Captive portal pfsense wifi

Настройка Global Hotspot captive portal Wi-Fi идентификации по SMS на PFSense

В инструкции описаны шаги по настройке идентификации пользователей публичной (гостевой) Wi-Fi сети в соответствии с законодательством РФ. До начала настроек необходима настроенная Wi-Fi сеть guest и регистрация в системе Global Hotspot. Личный кабинет нужно зарегистрировать оп ссылке https://areg.global-hotspot.ru (кнопка «Попробовать бесплатно» в меню).

Шаг 1: Создание темы, профиля, места и конфигурации

Создаем тему на базе шаблона

Создаем тему на базе шаблона и даем ей название

В созданном профиле выбираем тему, которую создали ранее

Создаем место и выбираем созданный ранее профиль

Шаг 2: Создание конфигурации для выбранного места

переходите в раздел «Заведения» подраздел «Места», затем выбираете место, для которого вы хотите настроить портал авторизации, и в верхнем правом углу нажимаете кнопку «Создать конфигурацию»

В открывшемся окне выбираете контроллер вашей версии и нажимаете кнопку «Далее»

В следующем окне для PFSense ничего настраивать не надо. Нажимаете кнопку «Далее».

На последнем этапе будет создана конфигурация и инструкция с картинками, которая вам понадобится для настройки гостевой политики на PFSense. Совместимые версии 2.4.4 и выше. Ниже представлены 2 разные инструкции для версии 2.4.4 и 2.4.5+.

Конфигурация PFSense для версии 2.4.4

Настройка RADIUS

Перейти в System / User Manager / Authentication Server

Вбить следующие параметры:

•Server Name: Captive_Radius •Type: RADIUS •Protocol: PAP •Host Name: 5.101.126.175 •Shared secter: captive_v8_radpass •Servers offered: Authentication •Authentication port: 1812 •Accounting port: 1813

Настройка политик портала

Перейти в Services / Captive Portal / +Add Zone

Заполнить поля Zone name и Zone description

Во вкладке «Captive Portal Configuration» поставить «Enable Captive Portal» далее нажать «Save»

Выбираем интерфейс, на котором будет работать портал авторизации.

Maximum concurrent connections — максимальное количество подключений с одного и того же IP адреса, либо сколько пользователей могут загрузить страницу портала или одновременно пройти авторизацию.

Читайте также:  Нет интернета при раздаче вайфая

Idle timeout — указывается в минутах, время простоя клиента, когда нет ответных пакетов от хоста, например клиент заблокировал смартфон либо вышел из зоны WiFi.

Hard timeout — указывается в минутах. При подключение к порталу авторизации, после истечения заданого значения клиент принудительно отключится.

В Pre-authentication redirect URL вставить ссылку для предварительного редиректа. Ссылка доступна после создания конфигурации для pfsense в личном кабинете, пример:

Во вкладке «Concurrent user logins» поставить «Disabled Concurrent user logins»

Включить загрузку своей html страницы, нажав на «Enabled use custom Captive Portal page».

В Authentication Server указываем наш Radius сервер, если он не создан, то при нажатие на Authentication Server перекинет на создания и настройку Radius сервера

Включаем «Use Radius session-Timeout attributes» для вычисления атрибута времени активной сессии, который отключит клиента после его истечения.

Выбираем формат MAC адреса «IETF» и включаем «Send Radius accounting packets»

Загрузка страницы login.html

В генераторе конфига скачиваете файл login.html себе на компьютер (щелкнуть правой кнопкой мыши и выбрать пункт «Сохранить объект как»)

Пример ссылки на файл login.html из админка

Следующим шагом загружаете его в Portal page contents

Настройка White List

Заходим в раздел Allowed IP Addresses и добавляем адреса

В списке исключений должны быть все хосты из соответствующего списка созданной конфигурации

5.101.126.175 91.230.211.75 46.229.213.165 188.225.18.2 188.225.73.64 87.236.23.242

Доменные имена добавляются так же но во вкладе Allowed Hostnames Так же нужно добавить ваши DNS, которые используются в гостевой сети.

global-hotspot.ru v8.global-hotspot.ru glhs.ru

Проверяем подключение к гостевой сети с Captive portal, наше устройство должно отобразится в разделе Status/Captive Portal.

Конфигурация PFSense для версии 2.4.5+

Настройка политик портала

Перейти в Services / Captive Portal

Pfsense captive portal 1.png

PfsenseCaptiveportal.png

Заполнить поля Zone name и Zone description

Pfsense captive portal 2.png

Во вкладке «Captive Portal Configuration» поставить «Enable Captive Portal» далее нажать «Save»

Pfsense captive portal 3.png

После создания captive portal нужно выбрать интерфейс, на котором будет работать портал авторизации.

Pfsense captive portal 4.png

В Pre-authentication redirect URL вставить ссылку для предварительного редиректа. Ссылка доступна после создания конфигурации для pfsense в личном кабинете, пример:

Pre-auth.redirectURL.png

Pfsense captive portal 5.png

Настройка RADIUS

Вбить следующие параметры:

•Authentication method: RADIUS Authentication •RADIUS Protocol: PAP •Primary Authentication server: 5.101.126.175 •Shared secter: captive_v8_radpass •Accounting RADIUS: send RADIUS accounting packets to the primary RADIUS server

Pfsense captive portal 6.png

Включаем «Use Radius session-Timeout attributes» для вычисления атрибута времени активной сессии, который отключит клиента после его истечения.

Читайте также:  Настройка ресивера от вай фай

Pfsense captive portal 7.png

Загрузка страницы login.html

Выбираем формат MAC адреса «IETF» и загружаем страницу в PFSense

В генераторе конфига скачиваете файл login.html себе на компьютер (щелкнуть правой кнопкой мыши и выбрать пункт «Сохранить объект как»)

Пример ссылки на файл login.html из админка

Файл index.png

Следующим шагом загружаете его в Portal page contents

Pfsense captive portal 8.png

Настройка White List

Заходим в раздел Allowed IP Addresses и добавляем адреса

В списке исключений должны быть все хосты из соответствующего списка созданной конфигурации

5.101.126.175/32 91.230.211.75/32 46.229.213.165/32 188.225.18.2/32 188.225.73.64/32 87.236.23.242/32 *.global-hotspot.ru v8.global-hotspot.ru *.glhs.ru

Так же нужно добавить ваши DNS, которые используются в гостевой сети.

Пример для добавления Allowed IP Addresses

Pfsense captive portal 9.png

Вбиваем IP адрес, нажимаем Save

Pfsense captive portal 10.png

Добавляем следующий IP адрес таким же образом

Pfsense captive portal 11.png

Проверяем подключение к Captive portal, наше устройство должно отобразится в разделе Status/Captive Portal.

Настройка завершена. Подключитесь к гостевой сети и проверьте результат. Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить «детский доступ» в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.

Шаг 3: Настройка времени сессии

Перейдите в раздел «Стартовая страница» подраздел «Профили» и выберите ваш профиль

Источник

pfSense with Captive Portal

Sign-in to the pfSense Firewall administration console.

firstScreenshot

Navigate to Services -> Captive Portal and add a new zone representing network that should be protected with a Captive Portal with RADIUS authentication — test_zone in our example.

firstScreenshot

Configure Zone, important parts are:

Authentication -> RADIUS Authentication (MSCHAPv2 works best)

Primary Authentication Source — RADIUS details from our Console -> Networks -> Captive Portals -> RADIUS for splash page

Accounting — enable and enter Accounting port if you wish to collect accounting information about your users including their current online status

RADIUS options — Reauthentication — enable if you wish to disconnect the user from our Console or via our REST API

Portal Page Contents — upload our Authentication page. You can download the page from Console -> Networks -> Captive Portals -> Controller Configuration -> Portal pages contents

Читайте также:  Беспроводная связь отключена wifi

Click on the Save button to apply new settings.

firstScreenshot firstScreenshot firstScreenshot firstScreenshotfirstScreenshot

Click on Allowed IP addresses Tab and add IP addresses and networks that the user should be allowed to access before authentication. Typically, you will enter the IP addresses from the Walled garden that will include IP address of the External Captive Portal, Google, Facebook, LinkedIn, PayPal, SAML Identity Provider or any other Authentication Provider you select.

Please all IP addresses and hostname from IronWiFi console

Click on the Save button to apply new settings.

firstScreenshot

Optional: PfSense + OpenWrt — PfSense as shared captive provider

Go to Network → Interfaces and select the Lan interface.

firstScreenshot

Set an IP next to your main router on the field «IPv4 address». (If your main router has IP 192.168.1.1 set 192.168.1.2)

firstScreenshot

firstScreenshot

firstScreenshot

Then scroll down and select the checkbox «Ignore interface: Disable DHCP for this interface.» — only if you like to have unlimited amount of clients, otherwise DHCP just assign only in defined radius

firstScreenshot

firstScreenshot

firstScreenshot

In the top menu go to System, then Startup, disable Firewall in the list of startup scripts.

firstScreenshot

firstScreenshot

Click the Save and Apply button. Hard-Restart your router if you’re not able to connect anymore.

firstScreenshot

firstScreenshot

Now connect to the new IP you have just specified(192.168.1.2) and check if the settings for the LAN interface are the same you set before.

Verify that your LAN interface is up and online

firstScreenshot

Connect to your AP, if you had created and set-up pfSense splash page correctly (have created splash page, added at least one Authentication method, applied settings to pfSense), you should be able to login via captive splash page now if you try to access any website.

Important: CONNECTION TO AP/ROUTER MUST BE IN THE LAN PORT!

Link to original how-to: https://openwrt.org/docs/guide-user/network/wifi/dumbap

Also, here is a simple diagram how connection pfSense + OpenWRT works:

firstScreenshot

PC asks AP for internet, AP forwards it into pfSense, pfSense asks IronWiFi if is valid or not, if not pfSense send captive page to PC, PC now must confirm that is valid via captive page, next time process ends in valid without need of captive page check.

Источник

Оцените статью
Adblock
detector