous avertira que BootBlocks a bien été installé.

Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ».

B) Configuration de PfSense.
1.) Configuration de l’interface LAN.
Une fois PfSense redémarré nous arrivons sur le menu de configuration où plusieurs choix nous
sont offerts. La première chose à faire est de configurer correctement l’interface réseau qui se trouve du
coté LAN, c’est-à-dire du coté du réseau WiFi. Pour cela nous ferons le choix 2 « Set LAN IP address ».
Nous entrerons alors l’adresse IP « 192.168.77.252 », puis le masque en notation CIDR soit « 24 ».

PfSense nous demandera par la même occasion de paramétrer un serveur DHCP sur cette interface.
Nous accepterons en tapant « y », puis donnerons l’adresse de début (192.168.77.10) et de fin
(192.168.77.254) de la plage DHCP. Un message nous avertira que tout est bien configuré et que nous
pouvons accéder à l’interface graphique en interrogeant l’adresse http://192.168.77.252 dans notre
navigateur web.

2.) Pré configuration de PfSense.
Pour accéder à l’interface graphique nous connecterons un ordinateur client directement sur
l’interface LAN du portail Captif. Nous ouvrirons un navigateur et taperons l’adresse
http://192.168.77.252. Une fenêtre s’ouvrira alors et nous pourrons nous authentifier avec le login
« admin » et avec le mot de passe « pfsense ». Une fois cette opération effectuée nous arrivons sur une
page avec un message d’accueil, nous cliquerons sur le bouton « next ».

L’écran suivant nous permettra de faire entrer le serveur sur le domaine du. Nous indiquerons
le nom du serveur, le nom du domaine http://www.dourma.tg, et l’adresse IP du serveur DNS ici 10.255.5.61. Puis nous
passerons à l’étape suivante.

Ici nous configurerons la « time Zone » dans laquelle se trouve le serveur, nous laisserons les
réglages par défaut.

écran suivant nous permettra de configurer l’interface WAN, c’est-à-dire celle du côté du réseau
du lycée. Le type sera Static et nous lui donnerons l’adresse IP « 10.255.5.206 » et on indiquera la
passerelle « 10.255.5.60 ». Cette dernière est en fait le serveur SLIS qui permet le filtrage des contenus
venant d’internet.

Puis nous configurerons l’interface LAN (coté réseau WiFi), ici les champs sont déjà renseignés et il
nous suffira de les valider.

PfSense nous demandera de changer le mot de passe administrateur du serveur pour des raisons de
sécurité. Nous mettrons celui utilisé pour tous les serveurs et le compte administrateur.

Enfin, le portail captif nous demandera de redémarrer l’interface graphique en pressant le bouton
Reload, pour prendre en compte les modifications et nous reconnecter avec le nouveau mot de passe.

Le serveur se met alors à redémarrer.

La pré-configuration est alors terminée, nous accédons à l’interface de configuration.
3.) Configuration de PfSense par l’interface graphique.
La première chose que nous allons faire est de changer l’apparence de cette interface. Pour ce faire
nous irons sur l’onglet Système puis Général Setup. Nous changerons l’interface dans la rubrique thème
pour « pfsense ». La nouvelle interface est plus pratique car nous accéderons aux diverses rubriques sans
avoir à passer par des menus déroulants.

Dans ce même menu général se trouve la configuration générale du portail captif. Nous y
retrouvons des éléments déjà configurés comme le DNS ou le nom de la machine. Nous vérifierons que
l’option « Allow DNS server list to be overridden by DHCP/PPP on WAN » est bien cochée. Cette dernière
permettra de trouver le serveur DNS et d’en faire le relais sur l’interface WAN.

Nous pourrons également redéfinir le login et le mot de passe de l’administrateur mais surtout
d’activer la connexion sécurisée à cette interface. Pour cela nous irons à la ligne « WebGUI Protocole » et
nous cliquerons sur HTTPS, le port à indiquer est le 443. Une fois ceci effectué nous cliquerons sur « Save »
en bas de la page et relancerons l’interface graphique avec l’adresse https:\\192.168.77.252.

La connexion sera alors sécurisée par le protocole SSL.
Nous irons ensuite dans la section System/Advanced pour sécuriser au maximum le serveur.
Ici, nous pouvons activer la connexion SSH afin de l’administrer à distance sans passer par
l’interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).

Ensuite nous irons a la ligne « webGUI SSL certificate/key », puis nous cliquerons sur « create » pour
générer automatique un certificat au format X509 et une clef RSA.

(suite de la configuration dans moins d’une semaine)

3 Commentaires