2010 Manual de Configuraci贸n de Pfsense para habilitar el servicio de Portal Cautivo para la autenticaci贸n de Usuarios
PascualHotSpot HotSpot 03/04/2010
MANUAL DE CONFIGURACIÓN DE PFSENSE PARA HABILITAR EL SERVICIO DE PORTAL CAUTIVO PARA LA AUTENTICACIÓN DE USUARIOS Durante el desarrollo de esta manual se podrán ver los pasos necesarios para hacer una correcta configuración del portal cautivo que para este caso estará administrando la autenticación de usuarios que detectan la red inalámbrica y desean hacer uso de internet. La forma en que el Pfsense realizara la autenticación utiliza siguiente estructura física:
2 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Ahora que conocemos como es la estructura física nos disponemos a configurar. Ingresamos
al
servidor
Pfsense que se encuentra ubicado en la Dirección IP 192.168.1.1 Inalámbrica
de
la
red
PascualHotSpot
lo podemos hacer desde el mismo
equipo
donde
esta
instalado o desde un equipo portátil que este conectado a la red. Cuando nos pida el usuario escribimos “pascualhotspot” y la contraseña es “pfsense2010” Pasos: Primero vamos conocer todos lo servicios que trae el servidor Pfsense empezando en la pestaña System System: podemos nombre actualizar
Desde configurar
mostrarnos
el
del
servidor,
el
firmware,
añadir adicionales,
allí
paquetes además de
de
forma
general como se encuentra el servidor, y el tiempo que lleva desde que se inicio.
3 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Interfaces:
desde
allí
podemos configurar las interfaces
de
Red
Registradas en Pfsense, asignarle
la
IP,
determinar cual va ser la WAN y cual La LAN.
Firewall:
En
esta
pestaña encontramos las opciones para habilitar o deshabilitar los puertos por ejemplo para cerrar los
puertos
utilizados también
que
son
para
P2P,
desde
aquí
podemos establecer las reglas para red y muchas cosas que el servicio de Firewall pueda permitir.
4 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Services:
en
esta
pestaña encontramos todos los servicios con que cuenta el Pfsense además
de
servicios
que
hayamos
los le
instalado
como por ejemplo: Captive Portal, DHCP, Dynamic DNS, FreeRadius entre otros.
VPN: en esta pestaña encontramos las herramientas para Establecer comunicación entre varias VLans.
5 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Status: En esta pestaña podemos estado
ver en
en
que
que
se
encuentran los servicios que ofrece el Servidor Pfsense además muestra el estado de las interfaces y del portal cautivo; con respecto al portal cautivo desde la Opción Captive Portal se pueden ver que usuarios ya están autenticados, además de tener la opción desconectar si están tratando de vulnerar la red. Diagnostics:
En
esta
pestaña encontramos las opciones para determinar que y cuantos equipos se encuentran conectados a la red PascualHotSpot en (ARP Tables), así como la dirección Ip que el servicio DHCP le asignado. Desde aquí podemos realizar un Backup de la Configuración del sistema, del mismo modo que restaurar una configuración, así como volver a la configuración de fábrica. 6 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
También podemos realizar Ping a los equipos, reiniciar todos a algunos servicio al igual que reiniciar todo el sistema. Ahora que ya hemos echamos un vistazo de lo que trae Pfsense nos podemos dedicar hacer la configuración del portal cautivo y las interfaces de red. 1. Empezamos ubicándonos en la pestaña de INTERFACES, en la interface de WAN la podemos establecer como DHCP o estática dependiendo de la forma en que se le va asignar Dirección IP para la navegación de Internet. Para este caso como la conexión de internet es directa desde el modem la ponemos DCHP, aunque si la estableciéramos Static se tendría que saber cual es la Puerta de enlace además conocer la dirección de los DNS primario y secundario.
7 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Establecemos esta configuraci贸n para La WAN DHCP. Y hacemos clic en Save para guardar los cambios.
8 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Ahora seguimos con la Interface LAN y en la opción Bridge With escogemos none, luego le asignamos su correspondiente IP, para este caso dejamos la misma 192.168.1.1 pues vamos a trabajar en la LAN 1. Damos Clic en Save para guardar los cambios.
2. Luego seguimos con la configuración del servidor DHCP que ofrece el Pfsense ubicándonos en la pestaña de Services en la opción DHCP Server. Después de estar allí establecemos en que rango va ha entregar direcciones IP a los usuarios de la red Inalámbrica por ejemplo desde 192.168.1.10 hasta 192.168.1.245 pues en la opción de Subnet nos muestra que estamos Utilizando la LAN 1 y nos sugiere un rango que va desde 192.168.1.0 hasta 192.168.1.245; para nuestro caso se escoge desde la 192.168.1.10 pues desde la 192.168.1.0. Hasta 192.168.1.9 las
9 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
vamos a reservar para nuestros servidores, (el servidor web, el servidor de PBX Asterisk) y los Acces Point.
Establecemos la configuraci贸n como se muestra en la siguiente imagen y damos Clic en Save para guardar cambios.
10 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
3. Ahora vamos a instalar FreeRadius que nos permitirá establecer un servicio de autenticación con mayor seguridad Utilizando el Protocolo Radius, para hacer esto no ubicamos en la pestaña System y luego en la opción Packages y buscamos el paquete de instalación llamado FreeRadius damos clic adicionar, luego nos pregunta que si queremos instalar y le damos clic en aceptar.
Escogemos el paquete que dice FreeRadius y luego damos clic en el icono adicionar.
Luego damos clic en Aceptar para adicionar el paquete de FreeRadius a Pfsense y esperamos a que instale. (Debemos de tener acceso a internet para instalar el paquete)
11 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Ahora verificamos en la pestaña Installed Packages y verificamos que efectivamente ya se haya instalado FreeRadius.
Efectivamente ya que instalado FreeRadius ahora vamos a configurar el Portal Cautivo
4. Ahora empezamos a configurar a FreeRadius de la siguiente manera. Nos ubicamos en la pestaña Services y escogemos la opción FreeRadius, estando allí hacemos clic en Clients y luego en el logo de adicionar de esta manera adicionamos el cliente que FreeRadius va autenticar que para este caso es el mismo Pfsense por que FreeRadius esta instalado allí, pues hay casos en los que el servidor FreeRadius esta instalado por fuera.
12 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Establecemos la configuración para el cliente de esta manera:
IP del Cliente en este (Pfsense)
Nombre corto para el Cliente
Clave secreta, (portal)
Descripción del cliente
Guardar cambios
Después de crear el cliente vamos configurar la conexión que va estar establecida para la interface LAN pues allí es donde estará conectado el Acces Point por medio del cual se recibirán los usuarios. El puerto que
13 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
utiliza FreeRadius es el 1891. Ahora vemos como nos quedaría la configuración asi: Hacemos Clic en Save para guardar cambios.
Después de crear y configurar el cliente para FreeRadius vamos a crear los usuarios que se autenticaran ante este para poder tener el acceso a internet así: Hacemos clic en la pestaña User y luego en el icono add para añadir el nuevo usuario.
14 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Configuramos el usuario de la siguiente manera:
El usuario será el número del Carnet.
Contraseña es número de la Cedula
Por ejemplo Pascual, pero puede ser otra palabra
Clic en save para guardar cambios
15 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Después de Configurar el FreeRadius seguimos Con el Portal Cautivo 5. En este punto estableceremos la configuración del Portal Cautivo. Siendo este el encargado de mostrar la Pag Web de autenticación. Al momento que el usuario trata de ingresar a internet esta Pag Interactuara con el usuario pidiendo que ingrese el usuario y contraseña para ser autenticado por FreeRadius, en el caso que el usuario no sea autenticado aparecerá un mensaje indicando que el Usuario o Contraseña son incorrectos y en 3 segundo será re direccionado nuevamente a la Pag de Autenticación para intentar nuevamente. En el momento que el usuario se autentica tiene acceso a internet por tiempo indefinido.
16 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Ahora si empecemos con la configuración. Nos ubicamos en la pestaña de Services y luego en la opción Captive Portal. Para empezar debemos de habilitar el servicio luego en interfaces seleccionamos LAN. Y seguimos la configuración así:
Establecemos 1 indicando una conexión por usuario.
17 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Habilitando esta opción se puede limitar el ancho de banda y mas abajo se especifica cuanto para la subida y cuanto para la bajada de paquetes
Habilitamos la opción Radius
Esta opción se puede habilitar si no vamos a utilizar autenticación mediante Radius y todos los usuarios los creamos localmente en la pestaña de Users.
Escribimos la dirección Ip donde los usuarios del portal Cautivo tendrán acceso a la autenticación, para este caso la misma del Pfsense.
Escribimos la palabra clave que pasos atrás establecimos en el cliente de FreeRadius= (portal)
Habilitando esta opción determinamos que cada vez que se haga un cambio en los usuarios ellos tengan que volver a autenticarse.
También tenemos la posibilidad de autenticar por Mac del equipo, pero para nuestro caso no lo utilizaremos
18 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Haciendo clic aquí dirigimos la ubicación para cargar nuestra Pag Web de autenticación, si al momento no la tenemos podemos utilizar el código fuente que se muestra mas abajo para hacer una Pag Web improvisada.
De igual modo haciendo clic aquí dirigimos la ubicación de la Pag Web, que indica que el usuario o contraseña son invalido.
Terminado estos últimos pasos Nuestro servidor Pfsense ya esta Listo para poner a funcionar los servicios de DHCP, Captive Portal Y Radius. Ahora antes de probar El portal Cautivo vamos verificar las interfaces para lo cual nos ubicamos en la pestaña de Status Y luego en la opción Interfaces
19 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Allí encontramos la información los interfaces de Red como las habíamos configurado.
De esta manera:
Nos indica que la interface WAN esta arriba ósea activa
En esta parte vemos la información de la conexión así como los paquetes entrantes y salientes.
Nos indica que la interface LAN esta arriba ósea activa, además de la información de conexión y de igual Modo Como la interface WAN nos indica la cantidad de paquetes entrantes y salientes.
20 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Ahora si estamos listos para verificar que nuestro Servidor Pfsense esta cumpliendo con la funciones que le hemos programado. Para nuestro caso
el Acces Point
utilizado es un Engenius EOC1650 y lo
tenemos configurado con la dirección IP 192.168.1.2 y esta conectado a la tarjeta Red PCI que instalamos ósea esta conectado a la Interface LAN Para Pfsense. No siendo mas verifiquemos el funcionamiento. 6. Primero nos ubicamos en un PC Portátil que pueda detectar la red PascualHotSpot luego nos conectamos a esa red, el servidor nos debe de entregar dirección Ip mas no nos va dejar navegar en internet hasta que no nos autentiquemos. Efectivamente al ingresar a internet nos dirige a Portal de autenticación que hemos creado y nos pide el usuario y contraseña.
Verifiquemos que al ingresar un usuario incorrecto nos debe de dirigir a la Pag de Usuarios inválidos que hemos creado: así.
21 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Efectivamente También esta funcionando. Ahora si vamos a hacer una autenticación valida y luego ingresamos al servidor Pfsense y comprobamos. 7. Después de autenticarnos, digitamos a dirección de servidor Pfsense 192.168.1.1 ingresamos usuario y contraseña.
22 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----
Luego de ingresar nos ubicamos en la pestaña de Status en la opción Captive Portal y luego damos clic en Show Last Activity para actualizar el status.
Y comprobamos que hemos sido autenticados y nos muestra la dirección Ip que nos asignaron, el usuario, el Mac del equipo; también nos muestra la fecha y hora de autenticación.
Comprobando esto podemos decir que Nuestro Portal Cautivo esta bien configurado. Si necesitan mas información acerca de Pfsense puede dirigirse al Sitio Web de FreeBDS Pfsense: http://www.pfsense.org/index.php?option=com_content&task=view&id=50&I temid=78 También se puede dirigir al sitio web de PascualHotSpot http://www.pascualhotspot.kh3.com.ar/manuales.html En la red local “PascualHotSpot” en la Ip 192.168.1.5.
23 PascualHotSpot: Proyecto de Grado realizado por Santiago Sierra, Carlos Guevara, Antonio MadridMarzo/2010 -----Manuales de Usuario-----