Bonjour tout le monde,
Je me casse la tête depuis quelques semaines à trouver une alternative libre/open source à des boîtiers type Ucopia/Telmat.
Mon besoin est assez simple : un réseau wifi ouvert doit présenter un portail captif qui permet d'identifier l'utilisateur, et comme je dois respecter la loi, il faut log le domaine et l'IP:port accédé par chaque usager.
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça. J'ai également vu pfSense qui incluait Squid dans d'anciennes versions, mais ils l'ont retiré sur les versions récentes à cause de failles potentielles non corrigées dans Squid.
Certains ont ce genre de besoins chez des clients ? Vous déployez quoi dans ce cas en open source ?
microtik est open source non ? moi mon choix serait vite fait ! https://mikrotik.com/software https://github.com/robimarko/routeros-GPL
On Mon, Jan 27, 2025 at 7:52 PM Alexis alexis@davidtelecom.fr wrote:
Bonjour tout le monde,
Je me casse la tête depuis quelques semaines à trouver une alternative libre/open source à des boîtiers type Ucopia/Telmat.
Mon besoin est assez simple : un réseau wifi ouvert doit présenter un portail captif qui permet d'identifier l'utilisateur, et comme je dois respecter la loi, il faut log le domaine et l'IP:port accédé par chaque usager.
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça. J'ai également vu pfSense qui incluait Squid dans d'anciennes versions, mais ils l'ont retiré sur les versions récentes à cause de failles potentielles non corrigées dans Squid.
Certains ont ce genre de besoins chez des clients ? Vous déployez quoi dans ce cas en open source ?
-- Alexis
Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Hello,
Avec Pfsense: Portail captif sur une interface dédiée au réseau « Guest » + DNSBL via pfBlockerNG (pour bloquer le plus gros des sites à risque) + log des TCP syn vers le Net + blocage du DoT et redirection des requêtes DNS vers le PfSense + syslog bien configuré pour ne garder que les traces nécessaires à la législation FR.
J’ai joué avec ça il y a peu, ça fonctionne et ça répond au besoin mais ça demande une config un peu fastidieuse…
Je reste néanmoins intéressé par les réponses des autres ;-)
Edouard
Envoyé à partir de Outlook pour iOShttps://aka.ms/o0ukef ________________________________ De : Alexis alexis@davidtelecom.fr Envoyé : Monday, January 27, 2025 7:51:05 PM À : frsag@frsag.org frsag@frsag.org Objet : [FRsAG] Wifi public, portail captif et logs
Bonjour tout le monde,
Je me casse la tête depuis quelques semaines à trouver une alternative libre/open source à des boîtiers type Ucopia/Telmat.
Mon besoin est assez simple : un réseau wifi ouvert doit présenter un portail captif qui permet d'identifier l'utilisateur, et comme je dois respecter la loi, il faut log le domaine et l'IP:port accédé par chaque usager.
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça. J'ai également vu pfSense qui incluait Squid dans d'anciennes versions, mais ils l'ont retiré sur les versions récentes à cause de failles potentielles non corrigées dans Squid.
Certains ont ce genre de besoins chez des clients ? Vous déployez quoi dans ce cas en open source ?
-- Alexis
_______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Le 27/01/2025 à 19:51, Alexis a écrit :
J'arrive un peu tard mais ça se fait bien...
- soit à la mano avec un ensemble de soft dont https://coova.github.io/CoovaChilli, un openradius, un mysql, un squid, un peu de scripting et une interface ouaib.
- soit en tout fait vrai libre¹ genre https://alcasar.net
¹ oui parce que Mikrotik en libre... Pff... RouterOS est tout sauf libre, tout est proprio à part le Linux de base... A contrario OPNSense est libre, lui...
Bonjour tout le monde,
Je me casse la tête depuis quelques semaines à trouver une alternative libre/open source à des boîtiers type Ucopia/Telmat.
Mon besoin est assez simple : un réseau wifi ouvert doit présenter un portail captif qui permet d'identifier l'utilisateur, et comme je dois respecter la loi, il faut log le domaine et l'IP:port accédé par chaque usager.
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça. J'ai également vu pfSense qui incluait Squid dans d'anciennes versions, mais ils l'ont retiré sur les versions récentes à cause de failles potentielles non corrigées dans Squid.
Certains ont ce genre de besoins chez des clients ? Vous déployez quoi dans ce cas en open source ?
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça.
ou Suricata. dans la section eve-log bien activer dns, et vous aurez le détails des requêtes DNS. ensuite il faut décortiquer eve.log et c'est une autre histoire. j'y ai passé des mois. donc pas forcément un bon plan pour vous. mais je partage pour d'autres.
https://pub.nethence.com/blue-team/suricata https://pub.nethence.com/system/ansible/playbooks/fluentbit/flb-addons/flb_s...
et puis en bonus, les métriques, on ne sais jamais.
https://pub.nethence.com/system/ansible/playbooks/fluentbit/flb-addons/flb_s...
-elge
Le 3 févr. 2025 à 17:24, Pierre-Philipp Braun pbraun@nethence.com a écrit :
J'ai testé Packetfence, côté portail captif c'est top, mais ça ne respecte pas nativement les obligations légales de log. Si j'ai tout bien compris, je peux y coupler (manuellement) Squid, mais j'ai clairement pas assez de compétences sur Packetfence pour voir comment architecturer tout ça.
ou Suricata. dans la section eve-log bien activer dns, et vous aurez le détails des requêtes DNS. ensuite il faut décortiquer eve.log et c'est une autre histoire. j'y ai passé des mois. donc pas forcément un bon plan pour vous.
Les requêtes DNS ? Pas sûr que ça soit autorisé ça :)
Et là, habilement, je relance le sujet « que doit-on logger en France pour être sûr de respecter les obligations légales, sans pour autant enfreindre d’autres lois locales ou EU ? ».
David
Et là, habilement, je relance le sujet « que doit-on logger en France pour être sûr de respecter les obligations légales, sans pour autant enfreindre d’autres lois locales ou EU ? ».
Tu fournis le flingue pour se trouer le pied ?
D'un coté le RGPD qui considère que la data perso est radioactive, d'autre part des contraintes sécuritaires à faire peur aux chiens (et dignes d'une bonne dictature).
De toute façon, déjà la LOPSSI2 criminalisait les gendarmes (usagers de VLC contenant clés de DRM), c'était il y a presque 15 ans. Mais le conseil constitutionnel, déjà bien occupé par l'inculture juridique des rédacteurs¹, n'avait pas relevé le comique de la situation.
¹ https://www.gazette-du-palais.fr/actualites-juridiques/7175/
Et puis, le droit à évolué. Un point ici (parmi d'autres) https://deroudilleavocat.com/blog/leconseildetattranchesurlaquestiondesdonne...
On n'est que lundi (enfin posté le mardi), mais ces temps-ci c'est un peu tous les jours dredi.
-
Alexis -
David Ponzone -
Edouard BAUDIER -
neo futur -
Pierre-Philipp Braun -
Stéphane Rivière