Merhaba uzun bir süredir makale yazmaya fırsatım olmuyordu, bu makalede sizlere ücretsiz ve açık kaynak kodlu FreeBSD tabanlı bir firewall olan pfSense 2.4.4 sürümünün kurulumu, gerekli yapılanma ve captive portal ile FreeRadius da oluştruduğumuz kullanıcıların hotspot ile internete çıkışlarını sağlayacağız. Ek ayarlara değinmeden sadece kurulumu nasıl yapılacağı ve sistemi nasıl ayağa kaldırabileceğimizi anlatacağım için çok ayrıntıya girmiyorum.
pfSense nedir
pfSense küçük ve büyük (bence kaldırabilecek seviyededir) işletmeler dahil ağ yapısını oluşturup iç ağ ile dış ağı konuşturmak olsun, ip dağıtmak olsun vb ağ ile ilgili bir çok işlemi gerçekleştirebileceğiniz ücretsiz FreeBSD tabanlı bir Firewall yazılımıdır.
Hotspot nedir
Hotspot halka açık yerlerde yada kurumsal alanlarda çoklu internet paylaşımının yapıldığı ve genellikle kullanıcı adı ve şifre ile giriş yapmalarını sağlayan bir sistemdir, hastahaneler, hava alanları, otobüs seferleri, oteller, okullar vb bir çok yerde görebilirsiniz. Genellikle şifresiz bir ağa bağlanmanızı ve bu ağ üzerinden oturum açmanız istenir. Oturum açan kullanıcılar log şeklinde yaptığı işlemler kayıt altında tutulur.
pfSense Kurulumu
Kurulumu çok basit bir şekilde gerçekleştirebilirsiniz, Kurulum için gerekli bilgisayar özellikleri şu şekilde olmalıdır
- En az 1 GB rem (2 gb ve üstü olması daha avantaj sağlar)
- 20-30 gb bir hdd
- En az 2 adet interface (iç ve dış ağ için)
Yukarıdaki özelliklere sahip bir bilgisayarınız varsa hemen kuruluma geçelim, https://www.pfsense.org/download/ adresine giriniz.
Yukarıdaki gibi formu istediğiniz şekilde doldurup imajı bilgisayarınıza boot ederek çalıştırınız.
Bilgisayarınızı boot edip çalıştırdıktan bir süre sonra böyle bir menü karşılayacak sizi Enter tuşuna basarak bu adımı geçelim.
Install seçeneği seçili bir şekilde Enter diyerek bu adımıda geçelim.
Menüden Turkish (Q) F klawye kullanıyorsanız F seçimini yapıp entere basınız ve ardından alt+s tuşuna basarak diğer adıma geçelim.
Auto (UFS) seçili halde Entere basıp kuruluma geçelim.
Kurulum başladı,
No seçili halde entere basalım
Kurulum bitti sunucuyu reboot ederek yeniden başlatalım, bilgisayar baştan açıldığında takmış olduğunuz boot ortamını (CD yada flash disk hangisini kullandıysanız) bilgisayardan çıkartınız yoksa tekrar kurulum aşamasına geçecektir.
Yapılandırma
Kurulumumuz bitti, gördüğünüz gibi WAN bacağımızda DHCP olduğu için 10.119.*** ip aldı, LAN yani pfSensenin arkasında konumlanacak olan ağ da 192.168.1.1 numaralı ip adresini aldı, şimdi yapılandırma aşamasına geçelim. 2 yazıp entere basınız.
Lan bacağını düzenleyeceğimiz için Available interfaces de 2 seçiyoruz,
Lan IPv4 için herhangi bir ip verebilirsinizi ben: 192.168.1.254
Ardından Subnet mask olarak pfSense arkasında konuşlanacak terminal sayısına göre bir subnet mask belirleyin bana 254 terminal yeterli geldiği için 24 subnet maskı seçiyorum
For a LAN kısmını boş bırakabilirsiniz Enter diyerek geçiniz,
IPv6 kullanacaksanız herhangi bir IPv6 giriniz yoksa boş bırakarak Entere basarak geçiniz,
DHCP lan bacağında pfsense üstlenecekse y diyerek enter ile aktif edelim,
Enter the start ve Enter the end kısımlarana DHCP kaçıncı ipden başlayarak kaçıncı ip adresine kadar ip dağıtmasını istiyorsanız belirleyiniz. Örneğin ben 192.168.1.10 ip adresinden başlayarak 192.168.1.250 ip adresine kadar ip dağıtmasını istedim.
Web arayüzüne erişebilmemiz için HTTP protokolünü y diyerek Entere ile aktif edelim,
Ayarlarımız tamamlandı Enter diyerek ana menüye geçebilirsiniz.
Gördüğünüz gibi yapılanmamız hazır, artık web arayüzüne geçebiliriz, Web arayüzü için iç ağdan herhangi bir bilgisayara geçip, yani pfsense arkasında konuşlanmış bir bilgisayarı üzerinden belirlediğiniz pfSense ip adresini bir web tarayıcısından açınız
Böyle bir sayfa karşılayacak sizi kullanıcı adı: admin şifre: pfsense olarak giriş yapınız
pfSense karşılama ekranımız geldi, Nex butonuna tıklayınız,
Tekrar next diyelim,
Herhangi bir DNS adresi kullanabilirsiniz, AD kullanıyorsanız DNS sunucunuzun ip adresini girebilirsiniz, ben googlenin DNS sunucusunun iplerini kullandım, ext butonuna tıklayınız,
Timezone (Saat Dilimi9 olarak İstanbul’u seçiniz ve Next butonuna tıklayınız,
Açılan sayfada en aşağıya gelerek, güvenlik politikanıza göre yukardaki seçenekleri işaretleyiniz, ben bu şekilde kullanıyorum, Next butonuna tıklayınız,
Next butonuna tıklayınız,
Şuan kullanılan default admin şifresini değiştiriniz, belirlediğiniz bir şifreyi iki kutucuğa girerek Next butonuna tıklayınız,
Ayarlarımız tamam Reload butonuna tıklayınız,
Finish butonuna tıklayarak işlemleri sonlandıralım,
Serices Statusu kullanacağımız için 1 + işaretine tıklayalım açılan menüden + Services Status tıklayınız ve ana ekranda Services Statusu göreceksiniz, işlemlerimiz bitti, pfSense artık hazır, şimdi FreeRadius ve Captive Portal kurulumuna geçelim,
FreeRadius
Kısayca yapacağımız işlemlerden bahsedelim, freeradius kurulumunu yapıp belirlenen kullanıcılara Captive Portal aracılığı ile hotspot üzerinden erişim yetkisi vereceğiz,
FreeRadius kurulumu
System mensüne gelrek Package Maneger linkine tıklayınız,
Açılan sayfadan Available Packages seçerek Search kısmına freeradius yazarak search butouna tıklayınız, şu an en son paket olan freeradius3 sürümü var ve install diyerek kurulum aşamasına geçiyorum
Confirm diyerek kurulumu başlatıyorum,
Biraz bekledikten sonra internet bağlantı hızınıza göre kurulum tamamlanacaktır. Yukarıda kurulum bitti artık diğer yapılanmalara geçebiliriz,
pfSense kurulu olan bilgisayar ekranına geçip 5 ile pfSenseyi reboot edelim,
Captive Portal ve FreeRadius Yapılanması
Alt yapımızı hazırladık, artık hotspot için işlemlere başlayabiliriz.
Serviceden FreeRadius girip Setting kısmına geliniz, en aşağı ininiz,
Enable Plain Mac Authentication seçerek Save butonuna tıklayınız,
Ardından Interfaces girerek Add butonuna tıklayınız,
1812 ve 1813 portlarını sırasıyla açalım,
1812 ve 1813 portlarını açtık Save butonuna tıklayarak kaydedelim,
Şimdi sıra captive portal zonu oluşturup captive portalı aktif etmeye geldi sıra, Services menüsünden Captive Portala giriyoruz, Add butonuna tıklayınız,
Herhangi bir zon adı ve description belirleyelim, ardından Save & Contunue botuna tıklayınız,
Enable diyerek Zonu aktif edelim,
Interface olarak hangi ağ üzerinden aktif etmek istiyorsanız seçiminizi yapınız bende tek lan ağı olduğu için mecburen lan ağını seçiyorum, Örneğin bir iş yerinde birden çok lan ağı olabilir, çalışan personellere ayrı lan ağı, kablosuz bağlananlara ayrı lan ağı, toplantı odaları için ayrı bir lan ağı oluşturulabilir, burada hangi ağı kullanacaksanız belirliyorsunuz, ve aşağı doğru inelim.
Şimdilik bu şekilde ayaları bırakıp Save butonuna basalım
Captive Portla zonumuzu oluşturduk,
Service den FreeRadius girip NAS/Clients menüsüne gelelim,
Ip adresi olarak pfsensenin ip adresini girelim, Client Shortname olarak oluşturduğumuz captpive portal zon adını girelim, Client Shared Secret kısımına da bir key belirleyelim, bunu unutmayın bir yere not alınız, en aşağıda save butonuna tıklayarak kaydedelim, not: bu kısımda maximum bağlantı sağlayacak kullanıcı sayısını da belirleyebilirsiniz, Max Connection kutucuğuna kaç kullanıcı bağlanmasını istiyorsanız belirleyebilirsiniz,
Yukarıda listede kaydımız oluştu,
Bir kullanıcı oluşturmak için User kısmına gelelim,
Deneme amaçlı bir user oluşturalım,
Kullanıcımızı oluşturduk
Radiusu aktif etmek için System>User Manegere ve ardından Authentication Server girip Add butonuna tıklayınız,
Yukardaki gibi fomu doldurunuz ve Save butonuna tıklayınız,
FreRadiusu tanımladık,
Captive Portala girip düzenle (kalem) diyerek zonda değişiklik yapalım,
Logout popup windows aktif edelim,
Use custom captive portal page aktif edelim,
Radius Mac Secret kısmına Service den FreeRadius girip NAS/Clients kısmında not alın diye söylediğim keyi gireceksiniz, ben bektas yazmıştım, Authentication kısmını yukarıdaki gibi düzenleyelim,
Accoun kısmını yukardaki gibi düzenleyelim, ssl serifikanız varsa aktif edenbilirsiniz, herhangi bir domain kullanıyorsanız yazabilirsiniz, ssl aktif olsun ama domainim yok diyorsanız ip adresinizide yazabilirsiniz,
Herhangi bir siteye girmeye çalışalım, yukarıdaki gibi bir login sayfası karşıladı bizi, deneme user yazıp giriş diyorum, ve ardından sitemiz açılıyor,
Statusde de aktif kullanıcıyı görebilirsiniz,
Rebbot ettikten sonra da misafi_ag aktif olduğunu görürsünüz,
Kurulum ve yapılanma bitti, herkesin bu adımları yaparak kurulumu rahatlıkla gerçekleştirebilir, takıldığınız yerde konu altına yorum yazarak en kısa sürede dönüş sağlamaya çalışacağım. İyi çalışmalar.
merhaba. konu anlatımı çok güzel, elinize sağlık.
bu kurulumu yaptım, çalıştırdım fakat bir sorunu hala çözemedim.
lan çıkışındaki swith üzerinde accesspoint çalıştırarak mobil cihazlara erişim verdim. özellikle android tabanlı cihazlar https kullanan web sitelerine giriş yapamıyorlar. oluşturduğumuz CA mobil cihazlara yükleme yapılıyor CER uzantılı olarak ama wifi üzerinden bağlanan her cihaza bunu yapmak bulunduğum konum itibarıyle imkansız. bu konuda bir sürü araştırma yaptım. elde ettiğim geçerli bir sonuç yok. bu konuda varsa bilginiz mümkünse paylaşırmısınız?
teşekkür ederim.
Oturum açtıktan sonra giriş https protokolü olan sitelere erişim sağlayabiliyor olmanız lazım. Oturum açık olmadığı zaman oturum açmak için https protokolü olan bir siteye girmeye çalışırsanız oturumu açma sayfasına yönelendirememektedir malesef, android yada mobil cihazlarla deneme fırsatım olmadı, ilk fırsatta deneyeceğim.
Merhaba radius kullanmanın avantajı nedir? Yani direk captiva portal da kullanıcı oluşturup captive portalı kullanamıyor muyuz?
Direk kurup pfsenseden kullanıcı oluşturduğunuzda o kullanıcı ile oturum açamıyorsunuz maalesef.
Merhaba bu makaleniz çok açıklayıcı olmuş emeğinize sağlık pfsense 2 wan 1 lana sahibim ve capitive portalı kullanmak istiyorum sistem işleyişim firmadaki tüm clientlerin mac adresleri pfsense kayıtlı ve iplerini bu şekilde dağıtıyorum captive portalı sadece mac adresleri tanımlı olmayan kişilere nasıl uygulayabilirim yardımcı olursanız sevinirim.
İstediğiniz yapılanmayı hiç denemedim macs kısmına bakmak lazım. İlk fırsatta bakmaya çalışacağım.