Vous êtes sur la page 1sur 8

VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

Mise en place d’un hotspot WIFI avec


authentification (Pfsense) (Résidence
Edelweiss)

Sommaire

1. Introduction ..................................................................................................................................... 2
2. Ancien système de WIFI .................................................................................................................. 2
3. Nouvelle installation........................................................................................................................ 3
3.1 - Commutateur DGS-1210-08P ...................................................................................................... 3
3.2 – Borne WIFI D-Link 3200AP.......................................................................................................... 3
3.3 – Routeur PfSense ......................................................................................................................... 3
3.4 – Schéma réseau WIFI Hotspot ..................................................................................................... 4
3.5 - VLAN ............................................................................................................................................ 5
3.6 - Modem ........................................................................................................................................ 6
3.7 – Portail captif avec authentification ............................................................................................ 7
3.8 – Scan réseau................................................................................................................................. 8

1
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

1. Introduction

Durant mon stage en entreprise de première année que j’ai effectuée chez ETT Télécom, j’ai réalisé
plusieurs installations WIFI Hotspot. Cette documentation porte sur le remplacement d’un système
WIFI classique en Hotspot WIFI avec deux lignes ADSL. Le HotSpot que nous avons configuré, sera
pour une résidence de vacances à Champagny nous avons donc créé un HotSpot avec
authentification.

Avant de lire cette documentation, je vous conseille de lire ma documentation « « Mise en place
d’un routeur Hotspot Pfsense » pour mieux comprendre le fonctionnement du Routeur HotSpot
Pfsense.

2. Ancien système de WIFI

L’ancien système de WIFI mise en place pour la résidence n’était pas l’idéal, c’était un modem WIFI
avec 4 autres bornes WIFI connectées sur un commutateur. Le WIFI avait une clé WPA2, mais il n’y
avait aucune restriction (Téléchargement libre, pas de logs, peu de sécurité …)

Nous avons donc remplacé ce système par un système WIFI Hotspot.

2
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

3. Nouvelle installation

3.1 - Commutateur DGS-1210-08P

Nous avons installé un commutateur D-Link 8 ports Ethernet : Gigabit 10/100/1000 Mbps / 8 ports
PoE (30 watts max. sur les ports 1 à 12) / Balisage VLAN 802.1Q ….

3.2 – Borne WIFI D-Link 3200AP

Les bornes WIFI D-Link 3200AP étaient déjà installées dans la résidence.

Elles ont comme caractéristiques : Technologie Power over Ethernet (PoE) 802.3af intégrée
(alimentation électrique par câble réseau) / Deux antennes à gain élevé amovibles / Débits sans fil de
54 Mbps conformes à la norme 802.11g / Chiffrement des données WEP, WPA, WPA2…

3.3 – Routeur PfSense

Le routeur installé permettra de créer un portail captif pour le hotspot WIFI. Pour cela nous
utiliserons une « Motherboard » (carte mère) PC Engines avec un boitier de marque Calexium qui
possède plusieurs cartes réseaux. Sur cette carte mère nous pouvons installer n’importe quel OS.
Nous utiliserons le système PfSense qui est une déclinaison de la distribution Free BSD (open source)
pour créer un portail captif.

Sur le routeur PfSense, nous avons configuré l’ordinateur de la gardienne dans le pass through du
portail captif. Cette option permet de supprimer les restrictions du Hotspot (Téléchargement,
sauvegarde des logs, authentification sur le portail captif…) Pour cela il faut entrer l’adresse MAC du
destinataire dans le pass through.

3
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

3.4 – Schéma réseau WIFI Hotspot

Nous avons configuré plusieurs VLANs dans cette installation. Le VLAN 20 est pour le Hotspot WIFI
publique, et le VLAN 10 pour l’administration (configuration du routeur Hotspot Pfsense).

Voici la correspondance des ports du commutateur :

Ports 1 à 5 : VLAN 20 untag

Ports 6 et 7 : VLAN 10 untag

Port 8 : VLAN 10 + 20 Tag

4
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

3.5 - VLAN

Dans cette installation, nous avons installé deux modems sur deux lignes ADSL différentes pour
effectuer un balancement de charge et avoir un débit plus élevé sur le réseau WIFI Hotspot.
Cependant le routeur PfSense que nous avons installé ne possède que trois interfaces réseaux
physiques, et nous avons besoin de deux interfaces WAN (car deux lignes ADSL), une interface LAN
pour le Hotspot, et une interface LAN pour l’administration du routeur. Les VLANs nous permettrons
d’utiliser une seule interface LAN physique sur le routeur, et d’avoir deux réseaux virtuels différents.

Pour cela sur le commutateur nous avons créé les VLAN suivantes via son interface d’administration :

Les ports du commutateur de 1 à 5 seront dans le VLAN 20 Hotspot pour les bornes WIFI, les ports 6
et 7 seront dans le VLAN 10 Admin pour l’administration du routeur, et le port 8 sera dans le VLAN 10
et 20 en tagged. (Le port 8 du commutateur sera connecté au routeur)

Signification :

Untagged: Le port est associé à un seul VLAN.

Tagged: Les trames qui entrent et sortent par ce type de port sont marquées par un champ 802.1Q.

Ensuite nous avons configuré le VLAN management qui pourra configurer les VLAN. Nous avons donc
ajouté le VLAN 10 admin qui pourra effectuer les configurations. (Cette option n’est pas obligatoire,
mais nous l’activons pour plus de sécurité)

Nous avons aussi configuré la segmentation du trafic pour limiter l'écoulement du trafic à partir des
ports. Cette méthode est similaire aux VLANs pour limiter le trafic, mais elle est plus restrictive.

5
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

Voici le tableau de redirections de ports ci-dessous :

Les ports de 1 à 5 seront


redirigés vers le port 8.

Les ports 6 et 7 seront


redirigés vers les ports 6, 7 ,8.

Le port 8 sera redirigé vers


tous les ports.

Sur le routeur PfSense nous avons aussi configuré deux VLANs sur l’interface LAN. Un VLAN 20
Hotspot en 172.16.0.1/16 et un VLAN 10 Admin en 192.168.1.254/24

3.6 - Modem

Nous avons installé deux modems qui ont été configurés en mode bridge. Le mode bridge (pont)
permet de synchroniser la ligne France télécom. Les configurations des lignes s’effectuent donc sur le
routeur PfSense tel que les identifiants France télécom des lignes téléphonique.

Deux modems / Commutateur manageable / Interface LAN Hotspot + Admin (VLAN 10+20)

Interface WAN (ADSL)

6
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

3.7 – Portail captif avec authentification

Pour ce Hotspot avec authentification, nous avons créé 3 comptes qui font partie du groupe
HOTSPOT. Un compte pour l’entreprise ETT, et un compte edelweiss (nom de la résidence) sans
majuscule et avec majuscule au début, car les IPhones commencent toujours à écrire avec une
majuscule et les personnes ne font pas attention à ce détail. (Donc mieux vaut prendre des
précautions) Voici les trois comptes que nous avons créé :

Au lancement du navigateur internet sur un hôte connecté aux Hotspots, la page du portail captif
apparaitra automatiquement. Sur l’URL ci-dessous, nous pouvons voir l’adresse IP du routeur
(172.16.0.1) qui redirige vers la page index.php (page du portail captif)

Voici la page web que les utilisateurs trouveront sur le portail captif, ils devront entrer le nom
d’utilisateur et mot de passe qui font partie du groupe Hotspot pour pouvoir valider la page et avoir
accès à internet. Les utilisateurs auront une adresse IP automatiquement grâce au DHCP du PfSense.

7
VIVET Jordan - Hotspot WIFI avec authentification (VLAN)

3.8 – Scan réseau

Avec une application de scan réseau sur


Smartphone, nous pouvons voir le routeur en
172.16.0.1, les 4 bornes WIFI, et un hôte en
172.16.1.2 (adresses attribuées par le DHCP)