Installation et configuration OS FreeBSD (Hotspot sous Pfsense) Sommaire 1. Introduction... 2 2. Montage de la carte-mère dans le boitier... 3 3. Installation de l OS PfSense... 6 4. Configuration Hotspot Portail captif (PfSense)... 9 4.1 DHCP... 12 4.2 Types de Hotspot... 13 4.3 Les Logs - Cron... 15 4.4 Pass Through... 15 1
1. Introduction Un HotSpot WIFI est un point d'accès WIFI libre en lieux publics comme les Gares, les Mac-Donald, Mairies... Ils permettent de se connecter sur internet gratuitement pour la plupart. Les HotSpots bloquent les téléchargements illégaux, et gardent en général une trace des utilisateurs (@IP, @MAC) pendant 1 an. Pour toutes les installations Hotspot que j ai effectué durant mon stage de première année chez ETT Télécom, nous avons utilisé un routeur (Carte mère) qui faisait portail grâce au système Pfsense. PfSense est une déclinaison de la distribution Free BSD (open source). Pour cela nous avons utilisé une «Motherboard» (carte-mère) PC engines avec un boitier de marque Calexium, qui possède plusieurs cartes réseaux. Sur cette carte-mère nous pouvons installer n importe quel OS. La carte-mère possède un processeur AMD, 2Go de RAM, 2 ports USB 3.0, un port Série ou un port VGA, et 3 interfaces réseaux. Différentes formes de boitier sont disponible, ainsi que différentes cartes-mères. Les interfaces sont configurables via l interface d administration de PfSense. http://www.calexium.com/fr/produits/pc-engines.html 2
2. Montage de la carte-mère dans le boitier À la réception de la commande, la carte-mère PC Engines, le disque dur et le boitier ne sont pas montés ensemble. Il faut donc les monter ensemble. Carte-mère PC Engine avec 3 interfaces réseaux, un port série, 3 USB 3.0. Un boitier en aluminium qui correspond aux facteurs de forme de la carte-mère. Il est important de placer la plaque en métal fournie, à l intérieur du boitier et à coller l adhésif fourni. (Pour protéger le processeur) Processeur AMD de la carte-mère PC engines 3
Plaque métallique Intérieur du boitier Adhésif pour protéger le processeur Puis fixer les vis de fixations pour maintenir la carte-mère au boitier. Visser ensuite les vis pour maintenir la fiche du port série. Fixer ensuite les deux protections en caoutchouc sur la face arrière du boitier. Puis fixer aussi les caoutchoucs antidérapants sous le boitier. 4
Nous installons en général un disque dur m-sata de 30GB pour pouvoir installer le système PfSense. Le disque dur se fixe sur la carte-mère. Il existe 3 slots pour ajouter des disques durs. Refermer le boitier et visser les 4 vis de fixation. 5
3. Installation de l OS PfSense https://www.pfsense.org/download/ Télécharger la dernière version de L OS sur le site de pfsense, puis faire une clé USB bootable avec le.img téléchargé précédemment. (Il existe deux versions, une pour l installation avec prise VGA, et une autre pour le port série). Brancher la clé USB bootable, un clavier, et le câble VGA au boitier de la carte-mère. L installation qui va suivre, a été réalisée avec la version VGA (avec l installation port série l interface sera la même). Aller dans le BIOS de la carte-mère pour modifier l ordre de démarrage : Aller dans le menu «Advanced BIOS Features» puis sélectionner «USB drive» et premier démarrage. Aller ensuite dans le menu «Super IO Device» et mettre «PWRON After» sur On. Cela permet en cas de coupure de courant (au-delà du délai de l onduleur) de redémarrer automatiquement. Sauvegarder les modifications du BIOS puis quitter et redémarrer la carte-mère pour pouvoir démarrer sur l installation de PfSense. Au menu du démarrage attendre le chargement, et sélectionner «Accept these settings». Ensuite sélectionner «Quick/Easy Install» et faire «ok». Patienter pendant le chargement, puis sélectionner «Standard Kernel» et «Reboot» à la fin du chargement. 6
Au démarrage de la carte-mère, aller dans le BIOS, et choisir le menu «Set User Password» pour ajouter un mot de passe au BIOS pour sécuriser la carte-mère. Aller ensuite dans le menu «Advanced BIOS Features» pour changer l ordre de démarrage sur «Hard Disk». Sauvegarder, quitter le BIOS et redémarrer la carte-mère. Au menu de démarrage, laisser le choix automatique, puis sélectionner 1 pour configurer les différentes interfaces (WAN, LAN, DMZ, etc.), il faut donc bien repérer vos différentes cartes réseaux. Pfsense affiche les différentes cartes réseaux avec leur adresse MAC, ce qui vous permettra de les différencier. La première étape de configuration concerne l utilisation des VLANs, pour l instant ce qui nous importe est la configuration de base de Pfsense, nous appuyons donc sur la touche «N». Nous devons ensuite déterminer quelle interface sera sur le côté WAN, pour cela on peut soit saisir manuellement le nom de l interface. (Pour nous «re0») Ensuite, nous faisons la même chose pour la carte réseau sur le LAN, j entre donc «re2» 7
Pfsense nous résume alors l attribution des cartes réseaux aux différentes interfaces et nous validons avec «Y». Une fois la configuration terminée, le menu de la console de Pfsense apparaît. Celui-ci est utile dans le cas de tâches administratives, comme l oubli du mot de passe de l interface web. Néanmoins la plupart des options présentes dans ce menu sont également disponibles via l interface web. On notera enfin la présence des paramètres de chaque interface et notamment l adresse IP d accès à l interface web de Pfsense, à savoir sur la capture 192.168.1.1. 8
4. Configuration Hotspot Portail captif (PfSense) Pour configurer Pfsense en portail captif, il faut tout d abord aller sur son interface d administration via un navigateur internet en tapant son adresse IP (192.168.1.1 par défaut). Aller tout d abord dans le menu interfaces / assign pour assigner les interfaces. Sur la capture d écran ci-dessous, nous voyons l interface d administration du PfSense. Sur cette capture les interfaces sont nombreuses car nous avons créé plusieurs VLANs. LAN (Hotspot) WAN (Modem) 9
Aller ensuite dans le menu Services/Captive Portal et créer une nouvelle zone, puis configurer la zone créée. Cliquez sur " Enable Captive Portal ", et sélectionner l interface sur laquelle activer le Portail Captif. Le «Idle timeout» permet de déconnectés les clients après cette quantité d inactivité. Configurer l adresse IP du routeur dans «Pré-authentication» pour faire afficher le portail captif. Configurer l URL de redirection dans «After authentication» Afin de rendre la page de portail captif un peu plus accueillante, il est possible de la modifier. Il reste tout de même nécessaire d y faire figurer les champs pour le nom d utilisateur, le mot de passe, le bouton valider, etc. La page web peut être au format html ou php, peu importe. Il faut créer aussi une page d erreur, en cas d erreur de mot de passe ou de nom de compte (si le Hotspot est avec authentification). Cette page d erreur peut être la même que le portail captif. 10
«Authentification» permet de choisir le type de Hotspot (Voir 4.4 Types de Hotspot), «No Authentification» permet de créer une page de portail captif sans authentification donc juste un bouton connexion, et «Local User Manager» permet de créer une page de portail captif avec une authentification. (Voir 4.4 Types de Hotspot) pour créer les utilisateurs. Varaiable obligatoire à indiquer dans le code de la page! Exemple de Page Web du portail captif sans authentification. 11
Exemple de Page Web du portail captif avec authentification. 4.1 DHCP Pour ajouter le DHCP, aller dans services / DHCP Server et sélectionner le Hotspot pour attribuer un rang d adresses IP DHCP (pour mon exemple, ça sera VLANHOTSPOT, si vous n avez pas de VLAN, choisir LAN). Cocher ensuite Enable DHCP pour l activer. Il faut ensuite choisir un rang d adresses IP pour le DHCP. 12
4.2 Types de Hotspot Avec PfSense, il existe deux types de HotSpot ; Un HotSpot avec une page d identification où il faut un nom d utilisateur et un mot de passe pour pouvoir valider la page et avoir accès à internet. Ou un HotSpot avec une page sans authentification où l on doit juste cliquer sur un bouton connexion pour pouvoir valider la page et avoir accès à internet. Pour un HotSpot avec une page d identification, les comptes se créent dans l interface d administration du Pfsense dans le menu : System / User Manager / Users. Cliquer sur ADD pour créer un utilisateur Le compte admin est le compte par défaut du PfSense, c est le compte qui permet de se connecter à l interface d administration. Dans la capture d écran ci-dessus, nous avons créé 3 comptes pour le Hotspot, qui font partie du groupe HOTSPOT. Ensuite aller dans l onglet Groups pour créer un groupe pour le HotSpot, cliquer sur ADD. 13
Remplir les informations comme ci-contre, et cliquer sur ADD pour ajouter le portail captif dans les privilèges. 14
4.3 Les Logs - Cron Dans les HotSpots que nous avons installé, nous avons configuré PfSense pour que les informations des hôtes soient sauvegardées pendant 400 jours (@IP, @MAC, sites web visités). Ces sauvegardes s effectuent grâce à un script que mon tuteur Fabrice à créé. Pour ajouter ce script, il faut ajouter le service «Cron» (service qui permet de planifier des tâches) puis aller dans services / Cron et ajouter le script. Les logs se sauvegarderont dans /home/logs/logs.sh du système Pfsense. Configurer ensuite dans l onglet Cron pour que le script se lance tout les jours à minuit. 4.4 Pass Through Dans le portail captif, il est possible de configurer un appareil dans le pass through. Cette option permet de supprimer les restrictions du Hotspot (Téléchargement, sauvegarde des logs, authentification sur le portail captif ) Pour cela il faut entrer l adresse MAC de l appareil dans le pass through qui se trouve dans services / portail captif. 15