26/10/2021 04:07 [pfSense 2.3.

3] Mise en place d'un portail captif

 ComputerZ Solutions   

PFSE N S E /OPNSENSE

[pfSense 2.3.3] Mise en place d’un portail
captif
06/0 3 / 2 0 1 7

En plus d’être un routeur et un pare-feu, pfSense est aussi capable d’être un serveur
proxy, plus précisément un portail captif. Découverte et mise en place.

0. Qu’est-ce que ce portail ?

Un portail captif est un service web mis en place dans un réseau pour authentifier les uti-
lisateurs. Tous les utilisateurs de ce réseau LAN devront forcément accéder à ce portail
dit « captif » et s’y authentifier pour ensuite pouvoir accéder à l’internet. Si l’authentifi-
cation n’est pas effectuée ou abandonnée, la connexion internet ne sera pas établie pour
l’utilisateur concerné.

https://computerz.solutions/pfsense-portail-captif/ 1/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

Fréquemment mis en place dans les hôtels ou les établissements scolaires, il permet ainsi
 ComputerZ Solutions  
de créer une liste d’utilisateur s’étant connecté sur le réseau, le portail captif et par la


suite internet. Par la suite, des utilisateurs peuvent être interdis de navigation selon les

règles en vigueur. Selon les portails captifs, il est tout à fait réalisable de connecter ce
portail avec des annuaires types Active Directory ou encore LDAP. Il est même possible
dans certains cas d’aller encore plus loin et de configurer du SSO.

L’intégration du portail captif dans pfSense se fait par la configuration du service intégré.
Il n’est pas nécessaire d’ajouter de nouveaux paquets.

Dans cette procédure, je déroulerai la mise en place d’un portail captif « simple », sans
personnalisation et en utilisant l’annuaire interne de pfSense – ce qui veut dire qu’il faut
créer manuellement les comptes utilisateurs dans pfSense pour que vos utilisateurs
puissent s’authentifier (avec ces comptes créés dans pfSense). pfSense permet aussi l’uti-
lisation d’un serveur RADIUS ou l’utilisation de « vouchers », qui sont des tickets à usage
unique.

Dans cet article, je traiterai la mise en place et la configuration simple d’un portail captif,
avec une authentification interne. Pas de filtrage, pas de blocage, pas d’authentification
SSO ou unique. Il pourra y avoir des articles complémentaires à ces sujets
ultérieurement.

I. Mise en place du portail

Dans l’interface principale de pfSense, cliquez sur le menu « Services« , puis sur l’option
« Captive portal«.

https://computerz.solutions/pfsense-portail-captif/ 2/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   



La configuration de ce portail se faire en plusieurs étapes. Il faut créer une zone dans la-
quelle le portail captif sera actif puis configurer cette zone. Cliquez sur le bouton vert
« Add » – un assistant de création va alors s’ouvrir :

Il faut dans un premier temps donner un nom à cette zone et une description – Le nom
de la zone est obligatoire, pas sa description.

https://computerz.solutions/pfsense-portail-captif/ 3/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

Cliquez sur le bouton « Save & continue » pour passer à la suite de la configuration –
 ComputerZ Solutions  
c’est à partir de cet instant que ça devient plus intéressant mais aussi plus complexe.

Pour accéder aux paramètres du portail captif, il vous faut activer ce portail, en cochant

la case à côté de « Enable captive portal » – n’oubliez pas de cliquer sur le bouton « Save »
pour activer les paramètres.

Ainsi, tous les paramètres de configuration du portail captif vont s’afficher.

Dans l’ordre des options importantes et quasi obligatoires :

• interfaces : il s’agit là de quelle interface sur laquelle le portail captif sera exploité –
il faut cliquer sur l’interface correspondant à votre LAN (ici, LAN)

• maximum concurrent connections : limite le nombre de connexion en même temps

sur le portail captif ; si cette limite est dépassée, le portail captif ne sera pas acces-
sible par les autres clients, jusqu’à temps qu’une place se libère. Laissez vide si vous
ne souhaitez pas de limites

• idle timeout : délai en minutes à laquelle les clients seront déconnectés s’ils n’ont
pas eu / effectué d’activité. Laissez vide si vous ne souhaitez pas de limites

• hard timeout : délai en minutes pour forcer la déconnexion des utilisateurs, qu’im-
porte leur activité

https://computerz.solutions/pfsense-portail-captif/ 4/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   



Je ne me suis pas préoccupé des autres options, tout le reste est mis par défaut ou est
désactivé. Vous avez plusieurs options, comme la possibilité d’ouvrir la fenêtre d’authen-
tification via un pop-up, rediriger automatiquement les clients une fois l’authentification
effectuée, ou encore déconnecter les utilisateur se partageant le même identifiant (op-
tion concurrent user logins)…

https://computerz.solutions/pfsense-portail-captif/ 5/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

Vous avez aussi la possibilité de mettre en place un filtrage par adresses MAC – plusieurs
 ComputerZ Solutions  
options sont disponibles vis-à-vis de ce filtrage. Vous pourrez (par exemple) autoriser


certaines adresses MAC à se connecter sans s’authentifier, ou bloquer complètement l’ac-


cès au portail captif selon telle ou telle adresse MAC.

La mise en place de quota de débits (entrants / sortants) est importante – vous vous assu-
rerez ainsi une qualité de service (QoS) fiable. Il faut pour cette option cocher la case
« Per-user bandwidth restriction » et saisir juste après les débits max autorisés, en
kbits/s.

Encore un peu plus bas dans la fenêtre, vous accéderez à une rubrique
« Authentification« . C’est dans cette partie qu’il faut choisir le mode d’authentification
de vos clients ; dans cet exemple, je vais créer à la main les comptes utilisateurs locaux
que devront utiliser mes clients.

Cliquez sur la case « Local user manager / vouchers » et n’oubliez pas de cocher la case
« Allow only users/groups with « Captive portal login » privilege set« . Cette case est très
importante. Si vous ne la cochez pas, le compte utilisateur que vous allez créer pourra se

https://computerz.solutions/pfsense-portail-captif/ 6/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

connecter à l’interface de votre pfSense mais pas au portail captif. Un peu plus bas dans
 ComputerZ Solutions  
la documentation vous saurez comment ajouter ce droit à un compte utilisateur.




En bas de cette page, vous trouverez un bouton vert « Save« , vous permettant d’enregis-
trer les modifications, de les prendre en compte et d’activer immédiatement le portail
captif pour le LAN. Vous retournerez par la suite sur la page d’accueil du service en affi-
chant les portails captifs disponibles et le nombre d’utilisateurs connectés dessus :

Actuellement aucun utilisateur : le compte Administrateur ne compte pas comme

compte utilisateur pour le portail captif.

https://computerz.solutions/pfsense-portail-captif/ 7/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   

II. Création d’un groupe d’utilisateurs pour le portail


captif
Maintenant que votre portail captif est opérationnel, il vous faut créer des comptes utili-
sateurs.

Vous remarquerez qu’avec votre PC dans le LAN et en tant qu’Administrateur vous n’avez
pas été confronté à la page d’accueil du portail captif – pfSense connaît votre adresse
MAC et ne vous bloque pas la connexion, puisque vous êtes connecté en tant
qu’Administrateur.

Dirigez-vous dans la partie « System« , puis dans « User manager« . Vous récupérerez une
liste de tous les utilisateurs de votre pfSense. Voici l’organisation qui va y être effectuée :

• création d’un groupe « captive-portal », où y seront tous les comptes utilisateurs du

portail captif.

• attribution des droits spécifiques pour le groupe concerné

• création des comptes utilisateurs et … tests !

Dans la page « User Manager« , cliquez sur l’option « Groups« . La liste de tous les
groupes d’utilisateurs de pfSense va s’afficher – nous allons donc créer un nouveau
groupe, via le bouton vert « Add« .

https://computerz.solutions/pfsense-portail-captif/ 8/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

Deux informations cruciales sont à saisir :

 ComputerZ Solutions   

• Le nom du groupe

• Le « Scope » (où se trouve le groupe)

Pour éviter les problèmes, je vous suggère de garder des noms simples pour vos noms de
groupe, de même qu’il est préférable de ne pas mettre d’espace ni de caractères spéciaux.
Dans le « Group membership« , il faut absolument que « admin » soit dans la partie « not
members« . Vous ne devez pas mettre « admin » dans la case « members », sous peine que
tous les utilisateurs que vous allez créer dans le groupe « captive-portal » (cf l’exemple)
auront tous les droits administrateurs et donc, n’utiliseront pas le portail captif.

Lorsque les modifications sont effectuées, enregistrez-les en cliquant sur le bouton

« save« . Il va falloir de nouveau modifier le groupe précédemment créé. En effet, nous
devons ajouter à notre nouveau groupe les droits pour utiliser le portail captif.

Dans la rubrique « add privileges for [nom du groupe]« , sélectionnez « User – services :
captive portal login« .

https://computerz.solutions/pfsense-portail-captif/ 9/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   



C’est grâce à ce droit que les comptes utilisateurs qui seront dans le groupe « captive-
portal » (dans notre exemple) pourront utiliser / se connecter sur le portail captif de
votre pfSense. Pour valider les changements, cliquez une nouvelle fois sur « Save« .

Une fois les modifications validées, vous verrez alors s’afficher une liste de tous les privi-
lèges du groupe concerné. Pour cet exemple, il n’est pas nécessaire d’ajouter d’autres pri-
vilèges / droits.

III. Création d’un compte utilisateur pour le portail

captif
Une fois le groupe créé, la dernière étape va être la création d’un compte utilisateur. Ce
compte sera utilisé de façon individuelle et pour l’authentification sur le portail captif,
exclusivement.

Retournez dans le menu « System« , puis sur « User manager« . Cliquez sur le bouton vert
« Add » – vous aurez accès à tout un assistant de création de ce compte utilisateur :

https://computerz.solutions/pfsense-portail-captif/ 10/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   



Il faut impérativement mettre le login et le mot de passe de ce compte utilisateur. Libre à

vous de rentrer ce que vous souhaitez.

Enfin, dans le « Group membership« , il faut que le groupe précédemment créé (« captive-
portal » dans l’exemple de cet article) soit bien dans « Member of« . Faites bien attention
à ce que le groupe « admins » soit bien dans la case « Not member of« .

Lorsque tout est prêt, cliquez sur le bouton « Save » – votre premier compte utilisateur
est prêt à l’emploi pour le portail captif ! Nous allons dès à présent l’exploiter…

IV. Authentification, connexion et navigation.

Prenez un autre PC / VM dans le même LAN que pfSense. Comme votre pfSense est
maintenant prêt à l’emploi notamment pour le portail captif, ouvrez votre navigateur
web favoris et tentez d’accéder à une page web.

Vous devriez arriver sur ce genre de page :

https://computerz.solutions/pfsense-portail-captif/ 11/17
26/10/2021 04:07 [pfSense 2.3.3] Mise en place d'un portail captif

 ComputerZ Solutions   



Concrètement, pfSense a redirigé automatiquement votre flux web vers le portail captif,
sur un port spécifique pour que vous puissiez vous authentifier. Vous devez alors entrer le
compte utilisateur précédemment créé, login et mot de passe.

Une fois la saisie terminée, si vous ne vous êtes pas trompé, vous pourrez désormais ac-
céder à l’internet !

https://computerz.solutions/pfsense-portail-captif/ 12/17