Mise en place d'un hotspot wifi gratuit et sécurisé à partir de pfsense Préliminaires : Version 1.1 pfsense est un logiciel gratuit, open source on peut l'utiliser comme un pare-feu ou un routeur. Il comprend une liste de fonctionnalités et un système de packages permettant de configurer selon les besoins du réseau. Représentation schématique du réseau: On mettra en place un réseau sur laquelle deux routeurs sont montés en cascade. Le premier routeur sera configuré par la suite comme un simple switch. Le but recherché est de configurer le réseau de la sorte : Les 3 postes clients peuvent être des PC portables ou des PC fixes, reliés au routeur par Ethernet ou par Wifi. Comme exemple, le routeur sera un Linksys WRT54G by Cisco. PfSense sera relié à ce routeur et également à Internet, ce qui comprends qu'il y aura au minimum deux cartes réseaux sur la machine où il sera installé. Distribution des adresses IP : Poste client : 192.168.1.101 à 192.168.1.199 (voir plus) Routeur : 192.168.1.100 (coté des postes clients, l'autre coté sera mis par le DHCP de pfsense) PfSense : 192.168.1.1 (Coté WAN, l'ip sera distribué normalement en DHCP)
Configuration de Pfsense : PfSense est téléchargeable sur le site http://www.pfsense.org/ Un écran et un clavier sont nécessaires pour continuer! Graver le sur un CD, booter dessus et installez le. Un premier menu apparaît : appuyer sur la touche «1» pour passer sur Boot pfsense [default]. On va alors assigner aux deux cartes réseaux à leur adresse IP. (Les interfaces n'ont pas forcément les noms le0 et le1. Heureusement, on pourra rechanger peu de temps après en cas d'erreur) : Valid interface are : le0 00:0C:29:0A:1B:2C le1 00:0C:29:F9:E8:D7 [ ] Do you want to set up VLANs now [y/n]? n [ ] Enter the LAN interface name or 'a' for auto-detection : le1 Enter the WAN interface name or 'a' for auto-detection : le0 Enter the optional interface name or 'a' for auto-detection (or nothing if finished) : The interface will be assigned as follows : LAN le1 WAN le0 Do you want to proceed [y/n] : y A la suite de cela, la configuration se met en place jusqu'à un nouveau menu. D'ailleurs c'est ce menu qui va pour le moment nous servir : *** Welcome to pfsense 1.2.3-RELEASE-pfSense on pfsense *** LAN le0 192.168.1.1 WAN le1 192.20.1.212 (DHCP) pfsense console setup 0) Logout (SSH only) 1) Assign interfaces 2) Set LAN IP address 3) Reset webconfiguration password 4) Reset to factory default 5) Reboot system 6) Halt system 7) Ping host 8) Shell 9) PFtop 10) Filter Logs 11) Restart webconfigurator 12) PfSense developer Shell 13) Upgrade from console 14) Enable Secure Shell (sshd) Enter an option :
Si des problèmes ont été rencontrés pendant l'attribution des adresses IP aux deux cartes réseaux, taper '1' et recommencez la procédure. Sinon on continue en tapant '2': Enter a new LAN IP address : 192.168.1.1 Subnet mask are entered as bit counts (as in CIDR notation) in pfsense. e.g. 255.255.255.0 = 24 255.255.0.0 = 16 255.0.0.0 = 8 Enter the new LAN subnet bit count : 24 Do you want to enable the DHCP server on LAN [y/n] : y Enter the start address of the client address range : 192.168.1.2 Enter the end address of the client address range : 192.168.1.99 Vous aurez alors accès à l'interface graphique (web) de pfsense à partir d'un autre PC. Le login par défaut est «admin» et le mot de passe «pfsense». Si vous le désirez, vous pouvez changer le «skin» de pfsense par System>General Setup. Pensez également à vérifier que l'heure de Pfsense est bien réglé car il sera indispensable pour connaître l'heure à laquelle un client se connectera à Internet. Installez squid, squidguard et lightsquid dans cet ordre via System>Packages. Ceci installe un captive portal (authentification), un proxy filter et un proxy server. Dans Services>Captives Portal (onglet captive portal), activez le portail captif en cochant «enable captive portal». Sauvegardez les modifications.
Vous pouvez également personnaliser la page d'identification en html ou/et rediriger votre client vers une page après s'être correctement identifié. Dans Services>Proxy server (onglet general), cochez ou compléter : Allow users on interface Transparent proxy Bypass proxy for Private Address Space (RFC 1918) destination log rotate à 365 jours (sert à garder les logs pendant 1 an pour les pouvoirs publics) suppress squid version Toujours dans Services>Proxy server (onglet cache Mgmt), compléter : Hard disk cache size à 500 MemoryCache à 64 Dans Services>Proxy filter (onglet Blacklist), vous avez la possibilité de télécharger une liste de sites web que vous pouvez autoriser ou refuser la consultation aux clients. On se référera à la blacklist de Toulouse, sur http://cri.univ-tlse1.fr/blacklists/ Dans Services>Proxy filter (onglet General Settings), configurez alors selon vos choix l'accès au catégorie de sites. Il y a un menu déroulant pour chaque catégorie : Allow - Accès au site, sauf si elle est bloquée dans une autre catégorie par 'deny'. Deny - Bloquer l'accès au site. Liste blanche - Toujours autoriser l'accès au site. Ainsi les logs des personnes qui ont eu accès à Internet par ce service sera consultable dans Status>Captif portail. Il indiquera l'adresse MAC de la machine connecté, le nom de la personne identifié ainsi que l'heure exact où la connexion à Internet s'est réalisé.
Configuration du routeur : Dans notre cas, le routeur est un Linksys WRT54G. Son interface web est joignable par l'adresse http://192.168.1.1/ par défaut, identifiant et mot de passe : admin et admin. Dans un premier temps, il va falloir configurer son adresse IP et la plage d'adresses IP pour qu'il attribue par DHCP à chaque poste client qui se sont liés par Wifi ou par Ethernet une IP. Ensuite il faudra désactiver le routage afin qu'elle fasse uniquement office de simple switch... Note : L'image présenté ci contre n'est affiché que pour montrer à quoi ressemble en gros une page Linksys. En revanche, elle ne suit surtout pas les explications donnés dans ce tutoriel. Dans Setup>Basic Setup : Mettre en Auto configuration DHCP (étape 1) Donnez lui un host name et domain name. Parfois, le fait que ces champs soient vides fait que le Wifi ne veulent pas marcher correctement... (étape 2) Mettez l'adresse IP suivante : 192.168.1.100, Masque : 255.255.255.0 (étape 3) Retapez l'adresse web si nécessaire en http://192.168.1.100/ Activez le DHCP Server, c'est à dire mettre «Enabled». Commencez par une adresse IP de 192.168.1.101, et mettre le nombre de postes à 99 (étape 4) Cliquez sur le bouton «Save» Dans Setup>Advanced Routing : Mettre sous «Router» au lieu de Firewall. Un nouveau menu déroulant s'affiche. Mettre à «Disable» Cliquez sur le bouton «Save» et patientez... Activer le wifi, si nécessaire, dans Wireless. Selon votre routeur la procédure peut etre différente. Pour le routeur Linksys, il faut cliquer sur l'image ou le bouton, patientez un peu, puis cliquez sur un bouton situé sur le routeur. L'activation peut etre longue avant qu'il vous redirige.
Mise en place du service : Reliez l'une des cartes réseaux de Pfsense à Internet et l'autre au routeur (pas sur la borne Internet du routeur). Ne pas se tromper entre les deux cartes réseaux. Démarrez les routeurs (ou redémarrez les). Lorsqu'il arrive sur le menu principal de Pfsense, vérifiez que le WAN est correct, du genre qu'il n'a pas 0.0.0.0. Si c'était en revanche le cas, revérifiez que les câbles sont bien branchés pour les deux cartes réseaux (inversions, etc...). Si vous le reliez à une box et que celle ci attribue une adresse WAN à 192.168.1.X, il va falloir refaire des modifications sur Pfsense et sur le routeur pour changer les adresses IP. Par exemple, il faudra reprendre tout en 192.168.2.X. Pour ce qui est du routeur, allez dans Status et regardez les adresses IP : En principe, étant donné que le routeur est un simple switch, elle n'a pas d'adresse IP donc il doit y avoir un 0.0.0.0. Dans le cas contraire, si vous avez une adresse IP qui a été attribué, vérifiez que : le câble n'a pas été mis sur Internet. cliquez sur DHCP renew pour forcer une adresse IP Pour tester la connexion à Internet, prenez un PC avec Wifi intégré (c'est plus pratique pour des tests). Si déjà le simple fait d'accéder à la page web du routeur n'est plus possible, tester en filaire. Si cela fonctionne en filaire, il se peut que le Wifi ne soit pas activé correctement. Essayez de réactiver le Wifi. Si cela ne fonctionne pas, faites un reset et recommencez les étapes traitant du routeur. Mais le plus souvent des cas, l'accès se fait vraiment facilement. Après cela, tester l'accès à l'interface de Pfsense (http://192.168.1.1/), si tout se passe bien vous avez accès aussi. Enfin tester l'accès à Internet... Si nécessaire, il existe aussi un outil de ping pour Pfsense. Les routeurs peuvent également en être équipé.