LABORATOIRE GSB

Situation professionnelle n°1 :

Mise en place d’un portail captif
pour les visiteurs

La procédure d’installation de pfsense

BTS Services informatiques aux Organisations

Option Système d’Infrastructure et Solution
Réseaux (SISR)
 Pfsense Portail Captif avec CARP

1) Installation de Pfsense
2) Installation du processus Fail-Over (CARP)
3) Installation du portail captif

1) Installation de Pfsense :
Après avoir préinstaller Pfsense sous Workstation Pro, ajouter 1 carte réseau :

Puis lancer le Pfsense

Pour démarrer l’installation, cliquer sur « Accept these Setting » :

Puis pour procéder l’installation rapide, faire « Quick/Easy Install » :

Un message informa que le disque dur sera formaté, sélectionner ok :

Choisir le type de Kernel :

Redémarrer la machine :
Pfsense est installé, il faut maintenant configuré les adresses IP

Il faut mettre en place une 3ème carte réseau qui servira pour la synchronisation :

Ajouter une autre carte réseau sur la machine

Redémarrer la machine, puis une fois dans le pfsense taper 1 :
Taper « n », puis em0 pour l’interface WAN, em1 pour l’interface LAN et « em2 » pour la 3ème interface :

Puis faire entrer sans rien mettre, les cartes réseau sont correctement installé, faire y pour confirmer :
Adresse WAN :

De retour dans le menu principal, taper 2 pour configurer l’interface em0 (WAN), taper 1, entrer l’adresse
IP 172.16.9.134, le masque 255.255.255.192 et la passerelle 172.16.9.190

Puis faire entrer, taper « n » pour le serveur DHCP, et « n » pour le webconfigurator :

Adresse LAN :

De retour dans le menu principal, taper 2 pour configurer l’interface em1 (LAN), taper 2, entrer l’adresse IP
192.168.1.1 et le masque 255.255.255.0
Puis faire entrer, entrer, taper « n » pour le serveur DHCP, et « y » pour le webconfigurator :

Adresse OPT1 :
De retour dans le menu principal, taper 2 pour configurer l’interface em2 (OPT), taper 3, entrer l’adresse IP
10.0.0.1 et le masque 255.0.0.0

Puis faire entrer, entrer, taper « n » pour le serveur DHCP, et « n » pour le webconfigurator :
Finalement l’adressage doit être comme la photo ci-dessous :

Aller dans un client « Windows 7 » par exemple, le mettre dans le réseau que le Pfsense, tester avec un
ping la connectivité :

Ouvrir un navigateur et rentrer l’ip du LAN de Pfsense (username = admin, password = pfsense) :
Là, on accès à l’interface web et on suit le « Wizard » pour faire les configurations de base du pfsense

Cliquez sur Next :

Pour Général Information mettre :
- Mettre « pfSense » comme Hostaname
- localdomain comme domaine
- le premier DNS sera 172.16.9.10
- le deuxième DNS sera 172.16.9.11

Pour Time Server Information mettre Europe/Paris en Timezone

Pour Configuration WAN Interface :

- il faut que les 2 cases en bas soit décochées :

Pour Configuration LAN Interface : faire Next

Pour Set Admin WebGUI Password :

- mettre AzertY!59000 pour les 2 lignes

Pour valider toutes les modifications cliquez sur reload :

Il faut évidemment créer un deuxième machine Pfsense qui assurera la redondance si le premier Pfsense
venait à plus fonctionner. Pour la création du deuxième Pfsense, il faut exécuter les mêmes configurations
pour l’installation du second Pfsense mais en ne mettant pas les mêmes adresses IPs.
Second Pfsense :

2) Installation du processus Fail-Over

Le processus Fail-Over permet de mettre en place de la haute disponibilité via le protocole CARP et de faire
de la répartition de tâches via le protocole Pfsync.
Accès à son interface web via l’adresse IP du LAN :

Le premier Pfsense 1 sera le maître et le second Pfsense 2 sera l’esclave.

Mettre une règle permettant le trafic entre les 2 interfaces « OPT1 » :

Dans le maître, aller dans System, puis High Availability Sync, puis :

- Cocher « Synchronize states »

- Sélectionner « OPT1 » comme interface de synchronisation
- Renseigner l’IP de l’interface de la 3ème carte réseau qui servira pour la synchronisation entre les 2
Pfsense (ici 10.0.0.2)

Dans le bloc « XMLRPC Sync » :

- Entrer l’IP de la 3ème interface du second Pfsense (ici 10.0.0.2) dans « Synchronize Peer IP »
- Pour « Remote System Username », mettre admin
- Pour « Remote System Password », mettre AzertY!59000
- Cocher toutes les options pour le maître et l’esclave puissent se transmettre le maximum
d’informations
- Puis cliquer sur « Save »
Dans l’esclave, aller dans System, puis High Availability Sync, puis :

- Cocher « Synchronize states »

- Sélectionner « OPT1 » comme interface de synchronisation
- Renseigner l’IP de l’interface de la 3ème carte réseau qui servira pour la synchronisation entre les 2
Pfsense (ici 10.0.0.1)
Dans le bloc « XMLRPC Sync », faire seulement :
- Cocher toutes les options pour le maître et l’esclave puissent se transmettre le maximum
d’informations
- Puis cliquer sur « Save »

Il faut maintenant créer l’IP virtuelle, grâce au lien Pfsync, la configuration devra seulement être effectuer
sur le maître. Aller dans « Firewall », « Virtuals IPs », appuyer sur « add » pour commencer la création de
l’IP virtuelle.

Pour les configurations, il faut :

- Sélectionner « CARP » dans le type de service

- Sélectionner « LAN » dans Interfaces
- Saisir l’IP virtuelle du cluster (ici 192.168.1.10/24)
- Mettre le login de l’esclave dans « Virtual IP Password » (ici AzertY!59000)
- Mettre une description mais pas obligatoire
- Cliquer sur « Save »
Important, cliquer sur « Apply Changes » pour valider l’IP virtuelle

Pour tester la redondance, ouvrir le cmd, pinger l’ip virtuelle (ici 192.168.1.10) et couper CARP sur le
maitre.

On voit qu’une fois CARP désactiver sur le maître, l’esclave est devenu maître, le paquet ICMP perdu
correspond au basculement.
Avec ce processus mise en place, toute configuration sur le pfsense 1 sera automatiquement répliquer sur
le pfsense 2.

3) Installation du portail captif

a. Pfsense

Pour la mise en place d’un portail captif simple sur Pfsense, il n’y a pas besoin d’intégrer de nouveaux
paquets.

Aller dans Services, puis Captive Portal et cliquer sur Add pour créer une nouvelle zone :

Donner un nom à la zone créer, la description n’ai pas obligatoire :

Une fois le portail créer, il faut l’activer en cochant « enable Captive Portal » :
Une fois activé tous les paramètres de configuration du portail apparaissent, là il faut pour les différentes
configurations :

- Interfaces : sélectionner « LAN »

- Maximum concurrent connections (nombre d’utilisateur qui peuvent se connecter en même
temps) : entrer un nombre pour définir cette limite (pas obligatoire)
- Idle timeout (Minutes) (temps en minutes où les clients seront déconnectés s’ils ne font aucune
activité) : entrer un nombre pour définir cette limite (pas obligatoire)
- Hard timeout (Minutes) (temps pour forcer la déconnection des personnes connecté) : entrer un
nombre pour définir cette limite (pas obligatoire)

- Logout popup window : page de session où les visiteurs devront entrer leurs identifiants
- After authentification Redirection URL (page où les utilisateurs qui se connectent seront redirigé) :
entrer l’URL (ici https://google.fr)

- Authentification : pour le mode d’identification, cocher « Radius Authentification », le portail captif

ira chercher les identifiants dans le serveur Radius et cocher MSCHAPv2 pour le protocole Radius
- Primary Authentification Source : mettre l’IP du premier et du second avec comme mot de passe
AzertY !59000

- RADIUS NAS IP Attribue : sélectionne LAN -192.168.1.1

Cliquer sur Save
Il faut maintenant créer un serveur DHCP, aller dans Services et DHCP Server

Pour DHCP il faut l’activer en cochant « enable DHCP server on LAN interface » , puis :

- Faire un range de 192.168.1.20 à 192.168.1.245

- Comme serveur DNS, mettre l’IP du LAN

Cliquer sur save.

Maintenant il faut créer les règles LAN to WAN pour la translation NAT, aller dans Firewall et NAT :

Cliquer sur Add, puis faire :

- Interface WAN
- Protocole TCP
- Source port range Radius
- Destination port range Radius
 - Redirect target IP 192.168.1.1

- Redirect targer port : Radius

Il faut maintenant créer une deuxième règles :

- Interface WAN
- Protocole TCP
- Source port range Radius accounting
- Destination port range Radius accounting
- Redirect target IP 192.168.1.1
- Redirect targer port : Radius
Créer une route dans System, Routing, Static :

b. Serveur Radius

Le Radius est un service utilisé pour l’authentification, il peut être installé sur Windows Server 2012
Une fois installer, faire clic droit sur NAS et cliquez sur Server NPS

On arrive sur cette page :

Cliquez sur Client Radius puis nouveau

Pour le nouveau client faire :
- Cocher « Activer ce client Radius »
- Adresse IP : 172.16.9.134
- Pour le secret partagé, mettre AzertY!59000

Validation avec "OK"

Maintenant il faut configurer une nouvelle stratégie:

– "NPS (Local)"
– Stratégies
– stratégies réseau
– clic droit et Nouveau
On ajoute "Groupes d'utilisateurs" puis "Ajouter des groupes"

Ajoute du groupe "VisiteursGSB" de gsb.local, ainsi seul les comptes de l’Active Directory qui sont membres
de ce groupes pourront se connecter au portail captif
Ici il ne faut rien changé des configuration faites par défaut
Il faut faire "Inscrire un serveur dans Active Directory" et "Ok". Mettre l’IP du WAN du seconf pfsense

c. Point d’accès

Il faut juste configurer le point d’accès qui sera le départ du Portail Captif
Mettre le login admin et le passwod

Pour son adressage IP faire :

- DHCP Client : Disable

- IP Address 192.168.1.2
- IP Subnet Mask : 255.255.255.0
- Default Gateway : 192.168.1.10
- Primary DNS Server : 192.1681.10

Et voilà le portail est prêt à être testé