Categoria: Captive Portal

Il nostro captive portal all'itis planck aggiunge una complicazione alla configurazione di Squid. Ci si trova di fronte ad una configurazione di proxy in cascata in cui le modifiche proposte precedentemente non funzionano.

Prima di tutto bisogna far notare che non e' possibile utilizzare un transparent proxy con il protocollo HTTPS: Squid non puo' reindirizzare connessioni https transparentemente perche' le richieste (GET POST ecc ecc) sono cifrati da dopo il momento dell'handshaking SSL.

Read more

Categoria: Captive Portal

Dopo aver completato per intero il progetto qui a casa e aver montato tutto allo STESSO IDENTICO modo a scuola, qualcosa (ovviamente) non ha funzionato.

Il problema non e' dovuto al progetto, ma bensi' alla struttura della rete scolastica che prevede che tutte le macchine debbano AUTENTICARSI al proxy su serlinux1.
Da un attenta analisi (troppa rottura di balle autenticarsi due volte) abbiamo deciso che il traffico web proveniente dal nostro server centralizzato del wireless e diretto verso il mondo esterno non debba necessitare di autenticazione. In fondo, ogni utente viene gia' autorizzato con nome utente e password per usare l'hotspot, non dovrebbe bastare?

Leggi il testo completo dell'articolo

Categoria: Captive Portal

Per il completamento dell'hotspot sono necessari dei servizi "di contorno", fondamentali per la migliore gestione degli accessi:

• FreeRadius: Servizio fondamentale perche' viene usato come database delle credenziali di tutti gli utenti.
  
• Apache: Attraverso apache sara' possibile accedere alla pagina di autenticazione dell'hotspot
  
• Squid Proxy: viene usato per fare la registrazione delle pagine web visitate dagli utenti (per aderire al DECRETO-LEGGE 27 luglio 2005, n.144 "Misure urgenti per il contrasto del terrorismo internazionale", articolo 6)
  

Ah, non dimentichiamo la configurazione di iptables, fondamentale per far funzionare tutto.

Leggi l'articolo completo

Categoria: Captive Portal

Prima di tutto e' necessario scaricare chillispot da http://www.chillispot.org/download/. L'ultima release disponibile al momento della stesura e' la 1.1.0.

L'installazione prosegue normalmente come tutti i pacchetti sorgenti con

$ ./configure
$ make
$ su -c "make install"

Poi si prosegue alla modifica del file /etc/chilli.conf, contentente la configurazione che noi abbiamo scelto.

Qui al planck la configurazione e' la seguente

radiusserver1 172.16.200.253
radiusserver2 127.0.0.1
radiussecret ********************
net 192.168.176.0/21
dns1 172.16.200.251
dhcpif eth1
uamallowed 192.168.176.1,192.168.1.73,172.16.200.251
uamserver https://192.168.1.73/hotspot.php
uamhomepage https://192.168.1.73/welcome.html
uamsecret ************

Ovviamente le secret sono state opportunamente offuscate

Passiamo alla descrizione delle varie opzioni usate

• radiusserver1: server radius dove verificare i dati dell'accredditamento
  
• radiusserver2: server radius di backup
  
• radiussecret: la password per l'accesso al server radius
  
• net: la classe di ip che il server dhcp di Chillispot deve dare ai client
  
• dns1: server dns inviato ai client come configurazione
  
• dhcpif: interfaccia dove bindare il server dhcp
  
• uamallowed: ip/domini a cui e' permesso l'accesso dai client senza autenticarsi
  
• uamserver: pagina dove indirizzare le richieste di autenticazione
  
• uamhomepage: pagina in cui si va a finire nel caso si cerchi di navigare un sito non listato negli uamallowed senza essere autenticati
  
• uamsecret: la password di cifratura utilizzata dai dati di autenticazione.