Vous êtes sur la page 1sur 6

Mise en place d'un hotspot wifi gratuit et scuris

partir de pfSense
Version 1.1
Prliminaires :
pfSense est un logiciel gratuit, open source on peut l'utiliser comme un pare-feu ou un routeur. Il
comprend une liste de fonctionnalits et un systme de packages permettant de configurer selon les
besoins du rseau.
Reprsentation schmatique du rseau:
On mettra en place un rseau sur lauelle deu! routeurs sont monts en cascade. "e premier routeur
sera configur par la suite comme un simple s#itc$.
"e but rec$erc$ est de configurer le rseau de la sorte %
"es & postes clients peu'ent (tre des )* portables ou des )* fi!es, relis au routeur par +t$ernet ou
par ,ifi.
*omme e!emple, le routeur sera un "inksys ,-./01 by *isco. )fSense sera reli 2 ce routeur et
galement 2 Internet, ce ui comprends u'il y aura au minimum deu! cartes rseau! sur la mac$ine
o3 il sera install.
Distribution des adresses IP :
)oste client % 145.167.1.181 2 145.167.1.144 9'oir plus:
-outeur % 145.167.1.188 9cot des postes clients, l'autre cot sera mis par le ;<*) de pfSense:
)fSense % 145.167.1.1 9*ot ,=>, l'I) sera distribu normalement en ;<*):
onfiguration de Pfsense :
)fSense est tlc$argeable sur le site $ttp%??###.pfsense.org?
@n cran et un cla'ier sont ncessaires pour continuerA
1ra'er le sur un *;, booter dessus et installeB le.
@n premier menu apparaCt % appuyer sur la touc$e D 1 E pour passer sur Foot pfSense GdefaultH.
On 'a alors assigner au! deu! cartes rseau! 2 leur adresse I). 9"es interfaces n'ont pas forcment
les noms le8 et le1. <eureusement, on pourra rec$anger peu de temps aprs en cas d'erreur: %
!alid interface are :
le" "":":#$:"%:&':#
le& "":":#$:($:)*:D+
[]
Do ,ou want to set up !-%.s now /,0n1 2 n
[]
)nter the -%. interface name or 'a' for auto3detection : le&
)nter the 4%. interface name or 'a' for auto3detection : le"
)nter the optional interface name or 'a' for auto3detection 5or nothing if finished6 :
7he interface will be assigned as follows :
-%. 8 le&
4%. 8 le"
Do ,ou want to proceed /,0n1 : ,
= la suite de cela, la configuration se met en place Iusu'2 un nou'eau menu . ;'ailleurs c'est ce
menu ui 'a pour le moment nous ser'ir %
999 4elcome to pfSense &:#:;3R)-)%S)3pfSense on pfSense 999
-%. 8 le" 8 &$#:&<*:&:&
4%. 8 le& 8 &$#:#":&:#&# 5D=P6
pfSense console setup
"6 -ogout 5SS= onl,6
&6 %ssign interfaces
#6 Set -%. IP address
;6 Reset webonfiguration password
>6 Reset to factor, default
?6 Reboot s,stem
<6 =alt s,stem
+6 Ping host
*6 Shell
$6 P(top
&"6 (ilter -ogs
&&6 Restart webonfigurator
&#6 PfSense de@eloper Shell
&;6 Apgrade from console
&>6 )nable Secure Shell 5sshd6
)nter an option :
Si des problmes ont t rencontrs pendant l'attribution des adresses I) au! deu! cartes rseau!,
taper '1' et recommenceB la procdure.
Sinon on continue en tapant '5'%
)nter a new -%. IP address : &$#:&<*:&:&
Subnet masB are entered as bit counts 5as in IDR notation6 in pfSense:
e:g: #??:#??:#??:" C #>
#??:#??:":" C &<
#??:":":" C *
)nter the new -%. subnet bit count : #>
Do ,ou want to enable the D=P ser@er on -%. /,0n1 : ,
)nter the start address of the client address range : &$#:&<*:&:#
)nter the end address of the client address range : &$#:&<*:&:$$
Vous aureB alors accs 2 l'interface grap$iue 9#eb: de pfsense 2 partir d'un autre )*.
"e login par dfaut est D admin E et le mot de passe D pfsense E.
Si 'ous le dsireB, 'ous pou'eB c$anger le D skin E de pfsense par System>General Setup.
)enseB galement 2 'rifier ue l'$eure de )fsense est bien rgl car il sera indispensable pour
connaCtre l'$eure 2 lauelle un client se connectera 2 Internet.
InstalleB suid, suidguard et lig$tsuid dans cet ordre 'ia System>Packages. *eci installe un
capti'e portal 9aut$entification:, un pro!y filter et un pro!y ser'er.
;ans Services>Captives Portal (onglet captive portal), acti'eB le portail captif en coc$ant D enable
capti'e portal E. Sau'egardeB les modifications.
Vous pou'eB galement personnaliser la page d'identification en $tml ou?et rediriger 'otre client
'ers une page aprs s'(tre correctement identifi.
;ans Services>Proxy server (onglet general), coc$eB ou complter %
=llo# users on interface
.ransparent pro!y
Fypass pro!y for )ri'ate =ddress Space 9-J* 1417: destination
log rotate 2 &6/ Iours 9sert 2 garder les logs pendant 1 an pour les pou'oirs publics:
suppress suid 'ersion
.ouIours dans Services>Proxy server (onglet cache Mgmt), complter %
<ard disk cac$e siBe 2 /88
Kemory*ac$e 2 60
;ans Services>Proxy filter (onglet lacklist), 'ous a'eB la possibilit de tlc$arger une liste de
sites #eb ue 'ous pou'eB autoriser ou refuser la consultation au! clients.
On se rfrera 2 la blacklist de .oulouse, sur $ttp%??cri.uni'-tlse1.fr?blacklists?
;ans Services>Proxy filter (onglet General
Settings), configureB alors selon 'os c$oi!
l'accs au catgorie de sites.
Il y a un menu droulant pour c$aue
catgorie %
%llow - =ccs au site, sauf si elle est
bloue dans une autre catgorie par
'deny'.
Den, - Flouer l'accs au site.
-iste blanche - .ouIours autoriser
l'accs au site.
=insi les logs des personnes ui ont eu accs 2 Internet par ce ser'ice sera consultable dans
StatusDaptif portail . Il indiuera l'adresse K=* de la mac$ine connect, le nom de la personne
identifi ainsi ue l'$eure e!act o3 la conne!ion 2 Internet s'est ralis.
onfiguration du routeur :
;ans notre cas, le routeur est un
"inksys ,-./01. Son interface
#eb est Ioignable par l'adresse
$ttp%??145.167.1.1? par dfaut,
identifiant et mot de passe % admin
et admin .
;ans un premier temps, il 'a falloir
configurer son adresse I) et la
plage d'adresses I) pour u'il
attribue par ;<*) 2 c$aue poste
client ui se sont lis par ,ifi ou
par +t$ernet une I).
+nsuite il faudra dsacti'er le
routage afin u'elle fasse
uniuement office de simple
s#itc$...
Note : L'image prsent ci contre n'est
affich que pour montrer quoi ressemble
en gros une page Linksys. n re!anche"
elle ne suit surtout pas les e#plications
$onns $ans ce tutoriel.
;ans SetupD'asic Setup %
Kettre en =uto configuration ;<*) 9tape 1:
;onneB lui un $ost name et domain name. )arfois, le fait ue ces c$amps soient 'ides fait
ue le ,ifi ne 'eulent pas marc$er correctement... 9tape 5:
KetteB l'adresse I) sui'ante % 145.167.1.188, Kasue % 5//.5//.5//.8 9tape &:
-etapeB l'adresse #eb si ncessaire en $ttp%??145.167.1.188?
=cti'eB le ;<*) Ser'er, c'est 2 dire mettre D +nabled E. *ommenceB par une adresse I) de
145.167.1.181, et mettre le nombre de postes 2 44 9tape 0:
*liueB sur le bouton D Sa'e E
;ans SetupD%d@anced Routing %
Kettre sous D -outer E au lieu de Jire#all.
@n nou'eau menu droulant s'affic$e. Kettre 2 D ;isable E
*liueB sur le bouton D Sa'e E et patienteB...
=cti'er le #ifi, si ncessaire, dans 4ireless: Selon 'otre routeur la procdure peut etre diffrente.
)our le routeur "inksys, il faut cliuer sur l'image ou le bouton, patienteB un peu, puis cliueB sur
un bouton situ sur le routeur.
"'acti'ation peut etre longue a'ant u'il 'ous redirige.
Mise en place du ser@ice :
-elieB l'une des cartes rseau! de )fsense 2 Internet et l'autre au routeur 9pas sur la borne Internet
du routeur:. >e pas se tromper entre les deu! cartes rseau!.
;marreB les routeurs 9ou redmarreB les:.
"orsu'il arri'e sur le menu principal de )fsense, 'rifieB ue le ,=> est correct, du genre u'il n'a
pas 8.8.8.8.
Si c'tait en re'anc$e le cas, re'rifieB ue les cLbles sont bien branc$s pour les deu! cartes
rseau! 9in'ersions, etc...:.
Si 'ous le relieB 2 une bo! et ue celle ci attribue une adresse ,=> 2 145.167.1.M, il 'a falloir
refaire des modifications sur )fsense et sur le routeur pour c$anger les adresses I). )ar e!emple, il
faudra reprendre tout en 145.167.5.M.
)our ce ui est du routeur, alleB dans Status et regardeB les adresses I) % +n principe, tant donn
ue le routeur est un simple s#itc$, elle n'a pas d'adresse I) donc il doit y a'oir un 8.8.8.8 . ;ans le
cas contraire, si 'ous a'eB une adresse I) ui a t attribu, 'rifieB ue %
le cLble n'a pas t mis sur Internet.
cliueB sur D=P renew pour forcer une adresse I)
)our tester la conne!ion 2 Internet, preneB un )* a'ec ,ifi intgr 9c'est plus pratiue pour des
tests:. Si dI2 le simple fait d'accder 2 la page #eb du routeur n'est plus possible, tester en filaire.
Si cela fonctionne en filaire, il se peut ue le ,ifi ne soit pas acti' correctement. +ssayeB de
racti'er le ,ifi. Si cela ne fonctionne pas, faites un reset et recommenceB les tapes traitant du
routeur.
Kais le plus sou'ent des cas, l'accs se fait 'raiment facilement.
=prs cela, tester l'accs 2 l'interface de )fsense 9$ttp%??145.167.1.1?:, si tout se passe bien 'ous
a'eB accs aussi.
+nfin tester l'accs 2 Internet...
Si ncessaire, il e!iste aussi un outil de ping pour )fsense. "es routeurs peu'ent galement en (tre
uip.