Mise en place d`un hotspot wifi gratuit et sécurisé à partir de pfSense

Mise en place d'un hotspot wifi gratuit et sécurisé à
partir de pfSense
Version 1.1
Préliminaires :
pfSense est un logiciel gratuit, open source on peut l'utiliser comme un pare-feu ou un routeur. Il
comprend une liste de fonctionnalités et un système de packages permettant de configurer selon les
besoins du réseau.
Représentation schématique du réseau:
On mettra en place un réseau sur laquelle deux routeurs sont montés en cascade. Le premier routeur
sera configuré par la suite comme un simple switch.
Le but recherché est de configurer le réseau de la sorte :
Les 3 postes clients peuvent être des PC portables ou des PC fixes, reliés au routeur par Ethernet ou
par Wifi.
Comme exemple, le routeur sera un Linksys WRT54G by Cisco. PfSense sera relié à ce routeur et
également à Internet, ce qui comprends qu'il y aura au minimum deux cartes réseaux sur la machine
où il sera installé.
Distribution des adresses IP :
Poste client : 192.168.1.101 à 192.168.1.199 (voir plus)
Routeur : 192.168.1.100 (coté des postes clients, l'autre coté sera mis par le DHCP de pfSense)
PfSense : 192.168.1.1 (Coté WAN, l'IP sera distribué normalement en DHCP)
Configuration de Pfsense :
PfSense est téléchargeable sur le site http://www.pfsense.org/
Un écran et un clavier sont nécessaires pour continuer!
Graver le sur un CD, booter dessus et installez le.
Un premier menu apparaît : appuyer sur la touche « 1 » pour passer sur Boot pfSense [default].
On va alors assigner aux deux cartes réseaux à leur adresse IP. (Les interfaces n'ont pas forcément
les noms le0 et le1. Heureusement, on pourra rechanger peu de temps après en cas d'erreur) :
Valid interface are :
le0
00:0C:29:0A:1B:2C
le1
00:0C:29:F9:E8:D7
[…]
Do you want to set up VLANs now [y/n] ? n
[…]
Enter the LAN interface name or 'a' for auto-detection : le1
Enter the WAN interface name or 'a' for auto-detection : le0
Enter the optional interface name or 'a' for auto-detection (or nothing if finished) :
The interface will be assigned as follows :
LAN → le1
WAN → le0
Do you want to proceed [y/n] : y
A la suite de cela, la configuration se met en place jusqu'à un nouveau menu . D'ailleurs c'est ce
menu qui va pour le moment nous servir :
*** Welcome to pfSense 1.2.3-RELEASE-pfSense on pfSense ***
LAN
WAN
→
→
le0
le1
→
→
pfSense console setup
0)
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
Logout (SSH only)
Assign interfaces
Set LAN IP address
Reset webConfiguration password
Reset to factory default
Reboot system
Halt system
Ping host
Shell
PFtop
Filter Logs
Restart webConfigurator
PfSense developer Shell
Upgrade from console
Enable Secure Shell (sshd)
Enter an option :
192.168.1.1
192.20.1.212 (DHCP)
Si des problèmes ont été rencontrés pendant l'attribution des adresses IP aux deux cartes réseaux,
taper '1' et recommencez la procédure.
Sinon on continue en tapant '2':
Enter a new LAN IP address : 192.168.1.1
Subnet mask are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0
=8
Enter the new LAN subnet bit count : 24
Do you want to enable the DHCP server on LAN [y/n] : y
Enter the start address of the client address range : 192.168.1.2
Enter the end address of the client address range : 192.168.1.99
Vous aurez alors accès à l'interface graphique (web) de pfsense à partir d'un autre PC.
Le login par défaut est « admin » et le mot de passe « pfsense ».
Si vous le désirez, vous pouvez changer le « skin » de pfsense par System>General Setup.
Pensez également à vérifier que l'heure de Pfsense est bien réglé car il sera indispensable pour
connaître l'heure à laquelle un client se connectera à Internet.
Installez squid, squidguard et lightsquid dans cet ordre via System>Packages. Ceci installe un
captive portal (authentification), un proxy filter et un proxy server.
Dans Services>Captives Portal (onglet captive portal), activez le portail captif en cochant « enable
captive portal ». Sauvegardez les modifications.
Vous pouvez également personnaliser la page d'identification en html ou/et rediriger votre client
vers une page après s'être correctement identifié.
Dans Services>Proxy server (onglet general), cochez ou compléter :
– Allow users on interface
– Transparent proxy
– Bypass proxy for Private Address Space (RFC 1918) destination
– log rotate à 365 jours (sert à garder les logs pendant 1 an pour les pouvoirs publics)
– suppress squid version
Toujours dans Services>Proxy server (onglet cache Mgmt), compléter :
– Hard disk cache size à 500
– MemoryCache à 64
Dans Services>Proxy filter (onglet Blacklist), vous avez la possibilité de télécharger une liste de
sites web que vous pouvez autoriser ou refuser la consultation aux clients.
On se référera à la blacklist de Toulouse, sur http://cri.univ-tlse1.fr/blacklists/
Dans Services>Proxy filter (onglet General
Settings), configurez alors selon vos choix
l'accès au catégorie de sites.
Il y a un menu déroulant pour chaque
catégorie :
• Allow - Accès au site, sauf si elle est
bloquée dans une autre catégorie par
'deny'.
• Deny - Bloquer l'accès au site.
• Liste blanche - Toujours autoriser
l'accès au site.
Ainsi les logs des personnes qui ont eu accès à Internet par ce service sera consultable dans
Status>Captif portail . Il indiquera l'adresse MAC de la machine connecté, le nom de la personne
identifié ainsi que l'heure exact où la connexion à Internet s'est réalisé.
Configuration du routeur :
Dans notre cas, le routeur est un
Linksys WRT54G. Son interface
web est joignable par l'adresse
http://192.168.1.1/ par défaut,
identifiant et mot de passe : admin
et admin .
Dans un premier temps, il va falloir
configurer son adresse IP et la
plage d'adresses IP pour qu'il
attribue par DHCP à chaque poste
client qui se sont liés par Wifi ou
par Ethernet une IP.
Ensuite il faudra désactiver le
routage afin qu'elle fasse
uniquement office de simple
switch...
Note : L'image présenté ci contre n'est
affiché que pour montrer à quoi ressemble
en gros une page Linksys. En revanche,
elle ne suit surtout pas les explications
donnés dans ce tutoriel.
Dans Setup>Basic Setup :
– Mettre en Auto configuration DHCP (étape 1)
– Donnez lui un host name et domain name. Parfois, le fait que ces champs soient vides fait
que le Wifi ne veulent pas marcher correctement... (étape 2)
– Mettez l'adresse IP suivante : 192.168.1.100, Masque : 255.255.255.0 (étape 3)
– Retapez l'adresse web si nécessaire en http://192.168.1.100/
– Activez le DHCP Server, c'est à dire mettre « Enabled ». Commencez par une adresse IP de
192.168.1.101, et mettre le nombre de postes à 99 (étape 4)
– Cliquez sur le bouton « Save »
Dans Setup>Advanced Routing :
– Mettre sous « Router » au lieu de Firewall.
– Un nouveau menu déroulant s'affiche. Mettre à « Disable »
– Cliquez sur le bouton « Save » et patientez...
Activer le wifi, si nécessaire, dans Wireless. Selon votre routeur la procédure peut etre différente.
Pour le routeur Linksys, il faut cliquer sur l'image ou le bouton, patientez un peu, puis cliquez sur
un bouton situé sur le routeur.
L'activation peut etre longue avant qu'il vous redirige.
Mise en place du service :
Reliez l'une des cartes réseaux de Pfsense à Internet et l'autre au routeur (pas sur la borne Internet
du routeur). Ne pas se tromper entre les deux cartes réseaux.
Démarrez les routeurs (ou redémarrez les).
Lorsqu'il arrive sur le menu principal de Pfsense, vérifiez que le WAN est correct, du genre qu'il n'a
pas 0.0.0.0.
Si c'était en revanche le cas, revérifiez que les câbles sont bien branchés pour les deux cartes
réseaux (inversions, etc...).
Si vous le reliez à une box et que celle ci attribue une adresse WAN à 192.168.1.X, il va falloir
refaire des modifications sur Pfsense et sur le routeur pour changer les adresses IP. Par exemple, il
faudra reprendre tout en 192.168.2.X.
Pour ce qui est du routeur, allez dans Status et regardez les adresses IP : En principe, étant donné
que le routeur est un simple switch, elle n'a pas d'adresse IP donc il doit y avoir un 0.0.0.0 . Dans le
cas contraire, si vous avez une adresse IP qui a été attribué, vérifiez que :
– le câble n'a pas été mis sur Internet.
– cliquez sur DHCP renew pour forcer une adresse IP
Pour tester la connexion à Internet, prenez un PC avec Wifi intégré (c'est plus pratique pour des
tests). Si déjà le simple fait d'accéder à la page web du routeur n'est plus possible, tester en filaire.
Si cela fonctionne en filaire, il se peut que le Wifi ne soit pas activé correctement. Essayez de
réactiver le Wifi. Si cela ne fonctionne pas, faites un reset et recommencez les étapes traitant du
routeur.
Mais le plus souvent des cas, l'accès se fait vraiment facilement.
Après cela, tester l'accès à l'interface de Pfsense (http://192.168.1.1/), si tout se passe bien vous
avez accès aussi.
Enfin tester l'accès à Internet...
Si nécessaire, il existe aussi un outil de ping pour Pfsense. Les routeurs peuvent également en être
équipé.