Portail Captif Dr DJIMELI

Portail captif avec Mikrotik
Thème: Configuration d’un portail

captif avec Mikrotik
Rédigé et présenté par:
➢ GHOFACK Rostand Bronel
➢ TCHOUMTCHOUA Romida
Supervisé par: Dr. DJIMELI Alain

PLAN DU TRAVAIL
I. Introduction
II. Fonctionnement d’un portail captif
III. Installation et configuration du portail captif
IV. Création des comptes utilisateurs sur winbox
V. Quelques niveaux de limitations
VI. Administration des comptes utilisateurs avec le serveur

radius
I. INTRODUCTION
Un portail captif est la page web vers laquelle sont dirigées

automatiquement toutes les requêtes en direction d’un serveur web, c’est
donc une barrière de sécurité entre l’usager et la ressource Internet en
particulier. Nous avons opté sa configuration directement dans notre routeur
mikrotik. Nous avons opté d’utiliser le routeur mikrotik à raison de ses
multiples fonctionnalités qu’ils offrent par rapport autres routeurs. De part la
disponibilité de son module Open Source sur internet et sa facilité de mise en
place.
II. FONCTIONNEMENT
La mise en place d’un portail captif sur le routeur va donc permettre

de capturer toutes les trames ou requêtes des utilisateurs en direction vers
un serveur web sur le réseau pour les redirigés vers la page d’accueil enfin
que le client mette ses informations d’identification. Cette page en question
est notre portail captif.
De ce fait, notre routeur mikrotik va donc créer un tunnel virtuel
sur la carte du WAN. Ce tunnel lui permettra de filtrer toutes les requêtes
provenant du LAN
III. INSTALLATION ET CONFIGURATION
III.1. Installation de l’Open Source Mikrotik 5.18
Son installation s’effectue de la même manière qu’une machine virtuelle

dans Virtual box. Cela s’effectuera en plusieurs étapes :
❖ Création de la machine virtuelle mikrotik 5.18

Apres avoir configurer la machine virtuelle (système, stockage,

réseau), démarrons mikrotik.
Suivre les instructions indiquées
Apres avoir installé, redémarrer mikrotik, ensuite entrer le login et le

mot de passe. Par défaut :
Login : admin
Password : (laissez le champ libre sur password)
Une fois loguer, nous pouvons maintenant configurer l’interface de notre

routeur mikrotik dans la même plage à celui de notre réseau local
Avant toute configuration nous allons d’abord créer un utilisateur ayant

tous les droits avec son couple login et mot de passe et supprimer celui par
défaut afin de sécuriser l’accès au routeur.
Nous allons maintenant configurons les interfaces du routeur à savoir

celui du réseau local(LAN) et celui d’internet.
Nous allons avant tout nommer ces interfaces avec la commande :
[admin@Mikrotik]>interface set name=nom_interface numbers=num_interface
Dans notre cas nous avons :

Pour interface 0 : etherwan (pour l’interface qui va à internet)
Pour interface 1 : etherlan (la passerelle du réseau local)
Nous ensuite adresser ces interfaces avec les commandes :

[admin@tp_stage]>ip address add address=@ip/masque interface=nom_interface
Comme l’indique la figure ci-dessous:

Nous allons configurer les DNS : pour ce fait, nous allons utiliser les
serveurs de Google : 8.8.8.8 et 8.8.4.4
La commande est la suivante :
[admin@tp_stage]>ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes
Passons à la configuration de la Nat (c’est un service qui permet la

translation entre les adresses privées en adresses publics
La commande est la suivante :
[admin@tp_stage]>Ip firewall Nat add chain=srcnat out-interface=etherwan action=masquerade
Nous allons maintenant passer à la deuxième phase qui est la

configuration du portail captif proprement dit.
III.2. Configuration du portail captif

Il existe deux modes d’accès au routeur à savoir :
❖ Webfig : accès au routeur par navigateur via son adresse
configuré précédemment
❖ Via le logiciel Win box

Nous allons utilisé la deuxième méthode pour accéder à notre routeur.
Ouvrons donc notre logiciel winbox
Adresse Mac ou
Interface du routeur
Login et mot de passe de

L’utilisateur
Apres s’être connecté, la fenêtre ci-dessous s’affichera
Comme nous pouvons le voir, mikrotik offre plusieurs services, mais

nous allons nous intéressé qu’au service portail captif (hotspot). Mais avant
d’aller au portail captif, configurons d’abord notre serveur DHCP pour le
réseau local.
Configuration du serveur DHCP
Commençons par définir la plage d’adresse de notre réseau local
Aller sur : IP pool

Ajoutons un nouveau pool : en cliquant sur +
Name: dhcp_lan
Addresses: 192.168.1.2 – 192.168.1.254
Next pool: none
Cliquer sur apply, puis ok
Aller maintenant sur : IP DHCP server

Ajouter un server DHCP : en cliquant sur +
Name : dhcp1 (nom du serveur)
Interface : etherlan (interface du réseau local)
Address pool : dhcp_lan (c’est la plage d’adresse que nous venons de créer)
Configurons maintenant ce serveur en allant sur : DHCP setup

DHCP server interface : etherlan
DHCP Address space : 192.168.1.0/24 (adresse du réseau local)
Gateway for dhcp network : 192.168.1.1 (passerelle du réseau local)
dhcp relay: (laisser champ grisé)
Création de notre portail captif (hotspot)
Pour cela, nous allons dans : ip  hotspot

Ajouter nouveau serveur hotspot : en cliquant sur +
Name : hotspotlan (nom du serveur portail captif)
Interface : etherlan (interface du réseau Lan autorisant une authentification)
Address pool : dhcp_lan
Address per MAC : 1 (signifiant qu’une autorisation à une adresse ip)
Ensuite, nous allons aller dans hotspot setup pour configurer notre
portail captif
Hotspot interface : etherlan (interface du lan)

Local address of network: 192.168.1.1 (l’addresse du portail captif)
(cocher masquerade network)
Address pool of network: 192.168.1.1 - 192.168.1.254
(plage d’adresse à sécuriser)
Select certification: none (parcequ’on n’a pas de certification)
DNS server : 8.8.8.8 et 8.8.4.4 (c’est pour celui de Google)
DNS of local hotspot server: hotspot.fr (c’est le nom du portail captive)
Configurons maintenant l’interface de sortie (interface wan) du

routeur pour aller au point d’accès.
Pour ce faire, aller sur : ip dchp client, puis ajoutons un nouvelle dhcp
client
Sur interface, sélectionnons maintenant l’interface qui va aller au point

d’accès : etherwan
Une fois terminé ces configurations, notre portail captif simple est
maintenant opérationnel
Vérification
Pour vérifier au préalable si notre portail captif est opérationnel, il

suffit de taper l’adresse du routeur (la passerelle du réseau local) ou une
adresse internet , sur le navigateur et vous verrez la page du portail captif
comme le montre la figure ci-contre :
Ainsi, lorsqu’un utilisateur ouvre une page web, il est directeur redirigé
vers cette page pour qu’il s’authentifie avant de continuer sa requête.
IV. CREATION DES COMPTES UTILISATEURS
Nous allons maintenant créer des comptes utilisateur avec son login et
son mot de passe pour l’authentification.
Dans notre cas d’exemple, nous allons créer deux(02) comptes

utilisateurs :
le compte étudiant : avec une bande passante de 500ko
le compte enseignant : avec une bande passante de 1Mo
Pour ce fait, nous allons commencer par créer des profils correspondant
aux deux comptes (étudiant et enseignant)
Aller dans ip hotspot user profiles
Ajouter nouveau profil : en cliquant sur +
Pour le compte étudiant :
Name : uprof1_etudiant (nom du profil)

Address pool : dhcp_lan
Shared users : 30 (c’est le nombre max d’utilisateur pouvant utiliser ce compte
utilisant ce profil)
Session timeout : (c’est le temps de connexion ; apres ce délai la connexion est
automatiquement coupé)
Rate limit (rx/tx) : 500k/500k (c’est la bande passante en liaison montante et
descendante)
Ensuite cliquer sur apply, puis ok
On effectue la même procédure pour le profil enseignant.

En voici donc la liste des profils utilisateurs créer sur la figure ci-
dessous :
Nous pouvons maintenant créer des comptes utilisateur

correspondant au profil souhaité
Aller sur user
Ajouter un nouveau utilisateur : en cliquant sur +
Pour l’utilisateur étudiant :
Server : hotspotlan (c’est le serveur du portail captif)

Name : étudiant (c’est le login du compte étudiant)
Password : étudiant (c’est le mot de passe du compte étudiant)
Profil : uprof1_etudiant (c’est le profil du compte étudiant correspondant à une
bande passante de 500ko)
Ensuite on clique sur apply, puis ok
On effectue la même opération pour le compte enseignant tout en

mettant son profil correspondant
En voici donc la liste des comptes utilisateurs opérationnels
Test de vérification
Entrons une adresse dans le navigateur. Nous voyons toute suite que
notre adresse est ramené au portail captif .
Utilisons le compte étudiant pour s’authentifier
L’utilisateur a bien été authentifier, il peut donc accéder au point

d’accès sans problème.
Cela est de même pour le compte utilisateur enseignant
V. QUELQUES MOYENS DE LIMITATIONS
Tout bon administrateur réseau doit être capable de pouvoir bien gérer
sa bande passante qui lui a été octroyé. C’est pour cette raison que
l’administrateur doit pouvoir limiter l’accès à certains ressources ,
l’autorisation ou l’interdiction à traverser le portail captif à certains
utilisateurs sans authentification
1 Autorisation à certains utilisateurs à traverser le portail captif

sans authentification
Certains utilisateurs doivent traverser le portail captif sans toute fois à
s’authentifier comme les machines serveurs qui peuvent être sollicité à
tout moment.
La procédure est la suivante :
Aller sur : ip hotspot IP binding
Ajouter un utilisateur : en cliquant sur +
Mac address : (adresse mac de la machine de l’utilisateur)

(L’adresse mac est fortement recommandée)
Adresses : (adresse ip de l’utilisateur)
Server : hotspotlan (définir le serveur hotspot à s’affranchir)
Type : bipasse (c’est cette action qui autorise à s’affranchir du portail
captif)
2 Bloquer certains utilisateurs à traverser le routeur
L’administration peut tout de même bloquer certains utilisateurs à

traverser le routeur.
La procédure est la même que celui de l’autorisation , mais changer
seulement le type. Type : blocked
3 Autorisation ou interdiction l’accès à certaines ressources
Il est également possible d’autoriser et d’interdire l’accès à certaines

ressources. La procédure est la suivante :
Aller sur : ip hotspot wallen garden
Dans notre cas, nous allons interdire l’accès au site web

www.youtube.com au réseau local. Les paramètres sont les suivantes :
Action : allow (pour autoriser , cette case est coché par défaut)
Deny (pour interdire l’accès à la ressource)
Server: hotspotlan
Src. Address: 192.168.1.0/24 (addresse du reseau ciblé)
Dst. Host: www.youtube.com (ressource souhaité)
Dst. Port : 80 (puisqu’il s’agit des pages web)
VI. ADMINISTRATION DES COMPTES UTILISATEURS

AVEC LE SERVEUR RADIUS
1 Mettre en place le serveur radius
❖ Activer l’authentification par radius sur le portail captif

Aller sur : ip hotspot server profil
Selectionner le profil, puis allé sur Radius
Cocher use radius
❖ Activer le service radius sur le routeur

Sur le routeur, aller sur : radius
Ensuite ajouter un serveur radius : en cliquant sur +
Cocher hotspot (pour signaler que le serveur radius va être base
d’authentification du serveur portail captif)
Address : 127.0.0.1 (adresse du serveur radius. Nous avons mis l’adresse de la
boucle locale car notre serveur radius est sur la même machine que celui du routeur)
Secret : rostyross
❖ Se connecter à user manager du routeur mikrotik
Pour cela, il faut d’abord bypassed (autoriser l’accès à traverser le
portail captif sans authentification)
Ensuite entrer l’adresse : 192.168.1.1/userman sur le navigateur
❖ Créer une connexion entre un client userman et le serveur

radius
Aller sur : router add
Name : radius_server
Ip address : 127.0.0.1 (meme que celle du routeur radius sur winbox)
Shared secret : rostyross (même que celle dans winbox)
Ciquer sur save
Apres avoir créer, activer le (enable)

2 Création des comptes utilisateurs de divers profils
a) Création des comptes utilisateur ayant pour quantité de

données de 250 Mo de consommation
Commençons par créer le profil correspondant à cette caractéristique :

Aller sur : profil add
Profil : 250Mo (nom du profil)
Validity : (delai de validité du compte)
Shared user : 1 (nombre d’utilisateur pouvant s’authentifier avec le même compte)
Ensuite cliquer sur : add new limitation

Ensuite cliquer sur : add new limitation new limits
Name : 250Mo
Download : (quantité de donnée à utilisée en liaison descendante)
Upload : (quantité de donnée en liaison montante)
Transfer : 250Mo (quantité de donnée dans les 2 liaisons)
Cliquons sur Add
Cocher encore le profil de 250Mo, puis Add
Créons maintenant une liste des comptes d’utilisateurs ayant pour profil 250Mo
(ayant une quantité de donnée de 250Mo)
Aller sur : users add batch
Number of user : 10 (nombre d’utilisateurs pour ce profil)

Username length : 5 (taille de caractere du login)
Password length : 5 (taille de caractère du mot de passe)
Assign length : 250Mo (c’est le profil correspondant)
Cliquer sur add
En voila donc la liste de 10 utilisateurs avec ce meme profil

Pour activer un compte utilisateur, il suffit de sélectionner le compte

utilisateur voulu et de l’activer : édit enable
b) Création des comptes utilisateur ayant une durée de

connexion d’une heure (1h)
Commencons par créer le profil correspondant à cette caractéristique :

Profil : 1h (nom du profil)
Validity : (delai de validité du compte)
Uptime : 1h
Cliquons sur Add

Cocher encore le profil de 1h, puis Add
Il suffira juste de créer les utilisateurs avec ce profil comme le cas

précédent
c) Création des comptes utilisateur avec une bande passante

de 300ko
Commençons par créer le profil correspondant à cette caractéristique :
Profil : bande passante (nom du profil)
Validity : (délai de validité du compte)
Rate limits rx : 300k Rate limit tx: 300k
Cliquons sur Add

Cocher encore le profil de 1h, puis Add
Il suffira juste de créer les utilisateurs avec ce profil comme le cas
précédent
Voici la liste des profils utilisateur
On peut donc effectuer plusieurs combinaisons de profils utilisateur

selon ce que l’on veut.

Portail Captif Dr DJIMELI

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Portail Captif Dr DJIMELI

Transféré par

Droits d'auteur :

Formats disponibles

Portail captif avec Mikrotik

Thème: Configuration d’un portail

Rédigé et présenté par:

➢ GHOFACK Rostand Bronel

Supervisé par: Dr. DJIMELI Alain

II. Fonctionnement d’un portail captif

III. Installation et configuration du portail captif

IV. Création des comptes utilisateurs sur winbox

V. Quelques niveaux de limitations

VI. Administration des comptes utilisateurs avec le serveur

Un portail captif est la page web vers laquelle sont dirigées

La mise en place d’un portail captif sur le routeur va donc permettre

III. INSTALLATION ET CONFIGURATION

III.1. Installation de l’Open Source Mikrotik 5.18

Son installation s’effectue de la même manière qu’une machine virtuelle

❖ Création de la machine virtuelle mikrotik 5.18

Apres avoir configurer la machine virtuelle (système, stockage,

Suivre les instructions indiquées

Apres avoir installé, redémarrer mikrotik, ensuite entrer le login et le

Une fois loguer, nous pouvons maintenant configurer l’interface de notre

Avant toute configuration nous allons d’abord créer un utilisateur ayant

Nous allons maintenant configurons les interfaces du routeur à savoir

Dans notre cas nous avons :

Nous ensuite adresser ces interfaces avec les commandes :

Comme l’indique la figure ci-dessous:

Passons à la configuration de la Nat (c’est un service qui permet la

Nous allons maintenant passer à la deuxième phase qui est la

III.2. Configuration du portail captif

❖ Via le logiciel Win box

Login et mot de passe de

Apres s’être connecté, la fenêtre ci-dessous s’affichera

Comme nous pouvons le voir, mikrotik offre plusieurs services, mais

Aller sur : IP pool

Aller maintenant sur : IP DHCP server

Configurons maintenant ce serveur en allant sur : DHCP setup

Création de notre portail captif (hotspot)

Pour cela, nous allons dans : ip  hotspot

Cliquer sur apply, puis ok

Hotspot interface : etherlan (interface du lan)

Configurons maintenant l’interface de sortie (interface wan) du

Sur interface, sélectionnons maintenant l’interface qui va aller au point

Pour vérifier au préalable si notre portail captif est opérationnel, il

Dans notre cas d’exemple, nous allons créer deux(02) comptes

Name : uprof1_etudiant (nom du profil)

On effectue la même procédure pour le profil enseignant.

Nous pouvons maintenant créer des comptes utilisateur

Pour l’utilisateur étudiant :

Server : hotspotlan (c’est le serveur du portail captif)

On effectue la même opération pour le compte enseignant tout en

L’utilisateur a bien été authentifier, il peut donc accéder au point

V. QUELQUES MOYENS DE LIMITATIONS

1 Autorisation à certains utilisateurs à traverser le portail captif

Mac address : (adresse mac de la machine de l’utilisateur)

2 Bloquer certains utilisateurs à traverser le routeur

L’administration peut tout de même bloquer certains utilisateurs à

3 Autorisation ou interdiction l’accès à certaines ressources

Il est également possible d’autoriser et d’interdire l’accès à certaines

Dans notre cas, nous allons interdire l’accès au site web

VI. ADMINISTRATION DES COMPTES UTILISATEURS

1 Mettre en place le serveur radius

❖ Activer l’authentification par radius sur le portail captif

❖ Activer le service radius sur le routeur

❖ Créer une connexion entre un client userman et le serveur

Apres avoir créer, activer le (enable)