Tại sao chọn radius để kết hợp với pfsense

Chào các ace! hôm nay có 1 vấn đề xin được giải đáp, không biết có đúng nơi không nữa, xin mạn phép nếu sai ở đâu.
Hiện tại hệ thống mạng cty mình đang dùng Pfsense để quản lý Wifi thông qua dịch vụ Captive Portal + FreeRADIUS + Wifi router AC750 TP-link Archer C20. Mọi chứng thực đã ok khi ai đó truy cập wifi thì cần user & pass thì mới vào đc.
Vấn đề phát sinh là tuần trước được cấp mấy con đĩa bay Unifi AC Pro. Tìm hiểu cấu hình đủ kiểu, từ việc bỏ xác thực trên con Unifi chỉ dùng chứng thực Captive Portal, đến việc tạo Vlan trên Pfsense và tạo SSID VLAN trên unifi đều không thành công. Nếu không dùng Captive Portal trên Pfsense thì mạng từ unifi cấp bình thường và ngon lành.
Các cao thủ nào từng kết hợp Unifi wifi với Captive Portal của Pfsense thì cho em xin hướng giải quyết. Em cảm ơn!
p/s Mô hình mạng như sau: WAN -> Pfsense -> cisco L2 (VLAN 40) - > Unifi AC Pro.
Nếu không dùng Pfsense thì còn giải pháp nào để có đc Captive Portal trên con Wifi unifi. Guest Control thì mình thấy ít lựa chọn quá.

Captive Portal là một trang Web trung gian, dùng để bảo vệ hệ thống mạng. Khi người dùng muốn tham gia vào hệ thống mạng sẽ được yêu cầu nhập tên và mật khẩu hợp lệ ( đôi khi chỉ cần click tham gia ), chức năng này thường được sử dụng ở những hệ thống mạng không dây.

Captive portal pfsense mang đến một giải pháp cấu hình dễ dàng. Sử dụng một trang trung gian để yêu cầu người dùng chứng thực, giúp nâng cao khả năng bảo mật. Trang Web trung gian này có thể thiết kế đơn giản, với hướng dẫn và điều khoản sử dụng, hoặc sử dụng ô Username và Password để đăng nhập.

Quảng Cáo

Như đã trình bày ở trên, những hệ thống mạng Wifi thường sử dụng Captive portal nhiều nhất. Tại những sân bay hoặc khách sạn, khi kết nối vào hệ thống mạng Wifi, thường xuất hiện màn hình Captive portal, bạn phải bấm vào nút truy cập để có thể truy cập Internet. Ngày càng phổ biến hơn, captive portal cũng có thể được dùng tại văn phòng, quán cafe, hoặc nhà ở của bạn.

Khi đã cấu hình captive portal pfsense, bất cứ máy tính nào sử dụng pfSense làm gateway đều được chuyển hướng đến trang portal đích.

Quảng Cáo

Cấu hình Portal cơ bản không yêu cầu chứng thực :

Trước tiên sentayho.com.vn sẽ hướng dẫn bạn cách cấu hình một Portal cơ bản mà không yêu cầu chứng thực. Máy con khi kết nối vào hệ thống mạng sẽ được redirected vào trang HTML mà bạn đã thiết kế. Trang này có thể hiển thị thông báo, hình ảnh phụ thuộc vào mục đích sử dụng và ý đồ của người thiết kế. Để gia nhập được vào hệ thống mạng, người dùng phải click vào nút Continue để pfSense thực hiện việc cấp quyền truy cập.

Quảng Cáo

Cách cấu hình :

Enable chức năng Captive Portal : vào Services -> Captive Portal. Stick vào check box “ Enable captive portal “.

Chọn Interface : hầu hết nhà quản trị đều sử dụng Interface Lan. Lưu ý rằng Captive Portal chỉ có thể chạy trên một Interface tại một thời điểm.

Upload trang HTML để dùng làm Portal : trang này có thể được viết bằng HTML/PHP và sử dụng như là trang đích ( Landing Page ).

Ở mục “ Portal Page Content “, chọn vào nút “ Choose File “ để Upload file HTML/PHP. Sau khi upload hoàn tất chọn nút Save để áp dụng thay đổi.

Để kiểm tra lại xem file HTML đã được Upload thành công hay chưa, bấm vào nút “view current page” ở bên dưới mục upload file HTML.

Kiểm tra lại Portal : để đảm bảo rằng mọi thứ đã hoạt động, bạn hãy dùng một máy tính trong hệ thống mạng và truy cập một trang Web bất kỳ.

Nếu chức năng Captive Portal hoạt động ổn định, bạn sẽ được redirected đến trang portal. Khi người dùng Click vào nút Continue sẽ tiếp tục đến trang web muốn truy cập.

Một số kinh nghiệm sửa lỗi :

Chắn chắn rằng file HTML đã được Upload hoàn toàn thành công.

Nếu Captive Portal được cấu hình trên VLAN, chắc chắn rằng VLAN này không được gán cho Interface nào khác.

Captive Portal yêu cầu chứng thực :

Một lý do phổ biến để nhà quản trị triển khai hệ thống Captive Portal, đó là cung cấp giải pháp chứng thực cho hệ thống, trước khi người dùng có thể truy cập ra Internet.

Những User không có Username và Password hợp lệ sẽ không đăng nhập và truy cập Internet được.

Phương pháp chứng thực sử dụng Local Database và Radius :

Một trong những cách đơn giản nhất để chứng thực pfSense là sử dụng Local Database của pfSense. Tuy nhiên nếu bạn quản lý nhiều User, thì sử dụng Radius để chứng thực sẽ đơn giản và linh hoạt hơn.

Bạn có thể cấu hình captive portal để trỏ đến một máy chủ Radius từ xa, hoặc có thể cài đặt trực tiếp Package FreeRadius lên pfSense. Radius server được tích hợp có thể hoạt động tốt cùng với các hệ thống chứng thực sẵn có của hệ thống như là Active Directory.

Thiết lập ban đầu :

Để bắt đầu cấu hình Captive Portal có chứng thực, cũng giống như đã trình bày ở phần cấu hình cơ bản, người quản trị check vào box “ enable the captive portal “ và chọn một Interface.

Tùy chỉnh lại file HTML :

Để hệ thống chứng thực hoạt động, nhà quản trị cần sử dụng một Landing page có các mục điền vào Username và Password. Bạn có thể thiết kế theo file mẫu bên dưới của anninhmang và điều chỉnh theo những yêu cầu của mình. Đây là một thiết kế cơ bản, với giao diện trực quan, dễ sử dụng ngay cả với những người không chuyên.

Tiến hành Upload Page như đã hướng dẫn ở phần trước.

Enable tính năng chứng thực :

Sử dụng hoặc Local Database hoặc Radius, enable authencation ở trang cấu hình Captive Portal. Bấm vào nút Save để lưu lại thay đổi.

Tạo Local User :

Nếu nhà quản trị chọn Local User để làm phương thức chứng thực, thì cần phải tạo thêm user. Phương pháp này áp dụng được với số lượng User nhỏ, còn ngược lại anninhmang khuyến khích bạn nên sử dụng các cách chứng thực khác như Radius, LDAP, hoặc Active Directory…

Phương pháp tạo Local User có cách làm đơn giản, vì vậy nó phù hợp với những hệ thống có ít User. Để tạo User trong pfSense, vào Menu System -> User Manager, bấm vào dấu + để tiến hành tạo User.

Cấu hình tài khoản User :

Để tạo tài khoản đơn giản cần Username và Password. Bên cạnh đó còn có một số thông tin phụ như :

Expiration Date : còn được hiểu là ngày hết hạn, khi đến ngày này, account sẽ bị disable và không sử dụng được nữa. Bỏ trống mục này đồng nghĩa với việc account sẽ sử dụng được vĩnh viễn, không bao giờ hết hạn.

Group Membership : khá tiện lợi để nhóm người dùng theo từng cụm với vai trò và mục đích khác nhau.

Tùy chỉnh trang Portal :

Nếu bạn muốn tạo một trang Landing page với giao diện đẹp hơn, hãy tùy chỉnh lại code, thêm vào hình ảnh để sinh động và tăng tính tương tác hơn.

Để Upload hình ảnh, bấm vào Tab File Manager ở cấu hình Captive Portal. Để file có thể sử dụng được cho trang portal, thì người thiết kế cần đặt tên với tiền tố “captiveportal-” ở trước tên file.

Có thể tải xuống trang HTML để xem cấu trúc code, từ đó tùy chỉnh cho phù hợp. Việc này yêu cầu bạn nên có một chút kiến thức cơ bản về code giao diện Web.

Một số cấu hình khác và gợi ý quản trị :

Tại mục quản trị chính trang Portal, có khá nhiều thiết lập mà bạn có thể chỉnh sửa để tùy biến chức năng của Captive Portal. Dưới đây là mô tả của một số cấu hình thông dụng mà anninhmang nghĩ là sẽ hữu ích đối với bạn.

Idle timeout : hay còn gọi là thời gian không hoạt động. Nếu một user sau khi đăng nhập và không có hoạt động nào trong thời gian đã quy định này, sẽ tự động bị disconnect. Anninhmang đề xuất bạn nên cấu hình thông số này để tránh việc tài nguyên của hệ thống pfSense bị lãng phí. 8 giờ sẽ là thời gian thích hợp nhất để thiết lập Idle timeout, cân bằng giữa thời gian làm việc và không làm người dùng bực bội.

Redirection URL : mặc định sau khi truy cập qua portal, user sẽ tiếp tục truy cập đến địa chỉ Website muốn đến ban đầu. Nhưng ở cấu hình Redirection URL, pfSense sẽ ép trình duyệt redirect về một Website mà bạn chỉ định. Sau đó User muốn truy cập Website theo ý muốn cần gõ lại địa chỉ vào trình duyệt.

Concurrent user logins : nếu enable chức năng này lên, pfSense chỉ cho phép 1 kết nối người dùng vào Captive Portal tại 1 thời điểm. Nó cũng cấm người dùng thực hiện đăng nhập 1 username trên nhiều máy 1 lúc.

Tăng tốc độ truy cập :

Khi bạn đã sử dụng Captive Portal, cũng đồng nghĩa với việc phải chia sẻ kết nối với nhiều Client. Vì vậy người viết đề xuất bạn cũng nên cấu hình pfSense làm transparent proxy server để tiết kiệm lưu lượng băng thông.

Nhà quản trị cũng nên cân nhắc cấu hình traffic sharping để tối ưu hiệu suất của hệ thống mạng. Chức năng này sẽ cấm user sử dụng băng thông để download file.

• cấu hình captive portal pfsense
• captive portal là gì
• captive portal pfsense
• captive portal pfsense setup
• captive portal login là gì
• cài đặt captive portal

Xem thêm :

Hướng Dẫn Cài Đặt Firewall pfSense

Cài Đặt Failover và Load Balancing Cho pfSense

Làm Quen Menu Cấu Hình pfSense Bằng Giao Diện Web

Hướng Dẫn Tạo Và Cấu Hình Rule Trong pfSense

Cấu Hình openvpn Trên pfSense

Cấu Hình Cài Đặt Captive Portal pfSense

Cấu hình Traffic Sharper Trên pfSense

Cấu Hình NTP Server cho pfSense

Bạn thấy bài viết thế nào?