Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

Mise en place d`un portail captif avec Pfsense.

publicité 
CHARRONDIERE Quentin
SIO2
VERDIER Jordan
AISSOU Camille
Mise en place d'un portail captif avec Pfsense.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
1
Introduction
L'entreprise GSB souhaite créer une connexion à internet sécurisé pour les invités. Cette connexion
devra se faire par WIFI ou par câble Ethernet.
Pour réaliser ce projet nous utiliserons l'outils PFsense. C'est un portail captif. Par la suite on
intégrera un serveur radius afin d'avoir les logins des employés en fonction des comptes créés.
En ce qui concerne le cahier des charges :
- Besoin d'un portail captif -> Logiciel Pfsense
- Une borne Wifi
- Un switch
- Machine virtuel et/ou une unité centrale
- Unité centrale avec trois cartes réseaux et un lecteur CD
- OS Windows 7 ou autre pouvant supporter Pfsense
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
2
Table des matières
I. La mise en place de Pfsense .................................................................................................................1
1. Installation de Pfsense......................................................................................................................2
2.Configuration de Pfsense ..............................................................................................................3
3. Problème survenus.................................................................................................................5
II. Mise en place du serveur Radius ........................................................................................................4
1. Présentation du serveur Radius .......................................................................................................5
2. Installation et configuration du serveur Radius ...........................................................................6
Conclusion…………………………………………………………………………………………………………………….…………………..8
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
3
I. La mise en place de Pfsense.
1. Installation de Pfsense.
Nous avons commencé par trouver une machine physique où nous pourrions installer Pfsense. Le
boot sur clé ne fonctionnant pas, nous avons dû faire l’installation par CD-ROM. On a donc
commencé par changer le lecteur de CD car celui dans la machine ne sortait pas. On rajoute aussi
deux carte réseau afin de répondre au besoin du projet.
Les deux cartes réseaux serviront pour les deux interfaces, l'interface LAN (Local Area Network) relié
au réseau de l'entreprise pour les invités et l'interface WAN (Wide Area Network) relié au réseau
extérieur, à internet. La troisième servira à connecter le borne Wifi au Pfsense.
A ce stade nous avons déjà eu des problèmes, notamment avec le lecteur CD qui ne voulait pas
s'ouvrir et donc l'installation Pfsense (sur CD) était impossible. Le deuxième problème a été de
trouver deux cartes réseau en état de marche afin de recevoir le réseau WAN et la borne Wifi.
N’ayant réussi à trouver qu’une carte réseau, nous avons dû alterner entre le réseau WAN et la borne
Wifi pour tester leur fonctionnement.
2. Configuration de Pfsense.
Une fois la machine prête à être utilisée, nous installons Pfsense. On commence par activer les deux
interfaces, LAN et WAN. Ensuite, on configure les adresses IP des deux réseaux, 10.0.0.1 pour le LAN
et 192.168.151.201 pour le WAN. On met ensuite en place une borne wifi, sur une autre carte
réseau, pour les utilisateurs ne souhaitant ou ne pouvant pas se connecter en filaire. Cette borne
aura une place d’adressage IP de 172.0.0.5 à 172.0.0.50.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
4
On peut voir sur notre schéma le résultat final qu’on doit obtenir. On distingue bien les deux parties
de notre solution avec les adresses IP différente et la borne wifi ainsi que le serveur RADIUS.
Après l'attribution des adresses IP aux deux interfaces, nous installons un serveur DHCP afin de
pouvoir délivrer une adresse IP aux invités qui se connecteront au réseau WAN. Pour cela on
commence par définir la plage d'adressage qui déterminera le nombre de machine pouvant se
connecter au réseau en simultané.
On a ensuite créé la page d'authentification avec le code HTML adéquat avec des utilisateurs et mot
de passe pour les personnes qui voudraient se connecter au réseau de l'entreprise.
3. Les problèmes survenus.
Après la configuration de pfsense, on est passé au teste. On a commencé par essayer de
s'authentifier avec un login et mot de passe test. On a noté que l'authentification se faisait
parfaitement avec la redirection vers une page Google mais en HTTPS. Effectivement, la redirection
vers les pages HTTPS mais vers les pages HTTP bloque.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
5
On a d'abord pensé que c'était un problème de firewall. On est donc allé vérifier les règles mise en
place par défaut, puis on a créé de nouvelles. On s'est rendu compte que cela n'avait rien changé au
niveau du blocage des pages HTTP.
On a ensuite pensé à un problème de carte réseau. Après vérifications et plusieurs tests, la carte
réseau n'était pas en cause. Le problème venait du proxy. En effet, on s'est rendu compte que c'était
le proxy du lycée qui était en cause car le Pfsense n’avait pas cette adresse.
Maintenant que la partie installation et configuration de Pfsense est terminée, on va s’occuper de la
mise en place du serveur radius.
II. Mise en place du serveur radius.
1. Présentation serveur radius.
Le serveur radius est un serveur basé sur Windows serveur, faisant office de contrôleur de domaine.
Il permet d’administrer les utilisateurs et les groupes du domaine local. Un domaine local est une
zone où on gère les ordinateurs et toutes les entités du réseau informatique.
Windows Server 2012 faisant office de contrôleur de domaine (dans notre cas le domaine s’appelle
« pfsense.local ») nous avons donc créer un groupe d’utilisateurs à qui nous autoriserons de nous
connecter au portail captif. On appellera ce groupe « test ».
Nous souhaitons ensuite ajouter les utilisateurs dont on veut autoriser l’accès au Pfsense via le
groupe « test ». Pour cela, nous ferons double clic sur l’utilisateur (dans « utilisateurs et ordinateurs
Active Directory »), ensuite, onglet « membre de » et nous ajouterons le groupe créé précédemment.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
6
Ensuite, il nous faut installer le serveur RADIUS.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
7
2. Installation et configuration du serveur Radius.
Pour installer le serveur RADIUS, il faut ajouter le rôle « Serveur NPS » (Network Policy Server).
Nous devons ensuite configurer ce serveur NPS

Nous sélectionnons Serveur Radius pour les connexions câblées ou sans fil 802.1X

Puis nous avons cliquer sur « Configurer 802.1X »
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
8


Ensuite, « Connexion câblées (Ethernet) sécurisées puis « suivant »
On créer ensuite un nouveau client Radius :
On le nommera donc ici pfsense, il nous faut ensuite entrer l’adresse IP du Pfsense (adresse
IP du coté LAN). On mettra un secret partagé manuel (qui est en quelques sortes un mot de
passe), nous mettrons ici « pfsense » :
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
9
Une fois cette étape passée, nous aurons à choisir le type de protocole EAP : nous avons
choisi PEAP (Protected EAP)
En cliquant sur « suivant » on nous demande d’ajouter les groupes qui seront autorisés à
accéder au pfsense. On choisit le groupe précédemment configuré, à savoir « test », puis
suivant.
Le paramétrage est maintenant terminé.
Toujours dans la fenêtre « Serveur NPS », on déroule le menu de gauche et on va dans
« Stratégies réseau »
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
10
On sélectionne la stratégie pfsense, clique droit puis propriétés :
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
11
On va dans l’onglet contraintes, puis méthodes d’authentifications, et là on coche « authentification
non chiffrée (PAP, SPAP) » car le pfsense ne prend pas en charge le protocole Protected EAP (qui lui
est sécurisé)
Du côté du Windows Server 2012, tout est établi.
On configure maintenant l’authentification Radius sur le Pfsense. Pour cela, on va dans l’onglet
Captive Portal, dans la partie « authentification ». On coche « RADIUS Authentification » puis
« PAP ».
Ensuite, on rentre l’adresse IP du serveur Windows Server 2012 dans « Primary RADIUS server ».
Dans shared secret, on rentre le secret partagé défini dans le Windows server 2012
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
12
Dans la partie « accounting », cocher « send RADIUS accounting packets » et dans “accounting
updates”, “no accounting updates”
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
13
Conclusion
Malgré les problèmes matériel, nous avons réussit à mettre en place le portail captif ainsi que le
serveur RADIUS. Seul, les pages HTTP ne fonctionnait pas à cause du proxy du lycée qui les bloque.
N’ayant pas les droit pour contourner le proxy, ce problème ne pu être résolu.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
14
Compte rendu de projet :
Mise en place d’un serveur
VOIP sur Raspberry
Camille AISSOU et Benjamin DEPOND
BTS SIO
Année 2015 – 2016
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
15
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
16
SOMMAIRE
1) Présentation du contexte
3
2) Liste des besoins
3
3) Diagramme de Gantt
4
4) Jeu de tests
5
5) Manuel technique
6
6) Références bibliographiques
15
7) Conclusion
16
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
17
Présentation du contexte
Le secteur d'activité :
L’industrie pharmaceutique est un secteur très lucratif dans lequel le mouvement de fusion
acquisition est très fort. Les regroupements de laboratoires ces dernières années ont donné
naissance à des entités gigantesques au sein desquelles le travail est longtemps resté
organisé selon les anciennes structures. Comme l’entreprise Galaxy Swiss Bourdin qui a de
fort besoin dans le déploiement de son parc informatique.
L'entreprise :
Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain
Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le
conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels),
lui-même déjà union de trois petits laboratoires. En 2009, les deux géants pharmaceutiques
ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss
Bourdin Europe a établi son siège administratif à Paris. Le siège social de la multinationale
est situé à Philadelphie, Pennsylvanie, aux Etats-Unis.
Liste des besoins
L’entreprise GSB a besoin d’un serveur d’appel téléphonique. Pour des raisons de coût, elle
veut que le serveur utilise des logiciels libres. On va donc utiliser un système d’exploitation
Linux, adapté à une raspberry sur lequel on installera le serveur téléphonique Astérisk. Le
choix d’utiliser une raspberry est aussi une question de prix car cette entité électronique
impose de faible dépense. Pour passer des appels, le logiciel libre Xlite a été utilisé ainsi que
qu’une machine virtuelle pour effectuer le tests d’appel.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
18
Diagramme de Gantt
Les valeurs sont exprimées en jours.
Prévisionnel :
0
10
20
30
40
Mise en place du seveur VOIP
Debbuggage
Réalisation du rapport
Réalisé :
0
5
10
15
20
25
30
35
Mise en place du seveur VOIP
Debbuggage
Réalisation du rapport
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
19
Manuel technique :
Mise à jour de la distribution :
apt-get update && apt-get upgrade
Téléchargement des parquets nécessaires :
apt-get install build-essential libxml2-dev libncurses5-dev linux-headers`uname -r` libsqlite3-dev libssl-dev
Création d’un répertoire et on se met dedans afin de télécharger
Asterisk dans le répertoire /usr/src :
mkdir /usr/src/asterisk
cd /usr/src/asterisk
Téléchargement, décompression et installation d’asterisk :
wget
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk10.7.0.tar.gz
tar xvzf asterisk-10.7.0.tar.gz
cd asterisk-10.7.0
./configure
Personnalisation de l’installation d’asterisk :
make menuselect
Ici fait un make menuselect et un imprim écran de la fenetre
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
20
Installation des sons français pour Asterisk au format µ-law :
Dans Core Sound Package nous allons cocher la case CORE-SOUNDS-FR-ULAW avec la
touche Espace puis sur Entré pour prendre en compte la sélection et sur Echap pour
retourner à l’écran précédent.
Puis dans Music On Hold File Packages on coche MOH-OPSOUND-ULAW (on Décoche
celui en WAV), on appuie sur Echap et enfin allez dans Extras Sound Packages et on coche
EXTRA-SOUNDS-FR-ULAW.
Pour finir, on retourne sur l’écran principal et on appuie sur S pour sauvegarder les
changements.
Terminer l’installation:
make
make install
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
21
make samples
make config
Lancer le serveur asterisk :
/etc/init.d/asterisk start
Vérifier le bon fonctionnement de votre serveur Asterisk (console
asterisk) :
On tape : asterisk -cvvvvvvvvvvr
Cette commande nous permet d’afficher la console du serveur Asterisk. La première fois
qu’on s’y connecte, le message suivant s’affiche :
Asterisk 10.7.0, Copyright (C) 1999 - 2012 Digium, Inc. and others.
Created by Mark Spencer
Asterisk comes with ABSOLUTELY NO WARRANTY; type 'core show warranty' for
details.
This is free software, with components licensed under the GNU General Public
License version 2 and other licenses; you are welcome to redistribute it
under
certain conditions. Type 'core show license' for details.
=========================================================================
== Parsing '/etc/asterisk/asterisk.conf':
== Parsing '/etc/asterisk/extconfig.conf':
== Found
== Found
Connected to Asterisk 10.7.0 currently running on Asterisk
.......................
Ce message nous indique que l’installation s’est bien déroulé et que le serveur est opérationel.
La configuration d’Asterisk :
Pour configurer notre serveur Asterisk nous allons modifier les fichiers suivants:
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
22
Le fichier sip.conf : pour la configuration général d’Asterisk
Le fichier users.conf : pour la configuration des utilisateurs
Le fichier extensions.conf : pour la configuration du Dialplan
On tape nano /etc/asterisk/sip.conf. Cette commande nous permet d’accéder au fichier
sip.conf et de le modifier.
Pour créer nos deux utilisateurs, on a été écrit les lignes suivantes :
;language=en
Et remplacez la par
language=fr
A chaque fois qu’on modifie un fichier de configuration, il faut le recharger dans Asterisk.
Dans la console d’Asterisk il vous suffit de taper la commande : reload cette commande
permet de recharger les fichiers de configurations d’Asterik sans redémarrer le serveur.
Création des utilisateurs :
On tape nano /etc/asterisk/users.conf pour accéder au fichier.
Voici un exemple de fichier users.conf avec deux utilisateurs John DOE et Albert
DUPONT avec comme numéros respectifs le 6001 et le 6002. Ainsi que les options d’appels
comme la mise en attente en double appel.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
23
[6002] –> Numéro SIP
type=friend –> type d’objet SIP, friend = utilisateur
host=dynamic –> Vous pouvez vous connecter à ce compte SIP à partir de n’importe quelle
adresse IP
dtmfmode=rfc2833 –> type de rfc utilisé
disallow=all –> Désactivation de tous les codecs
allow=ulaw –> Activation du codec µlaw
fullname = Albert DUPONT –> Prénom et NOM de l’utilisateur (ce qui sera afficher sur le
téléphone lors d’un appel)
username = adupont –> Nom d’utilisateur
secret=secret –> Mot de passe du compte SIP
context = work –> Contexte (on verra ça dans le fichier extensions.conf)
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
24
Dans la console Asterisk :
On tape reload pour charger les nouveaux utilisateurs et la commande sip show users nous
affiche les deux utilisateurs qu’on vient de créer.
Nous allons maintenant éditer le fichier extensions.conf qui permet de configurer le Dialplan.
La configuration du Dialplan :
On tape nano /etc/asterisk/extensions.conf pour accéder au fichier extensions.conf et pour le
modifier.
Nous allons donc configurer Asterisk de telle sorte que l’utilisateur 6001 puisse appeler le
numéro 6002.
Voici donc pour exemple de notre fichier extensions.conf
On va s’intéresser aux trois dernières lignes. Nous allons voir deux choses, les contextes et
les extensions.
[work] est le contexte c’est une sorte de conteneur dans lequel les utilisateurs faisant partis de
ce contexte pourrons communiquer entre eux.
Lors de la création de nos deux utilisateurs nous avons spécifié le contexte work.
exten => : déclare l’extension (on peut aussi simplement dire numéros)
_6XXX : Prend les extensions (ou numéros) de 6000 a 6999 le « _ » permet d’utiliser des
regex
1 : Ordre de l’extension
Dial : application qui va être utilisé
SIP: Protocol qui va être utilisé
${EXTEN} : variable de l’extension composé, si on appelle le 6001 la variable ${EXTEN}
prendra comme valeur 6001
20: temps d’attente avant de passer a l’étape suivante.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
25
Donc la ligne exten => _6XXX,1,Dial(SIP/${EXTEN},20) se traduit par:
Quand on compose le numéro (par exemple) 6001, on appelle le numéro 6001 et si au bout de
20 secondes il n’y a pas de réponses on passe à la ligne du dessous.
Dans le cas du numéros 6001 la ligne devient comme ceci: exten =>
6001,1,Dial(SIP/6001,20), mais l’avantage de la ligne précédente est qu’elle permet d’appeler
les numéros de 6000 a 6999.
La seconde ligne : exten => _6XXX,2,Hangup() permet de raccrocher si il n’y a pas de
réponses au bout des 20 secondes.
Dans la console asterisk :
On tape reload pour encore une fois, charger la configuration qui vient d’être effectuée.
La configuration d’X-lite :
Il nous reste à configurer les deux utilisateurs dans le logiciel. Le premier avec le compte de
John DOE. Pour le deuxième, nous avons utilisé une machine virtuelle où le logiciel X-lite est
installé, on a ensuite ajouté l’utilisateur Albert DUPONT.
Voici notre configuration d’X-lite :
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
26
Jeu de tests
Passer son premier appel :
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
27
Maintenant que nos deux utilisateurs sont créés et que X-lite est configuré, il ne reste plus
qu’à effectuer un appel afin de vérifier le bon fonctionnement du serveur et des
configurations.
Appeler Joh Doe Avec Albert Dupont -> Donc du 6001 au 6002 :
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
28
Conclusion
Ce projet a été une totale réussite puisque nous avons réussi les objectifs que nous nous
étions fixé c'est-à-dire le bon fonctionnement de notre serveur VOIP.
Grâce au projet précédent nous avons pu définir un créneau afin de dépanner le projet en
cas de problème divers (ce qui a été utile car nous avons eu des difficultés liées au pare-feu
et proxy) on a donc pu finir le projet dans le timing imposé.
De plus, le projet a été instructif puisqu’il nous a permis d’apprendre les commandes de
raspberry (propre à linux) et de consolider nos bases en linux avec la mise en place de cet
PABX.
Enfin, je recommande la mise en place d’un serveur voip sur raspberry à toute personne
passionné et curieux de l’environnement Linux/Raspberry.
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
29
Références bibliographiques
http://scratiphone.com/archives/793
http://www.raspberry-asterisk.org/documentation/
http://www.framboise314.fr/tag/voip/
Projet PPE
Année 2015-2016
CHARONDIERE - VERDIER - AISSOU
SIO2
30
Documents connexes
essentiel_OTWH-200EV (542,14 ko)
essentiel_OTWH-200EV (542,14 ko)
Au parc du Moulin rouge, Au parc du Moulin rouge, avec nos amies
Au parc du Moulin rouge, Au parc du Moulin rouge, avec nos amies
Serveur Asterisk, Protocole SSH
Serveur Asterisk, Protocole SSH
Contrôle optique in-situ - reseau des plasmas froids
Contrôle optique in-situ - reseau des plasmas froids
Propriétés électriques d`empilements de grille pour - IMEP-LaHC
Propriétés électriques d`empilements de grille pour - IMEP-LaHC
Les activités en Sciences de l`ingénieur
Les activités en Sciences de l`ingénieur
Compte rendu commission Environnement du Parlement européen:
Compte rendu commission Environnement du Parlement européen:
fiche prison - LYCEE PROFESSIONNEL CLEMENT ADER
fiche prison - LYCEE PROFESSIONNEL CLEMENT ADER
Jean-Claude Milner
Jean-Claude Milner
L`ACTUALITÉ POITOU-CHARENTES N° 71 32
L`ACTUALITÉ POITOU-CHARENTES N° 71 32
Solution de filtrage - routage (PfSense)
Solution de filtrage - routage (PfSense)
Téléchargement
publicité