Captive Portal WLan

Tutanchamun

Hallo, ich habe folgende Regel in der Firewall angelegt:

Damit habe ich die Möglichkeit, über LAN das Captive Portal zu erreichen, also da wird mir der Login angezeigt unter folgender Adresse: http://10.1.0.1:8002/index........ usw.

Leider erreicht ein über WLAN an demselben Interface angeschlossenes Gerät diese Seite nicht. Es kommt Timeout.

viragomann

@tutanchamun
Am LAN hast du von Haus aus eine allow any-to-any Regel. Damit kannst natürlich auch auf die CP Loginseite.
In dem gezeigten Regelsatz, vermutlich dein WLAN, wäre das nicht erlaubt.

Also lege erst mal eine Pass-Regel für das Ziel 10.1.0.1:8002 an.

Tutanchamun

@viragomann Das sieht dann so aus, richtig?

Ich kann das aber leider erst Morgen früh testen. Dann werde ich direkt berichten.
Danke für die Antwort, bis morgen.

viragomann

@tutanchamun
Ja, ist in Ordnung.

Die Quelle könntest du natürlich auch auf das Subnetz beschränken.
Und für die beiden DNS-Regeln mag es einen Grund geben, aktuell ist aber die dritte mit "This Firewall" als Ziel überflüssig, nachdem die andere schon alle Ziele erlaubt.

Und vermutlich möchtest du auch noch Zielport 443 für HTTPS aus diesem Netz erlauben. Ohne das ist das heutige Internet ziemlich nutzlos.

Tutanchamun

@viragomann
Super, dankeschön.

Jetzt sieht das ganze so aus:

Das doofe ist, dass ich jetzt bis morgen warten muss. Danke schon mal vorab für die Hilfe.

viragomann

@tutanchamun
Ok, noch eine Einwende.
Nachdem aktuell QUIC in Mode kommt (RFC 9114 HTTP/3 wurde kürzlich standardisiert), muss du für Port 443 auch die Protokolle "TCP/UDP" einstellen, um es zu erlauben.

Ist UDP nicht erlaubt, wird eben HTTP/2 genutzt.

Nachdem du sonst be allen Regeln beide Protokolle erlaubt hast, fand ich es überflüssig, es zu erwähnen.

Tutanchamun

@viragomann
Super, danke für die Information. Habe es angepasst. Ich melde mich

Tutanchamun

@viragomann
ich konnte es nicht abwarten und bin noch einmal flott zum Standort gefahren. Leider ohne Erfolg.

Ich habe sogar einen Test gemacht mit folgender FW Einstellung:

Leider hat das so auch nicht funktioniert:

Egal, was ich mache, es funktioniert nur im LAN.

Hat das denn definitiv mit der Firewall zu tun? Ich verzweifle noch.

viragomann

@tutanchamun said in Captive Portal WLan:

Hat das denn definitiv mit der Firewall zu tun?

Das lässt sich rausfinden, indem du das Logging der Default Deny Rule aktivierst in Status > System Logs > Settings.
Wenn es geblockt wird, solltest du es im Firewall Log finden.

Davor würde ich aber auch noch bei der Pass-Regel das Logging aktivieren, um auch diese Einträge zu finden.

Du kannst auch ein Packet Capture auf dem Interface machen und nach Port 8002 filtern, um zu sehen, ob es überhaupt welche Anfragen gibt.

Wenn du CP deaktivierst, funktioniert der Internet-Zugriff aus dem Netz?

Tutanchamun

@viragomann
Das Logging werde ich direkt aktivieren und morgen mal schauen, was da so steht.

Wenn ich CP deaktiviere, geht das Internet.

OpIT GmbH

@tutanchamun

Trifft das auf dich zu?

https://forum.netgate.com/topic/173842/problem-with-multiple-interfaces-since-version-22-05/15

Mickman99

Wie ist denn überhaupt dein UniFi konfiguriert?
Der AP ist im Management LAN + das GAst WLAN?
Die zusätzlichen VLAN neben dem Management LAN sind als VLAN only angelegt?
Wie ist das WiFi im UniFi angelegt?
Gast WLAN Ja / Nein?
Es gibt eine Menge Möglichkeiten im UniFi Controller. Das einfachste ist das dort alles auszuschalten. Und die Portalanmeldung komplett die,PfSense machen zu lassen

jma791187

Das steckt zwar schon in der Nachfrage von @Mickman99 ...
aber schau mal diese Einstellung:
(WiFi Type)
Die hat bei mir Probelem gemacht, als sie noch auf "Guest Hotspot" stand.
Gruß, Jörg

JeGr

@tutanchamun Also: wir reden hier über CE 2.6 oder ist das pfSense Plus?

Wenn 2.6 - dann ist das Portal noch "alt" und mit IPFW umgesetzt, darum die Nachfrage. Nichts desto trotz:

Sobald man das Portal auf einem Interface aktiviert (ist es denn überhaupt auf dem BEWOHNER Netz konfiguriert wenn du immer schreibst, "im LAN gehts"?) dann wird auf diesem Netz auch automatisch eine Regel für die Portal-Ports/redirects auf 8002/8003 (für https) angelegt.
Denn wenn deine Geräte am LAN ein Portal bekommen, dann hast du wahrscheinlich auf dem LAN auch das Portal konfiguriert. Ist da auch sicher das Bewohner Netz mit hinterlegt? Oder statt dem LAN mal nur da Bewohner Netz ausgewählt?

Worauf man auch noch achten sollte ist, dass man bei der <IP>:8002 wenn man sie aufruft auch wirklich http:// mitgibt und nicht https. Wenn die IP nämlich vom Browser schonmal für die WebUI genutzt wurde kann es sein, dass der sich für die IP HSTS von der WebUI gemerkt hat und die IP nur noch per https automatisch auf den UI Port aufrufen will.

Ansonsten braucht es zum Triggern des Portals selbst wenn alles korrekt eingestellt ist immer einen HTTP - nicht einen HTTPS - Zugriff, da sonst das Portal nicht drauf anspringt und den Zugriff auf die Loginseite umleitet. Das kann man ggf. mit der Enable HTTPS Login Einstellung kontern, dann bekommt man aber beim ersten Zugriff auf eine beliebige HTTPS Webseite immer einen Zertifikatsfehler und eine Warnung, weil man umgeleitet wird auf eine andere URI zum Portal - daher macht man das normalerweise nicht. Gerade Mobilgeräte machen deshalb bei WiFi Connects immer eine Abfrage gegen eine eingestellte Portal-Check-URI die garantiert per HTTP (only) funktioniert.
Bei MS ist das bspw. http://www.msftconnecttest.com/connecttest.txt
bei Google: http://connectivitycheck.gstatic.com/generate_204

Diese kann man zum Triggern / Testen der Erkennung gut verwenden.

Wenn aber - so wie es aussieht - der Zugriff gar nicht am Portal aufschlägt, dann müsste man ggf. mal das Portal auf dem Bewohner Netz mal abschalten und erst mal testen/diagnostizieren, was da nicht stimmt. Erst wenn da normales "Surfen" ohne Probleme mit DHCP etc. sauber funktioniert macht es Sinn da dann mit Portal weiter zu machen. Vorher sind das zu viele Unbekannte, warum es nicht gehen könnte. Und die Kollegen Vorredner haben ja auch schon auf die Unifi Konfigs hingewiesen, die vielleicht nicht passen könnten. :)

CHeers

Cheers

Tutanchamun

Hallo zusammen, viele Fragen ich versuche alles zu beantworten.

@viragomann ich habe heute das Logging überprüft und keinen einzigen Eintrag auf Port 8002 gefunden. Als würde niemals etwas da angefragt werden. Dann habe ich direkt ein paar Screenshots gemacht:
Mein Handy bekommt von dem DHCP Server, der auf Windows 11 Server läuft. In dem Fall die 10.1.0.102.

Es wird auch wunderbar erkannt, dass das Telefon sich anmelden muss:

Nur dann passiert erst einmal nichts und später auf dem Telefon:

@OpIT-GmbH Leider nicht, oder zumindest kann ich das noch nicht erkennen

@Mickman99 Im Unifi ist es wie folgt konfiguriert:
Es gibt drei Netzwerke:

Dann strahle ich zwei SSIDs aus. Eine davon ist Bewohner Test die mit dem BewohnerLAN (VLAN) verknüpft ist:


Auf dem UniFi switch, habe ich einen Port das Profil Bewohner (VLAN Bewohner) gegeben.

Von diesen Port geht dann in Netzwerkkabel direkt an den Server auf das Physikalische LAN Interface für die Bewohner. Im Unifi ist kein Gast Lan oder Gast Profil Aktiv.

Das geht alles zur pfSense. Soweit funktioniert das auch, weil ich ja sehe, dass es eine Anmeldeseite im Mobilen Bereich gibt. Ich habe auch kein UnifiSecurity GTW deswegen möchte ich das alles ja über pfSense machen.

Aaaaaber:
Ich hatte tasächlich im Unifi noch GuestHotspot aktiv. Ich kann jetzt aber nicht testen, ob das funktioniert. Werde das aber heute Abend machen können.

Ich habe ein sehr gutes Gefühl gerade. Ich werde nachher posten ob es funktioniert hat.

JeGr

@tutanchamun said in Captive Portal WLan:

@viragomann ich habe heute das Logging überprüft und keinen einzigen Eintrag auf Port 8002 gefunden. Als würde niemals etwas da angefragt werden. Dann habe ich direkt ein paar Screenshots gemacht:

Kann auch keine Log Hits haben, da wie gesagt automatisch Regeln erstellt werden die weit vorher greifen und deshalb nie ein Paket auf deine eigene Regel matcht.

@tutanchamun said in Captive Portal WLan:

Ich hatte tasächlich im Unifi noch GuestHotspot aktiv. Ich kann jetzt aber nicht testen, ob das funktioniert. Werde das aber heute Abend machen können.

Das kann gut sein, dann würde der Unifi Controller versuchen alles wegzufressen oder die Requests auf sich umzuleiten o.ä. - das gibt auf jeden Fall Probleme.

@tutanchamun said in Captive Portal WLan:

Mein Handy bekommt von dem DHCP Server, der auf Windows 11 Server läuft. In dem Fall die 10.1.0.102.

Ist das das Bewohner Netz/VLAN? Wie bekommst du dann DHCP, ist auf der Sense der DHCP Forwarder aktiv? Oder steht der AD Server auch noch im Gäste/Bewohner Netz? Nicht dass wir da das falsche Netz haben

Mickman99

so wie ich das sehe ist der Port für den AP falsch! Ich habe da LAN drin das VLAN zieht er sich dann automatisch falls benötigt

Dann die Regeln auf der pfsense läuft bei mir Einwandfrei mit einer Klick Aneldung und Ausleitung zum VPN Anbieter

Tutanchamun

Hallo zusammen,

ES FUNKTIONIEEEERT!

Ich möchte mich bei euch allen bedanken. Es war eine Mischung aus Firewallregeln und dem Haken im Unifi Controller bei Guest Network. Habe ich einfach übersehen.

Recht herzlichen Dank für eure Hilfe.

Ich bin gerade sehr glücklich, dass das endlich funktioniert.