Un portal cautivo es un servicio que por lo generalmente se usa cuando nos conectamos a una red para controlar el acceso de la misma y la velocidad de Internet. Pero también se puede emplear en red cableada e inalambrica.
Su funcionamiento se basa en que cuando nos conectamos a un red e intentemos acceder a una pagina web utilizando cualquier navegador, el portal captura nuestra solicitud y en lugar de presentarnos la pagina solicitada nos presentará una página de registro al sistema, el usuario introduce sus datos y estos al ser comprobados permiten el acceso a la red.
¿ Cuales serían nuestros beneficios al usar el portal cautivo?
- Identificación de usuario
- Registro y trazabilidad
- Versatilidad de aplicación
¿ Como configurar un portal cautivo?
Configuración de Usuarios Locales
En pfSense nos dirigiremos a las siguientes pestañas System / User Manager / Users. Crearemos un usuario local para poder autentificar mas adelante.
Creamos un usuario, primero con contraseña y nombre nada mas, ya que en estos momentos no es necesario modificar otros paramentos.
Luego crearemos un grupo y le asignaremos los usuarios que pretendamos que se autentifiquen por medio de un portal cautivo, le asignamos ese privilegio en add y buscaremos en la lista portal cautivo
Crearemos un certificado autofirmado
Nos dirigimos a la siguiente pestañas lo siguiente System / Certificate Manager / CAs seleccionamos en add para la creación de un certificado para el portal .
El llenado del certificado es de la siguiente manera
- Descriptive name: NombreDelCertificado
- Method : Create an internal Certicate Author
- Key length (bits) : por defecto 2048
- Digest Algorithm : sha1
- Lifetime: en días, podemos dejar un año (365) o lo que consideremos conveniente.
- Common Name: Nombre de host / dominio (Eso debe ser un nombre de dominio valido y configurado previamente)
- Y lo demás, ubicación geográfica y nombre de la empresa
El nombre de nuestro dominio lo encontraremos en el dashboard donde dice Name: pfsense.noise-sv.com y es lo que debe ir en Common Name, se puede cambiarl y configurarl al nombre de nuestro dominio.
Luego creamos un nuevo certificado que validaremos, el certificado CA que creamos presionado Certificates
Seleccionamos Certificate Type : Server Cetificate
Configuración de DNS
En primier lugar es necesario configurar que nuestro nombre de dominio resuelva una IP, si utilizamos el DNS integrado de pfSense podemos valernos del paquete DNS Resolver para agregar nuestro dominio interno. Para la configuración de DNS, exploraremos en la siguiente pestaña de Services / DNS Resolver / General Settings
Verificamos que se encuentre activo (nota: si utilizamos dns forwarder esto puede crear conflictos en la configuración) nos colocaremos en donde dice Host Overrides seleccionamos add
Solo asegurándonos de utilizar la configuración equivalente si usamos Forwared
Configuraremos de la siguiente manera
- host: nombre de host
- domain: nombre de dominio
- ip address: ip de la lan
Configuración de Portal Cautivo
Nos ubicaremos en Services / Captive Portal selecionamos add
- Después de estar en portal cautivo lo activamos, seleccionando la Pestaña Enable captive portal para comenzar con la configuración básica.
- Interface: Habilitamos la interfaz por donde correrá nuestro portal cautivo.
- Hard timeout: decimos el tiempo en que la persona tiene permitido estar conectada a internet.
- Redirection URL: en esta opción definimos a donde es que queremos que sea la pagina de inicio de nuestro usuario antes y después de autenticado.
- MAC filtering: deshabilitamos el filtrado por MAC para que los usuarios puedan loguearse solo con ingresar, o solo con una contraseña.
- Authentication: en este caso seleccionamos local.
- Portal page contents: Aquí ingresamos el contenido de lo que queramos que muestre a nuestros usuarios el portal cautivo. En nuestro caso se hicieron unas modificación con algunas pautas a seguir.
Authentication: aquí podemos seleccionar nuestras diferentes formas de autentificarnos. Si usted trabajo con el tutorial anterior de free radius solo seleccionara en autentificancion server : radius , pero si lo desea puede usar la base de datos de usuario local del pfSense
Aquí habilitemos nuestros certificado previamente configurado y guardamos a terminar
Con esto ya tenemos todo nuestro escenario preparado para hacer la prueba. En la maquina cliente podemos realizar pruebas de ping para ver que funcione la conectividad.
Al acceder a nuestro navegador preferido nos mostrara lo siguiente ya que usamos un certificado autofirmado y este certificado tampoco ah sido instalado en nuestra computadora.
Si no desea este error deberá instalar el certificado CA en el equipo con el que este navegando.
Al iniciar podremos ver en la siguiente pantalla que ya tenemos un usuario conectado y podremos acceder a Internet.
Algo muy interesantes es que nosotros podemos configurar nuestro propio portal subiendo los archivos en donde se le muestra.
Muestra
Mediante la configuración del portal se logra obtener un mejor control de uso de la red para restringir la carga y descarga de datos así como conocer quien accede a la red.
NOTA: El portal cautivo evita que los usuarios no puedan accerder a internet, pero ellos si pueden acceder a la red interna o hacer ataques como Man In The Middle, existen formas de evitar estos ataques como agregando un IDS (de sus siglas en inglés Intrusion Detection System) que es un programa de detección de accesos no autorizados a un computador o a una red, de preferencia la zona donde se encuentre el portal (normalmente publica) debe estar aislada del resto de la red de nuestra empresa.
como puedo subir una plantilla a portal cuativo pfsense, esa como tienes tu.
Hola, bajo la sección «HTML Page Contents» puedes cargar el HTML ya sea para inicio de sesión, cierre de sesión o de error. Si necesitas archivos adicionales para el portal los puedes cargar desde la viñeta «File Manager». Como nombres de los campos de inicio de sesión es necesario que utilices los mismo del ejemplo que aparece, ya que de tener otros nombre pfSense no será capaz de detectarlos.
como le coloco el tiempo restante que lleva conectado un amigo en portal cautivo, en pfsense (claves wifi pero con VOUCHERS) que les muestre, (Ejemplo: su tiempo restante es: 8minutos y 10segundos.) No encuentro solucion en los foros pfsense, Espero me ayuden, se los agradeceria inmensamente. (yo uso pfsense version 2.4.4 p3)
Gracias antetodo, quería saber si lograste redireccionar al portal cuando realizas solicitudes https ya que con http si redirecciona sin problemas. Saludos.
Si, solo debes tener un certificado ssl valido, caso contrario le informara al usuario que es un sitio no seguro y si desea continuar , al seleccionar lo opcion que si confia en el sitio le mostrar el sitio https://example.com .
Hola tengo pfsense en vmware configure de modo que le entro desde mi navegador de windows como cliente pero quisiera saber si hay manera de que me sirva para sacar el servicio de portal cautivo por mi tarjeta de red inalámbrica? O de mi lan de la PC? Cual sería la manera ?
Hola Buenos dias me interesa implementar el portal cautivo a mi VPN , ya que se conecten el portal cautivo sea una authetificacion mas para poder navegar dentro de lan
como se podria hacer esto ??
Buen día, no, una configuración como la que mensionas no es posible, lo que puedes hacer es utilizar los client overrides para asignar ip’s específicas a clientes y que estas si tengan navegación en la lan o integrar con ldap para que únicamente ciertos clientes tengan acceso a la lan
muy buenooooooooooooooooo