Configuration avancée et optimisations

Cette page décrit les procédures pour établir quelques types de configuration au niveau d'Univnautes/pfSense. Pour les paramètres de base, voir la page Configuration et mise en production .

Backup de la configuration

La page Diagnostic/Backup Restore permet de télécharger (backup) le fichier de configuration du système, appelé config.xml. Ce fichier contient toute la configuration de la machine, y compris la partie Univnautes.

Pour la restauration, il faut utiliser cette même page. Une fois le fichier config.xml restauré, il est conseillé de rebooter complétement le système pour être certain que tous les services ont bien été reconfigurés et le seront au prochain boot.

Liste noire d'URLs qui ne déclenchent pas le portail captif

Par défaut, les navigateurs des utilisateurs non connectés sont systématiquement redirigés vers la page de connexion, quelque soit la première URL interrogée.

Cependant, les téléphones et tablettes récentes disposent en général d'un grand nombre d'outils (apps, widget, etc.) qui tournent en tâche de fond et font régulièrement des requêtes sur Internet : recherche de mise à jour, téléchargement de flux d'information, etc..

Si UnivNautes réagit à ces URLs, cela charge la machine pour rien. Il est donc conseillé de configurer une liste noire des URLs qui ne doivent pas déclencher la page de connexion. Ces URLs s'expriment sous forme d'expressions régulières.

Cela se fait sur la page « Services / Captive Portal », en bas de l'onglet « UnivNautes ».

Black list d'URLs

Ci-dessous une liste noire fonctionnelle (en janvier 2014) :

.*\.xml$
.*\.cab$
.*\.crl$
^http://crl\.
^http://pingsl.avast.com/files/vpn_ssid.txt
^http://www\.airport\.us/
^http://www\.apple\.com/library/test/success\.html
^http://captive\.apple\.com/
^http://www\.itools\.info/
^http://www\.ibook\.info/
^http://www\.thinkdifferent\.us/
^http://configuration\.apple\.com/
^http://www\.appleiphonecell\.com/
^http://.*\.push\.apple\.com/
^http://images\.apple\.com/fr/main/rss/
^http://www\.msftncsi\.com/ncsi\.txt
^http://download\.microsoft\.com/
^http://.*\.update\.microsoft\.com/
^http://.*\.ws\.microsoft\.com/
^http://.*\.windowsupdate\.com/
^http://conn\.skype\.com/
^http://download\.mcafee\.com/
^http://ocsp\.
^http://rss\.
^http://www\.blackberry\.com/select/wifiloginsuccess/

Installation de plusieurs instances côte à côte

Afin d'obtenir une meilleure tolérance aux pannes, on peut installer plusieurs instances d'UnivNautes côte à côte. Chaque instance :

  • utilise le même nom (par exemple eduspot.univ-abcd.fr), les mêmes certificats HTTPS et SAML ;

  • dispose d'une IP WAN propre ;

  • diffuse en DHCP un réseau IP distinct de tous les autres sur le LAN.

Multi-instances

Lorsqu'un client se connecte au réseau WiFi, il envoie une demande DHCP : une des instance va lui répondre. A partir de là, le client est géré par une instance (c'est sa DNS, sa passerelle).

Si les instances sont identiques (CPU, accès réseau, etc.) alors les clients seront uniformément répartis sur les différentes instances.

Si une des instance tombe en panne ou passe en maintenance, les clients WiFi se reconnecteront (nouvelle requête DHCP) et seront alors gérés par une des autres instances disponibles.

Suppression du NAT

Se rendre dans le menu Firewall : NAT, onglet Outbound.

Sélectionner le mode « Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) » et cliquer sur le bouton Save à côté.

Supprimer toutes les lignes éventuellement présente au niveau des Mappings

A la fin, un message « The NAT configuration has been changed. » apparait, cliquer sur le bouton Apply changes situé à sa droite. La fenêtre à ce moment ressemble à l'image ci-dessous :

Suppression du NAT

Source autorisée pour l'accès à l'interface web d'administration

L'interface d'administration est disponible en https sur le port 8443. Pour la rendre accessible ou non, il faut se rendre sur Firewall/Rules et activer ou désactiver le filtrage sur tcp/8443.

Accès depuis le LAN (activé par défaut, à supprimer en production)

  • se rendre sur Firewall/Rules, onglet LAN

  • activer ou désactiver la règle web admin (from LAN)

Accès depuis le WAN (activé par défaut)

  • se rendre sur Firewall/Rules, onglet WAN

  • activer ou désactiver la règle web admin (from WAN)

Accès depuis un autre réseau

  • se rendre sur Firewall/Rules, onglet WAN

  • créer une règle en s'inspirant deweb admin (from WAN), typiquement en modifiant la source

Accès SSH

Par défaut, l'accès SSH au portail captif est désactivé. Il s'active depuis la page System/Advanced ou via la console (choix 14). Au moment de la première activation les clés SSH sont automatiquement créées pour le serveur.

Une fois activé, il faut définir depuis quel réseau le service SSH est accessible. Par défaut tout accès à SSH est interdit, même si le service est activé. Il faut se rendre sur Firewall/Rules pour ouvrir l'accès au port SSH sur la machine (par exemple activer la règle « SSH (from WAN) » sur l'onglet WAN, ou désactiver la règle « reject SSH on CP » sur l'onglet LAN)

Aggrégation LAGG

Pas encore testé, faute de matériel ad hoc.

  • Se rendre dans le menu Interfaces/(assign), onglet LAGG

  • Créer un périphérique LAGG en sélectionnant les interfaces physiques associées

  • Revenir sur Interfaces/(assign) et assigner WAN ou LAN à l'interface créée