Portail captif

Bonjour,
Je cherche à mettre en place un portail captif sur mon réseau qui devrait s’ouvrir (bientôt…) à ma clientèle…

Mon objectif : Obliger mes clients à passer par une page ou ils doivent accepter mes conditions pour avoir accès à Internet… C’est moi le responsable au final, c’est moi qui fournirais l’accès… Même si j’ai des protections (squidguard notament) il peux y avoir des failles !

Objectif indirect : faire un peu de pub pour mon magnifique établissement

Je n’y connait rien du tout ! J’ai vu sur Wikipédia (super source ) qu’il en existait plusieurs…

[quote] * PepperSpot
* ChilliSpot
* Zeroshell
* Pfsense
[/quote]
Apparemment les deux derniers ne sont pas pour moi (ils font partie d’une distribution complète).

Avez-vous une opinion ou une expérience sur le sujet ? Est-ce compliqué à mettre en place ?

Le serveur : Lenny

J’ai déjà testé ChilliSpot et Pfsense.

Comme tu l’as précisé Pfsense est une distribution complète basée sur freebsd, cependant elle est très complète et l’interface d’administration est bien faite.
J’ai choisit ce logiciel pour le boulot.

Pour la maison, étant donnée que j’ai déjà une machine sous debian, je me suis penché sur ChilliSpot.
J’ai tenté NoCat et Talweg mais rien de concluant.
Chilli est assez simple à mettre en place et fonctionne très bien.
Cependant je ne l’ai pas gardé pour la raison que le dhcp embarqué est obligatoire et la réservation par mac n’est pas faisable.
Si tu ne te sers pas de cette fonction Chilli te conviendra surement.

[quote=“Niloo”]J’ai déjà testé ChilliSpot et Pfsense.

Comme tu l’as précisé Pfsense est une distribution complète basée sur freebsd, cependant elle est très complète et l’interface d’administration est bien faite.
J’ai choisit ce logiciel pour le boulot.

Pour la maison, étant donnée que j’ai déjà une machine sous debian, je me suis penché sur ChilliSpot.
J’ai tenté NoCat et Talweg mais rien de concluant.
Chilli est assez simple à mettre en place et fonctionne très bien.
Cependant je ne l’ai pas gardé pour la raison que le dhcp embarqué est obligatoire et la réservation par mac n’est pas faisable.
Si tu ne te sers pas de cette fonction Chilli te conviendra surement.[/quote]

Merci c’est sympa ce retour. Excellente base pour mes recherches. Étant donné que mon réseau sera mi-privé/mi public la réservation d’IP par adresse MAC (même si ce n’est pas la panacée…) m’intéresse dommage que Chilli ne le propose pas…
Il me resterais donc PepperSpot…

Si tu essayes PepperSpot ou bien un autre que je ne connais pas je suis également intéressé par tes retours ou celui des autres membres.

Bonjour,
Je suis tombé sur Talweg qui a l’air pas mal…
Il à l’avantage de pouvoir être installé par un dépôt (deb talweg.univ-metz.fr/debian lenny main)
Je me demande si talweg + freeradius + mysql ne ferait pas mon affaire !
Je me demande juste quoi faire avec le proxy transparent (squid3) déjà en place ???

Tu peux tenter de rediriger les requêtes sortant du port 80 vers le serveur lui même au port 3128 via iptables.
Cela permettra de garder squid si vraiment talweg shunte le proxy.

Oui, c’est une solution… Je vais d’abord bien étudier talweg et freeradius… Squid n’a peut-être plus son utilité ?

Merci

Je pense au contraire que squid aura toujours son utilité dans le sens où talweg ne fait office de cache pour les pages web.
Cette fonction est pour moi assez importante dans le sens où elle optimise ta bande passante.

hello,
pour ma part, je suis fan de Pfsense ( car je n’ai pas encore testé les autes solutions …), tu peux :

• limiter certains protocoles : http https ftp
• limiter la bande passante(n’autoriser que 50Ko seulement pour chaque connexion)

[quote=“Niloo”]Je pense au contraire que squid aura toujours son utilité dans le sens où talweg ne fait office de cache pour les pages web.
Cette fonction est pour moi assez importante dans le sens où elle optimise ta bande passante.[/quote]
Bonne remarque… C’est un peu mélangé dans mon esprit… Pas évident
Je vais me faire un schéma pour bien visualiser les différents flux au travers des interfaces, proxy, pare-feu…
Merci de ta remarque !

[quote=“hayou”]hello,
pour ma part, je suis fan de Pfsense ( car je n’ai pas encore testé les autes solutions …), tu peux :

• limiter certains protocoles : http https ftp
• limiter la bande passante(n’autoriser que 50Ko seulement pour chaque connexion)[/quote]
  Comme indiqué dans le message initial, il faut que cela soit installable sous debian, ce qui n’est pas le cas de pfsense qui est un système entier sous freebsd.

[quote=“Niloo”]J’ai déjà testé ChilliSpot et Pfsense.
[…]
Pour la maison, étant donnée que j’ai déjà une machine sous debian, je me suis penché sur ChilliSpot.
J’ai tenté NoCat et Talweg mais rien de concluant.
Chilli est assez simple à mettre en place et fonctionne très bien.
Cependant je ne l’ai pas gardé pour la raison que le dhcp embarqué est obligatoire et la réservation par mac n’est pas faisable.
Si tu ne te sers pas de cette fonction Chilli te conviendra surement.[/quote]

Salut,
J’ai essayé Talweg, il m’a mis un sacré bazar…
Entre temps j’ai réinstallé ma machine, donc tout est propre, pas trop envie de continuer dans cette voie…
J’ai pas mal lu, et Chillispot m’a l’air pas si mal. Mais…

Il n’est pas dans les dépôts Lenny… Il est en Etch et Sid ! packages.debian.org/search?keywo … ection=all
Je n’ai pas envie de faire un mélange de branches sur mon serveur… Certains vont rigoler…
Est-il possible d’installer le paquet qui viens de Etch ? Est-ce moins risqué qu’un paquet de Sid ?

Il y a bien la possibilité de compiler, mais le fichier source sur le site, à l’air de dater un peu 2006… chillispot.info/download.html
Est-ce toujours maintenu ?

Tu peux bien sûr mettre le paquet en Etch ou Sid, soit en ajoutant les dépôts soit en téléchargeant les .deb et en faisant attention aux dépendances.

La version sur le site est plus récente que la version proposé en Etch ou Sid.

Personnellement, j’avais essayé avec la Etch en ajoutant les sources dans les dépôts.

[quote=“Niloo”]Tu peux bien sûr mettre le paquet en Etch ou Sid, soit en ajoutant les dépôts soit en téléchargeant les .deb et en faisant attention aux dépendances.

La version sur le site est plus récente que la version proposé en Etch ou Sid.

Personnellement, j’avais essayé avec la Etch en ajoutant les sources dans les dépôts.[/quote]

Salut,
Merci, réponse ultra rapide (t’es en perfusion sur le forum, comme moi ).
Je trouve ça un peu “inquiétant” qu’il n’y ait pas eu de mise à jour depuis 2006… non ?
Je vais peut-être tenter de compiler les sources alors…
Je me laisse un peu de temps de réflexion avant de me lancer…

Je suis étonné qu’il n’y ait pas d’autre solution dans les dépôts Debian… Les Hotspots c’est quand même courant maintenant !
Ou alors j’ai mal cherché…

Encore merci.

Salut Niloo,
Si jamais tu es à l’écoute…

Je galère un peu pour configurer chillispot, je penses que c’est la partie “freeradius” qui me pose un problème…

J’ai fait un test en local et l’identification fonctionnelaurent@spider:~$ radtest steve testing 127.0.0.1 0 unmotdepassefort Sending Access-Request of id 57 to 127.0.0.1 port 1812 User-Name = "steve" User-Password = "testing" NAS-IP-Address = 192.168.0.1 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=57, length=20

Par contre si je tente une connection avec un “client”, c’est pas au point…

1. J’obtiens bien une IP de Chillispot
2. je suis bien redirigé vers une page d’identification de Chillispot (enfin presque… Il me redirige vers la mauvaise IP, mais si j’entre l’IP à la main ça fonctionne…)
   3 ) …ChilliSpot Loggin Failed…

Avec ça dans les logs Error: Received packet from 127.0.0.1 with invalid Message-Authenticator! (Shared secret is incorrect.) Dropping packet without response.
J’y suis depuis ce matin, et j’ai peur qu’a force de bidouiller les fichiers de conf je finisse par tout casser…

Aurais-tu tes anciens fichiers de conf sous la main, ou un lien vers un tuto, ou une idée pour me sortir de ce cul de sac ?

Merci d’avance

Il doit y avoir le même mot de passe dans les fichiers suivants :
/etc/freeradius/clients.conf pour secret =
/etc/chilli.conf pour radiussecret

et même chose pour ces fichiers
/etc/chilli.conf pour uamsecret
/usr/lib/cgi-bin/hotspotlogin.cgi pour $uamsecret =

Le mot de passe peut être différents entre le premier et le deuxième paragraphe.

Re,
Merci, les mots de passe sont identiques… Je viens de vérifier.

Je me demande si ça ne vient pas de ce paramètre : NAS-IP-Address ?
Je suis un peu perplexe…

Je ne sais pas.

Cependant voici le tutoriel que j’avais utilisé pour la mise en place de chilli :
pervasive-network.org/SPIP/I … ot-sur-une

J’espère qu’il pourra te venir en aide.

[quote=“Niloo”]Je ne sais pas.

Cependant voici le tutoriel que j’avais utilisé pour la mise en place de chilli :
pervasive-network.org/SPIP/I … ot-sur-une

J’espère qu’il pourra te venir en aide.[/quote]

Excellent,
Bon complément du mien qui est un peu plus compliqué (avec mysql).
Je vais recommencer à zéro. J’ajouterais mysql quand la première étape sera OK.
Merci.

Bon, je suis toujours en galère…
Personne n’utilise Chillispot ?
J’ai toujours le même problème…
L’identification locale fonctionne, l’authentification à partir d’un autre PC me renvoie toujours la même erreur…

[quote=“freeradius -X”]Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 36762, id=0, length=217
Received packet from 127.0.0.1 with invalid Message-Authenticator! (Shared secret is incorrect.) Dropping packet without response.
Going to the next request
[/quote]

Bien sur les mots de passe sont bons dans tous les fichiers… Je suis épuisé de lire des pages et des pages sur Internet…

Sur certains forums ils pensent que c’est un bug lié au 64 bit… Je vais le mettre dans une machine virtuelle en 32 ! c’est bien ma veine

Je vais aller m’occuper de mes aquariums et me taper un bon Gin’to