Author Topic: Proxy et portail captif ensemble?  (Read 5660 times)

davicool

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Proxy et portail captif ensemble?
« on: April 17, 2013, 03:29:25 pm »
Bonjour,

J'ai pour projet d'utiliser Zentyal pour un besoin interne à mon entreprise: :D

Mettre en place un portail captif Wifi + DHCP + proxy + logs de connexion comprenant le couple "nom d'utilisateur + URL" pour donner accès à l'internet à des invités, ponctuellement, mais en leur attribuant des comptes de notre active directory (AD) pour les "login + mot de passe".
Cet accès devra être sans configuration des terminaux qui peuvent être des smartphones, tablettes ou PC (d'où le besoin du portail captif).
Pour cela je dispose d'une connexion (administrateur) à notre AD (2008R2), d'un pare-feu, d'un VLAN (N2 tagué) spécifique WiFi avec une interface dédiée sur notre pare-feu, d'une borne Wifi Cisco AP541N-K9-2.0(0).

Pour ce faire, j'ai déjà monté une VM zentyal à deux interface, installé les modules: Mandataire HTTP (Proxy), Portail Captif, DHCP, DNS, LDAP (utilisateurs et groupes) et leurs dépendances.
Le problème c'est que je n'arrive à faire fonctionner les modules portail captif et Proxy qu’indépendamment l'un de l'autre. ???
Soit je renseigne mon proxy sur le client et cela fonctionne (mais avec configuration explicite, ce qui n'est pas mon but). :-[
Soit je ne renseigne rien sur le client mais lui attribue par DHCP, une passerelle par défaut qui est mon portail captif, mais dans ce cas, je n'ai pas de proxy (authentifié ou transparent = Idem). De plus, dans les journaux de Zentyal il n’y a pas de traces. Nous pouvons seulement constater les connexions en cours dans la partie portail captif, c’est tout. :-[

En gros, suis-je sur la bonne voie?
Me faut-il deux VM Zentyal bout à bout (obligatoirement? et comment dans ce cas)?
Les 2 modules ne cohabites pas ? :'(

Sachant que je n'ai pas encore attaqué la partie comptes AD (comptes LDAP locaux pour le moment).

Si quelqu'un étant à l'aise pouvait me renseigner un peu ce serait sympa. :(

Merci d'avance.


christian

  • Guest
Re: Proxy et portail captif ensemble?
« Reply #1 on: April 17, 2013, 03:46:01 pm »
Me faut-il deux VM Zentyal bout à bout (obligatoirement? et comment dans ce cas)?

Je ne comprends vraiment pas ce que la notion de VM vient faire ici  :-[ ???

A ce détail près, je pense qu'il faut que tu affines ton objectif.
Qu'attends-tu de ton proxy ? si c'est du proxy cache + filtrage sans profiling, il n'y a pas de raison que ça ne fonctionne pas mais je ne suis pas certain que Zentyal ait prévu ce design. S'il s'agit de proxy avec authentification et profiling, de mon point de vue, il est assez clair (voire très clair) que la notion de portail captif et proxy avec authentification sont incompatibles, by design.

En effet, pour permettre une authentification au niveau du proxy, il faut que celui-ci soit "explicite", c'est à dire non-transparent alors que le portail captif vise oui à être transparent.

Si un proxy cache + filtrage sans profiling te suffit, n'est-il pas possible de rediriger toutes les requêtes du portail vers le proxy ? (je n'utilise pas le portail captif, je regarderai ce point ultérieurement).

Si le but est de contrôler l'accès à internet sans pour autant configurer l'adresse du proxy, il y a des solution comme WPAD qui fonctionnent la plupart du temps, bien que pas mis en œuvre par Zentyal dans leur interface.

davicool

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #2 on: April 17, 2013, 04:01:12 pm »
Merci Christian,

Ok, pour les "VM" c'est juste parce que je suis sur un cluster Vmware, j'aurais du écrire deux "serveurs" ;-).

Mon but est bien de mettre un proxy avec authentification + filtrage + profiling + sans configuration manuelle du proxy sur le terminal (sans clé WPA non plus à renseigner).

Tu m'ouvre les yeux sur la techno et le design, merci.
En clair, mettre un portail captif est incompatible avec le proxy authentifié (en fait ça me parait logique)?

J'ai déjà lu le Wikipedia concernant WPAD.
Effectivement, ça parait être la solution mais aux prix d'une architecture complexe (Zentyal me plait bien pour cela), qu'en pense-tu?

J'ai un collègue qui a monté une plateforme (usine à gaz) avec Freeradius + Chillispot + Squid/Squidgard sur ubuntu pour faire ça.
Mais je ne veut pas monter un tel engin (diagnostic et maintenance risquée).

Pense-tu finalement que je puisse répondre à mon besoin à base de Zentyal?
Autres idées?

Merci d'avance.

christian

  • Guest
Re: Proxy et portail captif ensemble?
« Reply #3 on: April 17, 2013, 04:15:29 pm »
J'ai déjà lu le Wikipedia concernant WPAD.
Effectivement, ça parait être la solution mais aux prix d'une architecture complexe (Zentyal me plait bien pour cela), qu'en pense-tu?

Compliqué  ??? C'est une vue de l'esprit  ;D
J'utilise WPAD avec mon serveur Zentyal sans aucun problème. D'un autre coté, comme c'est moi qui ai écrit la doc du lien de mon message précédent, c'est un peu normal  :P

Pour faire court: de mon point de vue, si le but est d'avoir du proxy authentifié + filtré sans se prendre la tête, WPAD est la bonne solution, même si dans le forum Zentyal, tout le monde ne partage pas cet avis. Je t'invite à poser ta question dans la section internationale pour discuter de ça plus en détail.

un autre aspect de ton mail précédent m'interpelle, c'est celui relatif à la gestion des comptes. Tu dis vouloir gérer tes comptes dans AD. Tu imagines donc mettre en place une synchro AD-Zentyal uniquement pour cette histoire de proxy authentifié ?

Si la réponse est oui, mon avis est que c'est bien lourd pour pas grand-chose (si j'ose dire).
Pourquoi ne pas, dans ce cas la, mettre en place WPAD et un proxy de ton choix (squid par exemple) qui s'authentifie directement dans AD ? Quelle est la valeur ajoutée de Zentyal dans ton architecture ?

davicool

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #4 on: April 17, 2013, 04:34:01 pm »
La valeur ajouté de Zentyal etait, à la base, que je pensais pouvoir faire tout cela avec un seul serveur et avec une interface d'administration et de configuration en mode Web, de plus de manière très "accompagnés techniquement".
En effet, je voulais éviter la configuration et l'administration/surveillance par fichiers de conf.
Mais je peux faire l'impasse sur la configuration (qui ne bougera pas trop) mais l'admin/surveillance doit pouvoir se faire en mode graphique.

Entre temps (il y a dix minutes), j'ai lu dans un post précédent (une référence à un projet qui se nomme ARTCA Proxy.
http://forum.zentyal.org/index.php/topic,13365.0.html
Peut-être est-ce ce qu'il me faut (je suis en train de le télécharger)?

Au sujet de WPAD, sans dériver du sujet, très rapidement quels sont les plus gros reproches?

christian

  • Guest
Re: Proxy et portail captif ensemble?
« Reply #5 on: April 17, 2013, 05:00:19 pm »
Artica est très similaire à Zentyal. L'architecture et surtout l'interface est un peu différente mais au final, les solutions et les composants sont le mêmes.

Pour WPAD, la principale opposition vient du fait que:
- ce n'est pas l'offre standard de Zentyal qui fait plutôt la promotion du proxy transparent  ::)
- ce n'est pas 100% du mode graphique. Il faut gérer un fichier proxy.pac
- les différentes solutions à mettre en œuvre (via DNS et/ou DHCP) nécessitent une modification de la conf actuelle, la aussi pas en mode graphique
- enfin le fonctionnement va être différent selon les browser, raison pour laquelle il faut souvent superposer les différentes méthodes (DHCP, DNS, service...)

davicool

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #6 on: April 18, 2013, 10:12:25 am »
Ok, merci beaucoup Christian.
Je vais faire mes tests avec les deux solutions si je le peux (je vais commencer par Zentyal et WPAD).
Ensuite, si j'ai trouvé une solution concluante (avec l'une ou l'autre) je viendrais poster le résultat.

Merci encore.

steweb57

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #7 on: July 15, 2013, 02:48:31 pm »
La solution Alcasar peut répondre à vos besoins.
C'est un portail captif facile à mettre en place et administrable en http, gratuit, sous licence GPL V3.
Il n'y a aucune configuration à faire sur les postes clients.

Alcasar fait office de proxy (transparent) et répond également aux obligations légales française en terme de traçabilité.
Nativement Alcasar intègre un antivirus, du filtrage (par catégorie ou personnalisé), un serveur DNS et DHCP... Le tout sans être une usine à gaz.

Par contre, la solution tourne sous une autre distribution Linux. Mais vous pouvez sans doute vous en inspirer.
« Last Edit: July 15, 2013, 02:53:15 pm by steweb57 »

christian

  • Guest
Re: Proxy et portail captif ensemble?
« Reply #8 on: July 15, 2013, 03:10:36 pm »
Il y a en effet pas mal de solutions de portail captif et je n'étant pas utilisateur de ce type de solution, je n'ai aucun avis sur quelle est la plus facile à mettre en œuvre.

Là ou je pense qu'il ne faut pas se tromper, c'est sur les fonctionnalités de ces différents composants.
Si, du point de vue de l'utilisateur, un proxy avec authentification et un portail captif font la même chose, techniquement il n'en est rien. Sans être totalement différent, ce n'est quand même pas pareil et mettre en place un portail juste pour faire de l'authentification et du filtrage me parait un choix moyen.

Le portail captif va être très bien lorsqu'il s'agit par exemple d'imposer à l’utilisateur une communication ou une page de pub avant qu'il puisse accéder internet, ou lui donner un accès contrôlé en temps ou en volume de données, voire facturer cet accès.

Le proxy quant à lui va permettre de mettre en œuvre des politiques de filtrage et de profiling.

Rien n'empêche d'imaginer empiler les 2 services, à savoir mettre en place un proxy derrière un portail captif mais dans ce cas, le proxy est en mode transparent, donc pas de profiling, au niveau du proxy, basé sur l'utilisateur.
J'avoue ne pas avoir réfléchi à la pile : utilisateur / proxy / portail / internet  car dans ce cas, le portail n'est plus vraiment "captif" et va recevoir les requêtes uniquement du proxy.

aureladmin

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #9 on: July 23, 2013, 11:54:44 pm »
Regarde du coté de Pfsense tu trouvera ton bonheur, je l'utilise pour la gestion d'un proxy + portail captif, il serait parfait pour ton utilisation. Je viens de réaliser une doc dessus , je vous la posterait quand elle aura était validé au niveau de mon ministère pour la publication sous licence CC, sinon j'ai pas le droit de la mettre (Question de sécurité).

aureladmin

  • Zen Apprentice
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Proxy et portail captif ensemble?
« Reply #10 on: December 18, 2013, 11:01:01 pm »
Voici le site sur lequel les Doc que je produit se trouverons.

Il y a celle sur la Pfsense comme convenue.
 ;)