TC Kimlik ve SMS Doğrulamalı Hotspot Yapılandırması

Ghost Script, pfSense ile çalışan ve gelişmiş yönetici arayüzüne sahip tamamen ücretsiz bir hotspot projesidir. Bu sayede misafir kullanıcılarının, 5651 sayılı kanuna tabii olarak internet erişimlerine izin vermeniz mümkündür. Kullanıcılar internete SMS doğrulama ile, TC Kimlik doğrulaması ile ya da sistem yöneticisi tarafından oluşturulan fiş ile internete erişebiliyor olacaklardır. Bu yazımda pfSense hotspot yapılandırması hakkında bilgi veriyor olacağım. TC Kimlik ve SMS Doğrulamalı Hotspot Yapılandırması için aşağıdaki yönergeleri takip ediniz.

 *SMS Doğrulama  için ayrıca SMS hesabı satın alınmalı ve Ghost yönetim panelinden entegrasyonunun yapılması gerekmektedir. (Ghost Script’te varsayılan olarak desteklenen SMS hizmet sağlayıcısı https://www.iletimerkezi.com/dur.)

Teşekkürler:

Devam etmeden önce, Ghost Script’te emeği geçen başta Samet YILMAZ olmak üzere sırasıyla, Uğur DEMİR, Serhat SABUNCU ve Çözümpark’a teşekkürlerimi sunarım.

Bilindiği üzere pfSense’in yeni sürümleri ile birlikte php ve mysql’e gelen güncellemeler sonrasında Ghost Script çalışmamaya başlamıştı. Bunun en önemli nedenlerinden birisi php7 artık mysql_connect() ve mysql_query() fonksiyonlarını kullanımdan kaldırmış olmasıdır. En güncel sürümü olan pfSense 2.7.0 versiyonu için Ghost Script’i çalışır hale getirerek sizinle paylaşıyorum.

Changelog:

• Ghost Script php 8’e uyumlu hale getirildi.
• Radius.sql dosyasında bulunan radacct tablosundaki kolonlar yeniden düzenlendi.
• Radcheck tablosunda olması gereken attribute’ler düzeltildi.
• Önceki versiyonda TC Kimlik otantikasyonundan sonra kişiye, kullanıcı adı ve şifre oluşturuyordu. Kullanıcı adı TC Kimlik No, Şifre ise doğum yılı olacak şekilde değiştirildi.
• SMS doğrulaması için operatör kodu validasyonu eklendi.
• Radacct tablosunda acctinterval kolonunun eksik olması interim update esnasında hata döndürüyordu, ilgili kolon radacct tablosuna eklendi.
• Captive Portal delay sorunu giderildi.

pfSense 2.7.1 ISO

pfSense Kurulum Adımları

Kurulum Adımları:

İşlemler sırasında çok fazla kopyala yapıştır kullanıyor olacağımızdan ve de bu işlemleri VMware konsolunda yapamayacağımızdan dolayı sshd servisi enable etmemizde fayda var. Hem de bu sayede daha efektif çalışmış olacağız.  (14 sonrasında y ile onaylıyoruz)

Artık SSH (Port 22) ile pfSense komut satırına geçiş yapabiliriz. Web Console’da giriş yaparken varsayılan kullanıcı admin olmasına karşın komut satırında root kullanıcısını kullanıyor olacağız. Şifre ise admin şifresi ile aynıdır. Giriş yaptıktan sonra 8 ile komut satırına düşmemiz gerekmektedir. Bu kısımda PuTTY ya da herhangi bir terminal uygulaması kullanabilirsiniz.

FreeBSD Reposunun Aktif Edilmesi:

Dosya içeriğini düzenlerken “nano” kullanacağım ilk olarak aşağıdaki komutla kurulumunu gerçekleştiriyoruz.

pkg install nano

Sonrasında FreeBSD reposunu kullanabilmemiz için 2 dosyada düzenleme yapmamız gerekmektedir. Aşağıdaki dosyalarda  FreeBSD: { enabled: no }  parametresini  FreeBSD: { enabled: yes }  olarak değiştiriyoruz.

nano /usr/local/etc/pkg/repos/pfSense.conf

nano /usr/local/etc/pkg/repos/FreeBSD.conf

Bilmeyenler olabilir, nano ile düzenlemiş olduğumuz dosyayı  CTRL + X  tuş kombinasyonundan sonra  Y  ve son olarak  Enter  tuşu ile kayıt ediyoruz.

FreeBSD reposunu aktif ettiğimize göre repoyu  aşağıdaki komut ile güncelliyoruz:

pkg update

MySQL, Compact, MySQLi, SOAP ve OpenSSL Kurulumu:

Aşağıdaki komutları sırayla çalıştırıyoruz:

pkg install mysql80-server
pkg install compat9x-amd64
pkg install php82-mysqli
pkg install php82-soap
pkg install openssl

Kurulumlar tamamlandıktan sonra pfSense yeniden başlatıldığında MySQL servisinin otomatik olarak çalışması için aşağıdaki komutu giriyoruz:

echo 'mysql_enable="YES"' > /etc/rc.conf

MySQL servisinin dosya uzantısı *.sh ile bitmeli bu yüzden mysql-server dosyasının adını mysql-server.sh ile değiştiriyoruz.

mv /usr/local/etc/rc.d/mysql-server /usr/local/etc/rc.d/mysql-server.sh

Her ihtimale karşın mysql-server.sh dosyası içinde bulunan  : ${mysql_enable=”NO”}  parametresini  : ${mysql_enable=”YES”}  olarak değiştiriyoruz. Bunun için de aşağıdaki gibi ilgili dosyayı nano ile düzenlememiz gerekmektedir.

nano /usr/local/etc/rc.d/mysql-server.sh

MySQL tablosunda şişme olmaması için aşağıdaki dosyada bulunan  log-bin  parametresinin başına # işareti koyup kayıt edip çıkıyoruz.

nano /usr/local/etc/mysql/my.cnf

pfSense’i  yeniden başlatıyoruz.  Bu kısımı atlarsanız  mysql_secure_installation çalışmayacaktır.  pfSense ayağa kalktığında tekrar konsola bağlantı sağlıyoruz ve 8 ile yine komut satırına düşüyoruz. Aşağıdaki komut ile bizden MySQL root kullanıcısının şifresini değiştirip değiştirmek istemediğimizi soracaktır. y|Y ile değiştiriyoruz. Buraya verdiğiniz şifreyi not alın daha sonra kullanacağız. Geri kalan soruları Enter tuşu ile geçebilirsiniz.

/usr/local/bin/mysql_secure_installation

MySQL Secure Installation Ekran Görüntüleri

MySQL servisi çalışıyor mu kontrol etmek için

service mysql-server.sh status

Şuna benzer bir çıktı ile karşılaşmalısınız, pid değişiklik gösterebilir.

mysql is running as pid 57047.

MySQL Veritabanı / Tablo oluşturma

Root kullanıcısı ile MySQL’e bağlanıyoruz. Bizden MySQL’deki root kullanıcısının şifresini isteyecek

mysql -u root -p

Bu arada unutmadan root şifresi password policy’e takılıp expire olabiliyor. MySQL sunucusuna bağlantı sağlanamayınca FreeRadius servisi çalışmıyor. Sorun çıkarmaması adına aşağıdaki SQL sorgusunu çalıştırıyoruz.  ‘Şifreniz’  alanı MySQL root kullanıcısının şifresi ile değişmeli.

ALTER USER 'root'@'localhost' IDENTIFIED BY 'Şifreniz',
       'root'@'localhost' PASSWORD EXPIRE NEVER;

Sonrasında radius adında bir veritabanı oluşturuyoruz ve çıkıyoruz.

CREATE DATABASE radius;

exit

Buradaki sql uzantılı dosyayı WinSCP tarzı bir programla pfSense’e gönderdikten sonra, aşağıdaki komutla önceden oluşturmuş olduğumuz radius veritabanına import ediyoruz. Yine root kullanıcımızın şifresini girmemiz gerekecek.

mysql -u root -p radius < radius.sql

nano /usr/local/etc/pkg/repos/pfSense.conf

nano /usr/local/etc/pkg/repos/FreeBSD.conf

FreeRadius Kurulumu ve Yapılandırması:

Bundan sonraki işlemleri Web Console’dan yapacağız. Admin kullanıcımız ve şifremiz ile login oluyoruz.

System > Package Manager > Available Packages kısmından freeradius3 paketini install butonu sonrasında Confirm butonu ile kuruyoruz. Kurulum esnasında sayfayı yenilemeyin ya da sayfadan ayrılmayın. Aşağıdaki gibi bir çıktı ile karşılaştığınızda kurulum tamamlanmış demektir.

Please visit Services > FreeRADIUS menu to configure the package.

EAP certificate configuration is required before using the package.
Visit System > Cert. Manager and create a CA and a server certificate.
After that, visit Services > FreeRADIUS > EAP tab and complete
the 'Certificates for TLS' section (and, optionally, also the 'EAP-TLS' section.)
>>> Cleaning up cache... done.
Success

FreeRadius Nas / Clients

Sonra Services > FreeRadius sekmesine gidiyoruz Nas/Clients kısmını aşağıdaki gibi ayarlıyoruz. Client Shared Secret’i not alın sonra bunu kullanıyor olacağız.

FreeRadius Interfaces

Bu kısımda Authentication ve Accounting Interface’leri tanımlayacağız. 1812 ve 1813 port’undan veri alış verişi olacak.

Services > FreeRadius sekmesinden Interfaces bölümüne geçiyoruz. Add butonu ile aşağıdaki gibi interface’lerimizi yapılandırıyoruz.

Authentication

Accounting

FreeRadius Interface kısmının son hali aşağıdaki gibi olmalıdır. Son kez Save butonuna basarak kayıt ediyoruz.

FreeRadius SQL

Services > FreeRadius > SQL bölümüne geçiyoruz. Yapılandırma aşağıdaki gibi olmalıdır. Database Username root kullanacağız zaten yukarıdaki adımda root için bir şifre tanımlamıştık.

Aşağıda kalan varsayılan değerler bizim için yeterli başka birşey değiştirmeye gerek yok. En altta bulunan Save butonu ile ayarlarımızı kayıt ediyoruz.

Authentication Servers Yapılandırma:

System > User Manager > Authentication Servers yolu izlendikten sonra Add butonu ile Radius ile otantikasyon metodunu ekliyoruz.

Bu kısımda yine unutulmaması gereken Shared Secret yerine FreeRadius’ta NAS / Client yapılandırması yaparken kullanmış olduğumuz Secret Key’i girmemiz gerekmektedir. Sonrasında Save butonu ile ayarlarımızı kayıt ediyoruz.

Captive Portal Yapılandırması:

Services > Captive Portal alanından Add butonu ile ilk Captive Portal’ımızı oluşturmaya başlayabiliriz.

Save & Continue dedikten sonra Enable Captive Portal kutucuğunu işaretliyoruz.

HTML Page Contents kısmına kadar ki seçeneklere dokunmuyorum. İstendiği takdirde değiştirilebilir. Örn: Kullanıcı giriş yaptıktan sonra hangi sayfaya yönlendirilecek gibi.

Aşağıdaki adıma geçmeden önce buradan GhostPortal Karşılama Sayfası dosyalarını indirmelisiniz. Sıkıştırılmış dosyayı bir yere çıkardıktan sonra  captiveportal-config.php  dosyasını editlememiz gerekiyor. Sayfanın başında aşağıdaki DB’e bağlanması için gerekli bilgileri doğru bir şekilde girmemiz gerekmektedir. Değişiklikleri kayıt ediyoruz.

$kullaniciadi="root"; // Veritabanı kullanıcı adınız
$sifre= "sifreniz"; // Veritabanı kullanıcı şifreniz
$host="localhost"; // Genelde "localhost"'tur. Eğer mysql sunucunuz başka bir yerdeyse onun IP/Hostname'ini giriniz.
$veritabani="radius"; // varsayılan olarak "radius". veritabanına başka bir isim verdiysen değiştirmen gerekecek.

Kaldığımız yerden devam ediyoruz. Use custom captive portal login page kutucuğunu işaretledikten sonra ghostportal.rar dosyasından çıkarmış olduğumuz index.html‘i Portal page contents kısmından Choose file diyerek seçiyoruz. Auth error page contents kısmından da choose file dedikten sonra hata.html seçilmelidir. Diğer dosyaları daha sonra File Manager kısmından upload ediyor olacağız.

Authentication kısmına indiğimizde ilk authentication sunucumuz  FreeRadius  ki T.C Kimlik ve SMS doğrulaması için kullanacağız, ikincisini de yerel kullanıcılar ile otantikasyon için Local Database olarak seçebiliriz.

Geri kalan ayarları aşağıdaki gibi yaptıktan sonra Save butonuna basıyoruz.

ghostportal.rar ile gelen dosyaları index.html ve hata.html hariç çünkü onları az önce import ettik. Geri kalan diğer dosyaları aşağıdan (File Manager) upload ediyoruz.

Son durum aşağıdaki gibi olmalı, özellikle captiveportal-config.php dosyasının veritabanı ile alakalı kısmını kendinize göre düzenlemeden upload etmeyiniz.

Ghost Admin Panel:

Gelelim Ghost Script’in yönetici paneline buradaki ghostadmin.zip adlı dosyayı indirip sıkıştırılmış dosyadan çıkarıyoruz sonrasında  ghostadmin\inc\db_settings.php  isimli dosyayı aşağıdaki örnekte görüleceği üzere kendi veritabanı bilgilerimize göre düzenliyoruz.

$kullaniciadi="root"; // Veritabanı kullanıcı adınız
$sifre= "sifreniz"; // Veritabanı kullanıcı şifreniz
$host="localhost"; // Genelde "localhost"'tur. Eğer mysql sunucunuz başka bir yerdeyse onun IP/Hostname'ini giriniz.
$veritabani="radius"; // varsayılan olarak "radius". veritabanına başka bir isim verdiysen değiştirmen gerekecek.

Sonrasında ghostadmin adlı klasörü WinSCP tarzı bir program kullanarak aşağıdaki dizinin altına gönderiyoruz.

/usr/local/www/

Ghost admin paneline erişmek için web tarayıcınızdan http://pfSenseIP/ghostadmin yolunu izlemeniz yeterlidir. Varsayılan panel bilgileri:

Kullanıcı Adı: admin

Şifre: ghost

pfSense’i son bir kez daha  reboot  ediyorum. pfSense ayağa kalktığında Services > Status sekmesinde radiusd servisini kontrol ediyorum.

Her ihtimale karşın System > Package Manager Available Packages kısmından Service_Watchdog 1.8.6 isimli paketi kuruyorum.

Sonrasında Service > Service Watcdog kısmından freeradius servisini ekliyoruz ve kayıt ediyoruz. Bu sayede belirli aralıklarla FreeRadius servisinin çalışıp – çalışmadığını kontrol ediyor olacak. Servis durduğu zaman otomatik olarak tekrardan çalıştıracak.

Yukarıdaki işlemler LAN bacağına uygulandı siz misafir için ayrıca bir interface tanımlayıp bu işlemleri ilgili interface için tanımlayabilirsiniz.

Misafir Hotspot Ekran Görüntüsü:

Sıkça Sorulan Sorular (SSS)

SMS ile  TC Kimlik doğrulamada kullanıcı adı GSM No, şifre ise rastgele üretilsin istiyorum. Bunu nasıl yapabilirim?

Aşağıdaki dosyayı kullanarak SMS kimlik doğrulamada kullanıcıya giden sms’de kullanıcı adı: Telefon No –  şifre: Random olarak gönderilir. Bu dosyayı import ettikten sonra radius database’inde bulunan radcheck tablosundaki bütün kayıtların silinmesi gerekmektedir.

İndir

“You are connected” sorunu ile karşılaşıyorum. Bu sorunu nasıl aşabilirim?

Sisteme PuTTY ile bağlanıp 8 ile komut satırına geçtikten sonra aşağıdaki işlemleri teker teker uygulayın.

cd /root/

fetch https://www.serdarkurt.com.tr/download/captiveportal_disconnect_all.txt
fetch https://www.serdarkurt.com.tr/download/user-disconnect.sh

mv captiveportal_disconnect_all.txt captiveportal_disconnect_all.php

chmod +x captiveportal_disconnect_all.php

chmod +x user-disconnect.sh

mv user-disconnect.sh /usr/local/etc/rc.d/

Son olarak pfSense Web Console -> Package Manager’dan cmdshell paketini kurup aşağıdaki komutu shell paketi içine yazın ve kaydedin.

/usr/local/bin/php-q/root/captiveportal_disconnect_all.php

pfSense

Github