Descripción Técnica

Portal Cautivo con pfSense

Autores: Antonio Vizoso Yebenes

Profesor: M.ª Dolores Ruano

 Descripción técnica Portal cautivo con PfSense

Índice de Contenido

1. Introducción......................................................................................................................................4

2. Requerimientos para el proyecto......................................................................................................5

3. Definiciones......................................................................................................................................6

3.1. Portal Cautivo...........................................................................................................................6

3.2. PfSense......................................................................................................................................7

3.3. Radius.......................................................................................................................................7

3.4. LDAP........................................................................................................................................9

3.5. DNS........................................................................................................................................12

3.6. DHCP......................................................................................................................................15

4. Instalación y configuración de los servicios..................................................................................17

4.1. Instalación y configuración del servidor DNS........................................................................17

4.2. Instalación y configuración del servidor DCHP.....................................................................21

4.3. Instalación y configuración del servidor FreeRADIUS y LDAP............................................23

4.3.1. Configuración de FreeRADIUS.....................................................................................24

4.3.2. Configuración del servidor LDAP..................................................................................29

4.3.3. Certificados....................................................................................................................40

4.4. Instalación y configuración del portal cautivo PfSense..........................................................43

4.5. Configuración del punto de acceso.........................................................................................65

5. Problemas.......................................................................................................................................67

6. Tareas Pendientes y Mejoras..........................................................................................................70

7. Conclusión......................................................................................................................................71

8. Bibliografía.....................................................................................................................................71

Hoja 2 de 72
Descripción técnica Portal cautivo con PfSense

Hoja 3 de 72
 Descripción técnica Portal cautivo con PfSense

1. Introducción
En el proyecto implantaremos un portal cautivo, con la ayuda de pfSense. También
configuraremos un servidor ldap junto con freeradius donde configuraremos los usuarios para que
se autentifiquen por el portal cautivo, un servidor DNS para resolver los nombres de dominio tanto
locales y externos y por ultimo le añadiremos un servidor DHCP para suministrarnos direcciones IP
en la red cautiva.
El objetivo sera usar pfSense como router y configurarlo para adaptar un Portal Cautivo,
donde en la red LAN los usuarios deberán autentificarse para acceder a internet. Para ello las
credenciales seran proporcionadas por el servidor ldap y freeradius estará encargado de
comunicarse con pfSense y el servidor ldap para autentificar los usuarios. Usaremos un servidor
DHCP y DNS configurados por nosotros mismos.

La red lan sera la que estará controlada por autenticación mediante el portal cautivo. Los
servidores ldap freeradius, DHCP y DNS los tendremos en otra red (DMZ) distinta. Así el esquema
de nuestra red sera el siguiente.

Hoja 4 de 72
 Descripción técnica Portal cautivo con PfSense

2. Requerimientos para el proyecto.
• Ordenador fisico con capacidad de procesamiento y memoria para tener varias máquinas
virtuales.

• Tener herramienta de virtualización(Virtual Box)

• Conexion a internet.

• Punto de acceso para poder probar el portal cautivo fuera de redes virtuales.

• MV debian8 gnome(esta maquina nos servira para configurar via web pfsense y hacer
pruebras del portal cautivo).

• MV PfSense

• MV debian8 ldap­freeradius:

◦ Paquetes freeradius­ldap.

◦ Paquetes slapd, ldap­utils.

• MV debian8 DNS:

◦ Paquetes bind9.

• MV debian8 DHCP:

◦ Paquetes isc­dhcp­server

En este enlace se podra descargar las MV que tenemos configuradas en el proyecto.
https://mega.nz/#F!9KQh1DqC!z_GlNyTZ5Tc1t5EwAchfqg

La carpeta en total son 9GB

Hoja 5 de 72
 Descripción técnica Portal cautivo con PfSense

3. Definiciones.
3.1. Portal Cautivo
Portal cautivo es un programa o máquina de una red informática que vigila el tráfico HTTP
y fuerza a los usuarios a pasar por una página especial si quieren navegar por internet de forma
normal.

El programa intercepta todo el tráfico HTTP hasta que el usuario se autentifica. El portal se
encargará de hacer que esta sesión caduque al cabo de un tiempo. También puede empezar a
controlar el ancho de banda usado por cada cliente.

Usos; se usan sobre todo en redes inalámbricas abiertas, donde interesa mostrar un mensaje
de bienvenida a los usuarios y para informar de las condiciones de acceso (puertos permitidos,
responsabilidad legal, etc.) los administradores suelen hacerlo para que sean los propios usuarios
quienes se responsabilicen de sus acciones, y así evitar problemas mayores.

Un portal cautivo básico, solo permite autorizar el acceso a internet a los dispositivos que se
conectan al punto de acceso.

Normalmente   los   podemos   encontrar   en   cafeterías   y   restaurantes,   hoteles,   empresas   o

instituciones publicas y en entornos educativos.

Ejemplos;   un   ejemplo   muy   conocido   es   Eduroam   (EDUcation   ROAMing,   que   es   un

proyecto   internacional   creado   para   facilitar   el   acceso   a   internet   a   los   miembros   de   las
instituciones   científico­académicas   asociadas,   desde   cualquier   de   estas   instituciones),   otro
ejemplo WiFi abierta en Miguelturra ( se suministra WiFi por puntos accesos localizados en
parques   o   edificios   públicos,   se   necesitan   credenciales   que   se   pueden   solicitar   en   el
ayuntamiento).

Hoja 6 de 72
 Descripción técnica Portal cautivo con PfSense

3.2. PfSense.
PfSense es una distribución personalizada de FreeBSD adaptada para el uso como firewall y
router. Se caracteriza por ser de código abierto, puede ser instalada en una gran variedad de
ordenadores, contando con una interfaz web sencilla para su configuración. Contiene muchas
funciones como pueden ser:
• Firewall

• Balanceo de carga

• VPN que puede ser desarrollado en Ipsec, OpenVPN y en PPTP

• Servidor DNS

• Portal cautivo

• Servidor DHCP

• Posibilidad de añadir nuevos paquetes con nuevas funcionalidades

3.3. Radius.
Radius (acrónimo en ingles de Remote Authentication Dial­In User Service). Es un protocolo de
autenticación   y   autorización(Es   más   conocida   como   AAA,   al   ser   éste   si   acrónimo   de   su
denominación original inglesa Authentication, Authorization and Accounting) para aplicaciones
de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

AAA (autenticación, autorización y registro) sus definiciones:

Autenticación:

Hace referencia al proceso por el cual se determina si un usuario tiene permiso para acceder
a un determinado servicio de red del que quiere hacer uso. El proceso de autenticación se realiza
mediante la presentación de una identidad y unos credenciales por parte del usuario que demanda
acceso.

Un tipo habitual de credenciales es el uso de una contraseña que junto al nombre de usuario
nos permite acceder a determinados recursos. Otros tipos más avanzados de credenciales son los
certificados digitales.

Hoja 7 de 72
 Descripción técnica Portal cautivo con PfSense

Existen   muchos   métodos   concretos   que   implementan   el   proceso   de   la   autenticación.

Algunos de ellos, soportado por RADIUS:

• Autenticación de sistema (System authentication).

• Los protocolos PAP (Password Authentication Protocol), y su versión segura CHAP
(Challenge Handshake Authentication Protocol), que son métodos de autenticación
usados por proveedores de servicios de internet accesibles vía PPP.

• LDAP (Lighweight Directory Access Protocol), un protocolo a nivel de aplicación
(que más adelante lo definiremos más detalladamente).

• Kerberos, el famoso método de autenticación diseñado por el MIT.

• EAP (Extensible Authentication Protocol), que no es un método concreto sino un
entorno universal de autenticación empleado frecuentemente en redes inalámbricas y
conexiones punto a punto.

• También se permite la autenticación basada en ficheros locales de configuración del
propio servidor RADIUS.

Autorización

Se refiere a conceder servicios específicos a un determinado usuario, basándose para ellos en
su propia autenticación, los servicios que está solicitando, y el estado actual del sistema. Es posible
configurar restricciones a la autorización de determinados servicios en función de aspectos como,
por ejemplo, la hora del día, la localización del usuario, o incluso la posibilidad o imposibilidad de
realizar múltiples “logins” de un mismo usuario.

Los   métodos   de   autorización   soportados   habitualmente   por   un   servidor   de   RADIUS

incluyen bases de datos LDAP, bases de datos SQL, o incluso el uso de ficheros de configuración
locales al servidor.

Registro

Se   refiere   a   realizar   un   registro   del   consumo   de   recursos   que   realizan   los   usuarios.   El
registro suele incluir aspectos como la identidad del usuario, la naturaleza del servicio prestado, y
cuando empezó y terminó el uso de dicho servicio.

Hoja 8 de 72
 Descripción técnica Portal cautivo con PfSense

PEAP (Protected Exensible Authentication Protocol)

Es un método para transmitir de manera segura información de autenticación, incluyendo
contraseñas, sobre redes cableadas e inalámbricas. Hay que tener en cuenta que PEAP no es un
protocolo de encriptación, sino que como otros tipos EAP solo autentican un cliente a una red.

NAS (Network Access Server)

Es un sistema que proporciona acceso a la red. En algunos casos también se conoce como
RAS (Remote Access Server) o Terminal Server. En general, NAS es un elemento que controla el
acceso a un recurso protegido.

Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien a su
vez se conecta a un servidor AAA preguntando si las credenciales proporcionadas por el cliente son
válidas. Basándose en su respuesta, NAS le permitirá acceder o no a este recurso protegido. El
sistema NAS no contiene ninguna información sobre los usuarios que se pueden conectar ni sus
credenciales, sino que utiliza esta información para enviarla a RADIUS, y que éste le informe sobre
los permisos del cliente.

3.4. LDAP
LDAP son las siglas de Lightweight Directory Access Protocol que hacen referencia a un
protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversas información en un entorno de red. LDAP también se considera
una base de datos(aunque su sistema de almacenamiento puede ser diferente) a la que pueden
realizarse consultas.

Un directorio es un conjunto de objetos con atributos en una manera lógica y jerárquica. El
ejemplo más común es el directorio telefónico, que consiste en una serie de nomres que están
ordnados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono
adjuntos.

Un   árbol   de   directorio   LDAP   a   veces   refleja   varios   límites   políticos,   geográficos   u

organizacionales, dependiendo del modelo elegido. Los despliegues actuales de LDAP tienden a
usar nombres de Sistema de Nombres de Dominio (DNS) para estructurar los niveles más altos
de la jerarquía. Conforme se desciende en el directorio puede aparece entradas que representan
personas, unidades organizacionales, impresoras, documentos, grupos de personas o cualquier
cosa que represente una entrada dada en el árbol (o múltiples entradas).

Hoja 9 de 72
 Descripción técnica Portal cautivo con PfSense

Habitualmente,   almacena   la   información   de   autenticación   (usuario   y   contraseña)   y   es

utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del
usuario, ubicación de diversos recursos de la red, permisos, certificados, etc.). A manera de
síntesis, LDAP es un protoclo de acceso unificado a un conjunto de información sobre una red.

Visión general del protocolo.

Un clente inicia una sesión de LDAP conectándose a un servidor LDAP, preestablecido en
el puerto TCP 389. El cliente luego envía una petición de operación al servidor, y el servidor
envía respuestas. Con algunas excepciones, el cliente no necesita esperar una respuesta antes de
envíar la siguiente petición, y el servidor puede responder en cualquier orden.

El cliente puede requerir las siguientes operaciones:

• Start   TLS;   Usar   la   extensión   Transport   Layer   Security   LDAPv3   para   una   conexión
segura.

• Bind; autenticarse y especificar una versión de protocolo LDAP.

• Search; buscar y obtener entradas de directorio.

• Compara; probar si una entrada nombrada contiene un valor de atributo dado.

• Add; añadir una nueva entrada.

• Delete; borrar una entrada.

• Modify; modificar una entrada.

• Modify Distinguished Name (DN); modificar o renombrar una entrada.

• Abandon; abortar una petición previa.

• Extended Operation; operación genérica usada para definir otras operaciones.

• Unbind; cerrar la conexión.

Además,   el   servidor   puede   enviar   "notificaciones   no   solicitadas"   que   son   respuestas   a

ninguna petición, por ejemplo antes de que se termine el tiempo de conexión.

Hoja 10 de 72
 Descripción técnica Portal cautivo con PfSense

Estructura de directorio.

El protoclo accede a directorios LDAP, que siguen la edición de 1993 del modelo X.500:

• Un directorio es un árbol de entradas de directorio.

• Una entrada consta de un conjunto de atributos.

• Un atributo tiene un nombre (un tipo de atributo o descripción de atributo) y uno o más
valores. Los atributos son definidos en un esquema.

• Cada entrada tiene un identificador  único: su Nombre distinguido (Distinguished Name,
DN).   Este   consta   de   su   Relative   Distinguished   Name   (RDN)   construido   por   algunos
atributos   en   la   entrada,   seguidos   del   DN   de   la   entrada   del   padre.   Pensar   en   el   nombre
distinguido como el nombre completo de archivo y el nombre distinguido relativo como el
nombre de archivo relativo en la carpeta.

Se debe tener cuidado con el hecho de que un nombre disnguido puede cambiar durante el
tiempo de vida de una entrada, por ejemplo, cuando se mueen las entradas en el árbol. Para hacer
más confiables e identificar de manera no ambigua las entradas se prodría proporcionar un UUID
en el conjunto de atributos operacionales de la entrada.

Cuando se represneta una entrada en el formato LDAP Data Interchange Format (LDIF)
puede tener el siguiente aspecto: 

  dn: cn=antonio vizoso,dc=iesjacaranda,dc=org

 cn: antonio vizoso

 givenName: antonio

 sn: vizoso

 telephoneNumber: 999555999

 telephoneNumber: 686858989

 mail: [email protected]

 objectClass: inetOrgPerson

 objectClass: organizationalPerson

 objectClass: person

 objectClass: top

Hoja 11 de 72
 Descripción técnica Portal cautivo con PfSense

"dn"   es   el   nombre   de   la   entrada;   no   es   un   atributo   ni   tampoco   parte   de   la   entrada

"cn=antonio vizoso" es el nombre distinguido relativo, y "dc=iesjacaranda,dc=org" es el nombre
distiguido de la entrada padre, donce dc significa domain component (componente de dominio).
Las otras líneas presentan los atributos en la entrada. Los nombres de atributos son generalmente
cadenas mnemotécnicas, como "cn" para common name (nombre común), "dc" para domain
componet, "mail" para dirección de correo electrónico y "sn" para surname (apellido).

3.5. DNS.
DNS son las siglas de Domain Name System, es basicamente el encargado de traducir las
complicadas series de números que conforman una dirección IP en palabras que el usuario pueda
recordar fácilmente.

Cada  página  web es  accedida mediante  una dirreción IP. El  problema  es  que hay tanta

cantidad que es prácticamente imposible recordar el IP de cada una. Imagine que en vez de
introducir  www.iesjacaranda­brenes.org  tendrías   que   introducir   en   el   navegador   la   dirección
80.59.18.213.  Seria  una  tarea  muy  compleja  ingresar  por  el  IP  de  cada  una  de  las  paginas,
además de una tarea prácticamente imposible.

Para solucionar este problema se utiliza el DNS. Este permite el uso de nombres (también
llamados dominios) en vez del IP para el acceso a los sitios web. Básicamente, en internet, el
DNS es un conjunto de grandes bases de datos distribuidas en servidores de todo el mundo que
indican que IP está asociada a un nombre.

Jerarquía DNS.

El espacio de nombres de dominio tiene una estructura arborescente. Las hoas y los nodos
del árbol se utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto
consiste en la concatenación de todas las etiquetas de un camino. Las etiquetas son cadenas
alfanuméricas (con'­' como único símbolo permitido), deben contar con al menos un carácter y
un   máximo   de   63   caracteres   de   longitud,   y   deberá   comenzar   con   una   letra.   Las   etiquetas
individuales están separadas por puntos. Un nombre de dominio termina con un punto (aunque
este último punto generalmente se omite, ya que es puramente formal). Un nombre de dominio
correctamente   formado   (FQDN),   es   por   ejemplo   este:  www.iesjacaranda.org.   (incluyendo   el
pinto al final).

Hoja 12 de 72
 Descripción técnica Portal cautivo con PfSense

Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de 255
caracteres.

Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo
derecho de un nombre de dominio separa la etiqueta raíz de la jerarquia. Este primer nivel es
también conocido como dominio de nivel superior(TLD).

Tipos de servidores DNS

• Primarios o maestros; guardan los datos de un espacio de nombres en sus ficheros.

• Secundarios  o esclavos;  obtienen los datos de los servidores primarios a través de una

transferencia de zona.

• Locales o caché; funcionan con el mismo software, pero no contienen la base de datos para
la resolución de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los
servidores   DNS   correspondientes,   almacenando   la   respuesta   en   su   base   de   datos   para
agilizar la repetición de estas peticiones en el futuro continuo o libre.

Tipos de resolución de nombres de dominio.

Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS, la iterativa y la
recursiva.

Resolución iterativa. Consiste en la respuesta completa que el servidor de nombres puede

Hoja 13 de 72
 Descripción técnica Portal cautivo con PfSense

dar. El servidor de nombres consulta sus datos locales(incluyendo su caché) buscando los datos
solicitados. El servidor encargado de hacer la resolución realiza iterativamente preguntas a los
diferentes DNS de la jerarquía asociada al nombre que se desea resolver, hasta descender en ella
hasta la máquina que contiene la zona autoritativa para el nombre que se desea resolver.

Resolución recursiva. En las resoluciones recursivas, el servidor no tiene la información en
sus datos locales, por lo que busca y se pone en contacto con un servidor DNS raíz, y en caso de
ser   necesario   repite   el   mismo   proceso   básico   (consultar   a   un  servidor   remoto   y  seguir   a   la
siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta.

Tipos de registros DNS

Los tipos de registro más utilizados son:

• A  –   Dirección   (address).   Este   registro   se   usa   para   traducir   nombres   de   servidores   de

alojamiento a direcciones IPv4

• AAAA – Dirección (address). Este registro se usa en IPv6 para traducir nombres de hosts a
direcciones IPv6.

• CNAME – Nombre canónico (canonical name). Se usa para crear nombres de servidores de
alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado
cuando se están corriendo múltiples servicios (como FTP y servidores web) en un servidor
con una sola dirección IP. Cada servicio tiene su propia entrada de DNS (como ejemplo
ftp.ejemplo.com. Y  www.ejemplo.com.). Esto también es usado cuando corres  múltiples
servidores HTTP, con diferentes nombres, sobre el mismo host. Se escribe primero el alias y
luego el nombre real ejemplo: www IN CNAME pc1

• NS – Servidor de nombres (name server). Define la asociación que existe entre un nombre
de dominio y los servidores de nombres almacenan la información de dicho dominio. Cada
dominio se puede asociar a una cantidad cualquiera de servidores de nombres.

• MX – Intercambio de correo (mail Exchange). Asocia un nombre de dominio a una lista de
servidores   de   intercambio   de   correo   para   ese   dominio.   Tiene   un   balanceo   de   carga   y
prioridad para el uso de uno o más servicios de correo.

• PTR – Indicador (pointer). También conocido como ‘registro inverso’, funciona a la inversa
del   registro   A,   traduciendo   IP’s   en   nombres   de   dominio.   Se   usa   en   el   archivo   de
configuración de la zona DNS inversa.

• SOA – Autoridad de la zona (start of authority). Proporciona información sobre el servidor

Hoja 14 de 72
 Descripción técnica Portal cautivo con PfSense

DNS primario de la zona.

• ANY – Toda la información de todos los tipos que exista.

3.6. DHCP
DHCP  siglas en inglés de Dinamic Host Configuration Protocol, es un servidor que usa
protocolo de red de tipo cliente/servidor en el que generalmente un servidor posee una lista de
direcciones IP dinámicas y las va asignando a los clientes conforme éstas van quedando libres,
sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a
quién se la ha asignado después. Así los clientes de una red IP pueden conseguir sus parámetros
de configuración automáticamente.

Asignación de direcciones IP

Cada dirección IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se
mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al
administrador   supervisar   y   distribuir   de   forma   centralizada   las   direcciones   IP   necesarias   y,
automáticamente,   asignar   y   enviar   una   nueva   IP   si   fuera   el   caso   en   que   el   dispositivo   es
conectado en lugar diferente de la red.

El protocolo DHCP incluye tres métodos de asignación de dirección IP:

Asignación manual o estatica;  asigna una dirección IP a una máquina determinada. Se
suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar,
también, que se conecten clientes no identificados.

Asignación automática; asigna una dirección IP a una máquina cliente la primera vez que
hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el
número de clientes no varía demasiado.

Asignación   dinámica;  el   único   método   que   permite   la   reutilización   dinámica   de   las
direcciones   IP.   El   administrador   de   la   red   determina   un   rango   de   direcciones   IP   y   cada
dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando
la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un
intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes.

Hoja 15 de 72
 Descripción técnica Portal cautivo con PfSense

Parámetros configurables

Un   servidor   DHCP   puede   proveer   de   una   configuración   opcional   al   dispositivo   cliente.

Algunas de las opciones configurables son:

• Dirección del servidor DNS.

• Nombre DNS.

• Puerta de enlace de la dirección IP.

• Dirección de publicación Masiva(broadcast).

• Máscara de subred.

• Tiempo máximo de espera del ARP.

• MTU (unidad de transferencia máxima) para la interfaz.

• Servidores NTP (protocolo de tiempo de red).

• Servidor SMTP.

• Servidor TFTP.

• Nombre de servidor de nombres de Windows (WINS).

Funcionamiento del DHCP

DHCP se comunica por el puerto 65 UDP para las
computadoras servidor y el 68 UDP para los clientes. DHCP
tiene 4 pasos para conceder un IP’s a los clientes:

DHCP Discovery; es una solicitud DHCP realizada por un
cliente de este protocolo para que el servidor DHCP de dicha
red de computadoras le asigne una dirección IP y otros
parámetros DHCP como la máscara de red o el nombre DNS

DHCP Offer; es el paquete de respuesta del servidor
DHCP a un cliente DHCP ante su petición de la asignación de
los parámetros DHCP. Para ello involucra su dirección MAC.

DHCP Request; El cliente selecciona la configuración de
los paquetes recibidos de DHCP Offer. Una vez mas, el cliente
solicita una dirección IP especifica que indicó el servidor.

Hoja 16 de 72
 Descripción técnica Portal cautivo con PfSense

DHCP Acknowledge; El servidor reconoce la solicitud y le envía acuse de recibo al cliente.
Se inicia la fase final del proceso de configuración. Esta fase implica el reconocimiento con el
envío de un paquete al cliente. Este paquete incluye la duración de la concesión y cualquier otra
información de configuración que el cliente puede tener solicitada. En este punto, el proceso de
configuración TCP/IP se ha completado. 

4. Instalación y configuración de los servicios.

Empezaremos a poner en marcha nuestra infraestructura para el funcionamiento de objetivo
propuesto.   Para   empezar   instalaremos   y   configuraremos   los   servicios   por   separado   y   como
último punto configuraremos nuestra máquina que funcionará como router y firewall (PfSense),
que se encargará del portal cautivo en la red LAN y la función de DHCP relay de nuestro DHCP
y DNS forwader de nuestro DNS interno.

*** Importante antes de modificar cualquier fichero de nuestros servicios, crearemos una
copia de los ficheros a modificar, por seguridad.

4.1. Instalación y configuración del servidor DNS.
En este punto Instalaremos le paquete bind9 y lo configuraremos como DNS maestro en
nuestra infraestructura. Tener en cuenta que ficheros tendremos que configurar para su correcto
funcionamiento. 

Hoja 17 de 72
 Descripción técnica Portal cautivo con PfSense

Para empezar ejecutaremos el siguiente comando:

# apt­get update && apt­get upgrade

Cuando termine instalaremos el paquete bind9, que es el encargado del servicio de DNS en
debian y para instalar lo haremos de la siguiente manera.

# apt­get install bind9

Una vez terminada la instalación empezaremos a configurar nuestro servidor DNS. Para ello
empezaremos añadiendo el rango de IP's que estarán en nuestro dominio, que lo indicaremos en
el fichero /etc/bind/named.conf, que a nosotros nos deberá quedar de la siguiente manera.

Lo   siguiente   sería   modificar   el   fichero   /etc/bind/named.conf.options,  que   tendremos   que

modificar la linea forwarders, en esta linea indicaremos otro servidor DNS que sera externo en
nuestra infraestructura para solicitar nombres de dominio fuera de nuestro rango de red local,
nosotros hemos puesto la dirección IP de uno de los servidores DNS de google 8.8.8.8.

En el mismo fichero tendremos que añadir las lineas "allow­query" (se utiliza para definir la
lista de IP desde las que se permitirán consultas al servidor) "allow­query­cache" (controla el
acceso a la caché, por lo que también controla el comportamiento recursivo del servidor DNS) y
"allow­recursion". Que nos deberá quedar de la siguiente manera en el fichero:

Hoja 18 de 72
 Descripción técnica Portal cautivo con PfSense

En el siguiente paso de la configuración del servidor debemos añadir las zonas de nuestra
infraestructura   en   el   documento   named.conf.local,   que   referenciara   nuestros   equipos   en   el
servidor. De esta manera crearemos 2 archivos que serán los siguientes; la zona directa sera
db.iesjacaranda.org y la zona inversa sera db.3.168.192.

Para   empezar   des­comentaremos   la   linea   "include   /etc/bind/zones.rfc1918;"   y   después

añadiremos nuestras zonas, de esta manera nos deberá quedar de la siguiente manera.

En el siguiente paso debemos crear los ficheros que hacen referencia a nuestras zonas, de
esta manera crearemos los dos ficheros "db.iesjacaranda.org" y "db.3.168.192".

Este seria nuestro fichero db.iesjacaranda.org:

Hoja 19 de 72
 Descripción técnica Portal cautivo con PfSense

Y nuestro fichero db.3.168.192:

Ahora podremos comprobar que están bien configurados las zonas ejecutando el comando
"named­checkconf" si nos aparece "ok" nos indicara que esta todo bien configurado.

Ahora reiniciaremos el servidor “service bind9 restart” y en el fichero “/etc/resolv.conf”
debemos añadir la IP del servidor DNS, esta parte debemos hacerlo también en los dos siguientes
servidores ya que los tendremos con IP estática, el fichero tendrá que quedar de la siguiente
manera.

Después   tendremos   que   reiniciar   la   conexión   mediante   “service   networking   restart”   y

podremos comprobar que nos resuelve los nombres de nuestros equipos y dominios de fuera de
nuestro rango local.

Hoja 20 de 72
 Descripción técnica Portal cautivo con PfSense

4.2. Instalación y configuración del servidor DCHP.
En   este   punto   instalaremos   y   configuraremos   nuestro   servidor   DHCP,   para   distribuir
direcciones IP's en nuestra infraestructura, en principio tendremos dos subredes LAN y DMZ, a
nosotros   nos   interesara   que   nos   de   direcciones   IP's   en   la   subred   LAN   pero   también   lo
modificaremos para la subred DMZ. Tendremos que tener en cuenta los ficheros a modificar en
nuestro servidor.

Para   empezar   la   instalación   como   hicimos   en   el   anterior   punto   actualizaremos   los

repositorios para instalar las versiones más recientes, con el siguiente comando

# apt­get update && apt­get upgrade

Hoja 21 de 72
 Descripción técnica Portal cautivo con PfSense

Proseguiremos instalando el paquete necesario en debian para el servidor DHCP llamado
"isc­dhcp­server", para instalarlo tendremos que ejecutar el siguiente comando:

# apt­get install isc­dhcp­server

Durante la instalación nos deberá de salir un mensaje de error, ya que todavía nos falta
modificar ciertos aspectos en el servidor.

Para   solventar   este   fallo   debemos   modificar   el   fichero   "/etc/default/isc­dhcp­server"   y

tendremos que modificar la linea de la interfaz que estará escuchando las solicitudes de DHCP.

Seguiremos con la configuración de nuestro servidor DHCP configurando el "dhcpd.conf".
En este fichero indicaremos las subredes y los rangos que tiene cada subred. También hemos
añadido IP's reservadas para nuestros servicios en DMZ. 

En   este   fichero   dejaremos   los   parámetros   que   están   por   defecto   y   al   final   del   fichero
añadiremos nuestras subredes y las IP's reservadas así nos deberá quedar la configuración:

Hoja 22 de 72
 Descripción técnica Portal cautivo con PfSense

En el mismo fichero asignaremos las IP's reservadas, para ello debemos saber la dirección
MAC de las maquinas que queremos reservarle una IP, sabiendo su dirección MAC podremos
añadir las siguientes lineas en el fichero.

4.3. Instalación y configuración del servidor FreeRADIUS y LDAP.

En este punto vamos a configurar la MV donde tendremos alojados el servicio RADIUS y
LDAP, para la autenticación del portal cautivo. Este punto será una configuración algo más
compleja,   usaremos   una   autenticación   mediante   EAP­TTLS.   Estos   serán   los   archivos   que
modificaremos para su configuración.

Hoja 23 de 72
 Descripción técnica Portal cautivo con PfSense

Como en los puntos anteriores tendremos que actualizar los repositorios para poder instalar
las versiones más recientes.

# apt­get update && apt­get upgrade

4.3.1. Configuración de FreeRADIUS
Después de actualizar pasaremos a instalar los paquetes, de esta manera instalaremos  el
paquete FreeRADIUS utilizando el que tiene soporte LDAP , con lo cual usaremos el siguiente
comando.

#apt­get install freeradius­ldap

Para   empezar   a   configurar   el   FreeRADIUS,   modificaremos   el   fichero   principal

“radius.conf”. Para empezar si queremos guardar los logs de las solicitudes de autenticación,
debemos modificar las lineas:

Por defecto las lineas “auth”, “auth_badpass” y “auth_goodpass” estarán = no nosotros lo
modificamos como yes, de esta manera los logs de freeradius tengan mas detalles.

Continuando   con   el   mismo   fichero,   como   usaremos   LDAP   para   los   usuarios   debemos
comentar las lineas indicadas a continuación.

#$INCLUDE sql.conf

#$INCLUDE sql/mysql/counter.conf

#$INCLUDE sqlippool.conf

Siguiendo la configuración pasaremos a configurar el fichero “eap.conf”, en este fichero
tendremos que definir dónde se encuentran los certificados del servidor y de la autoridad de

Hoja 24 de 72
 Descripción técnica Portal cautivo con PfSense

certificación.

Como vamos a utilizar el método de autenticación EAP­TTLS no nos obliga a crear una
autoridad   de   certificación,   aunque   necesitaremos   tener   un   certificado   de   servidor.   Podemos
disponer de dicho certificado con varias opciones:

1. Usar el certificado que se crea automáticamente al instalar FreeRADIUS.

2. Crear un certificado autofirmado.

3. Crear   nuestra   propia   autoridad   de   certificación,   con   la   que   generaremos   dicho

certificado.

Nosotros hemos elegido la tercera opción, en el cual especificaremos los pasos a realizar
para   obtener   certificados,   puntos   siguientes.   Los   certificados   de   FreeRADIUS   se   guardan   en
/etc/freeradius/certs 

Detallando los conceptos anteriores pasaremos a la configuración del fichero ya comentando
anteriormente (eap.conf), las lineas que no se muestran en la configuración las comentamos.

En   el

Hoja 25 de 72
 Descripción técnica Portal cautivo con PfSense

siguiente   paso   modificaremos   el   fichero   “users”.   En   este   fichero   podríamos   dar   de   alta   los
nombres  de  usuario  y contraseña  que podrán  ser usados   para  autenticarse  frente  al  servidor
RADIUS e indicar reglas de control para usuarios de MYSQL o LDAP.

Como nosotros vamos a usar LDAP, especificaremos las reglas de control de acceso para
cada uno de los grupos definidos mediante el atributo “RadiusGroupName”.

De esta manera en el fichero “users” añadiremos las siguientes lineas al final, quedándonos
de la siguiente manera. 

Ahora   continuaremos   con   la   configuración   del   fichero   “ldap”   situado   en

/etc/freeradius/module/ldap, de esta manera nos quedaría de la siguiente manera. 

Hoja 26 de 72
 Descripción técnica Portal cautivo con PfSense

En   el   siguiente   paso   nos   centraremos   en   las   rutas   “/etc/freeradius/sites­availables/”   y

“/etc/freeradius/sites­enabled/”.

En la primera ruta, es donde se encuentran los ficheros de configuración de los servidores
virtuales   que   tengamos.   Nosotros   modificaremos   el   denominado   default   dejándolo   como   se
muestra a continuación: 

Hoja 27 de 72
 Descripción técnica Portal cautivo con PfSense

A   continuación   en   la   ruta   “/etc/freeradius/sites­enabled/”   pondremos   un   enlace   que

referencie al fichero default.

Para terminar nuestra configuración con FreeRADIUS tendremos que modificar el archivo
clients.conf dónde especificamos como cliente nuestra máquina PfSense que será el encargado
de encapsular la información de autenticación por el protocolo PPP  que los  redirigirá como
protocolo RADIUS a nuestro servidor FreeRADIUS. De este modo añadiremos la siguiente linea
en el fichero clients.conf

Hoja 28 de 72
 Descripción técnica Portal cautivo con PfSense

4.3.2. Configuración del servidor LDAP

En esta parte necesitaremos instalar el paquete de ldap con el siguiente comando:

# apt­get install slapd ldap­utils

Durante   la   instalación   nos   pedirá   la   contraseña   del   administrador   de   LDAP   y   su

correspondiente verificación:

El siguiente paso una vez instalado sera a empezar a configurar LDAP, introduciendo la
siguiente sentencia:

# dpkg­reconfigure slapd

Hoja 29 de 72
 Descripción técnica Portal cautivo con PfSense

Seleccionamos   que   no   queremos   omitir   la   configuración   como   vemos   en   la   captura

siguiente.

Lo   siguiente   sera   indicar   el   nombre   del   dominio,   que   en   nuestro   caso   sera
“iesjacaranda.org”.

En la siguiente ventana le indicaremos el nombre de la organización, siendo en nuestro caso
“iesjacaranda”. 

Hoja 30 de 72
 Descripción técnica Portal cautivo con PfSense

Ahora nos pedirá la contraseña del administrador de LDAP y su verificación que nosotros
asignamos anteriormente “admin” .

Seleccionamos el motor de base de datos “BDB”.

Seleccionaremos que no borre la base de datos si se purga el paquete slapd. Y que mueva los
ficheros ya creados

Hoja 31 de 72
 Descripción técnica Portal cautivo con PfSense

Ahora nos pedirá si queremos permitir el protocolo slapdv2 y le diremos que no.

Seguiremos la configuración para adaptarlo con el servidor RADIUS. Para ello necesitamos
crear   una   estructura   que   queramos   para   LDAP,   por   ejemplo   el   siguiente   fichero   llamado
“estructura.ldif”.

Hoja 32 de 72
 Descripción técnica Portal cautivo con PfSense

Despues de crearlo lanzaremos el siguiente comando para añadir la estructura al servidor LDAP.

# ldapadd ­x ­D “cn=admin,dc=iesjacaranda,dc=org” ­W ­f estructura.ldif

Al lanzar el comando nos pedir autenticación de administrador que sera la contraseña que
configuramos para LDAP. Y saldrán que se han añadido nuestra estructura en LDAP.

Hoja 33 de 72
 Descripción técnica Portal cautivo con PfSense

Con   el   comando   slapcat   podremos   mostrar   la   estructura   añadida,   como   podemos   ver   a
continuación.

Hoja 34 de 72
 Descripción técnica Portal cautivo con PfSense

Para continuar debemos añadir un esquema a LDAP (radius.schema). Esto lo realizamos por
la razón es que el servidor LDAP reconozca los siguientes atributos con sus correspondiente
objectclass, al añadir a los usuarios

• atributo “dialupAccess”

• atributo “radiusGroupName”

• objectclass “radiusprofile”

El   esquema   lo   tenemos   disponible   en   la   siguiente   ruta

“/usr/share/doc/freeradius/examples/openldap.schema” que tendremos que copiarlo en el directorio
de esquemas  de ldap “/etc/ldap/schema/”, cambiando le el nombre por radius.schema. Una vez
copiado pasaremos a generar un archivo en cualquier ubicación llamado schema.conf y le añadimos
lo siguiente.

Include /etc/ldap/schema/radius.schema

Podemos hacer una busqueda de los esquemas que existen en nuestro ldap, con el siguiente
comando:

# ldapsearch ­Q ­LLL ­Y EXTERNAL ­H ldapi:/// ­b \cn=schema,cn=config dn

El siguiente paso seria, crear un directorio, por ejemplo, “ficheros” y seguidamente ejecutar
el siguiente comando.

#   slapcat ­f radius.conf ­F ficheros ­n0 ­H ldap:///cn={0}radius,cn=schema,cn=config ­l

Hoja 35 de 72
 Descripción técnica Portal cautivo con PfSense

cn=radius.ldif

Esto nos generará una serie de ficheros en el directorio “ficheros” y un fichero en la ruta
donde estemos.

Ahora   tendremos   que   proceder   a   modificar   el   fichero   “cn=radius.ldif”,   cambiamos   las

siguientes lineas: 

Que queden de la siguiente manera: 

Y en el final del fichero eliminamos las siguientes lineas: 

Ahora tendremos que añadir el esquema a LDAP que lo haremos de lanzando el siguiente
comando:

# ldapadd ­Q ­Y EXTERNAL ­H ldapi:/// ­f cn\=radius.ldif

Hoja 36 de 72
 Descripción técnica Portal cautivo con PfSense

Con   el   comando   que   ejecutamos   anteriormente   para   mostrar   los   esquemas   que   tenia   el
servidor  LDAP, lo volveremos  a ejecutar para  verificar  que se añadido  nuestro esquema  de
RADIUS.

# ldapsearch ­Q ­LLL ­Y EXTERNAL ­H ldapi:/// ­b \cn=schema,cn=config dn

Por ultimo debemos reiniciar los dos servicios:

# service slapd restart

# service freeradius restart

Ya   teniendo   configurada   la   estructura   y   añadido   los   esquemas,   pasaremos   a   añadir   los

usuarios en LDAP para la autenticación en el portal cautivo, para ello tendremos crearemos un
fichero llamado por ejemplo “usuarios.ldif” y deberá tener la siguiente estructura:

Hoja 37 de 72
 Descripción técnica Portal cautivo con PfSense

Ejecutando el siguiente comando podremos añadir el usuario a la base de datos.

# ldapadd ­x ­D “cn=admin,dc=iesjacaranda,dc=org” ­W ­f usuarios.ldif

También   podremos   utilizar   una   interfaz   gráfica   para   añadir   usuarios   como   por   ejemplo
“ApacheDirectoryStudio”   o   “phpLDAPadmin”.   En   nuestro   proyecto   decimos   probar
phpLDAPadmin.

Que en nuestro caso la instalamos en la maquina física tan solo tenemos que ejecutar el
siguiente comando.

# apt­get install phpldapadmin

Después debemos configurar el fichero “/etc/phpldapadmin/config.php” para que apunte a
nuestro servidor LDAP. Como mostramos en la siguiente captura: 

Hoja 38 de 72
 Descripción técnica Portal cautivo con PfSense

Y   desde   el   navegador   podremos   acceder   a   la   interfaz   gráfica   para   poder   administrar   el

servidor LDAP, tan solo tendremos que poner la siguiente dirección “localhost/phpldapadmin” y
accederemos.

Hoja 39 de 72
 Descripción técnica Portal cautivo con PfSense

4.3.3. Certificados.
Para   terminar   la   configuración   de   nuestro   servicio   de   FreeRADIUS   necesitaremos
configurar los certificados del servidor. Para ello modificaremos los ficheros (ca.cnf, client.cnf y
server.cnf)   que   se   encuentran   en   la   ruta   “/usr/share/doc/freeradius/examples/certs/”.   Una   vez
modificados los ficheros lanzamos el siguiente comando.

# ./bootstrap

El cual realizará una serie de procesos el cual creara una lista de ficheros que serán los
certificados generados 

• 01.pem

• ca.key

• ca.pem

• server.crt

• …

Empezaremos configurando el fichero “ca.cnf” nosotros tan solo modificaremos el apartado
de certificate_authority que deberá quedar de la siguiente manera. 

El   siguiente   fichero   a   configurar   sera   el   “server.cnf”   que   sirve   para   configurar   los
parámetros del certificado del servidor.

Hoja 40 de 72
 Descripción técnica Portal cautivo con PfSense

Ya tan solo
nos   quedara
modificar   el
último fichero “client.cnf” que configurara los parámetros del certificado del cliente.

Teniendo   los   archivos   configurados   ejecutamos   el   comando   que   anteriormente   hemos

hablado y al terminar nos genera los archivos necesarios.

Una vez obtenidos los ficheros, los copiamos en la siguiente ruta “etc/freeradius/certs/”.

Ya teniendo todo configurado, puede que el servidor no corre adecuadamente y para poder
tratar de identificar el problema y corregirlo podemos usar el modo depuración. Al iniciar el
servidor modo depuración , en pantalla se irán presentando los mensajes de ejecución mediante
los cuales se pueden identificar posibles problemas durante la ejecución del servicio.

Para iniciar el modo depuración tan solo tendremos que ejecutar en consola el siguiente
comando:

Hoja 41 de 72
 Descripción técnica Portal cautivo con PfSense

# freeradius ­X

Si al final de ejecutar el comando aparece el mensaje que indica más abajo, esto indicará que
está corriendo adecuadamente, para verificar su funcionamiento se puede emplear “radtest”

Vamos hacer una verificación con “radtest”

Si nos muestra Access­Accept es que se autentificado correctamente.

Detallemos el comando de radtest 

# radtest user pass localhost 0 testing

user → usuario o nombre de usuario

pass → password del usuario

localhost → ip del servidor

0 → Nas­Port

testing→ contraseña compartida entre radius y el punto de acceso.

4.4. Instalación y configuración del portal cautivo PfSense.

En este punto explicaremos como instalar PfSense en Virtual Box, empezaremos desde que
se selecciona la ISO al arrancar la máquina, ya que al instalar necesitaremos precisar algunos
detalles.

Hoja 42 de 72
 Descripción técnica Portal cautivo con PfSense

Para  empezar  habilitaremos  tres  adaptadores   de red  en  Virtual  Box,  una  será adaptador
puente, que será la que este conectada a internet. esta en PfSense se llamara WAN, que la
dejaremos que coja dirección IP por DHCP y nos cojera una dirección suministrada por nuestro
router   domestico.   Luego   las   otras   dos   las   pondremos   en   red   interna,   que   mas   adelante   las
configuraremos para que sean la subred LAN y DMZ.

Después empezaremos con seleccionaremos  la ISO de PfSense y le damos a iniciar.

Al arrancar la  máquina nos  aparecerá lo  siguiente,  que si damos  a “enter”  se pondrá a

cargarse o esperamos el tiempo de espera.

Hoja 43 de 72
Descripción técnica Portal cautivo con PfSense

Hoja 44 de 72
 Descripción técnica Portal cautivo con PfSense

Entonces nos cargará el sistema y como en la imagen anterior podremos esperar el tiempo de
espera o pulsar “i” para empezar la instalación del sistema.

Tras terminar el tiempo de espera o pulsar “i”empezara la instalación, de esta manera nos
saldrá la ventana siguiente que tendremos que ejecutar la opción “Accept these Settings”.

Hoja 45 de 72
 Descripción técnica Portal cautivo con PfSense

En la siguiente ventana deberemos seleccionar “Quick/Easy Install”.

Siguiendo
con el proceso le
daremos ha “OK”.

Ahora nos empezara a instalar el sistema, en momento nos pedirá el tipo de Kernel a utilizar,
nosotros elegiremos “Standard Kernel” .

Hoja 46 de 72
 Descripción técnica Portal cautivo con PfSense

Al terminar el proceso nos pedirá reiniciar el equipo, pero antes tendremos que desmontar la
ISO de los dispositivos y tendremos que forzar el desmonte.

Hoja 47 de 72
 Descripción técnica Portal cautivo con PfSense

Y ya podremos reiniciar el equipo. 

Al iniciar el equipo se nos carga la configuración y la interfaz WAN se nos configurará por
defecto.

Las otras dos tendremos que configurarlas. Por el momento tenemos las interfaces WAN y
LAN (ésta última aún sin dirección IP). Pasaremos a configurar la interfaz LAN desde la consola
como   se   muestra   a   continuación   y   posteriormente   conectaremos   una   máquina   virtual   para
gestionarla vía web PfSense.

Hoja 48 de 72
 Descripción técnica Portal cautivo con PfSense

En este menú que nos muestra PfSense en modo consola, para la configuración de la red
LAN tendremos que ejecutar la opción 2.

Luego nos aparecerá qué interfaz queremos configurar, como queremos configurar LAN
ejecutaremos 2, luego nos pedirá una dirección IP que será la que tendrá la interfaz.  

Seguidamente le indicamos la máscara de subred (24), dirección de gateway(la misma que la
de la interfaz), dirección IPv6(en blanco), habilitar servidor DHCP(no lo habilitamos porque lo
haremos después vía web).

Hoja 49 de 72
 Descripción técnica Portal cautivo con PfSense

Como podemos ver en la siguiente imagen la configuración de nuestras subredes. 

En   el   siguiente   paso   será   configurar   PfSense   mediante   la   aplicación   web   que   trae
incorporada,   usaremos   este   método   ya   que  es   más   intuitivo   y  fácil   de   configurar.   Para   ello
debemos usar una máquina virtual con interfaz gráfica y acceder con el navegador. 

De esta manera tendremos que configurar la máquina con una IP estática.

Ya entramos al navegador y accedemos a la aplicación web con la dirección 192.168.2.1.
Que la primera pantalla que nos aparecerá sera para autenticarse como administrador en el portal.
Sus credenciales por defectos son las siguientes:

User: admin

Password: pfsense

Hoja 50 de 72
 Descripción técnica Portal cautivo con PfSense

Tras autenticar nos empezará una configuración inicial vía web que iremos detallando poco
a poco.

Para empezar nos pedirá un nombre de host, nosotros usaremos (“caronte”),   el dominio
(“iesjacaranda.org”). Otra opción que añadiremos sera el servidor DNS (192.168.3.102).

Hoja 51 de 72
 Descripción técnica Portal cautivo con PfSense

En la siguiente ventana nos pedirá la zona horaria de la zona donde nos encontramos.

A   continuación   nos   pedirá   configurar   la   interfaz   WAN,   que   nosotros   la   dejaremos   por
defecto.

La   próxima   ventana   nos   pedirá   configurar   la   interfaz   LAN,   como   ya   lo   hicimos

anteriormente. 

Hoja 52 de 72
 Descripción técnica Portal cautivo con PfSense

Después nos pedirá cambiar la contraseña del administrador. Que por seguridad deberemos
cambiarla y poner una compleja, y no dejar la que viene por defecto.

La siguiente ventana nos pedirá que recarguemos la configuración que hemos hecho para
finalizar la configuración inicial. 

Hemos   terminado   la   configuración   inicial   y   ahora   continuaremos   configurando   otros

aspectos seleccionado para ello la segunda opción.

Habilitaremos  la   interfaz   de   DMZ,   el   DHCP   relay,   DNS   Forwaders   y   como
clave principal el portal cautivo.

Para empezar, configuraremos la interfaz de DMZ para ello nos dirigiremos a inteface →

Hoja 53 de 72
 Descripción técnica Portal cautivo con PfSense

(assign)

En la ventana que nos aparece nos saldrá una interfaz sin añadir que debemos pulsar “add” y
a continuación “save” y nos indicara que se añadido correctamente la interfaz que por defecto se
llama “OPT1”.

Para su configuración debemos acceder a ella pinchando en el nombre. 

En su configuración debemos  habilitarla marcando la casilla “enable interface”, después
configuraremos  su “description”  que será “DMZ” en  nuestro  caso. El  siguiente  parámetro a
configurar es  IPv4 que lo pondremos  en estático, IPv6 lo dejaremos  en  “none”. Los  demás
parámetros los dejaremos por defecto, tan solo tendremos que añadir la dirección IP en nuestro
caso sera 192.168.3.254 y la mascara de subred siendo 24, quedando de la siguiente manera.

Hoja 54 de 72
 Descripción técnica Portal cautivo con PfSense

Le daremos a “save”, terminando la configuración de la interfaz. Pero nos queda un detalle
que resolver, siendo que debemos añadirle reglas en el firewall para que poder tener conexión.
Ya que por defecto no tiene ninguna regla y el firewall le estaría cortando toda conexión. Las
otras dos subredes, al configurarse en modo consola y al inicio se les asigna unas reglas por
defecto.

Para añadir una regla de firewall tendremos que ir a firewall→ rules.

Hoja 55 de 72
 Descripción técnica Portal cautivo con PfSense

Ahora debemos seleccionar DMZ para añadir la regla. Y para añadir una regla utilizaremos
el botón “ADD”, y nos mostrara otra ventana donde tendremos que configurar las regla que
queremos añadir.

De esta manera nos deberá quedar la regla que añadimos para DMZ.

Hoja 56 de 72
 Descripción técnica Portal cautivo con PfSense

Y le daremos “save” y nos dirá si queremos aplicar los cambios y aceptaremos. De esta
manera tendremos salida a internet y tener comunicación con la otra subred. 

Ahora pasaremos a configurar el DHCP relay que para acceder a el tendremos que ir ha
services → DHCP relay.

Podemos observar que también podemos configurar un servidor DHCP en PfSense, pero
esta opción la descartamos ya que tenemos nuestro propio servidor. Si tuviéramos que usar éste,
sería más fácil de configurar, ya que es muy intuitivo. 

Hoja 57 de 72
 Descripción técnica Portal cautivo con PfSense

En la configuración tendremos que habilitarlo marcando la casilla “Enable DHCP relay on
interface”   y   se   nos   abrirá   la   configuración   así   marcaremos   donde   funcionara   el   DHCP,   en
nuestro caso sera la interface LAN. A continuación en Destination server debemos poner la
dirección IP de nuestro servidor DHCP y darle a “add”, después pulsaremos “save” y aplicar los
cambios.

Así ya tendremos configurado el DHCP relay en el router. Detallaremos un poco para que
sirve este servicio en el router.

DHCP Relay es un protocolo usado por si tienes otro servidor DHCP en la red. Esta sirve
para que todas las peticiones que le lleguen al router sean reenviadas hacia el servidor DHCP.

El siguiente servicio que configuraremos sera el DNS forwarder, este servicio podremos
configurar lo como el anterior en services así siendo su ruta services → DNS forwaders.

Hoja 58 de 72
 Descripción técnica Portal cautivo con PfSense

Para configurar lo tendremos que habilitarlo marcando la casilla “Enable DNS forwarder”,
después   marcaremos   las   casillas   del   apartado   “DNS   Query   Forwarding”   y   los   siguientes
parámetros a configurar serán el puerto por donde escuchara que sera el 53 y que interfaz estará
actuando. Ya configurado estos parámetros le daremos “Save” y aplicaremos los cambios. 

Hoja 59 de 72
 Descripción técnica Portal cautivo con PfSense

El siguiente servicio a configurar sera el principal de nuestro proyecto, el portal cautivo.
Para su configuración debemos ir ha services→ Captive Portal.

Entrando   en   esa   ruta   se   nos   mostrara   la   imagen   de   abajo,   para   crear   el   portal   cautivo
debemos seleccionar “Add” y se nos abrirá una nueva ventana.

En   esta   ventana   pondremos   un   nombre   de   zona,   en   nuestro   caso   hemos   puesto

“Portalcautivo” y de “description” podemos poner una descripción sobre el zona. Después le
daremos a “Save & Continue”.

Hoja 60 de 72
 Descripción técnica Portal cautivo con PfSense

La siguiente ventana debemos habilitar el portal cautivo marcando la casilla “Enable Captive
Portal”, de esta manera se nos abrirá los parámetros que hay que configurar en el portal cautivo.
Los parámetros que nos saltaremos, los dejaremos por defecto o los dejamos des­habilitados, ya
que no nos harán falta en nuestra configuración.

De esta manera configuraremos una configuración básica para nuestro portal.

Seleccionaremos la Interfaz donde actuará el portal cautivo, siendo la subred LAN

En la siguiente imagen la opción “Pre­authentication redirect URL” dejaremos la que tiene
por defecto, esta opción es para que nos re­dirija a la pagina de autenticación del portal cautivo.
La siguiente opción podemos poner cualquier URL que queramos que nos redireccione después
de autenticar nos, nosotros hemos elegido que nos redireccione a la pagina del departamento del
instituto

En la siguiente imagen, hemos habilitado una restricción de banda de ancha tanto de subida
como de bajada para los usuarios autenticados .

Hoja 61 de 72
 Descripción técnica Portal cautivo con PfSense

Las siguientes opciones utilizadas es la de “Authentication” en este módulo podemos elegir
tres modos, el primero no sería necesario una autenticación en el portal, la segunda opción sería
creando usuarios en el mismo PfSense, pero a nosotros nos interesa la tercera que es “RADIUS
Authentication” que será la que marquemos, de esta manera se nos abrirá los parámetros para
configurar la conexión con el servidor RADIUS, nosotros usaremos el protocolo PAP para la
comunicación con RADIUS, y en el siguiente módulo tendremos que poner la dirección IP de
nuestro servidor RADIUS siendo este 192.168.3.100, la segunda opción sería poner el puerto
pero si lo dejamos en blanco coge el puerto por defecto (1812) la tercera opción no es necesaria
añadirla, que seria la clave configurada en RADIUS en el fichero “clients.conf”

El   siguiente   modulo   que   configuremos   sera   el   de   HTTPS,   que   nosotros   lo   habilitamos

marcando la casilla “Enable HTTPS login”, la siguiente opción sera el nombre del servidor de
HTTPS   que   sera   el   de   nuestra   maquina   PfSense.   La   siguiente   opción   seria   seleccionar   el
certificado SSL, que nosotros hemos elegido el que nos da por defecto PfSense.

Hoja 62 de 72
 Descripción técnica Portal cautivo con PfSense

Ya   por   último   configuramos   el   contenido   html   que   nos   mostrará   cuando   tengamos   que
autenticarnos. 

Hoja 63 de 72
 Descripción técnica Portal cautivo con PfSense

Que por defecto sería el que mostramos a continuación. 

Pero nosotros lo cambiamos por el siguiente.

Hoja 64 de 72
 Descripción técnica Portal cautivo con PfSense

Cuando tengamos todo configurado le damos “Save” y aplicamos los cambios, así tendríamos
funcionando el portal cautivo, el servidor DHCP y DNS en la red LAN.

De esta manera desde una máquina cliente que esté conectado a la subred LAN intentaremos
acceder a cualquier pagina y nos mostrará la siguiente pantalla:

Cuando nos autenticamos con un usuario que este en LDAP nos redireccionará a la pagina
del instituto y podremos acceder a cualquier página de internet. También miraremos que la IP de
la maquina cliente este en el rango del servidor DHCP, y que el encargado de resolver los
nombres de dominio es nuestro servidor DNS. 

En la imagen anterior podemos ver que la maquina cliente esta en el rango de IP’s que tiene
nuestro servidor DHCP siendo el rango 192.168.2.5 – 192.168.2.100

Hoja 65 de 72
 Descripción técnica Portal cautivo con PfSense

Y tras ejecutar el comando “nslookup” podemos observar que nuestro servidor DNS es el
que resuelve el nombre de dominio, siendo su dirección 192.168.3.102.

Con   PfSense   podemos   controlar   los   usuarios   que   están   autenticados     accediendo
services→Captive Portal veremos cuantos hay autenticados y en la opción status veremos que
usuarios están autenticados.  

Enlace del video de la demostración del funcionamiento.

https://youtu.be/yWrdc1d9UAY

4.5. Configuración del punto de acceso.
Para probar nuestra infraestructura fuera de máquinas virtuales, configuraremos un punto de
acceso para que se puedan conectar dispositivos por WiFi. Para poder configurar el punto de
acceso,   tendremos   que   poner   nuestro   adaptador   de   red   de   PfSense   como   puente   que   estará
apuntando a nuestra interfaz ethernet de la máquina física y hay conectaremos nuestro punto de
acceso. 

Entraremos al punto de acceso por el navegador poniendo la IP 192.168.2.254 y nos pedirá
autenticación que sera user “admin” password “admin” 

Entramos a la opción de Network dejando la configuración que mostramos en la imagen
siguiente. Poniendo como gateway la interfaz de PfSense que esta controlado por PfSense.

Hoja 66 de 72
 Descripción técnica Portal cautivo con PfSense

Después entramos en la configuración de Wireless, y en Wireless Settings pondremos que
actúe como “Access point” y como nombre de WiFi Portalcautivo.

Ahora entramos en Wireless Security y quitamos la seguridad, ya que nuestra seguridad en
esta subred sera la autenticación mediante el portal cautivo.

Hoja 67 de 72
 Descripción técnica Portal cautivo con PfSense

Y por ultimo entramos en DHCP → DHCP settings y des habilitamos el server DHCP.

Cuando   terminemos   la   configuración   del   punto   de   acceso   ya   tendremos   lista   nuestra

infraestructura para utilizar el portal cautivo.

5. Problemas.
En este punto explicaremos los problemas que nos han surgido durante la configuración de
nuestro proyecto.

• Uno de los mayores inconvenientes, es que la mayor parte de la documentación para
configuración de algunos servicios (FreeRadius, PfSense) están en ingles. 

• Problemas con LDAP, con la compatibilidad entre los sistemas de autenticación y los
protocolos de autenticación.

• El esquema de radius.schema para LDAP, si lo añadimos antes de crear la estructura
básica,   desaparecerá   una   vez   al   añadir   la   estructura.   Teniendo   que   volverla   a
añadirla.

• En ocasiones ha utilizar el modo depuración, no funciona bien. Dando el siguiente
fallo. 

Para solventarlo utilizamos la siguiente sentencia.

# killall freeradius

Después de ejecutarlo limpiaremos los procesos de FreeRADIUS y podremos volver 
a ejecutar el modo depuración.

# freeradius ­X

Hoja 68 de 72
 Descripción técnica Portal cautivo con PfSense

• Durante la configuración del DNS en PfSense no nos resolvía por nuestro servidor
DNS configurado en la red LAN, la solución fue abrir los puertos en dicha interfaz.

En las imágenes siguientes estará la configuración de la regla de firewall para 
solventar el problema, pondremos que la acción pase, la interfaz LAN, como el 
protocolo del DNS es UDP debemos indicarlo.

En   la   siguiente   imagen   debemos   indicar   el   origen   siendo   “LAN   net”   y   después  

modificaremos  el   destino   que   le   indicamos   que   sera   “Single   host   or   alias”   y   a  
continuación ponemos la  dirección   IP   de   nuestro   servidor   DNS,   en   el   apartado   del  
puerto destino le asignamos el 53  que es el puerto donde se comunica el DNS

Hoja 69 de 72
 Descripción técnica Portal cautivo con PfSense

Al guardar los cambios en la lista de reglas nos aparecerá la regla añadida.

• El siguiente problema nos daba a utilizar DHCP relay, que cuando intentábamos
acceder a internet, no nos resolvía la pagina de autenticación del portal cautivo. 

Probamos en meter en el servido DNS la dirección de caronte.iesjacaranda.org

Hoja 70 de 72
 Descripción técnica Portal cautivo con PfSense

Esto no nos lo solucionaba y la siguiente solución si nos funciono, al habilitar el 
DNS forwarder en PfSense decidimos poner como DNS secundario en la 
configuración del servidor DHCP.

De esta manera si nos resolvía el nombre de la pagina de autenticación del portal

6. Tareas Pendientes y Mejoras.
Como tareas pendientes en el proyecto no nos dejamos ninguna, ya que el contenido es
bastante completo y su funcionamiento es correcto. Pero si podríamos añadirle mejoras como
son:

• Afinar y mejorar la configuración del firewall de PfSense, es decir, crear las reglas
correspondientes para su mejor funcionamiento.

• Añadir   una   maquina   con   Servidor   web   para   la   utilización   de   la   página   de

autenticación del portal cautivo, ya que desde el portal cautivo hay problemas al
añadir imágenes.

• Utilizar un certificados  de confianza en PfSense generado por nosotros  mismo o

solicitarlo uno en www.cacert.org.

• Se podría configurar la conexión segura para LDAP.

• Que al  crear  usuarios  de  autenticación en  el portal cautivo tengan un tiempo de

expiración, es decir, creamos unas credenciales que duren unas horas, un día o varios
días.

Hoja 71 de 72
 Descripción técnica Portal cautivo con PfSense

7. Conclusión
Mi   conclusión   final   sobre   el   trabajo   realizado,   me   ha   parecido   interesante.   Me   gustaría
explorar   más   PfSense   y  probar   otros   servicios   que   nos   proporciona(VPN,   Proxy,   balanceo).
Sobre el portal cautivo es una aplicación interesante para utilizar, por ejemplo; aplicarlo en mi
casa y si vienen visitas generar unas credenciales y entregárselas a los visitantes.

8. Bibliografía.

Configuración de PfSense.

https://forum.pfsense.org/index.php

https://www.youtube.com/channel/UCYmQGJM8E_Ip8TK8js32Wwg/videos

     Configuración de FreeRadius

    https://tecadmin.net/freeradius­authentication­with­openldap/#

    http://wiki.freeradius.org/Home

     Instalar phpLDAPadmin

     https://blog.intropedro.com/es/content/instalar­phpldapadmin

Hoja 72 de 72