Cấu hình captive portal trên pfsense hutech

PFSENSE là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. GVHD: Bùi Duy Cương Mạng không dây Captive Portal trên Pfsense Sinh viên: Hà Đăng Hoàng – C14QM11 14200078 Page 4 PFSENSE gồm có nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, và Captive Portal cũng không phải là ngoại lệ. Với Pfsense chúng ta vừa có thể chạy được tường lửa và mở Captive Portal trên đó không như các dịch vụ Captive Portal khác như Cute Hotspot, Antamedia Hotspot. Chính vì thế bài báo cáo này chúng ta sẽ cài đặt và cấu hình Captive Portal với Pfsense.

Trang 1

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH

QUẢN TRỊ MẠNG MÁY TÍNH

BÁO CÁO MẠNG KHÔNG DÂY

(Cài đặt và cấu hình Captive portal trên Pfsense)

Giảng viên hướng dẫn : Bùi Duy Cương

Sinh viên báo cáo : Hà Đăng Hoàng

Tháng 11/2015

Trang 2

GVHD: Bùi Duy Cương Mạng không dây - Captive Portal trên Pfsense

MỤC LỤC

I LÝ THUYẾT

1 Captive portal gì ? 03

2 Captive portal trong Pfsense 03

II THỰC HÀNH A MÔ HÌNH VÀ MIÊU TẢ 1 Mô hình 04

2 Mô tả 04

B CÁCH CẤU HÌNH 1 Thiết lập card mạng 05

2 Tạo máy ảo Pfsense 07

3 Thêm các card mạng cho Pfsense 10

4 Test mạng cho Pfsense 17

5 Thiết lập IP cho Pfsense 18

6 Lưu lại cấu hình Pfsense 20

7 Thiết lập cho máy tính LAN 23

7.1 Cấu hình cho OPT1 (Cổng nối với AP) 28

7.2 Thiết lập rule cho card nối với AP 29

7.3 Thiết lập Captive Portal 31

7.4 Tạo user đăng nhập xác thực Captive portal 33

8 Test các máy mạng LAN 35

9 Kết nối AP với Pfsense 39

10 Test các máy bắt Wifi từ AP 42

Trang 3

LỜI NÓI ĐẦU

Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trường mở cửa đã mang lại nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển Các ngành công nghiệp máy tính và truyền thông phát triển đã đưa thế giới chuyển sang thời đại mới: thời đại công nghệ thôngtin Việc nắm bắt và ứng dụng Công nghệ thông tin trongcác lĩnh vực khoa học, kinhtế, xã hội đã đem lại cho các doanh nghiệp và các

tổ chức những thành tựu và lợi ích to lớn Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con người, con người có thể ngồi tại chỗ mà vẫn nắm bắt được các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet Các tổ chức, công ty hay các cơ quan đều phải (tính đến)xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng

Và một nhu cầu tất yếu sẽ nảy sinh là người quản lý hệ thống phải kiểm soát được việc truy nhập sử dụng các tài nguyên đó Một vài người có nhiều quyền hơn một vài người khác Ngoài ra, người quản lý cũng muốn rằng những người khác nhau không thể truy nhập được vào các tài nguyên nào đó của nhau

Để thực hiện được nhu cầu trên, người quản trị sẽ phải xác định được người dùng hệ thống là ai, họ kêt nối khi nào, ở đâu và có hợp lệ hay không để phục vụ một cách chính xác nhất, đó là việc xác thực người dùng Tránh tình trạng những người sử dụng kiến thức về mạng và các công cụ phá hoại để dò tìm các điểm yếu

và các lỗ hổng bảo mật trên hệ thống, nhằm thực hiện các hỏa động xâm nhập và chiếm đoạt tài nguyên trái phép (hacker chẳng hạn) Đó là lý do cần phải có giải pháp để nhận dạng người dùng truy cập dựa vào tên đăng nhập và mật khẩu riêng Công nghệ đó gọi là Captive Portal

I LÝ THUYẾT

1 Captive portal gì ?

Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không cho người khác dùng mạng của mình) Tính năng này tiên tiến hơn các kiểu dăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khang như kiểu authentication WPA, WPA2

2 Captive portal trong Pfsense.

PFSENSE là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó

Trang 4

- PFSENSE gồm có nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, và Captive Portal cũng không phải là ngoại lệ Với Pfsense chúng ta vừa có thể chạy được tường lửa và mở Captive Portal trên đó không như các dịch vụ Captive Portal khác như Cute Hotspot, Antamedia Hotspot Chính

vì thế bài báo cáo này chúng ta sẽ cài đặt và cấu hình Captive Portal với Pfsense

- Cấu hình Pfsense trên Vmware

+ Pfsense xài 3 card mạng:

Card 1: Sẽ sẽ là card Bridged nó chính là card wifi có kết nối internet, tội chọn Vmnet0

Card 2: Cũng sẽ là card Bridged nhưng với tùy chọn là card mạng có dây sẽ là card nối với AP của bạn, tôi chọn Vmnet1

Card 3: Là card nối mạng LAN

- Thiết bị:

+ 1 đường dây internet

+ 1 tường lửa Pfsense cài đặt trên Vmware

+ 1 Access point

+ 1 máy client trong Lan để cấu hình Pfsense

+ 1 laptop or smatphone có wifi để test dịch vụ

Trang 5

B CÁCH CẤU HÌNH

1 Thiết lập card mạng.

* Theo như mô tả tôi sẽ dùng 3 card mạng như sau:

- Vmnet0: Card mạng Wifi

- Vmnet1: Card mạng có dây

- Vmnet2: Card mạng nối LAN (Host only)

* Cách thiết lập như sau

Vào Vmware chọn Edit -> Vitual Network Editor …

Ở Card Vmnet0 tôi chọn card mạng wifi của máy laptop

Trang 6

Ở Card Vmnet1 tôi chọn card mạng có dây của máy laptop

Trang 7

Ở Card Vmnet2 tôi chọn card mạng Host-Only (dùng để nối với máy mạng LAN)

2 Tạo máy ảo Pfsense.

Bạn lên trang https://www.pfsense.org/download/ để tải bản mới nhất về hoàn toàn miễn phí Sau khi có file *.iso Pfsense bạn tạo máy ảo như sau

Vào Menu File -> New Vitual Machine…

Bấm next

Trang 8

Browse… tới file *.iso Pfsense của bạn vừa mới tải về và bấm next

Chọn đại một mục nào đó và bấm next (vì phần sau ta có thể chỉnh sửa cấu hình tùy ý) Ở đây tôi chọn Microsoft Windows 7

Trang 9

+ Đặt tên cho máy ảo tại mục Vitual machine name

+ Location là nơi lưu các cài đặt của Pfsense

Tôi để ổ cứng 60 GB và chọn Store vitual disk as a single file để thiết lập các file Vmware không bị chia nhỏ và bấm next

Trang 10

Bạn có thể chỉnh sửa lại cấu hình phần cứng cho Pfsense bằng cách bấm vào

Customize Hardware… xong thì bấm Finish để kết thúc

3 Thêm các card mạng cho Pfsense.

* Ta tiến hành thêm 3 card mạng vừa thiết lập ở mục 1 như sau

Chọn máy Pfsense vừa khởi tạo xong, chuột phải bấm Settings…

Trang 11

- Chọn thẻ Hardware - > Network Adapter

+ Nhìn sang bên phải chọn Custom: Specific vitual network, chọn Vmnet0

- Tiếp tục bấm Add…

Chọn Network Adapter, bấm next

Trang 12

Tại mục Custom: Specific vitual network, chọn Vmnet1 và bấm Finish

* Cứ tiếp tục như vậy ta áp dụng cho card Vmnet2 ta được 3 card mạng như hình dưới

Trang 13

* Sau khi thiết lập hoàn chỉnh các card mạng, bấm Power on this virtual machine

để khởi động Pfsense

Bảng này bạn nên để nguyên để nó Boot tự động

Quá trình Boot đang diễn ra

Trang 14

Sau khi Boot xong một màn hình menu màu đen hiện ra, bạn chọn menu 1 (Assign Interfaces) để chúng ta xem địa chỉ MAC của máy mình tiến hành so sánh và nhận dạng card mạng cho đúng để thiết lập

Chọn máy Pfsense vừa khởi tạo xong, chuột phải bấm Settings…

- Chọn thẻ Hardware - > Network Adapter

+ Nhìn sang bên phải chọn Custom: Specific vitual network, chọn Vmnet0 sau đó bấm vào Advanced…

+ MAC Address: Đây là nơi chứa thông tin địa chỉ MAC card mạng Vmnet0

Bạn đối chiếu bảng MAC có thể thấy card mạng Vmnet0 có MAC là

00:0c:29:5e:99:d9 trùng với em0 bên Pfsense

Trang 15

Do đó: Vmnet0 chính là em0

(Các bạn làm tương tự cho các card mạng khác)

* Sau khi dò MAC xong tôi tìm được thông tin card mạng tương ứng như sau: + Vmnet0 -> em0

+ Vmnet1 -> em1

+ Vmnet2 -> em2

Bảng này hỏi ta có muốn tạo Vlan không, bấm n để không tạo và tiếp tục

Bảng này hỏi ta tạo mạng WAN bằng card gì?

Đây chính là card wifi dùng để kết nối mạng internet cho Pfsense Nó chính là Vmnet0 -> em0, vậy ta chọn em0 và bấm Enter

Trang 16

Bảng này hỏi ta tạo mạng LAN bằng card gì?

Đây chính là card mạng LAN dùng để kết nối Pfsense với các máy tính trong mạng LAN, máy tính này có thể đăng nhập vào Pfsense bằng giao diện Website Nó chính là Vmnet2 -> em2, vậy ta chọn em2 và bấm Enter

Bảng này hỏi ta tạo mạng OPT1 theo thiết lập nào

Đây tôi chọn card mạng có dây dùng để kết nối Pfsense với AP bằng cổng nối mạng dây trên máy tính, dùng để phát wifi cho các thiết bị khác Nó chính là

Vmnet2 -> em2, vậy ta chọn em2 và bấm Enter

Trang 17

Vì Pfsense chỉ gắn 3 card mạng nên tới đây ta không thiết lập nữa, bấm Enter để

bỏ qua và tiếp tục

Bấm y và Enter để tiến thành thiết lập

4 Test mạng cho Pfsense.

Chọn 7 -> Ping Host

Trang 18

Ping 8.8.8.8 để kiểm tra kết nối mạng đã thành công chưa

Ping Thành công Như vậy Pfsense đã kêt nối ra internet thành công

5 Thiết lập IP cho Pfsense.

- Do WAN đã được cấp DHCP tự động từ card WIFI laptop rồi nên ta không cần thiết lập IP cho nó nữa Vậy bây giờ ta sẽ thiết lập IP cho LAN và OPT1

- Bấm 2 -> Set interface (s) IP address

Trang 19

Bấm số 2 tương ứng với LAN

Tôi đặt IP cho lan là 10.0.0.1, bấm Enter

Chọn Subnet là 24 nó chính là 255.255.255.0

Chỗ này hỏi ta có đặt Gateway cho LAN không, bấm Enter để bỏ qua

Chỗ này hỏi ta có đặt Ipv6 cho LAN không, bấm Enter để bỏ qua

Chỗ này hỏi ta có cấu hình DHCP cho LAN không, bấm y và bấm Enter để bỏ qua

Mình cho LAN chạy từ 10.0.0.2 -> 10.0.0.254 và bấm Enter

Quá trình thiết lập bắt đầu, sau khi kết thúc thì bảng trên sẽ hiện ra, bấm Enter để quay về menu chính

Trang 20

6 Lưu lại cấu hình Pfsense

Sau khi cấu hình hoàn chỉnh Card mạng, IP, … ta phải làm thao tác này để lưu lại Pfsense, bỏ qua bước này thì sau khi khởi động lại toàn bộ thiết lập của chúng ta sẽ mất hết

Bấm menu 99 -> Install pfSense to a hard drive, etc

Chọn Accept these Settings

Chọn Quick/Easy Install

Trang 21

Bấm OK

Quá trình làm việc đang diễn ra

Chọn Standard Kernel, bấm Enter

Trang 22

Bấm Reboot để khởi động lại máy

Sau khi hoàn thành bước này bạn để ý menu 99 đã biến mấy, như vậy bạn đã lưu lại cấu hình thành công

Trang 23

7 Thiết lập cho máy tính LAN.

Tôi sử dụng máy tính chạy hệ điều hành Windows XP

Gắn card mạng Vmnet2 cho máy Windows, chuột phải vào máy WinXP chọn Setting…

Chọn Vmnet2 và bấm OK

Trang 24

Vì đã cấu hình DHCP bên Pfsense nên Pfsense sẽ cấp phát IP cho WinXP luôn

Dùng trình duyệt truy cập địa chỉ ip của máy Pfsense được cấu hình giao điện Website, ở đây chính là cổng LAN có địa chỉ http://10.0.0.1

Chú ý: Nên dùng trình duyệt ngoài trình duyệt Internet mặc định vì nó hỗ trợ

không tốt giao diện website

Trang 25

Bấm next

Trang 26

Đặt Host Name: hadanghoang

Đặt Domain: hadanghoang.com

Bấm Next

Chọn múi giờ phù hợp với quốc gia Bấm next

Kéo xuống dưới, bấm next

Trang 27

Để IP mặc định đã đặt, bấm next

Đổi mật khẩu đăng nhập cho Pfsense

Bấm Reload để load lại giao diện website

Bấm here để vào website cấu hình chính

Trang 28

Đây là thông tin cơ bản của Pfsense

7.1 Cấu hình cho OPT1 (Cổng nối với AP).

Vào Interface -> OPT1

Đặt lại tên cho OPT1 tại mục Description

Trang 29

Kéo xuống dưới, bấm save

Bấm Apply changes

7.2 Thiết lập rule cho card nối với AP.

Vào Firewall -> Rules

Chọn WIFI (Card nối với AP) Bấm dấu (+)

Trang 30

Tại Protocol chỉnh lại any, các mục khác để mặc định Bấm save

Bấm Apply changes

Trang 31

Bấm close

7.3 Thiết lập Captive Portal.

Bấm vào Service -> Captive Portal

Bấm vào dấu (+)

Trang 32

Đặt tên bất kỳ tại Zone name, bấm continue

Interfaces: Chọn 2 card LAN và WIFI

Idle timeout: 10

Hard timeout: 60

Kéo xuống dưới chọn tiếp (hình tiếp theo)

Trang 33

- After authentication Redirection URL: Sau khi xác thực xong, nó sẽ trình duyệt vào trang website đã khai báo ở đây

- Chọn Local User Manager / Vouchers

- Bỏ dấu tích Allow only users/groups with 'Captive portal login' privilege set

- Bấm save

Ta được một Zone như hình trên

7.4 Tạo user đăng nhập xác thực Captive portal.

Vào System -> User Manager

Trang 34

Bấm dấu (+)

Tạo tên đăng nhập và mật khẩu xác thực Captive Portal ở đây, Bấm save

Kết quả như hình trên

Trang 35

8 Test các máy mạng LAN.

- Quay trở lại máy tính WinXP, vào CM ping thử 8.8.8.8

- Kết quả không thể ping được vì chưa được xác thực Captive Portal

- Xem danh sách các thiết bị đã xác thực thành công Captive Portal tại đây

Vào Status -> Captive Portal

Hình ảnh trên cho thấy chưa có thiết bị nào được xác thực Captive Portal vào

mạng

Trang 36

- Bây giờ ta vào một website nào đó, Pfsense sẽ yêu cầu xác thực Captive Portal

- Bạn nhập tên đăng nhập và mật khẩu đã tạo ở phần trên

- Bấm continue

Máy tính kết nối mạng thành công và nó chạy thẳng vào http://google.com như tôi

đã thiết lập ở trên

Trang 37

Bạn thử tìm kiếm một từ khóa gì đó xem mạng có chạy tốt không (nhiều khi có lưu

bộ nhớ cache khiến nhiều người lầm tưởng đã có mạng thàng công)

- Ta có thể Ping thử 8.8.8.8

Trang 38

- Hoặc tracert 8.8.8.8

Tracert thành công

- Xem danh sách các thiết bị đã xác thực thành công Captive Portal tại đây

Vào Status -> Captive Portal

Danh sách cho thấy có thiết bị đã kết nối thành công vào mạng qua Captive Portal,

nó là máy mạng LAN tôi vừa xác thực xong

Trang 39

9 Kết nối AP với Pfsense.

Ta sẽ tiến hành kết nối AP với Pfsense qua cổng có dây của laptop

Dùng AP nối cổng LAN vào laptop Các bạn xem hình 1, 2, 3 để rõ hơn

Hình 1

Hình 2

Trang 40

Hình 3 Tốt nhất nên nhấn nút reset lại AP, sau đó nối dây như hình trên, truy cập vào default gateway của AP để cấu hình tắt DHCP trên AP

Tôi đang dùng AP Linksys của Cisco

Trang 41

Xem hình trên (phóng to phần DHCP để rõ hơn)

Sau đó ta vào chỉnh cho nó tự cấp DHCP xem nó được cấp từ nguồn nào Các bước làm theo hình 1, 2 ở dưới

Hình 1 Hình 2

Hình 1: Chọn Internet Protocol Version4(TCP/Ipv4) - > Propeties

Hình 2: Chọn như hình, bấm OK

Trang 42

Kiểm tra lại IP 20.0.0.3/24, như vậy card mạng dây laptop đã được cấp IP từ

Pfsense (Thành công)

10 Test các máy bắt Wifi từ AP.

B1: Mở Wifi lên, kết nối C14QM11 B2: Đăng nhập tài khoản Captive Portal

Định dạng
Số trang	44
Dung lượng	3,38 MB