Ce projet est encore en construction, elle risque d'être mise à jour le temps que le portail soit actif et le pare-feu bien configuré.
Un portail captif a été mis en place afin de permettre aux nouveaux résidents de pouvoir adhérer et payer avant d'avoir une connexion Internet active. Dans toutes les résidences, un réseau wifi appelé « Aurore Accueil » est diffusé.
Lorsque que quelqu'un se connecte sur ce réseau, il est automatiquement redirigé vers le portail captif, dont l'adresse dépend de la résidence.
Une fois que le client s'est connecté au portail captif, il dispose d'un accès Internet pendant 30 minutes, et suite à cela son adresse MAC est bannie pendant 24h, afin de ne pas abuser de cette tolérance. Le but est de pouvoir accéder au site de sa banque pour payer via 3D Secure, ainsi qu'à ses mails pour valider le compte de Re2o.
Cette solution a été privilégiée, car il est complexe de récupérer une liste d'IP de toutes les banques à whitelister. Les adhérents ne sont pas supposés savoir que le réseau offre un accès Internet presque complet (sur les ports 80 et 443 uniquement), d'où la redirection sur le portail.
Le portail captif se nomme portail-aurore est installé sur le virtualiseur chapalux, et se contente de 4 Go de stockage et 512 Mo de RAM. Il est accessible sur le VLAN adm via l'IP 10.128.0.247, mais aussi sur tous les VLAN accueils de chaque résidence :
| Résidence | URL | IP |
|---|---|---|
| Fleming | https://portail-fleming.auro.re | 10.13.0.247 |
| Pacaterie | https://portail-pacaterie.auro.re | 10.23.0.247 |
| Rives | https://portail-rives.auro.re | 10.33.0.247 |
| EDC | https://portail-edc.auro.re | 10.43.0.247 |
| George Sand | https://portail-sand.auro.re | 10.53.0.247 |
Toutes ces adresses pointent vers une seule machine virtuelle, appelée portail-aurore, accessible également sur le VLAN adm sur l'IP 10.128.0.247. Cette VM est sur le virtualiseur chapalux, et se contente de 4 Go de stockage et 512 Mo de RAM.
À l'heure actuelle, seul Nginx et cerbot sont déployés sur cette VM, servant de proxy vers Re2o. À l'avenir, on peut imaginer un affichage différent de la page d'accueil de Re2o, afin d'être plus personnalisé selon les résidences et de ne servir qu'à s'inscrire et payer, et non à gérer son compte.
La configuration est sur le dépôt Ansible d'Aurore : https://gitea.auro.re/Aurore/ansible/src/branch/accueil/host_vars/portail.adm.auro.re.yml
La configuration est déployée sur chaque routeur de résidence.
On commence par créer 2 ensembles (deux ipset), nommés accueil_ens23_allowed et accueil_ens23_triggered :
Name: accueil_ens23_allowed
Type: hash:mac
Revision: 0
Header: hashsize 1024 maxelem 65536 timeout 1800
Size in memory: 88
References: 6
Number of entries: 0
Members:
Name: accueil_ens23_triggered
Type: hash:mac
Revision: 0
Header: hashsize 1024 maxelem 65536 timeout 86400
Size in memory: 88
References: 4
Number of entries: 0
Members:
Chacun des ensembles contient des adresses MAC. Le premier correspond aux adresses MAC ayant un accès Interner actif (avec un timeout de 30 minutes), le second à l'ensemble des adresses MAC s'étant déjà connecté au portail captif, devant alors attendre 24h avant de pouvoir rebénéficier d'un nouvel accès gracieux.
Le champ ens23 correspond à l'interface du routeur communiquant au vlan accueil.
Songer à ajouter ici les lignes de la création des ensembles
Lorsque la MAC est inconnue des deux ensembles, toute connexion TCP sortante sur les ports 80 et 443 sont redirigées vers l'IP du portail captif de la résidence.
Réparer tout ce qu'il faut et ajouter les lignes de configuration iptables
Dès lors qu'une connexion est faite sur le portail, la MAC de l'ordinateur est ajoutée dans les deux ensembles. Si le pare-feu voit que la MAC appartient au premier ensemble, alors l'accès est autorisé, sur les ports 80 et 443 uniquement.
Réparer tout ce qu'il faut et ajouter les lignes de configuration iptables
Chaque contrôleur Unifi déploie le SSID Aurore Accueil. Il est configuré pour être un réseau invité, plaçant les clients sur le VLAN accueil (X3 où X est le numéro de la résidence). Les IP des clients sont dans 10.X3.0.0/16, pour une passerelle sur 10.X3.0.254. Les clients sont placés dans un groupe spécial limitant le débit des connexions à 2 Mbps.
On n'utilise pas le portail de Unifi pour pouvoir rediriger vers Re2o. Le but est de pouvoir adhérer, pas d'accéder à Internet.
Les zones d'IP doivent être ajoutées dans Re2o, afin de définir les serveurs communiquant sur les VLANs accueils sur zone 10.X3.0.0/24et les machines des adhérents sur 10.X3.1.0/24 et 10.X3.2.0/24. Les machines doivent bien parler sur le bon VLAN et seuls les ports 80 et 443 sont autorisés en sortie.