Captive portal + Freeradius2 - Problema proxy não transparente.
-
Olá pessoal :)
Estou muito ocupado esses últimos dias e volto aqui no fórum para lhes pedir ajuda.
Configurei o captive portal+freeradius2 e estou com problemas para redirecionar a requisição de uma url para a página do captive.Ainda tenho alguma dúvidas acerca do funcionamento do captive portal,pois o mesmo apenas funciona com o squid transparente até agora.
1-O captive portal trabalha na porta 8000 quando habilitado juntamente com o squid(transparente) funciona normalmente direcionando qualquer url digitada para a página do captive.Se mudarmos as configurações no navegador e colocarmos ip_pfsense / porta 3128 burlamos o captive portal e navegamos sem restrições.
2-Em modo não transparente ao digitarmos qualquer url o navegador não nos redireciona para a página do portal e se colocarmos no navegador ip_pfsense / porta 3128 conseguimos navegar livremente.Arquivo editado por marcelloc - captive portal -
Nosso colega aqui do fórum Marcelo nos disponibilizou um arquivo editado do captive que bloqueia a porta 3128 até que o usuário se autentique no captive portal e depois a libera,porém com o squid não transparente tal redirecionamento para a página do portal não funcionou.
Configuração do navegador está como: ( firefox )
localhost, 127.0.0.1, uol.com.br, 192.168.5.11(ip pfsense)O ponto chave para que tais soluções sejam completas é descobrir o por quê tal redirecionamento acontece quando o squid está em modo transparente ?
Ao colocar o endereço do proxy:8000 e autenticar o usuário aparece como autenticado no captive status porém não consegue navegar (squid não transparente).A solução do marcelloc me ajudou muito com uma série de teste e puder tirar algumas conclusões do que eu realmente precisso.
a- Squid não transparente > o usuário digita a url > redireciona para página do portal > porta 3128 fica bloqueada até a autenticação >Ao autenticar o usuário é redirecionado para a página principal cadastrada no freeradius2.
Eu não sei o que aconteceu,mas depois que atualizei o freeradius e outros pacotes o controle de banda pelo freeradius2 e o redirecionamento da página para o portal parou de funcionar (na época o marcelloc me ajudou) e agora eu esqueci o que eu fiz também :D.
É a idade chegando…. (tenho 20 anos) : :)
-
pois o mesmo apenas funciona com o squid transparente até agora.
Atualizando… O squid3 já tem opção na gui para aplicar o patch e funcionar junto com o captive portal em modo não transparente.
-
pois o mesmo apenas funciona com o squid transparente até agora.
Atualizando… O squid3 já tem opção na gui para aplicar o patch e funcionar junto com o captive portal em modo não transparente.
Marcello instalei o squid3 com sucesso,porém posso instalar o squidguard direto por packages >squidguard ?
Tem algum link para o squidguard especifico para funcionar com o squid3 ?
Preciso fazer algum procedimento para o captive portal funcionar com o squid3 ?
Grato
-
Marcello instalei o squid3 com sucesso,porém posso instalar o squidguard direto por packages >squidguard ?
Você pode usar esta sequencia de instalação:
-
squidguard
-
squid3
OU se preferir:
Compilei o squidguard com o squid3, mas o procedimento é manual via console e mais complicado.
-
instala o squidguard via gui
-
na console, usando o pkg_del remova o squidguard e o squid2
-
Instala o squid3 via gui
-
na console, usando o pkg_add, instale o squidguard do meu repositório
amd64
http://e-sac.siteseguro.ws/packages/amd64/8/All/squidGuard-1.4_4.tbzi386
http://e-sac.siteseguro.ws/packages/8/All/squidGuard-1.4_4.tbz -
-
Instalei os 2 com sucesso,tanto que o squidguard e o HAVP estão funcionando perfeitamente (demorou para o serviço dar start) ,mas estou com dúvida em relação a configuração do squid3 com o captive portal pois o mesmo não está funcionando.
O captive portal ao ser ativado não redireciona para a página do portal muito menos navega.
-
O captive portal ao ser ativado não redireciona para a página do portal muito menos navega.
Você lembrou de deixar a home page do navegador na lista de sites que não acessam o proxy?
-
O captive portal ao ser ativado não redireciona para a página do portal muito menos navega.
Você lembrou de deixar a home page do navegador na lista de sites que não acessam o proxy?
Sim .
localhost, 127.0.0.1, uol.com.br, 192.168.5.11(ip pfsense), 192.168.2.107(ip wan - dhcp)
O problema marcelloc é que não há redirecionamento para o portal do captive :(
-
vina18,
Posta um ipfw show com o captive portal e a opção do squid marcada.
Sem o proxy marcado, você consegue ver a tela do captive portal?
att,
Marcello Coutinho -
vina18,
Posta um ipfw show com o captive portal e a opção do squid marcada.
Sem o proxy marcado, você consegue ver a tela do captive portal?
att,
Marcello Coutinho65291 0 0 allow pfsync from any to any 65292 0 0 allow carp from any to any 65301 101284 4656644 allow ip from any to any layer2 mac-type 0x0806 65302 0 0 allow ip from any to any layer2 mac-type 0x888e 65303 0 0 allow ip from any to any layer2 mac-type 0x88c7 65304 0 0 allow ip from any to any layer2 mac-type 0x8863 65305 0 0 allow ip from any to any layer2 mac-type 0x8864 65306 0 0 allow ip from any to any layer2 mac-type 0x888e 65307 924 80729 deny ip from any to any layer2 not mac-type 0x0800 65310 1150 58248 skipto 65314 ip from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } dst-port 3128 in 65310 11299 1301102 allow ip from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } in 65311 0 0 skipto 65314 ip from { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } 3128 to any out 65311 9974 1195073 allow ip from { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } to any out 65312 0 0 allow icmp from { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } to any out icmptypes 0 65313 0 0 allow icmp from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } in icmptypes 8 65314 0 0 allow ip from table(3) to any in 65315 0 0 allow ip from any to table(4) out 65316 0 0 pipe tablearg ip from table(5) to any in 65317 0 0 pipe tablearg ip from any to table(6) out 65318 0 0 allow ip from any to table(7) in 65319 0 0 allow ip from table(8) to any out 65320 0 0 pipe tablearg ip from any to table(9) in 65321 0 0 pipe tablearg ip from table(10) to any out 65322 1026 56850 pipe tablearg ip from table(1) to any in 65323 56 2240 pipe tablearg ip from any to table(2) out 65531 794 49330 fwd 127.0.0.1,8000 tcp from any to any in 65532 109 17547 allow tcp from any to any out 65533 58433 5467258 deny ip from any to any 65534 0 0 allow ip from any to any layer2 65535 6 2132 allow ip from any to anyCom o squid em modo não transparente e com as opções no navegador configuradas como "detectar automaticamente as configurações" a página do portal é acessada porém ao autenticar o usuário não é possível navegar (o usuário é listado com sucesso no captive status).
Grato marcelloc
-
Tem alguma coisa errada em algum pacote ou eu to fazendo merd@ 8)
-
Tem alguma coisa errada em algum pacote ou eu to fazendo merd@ 8)
A primeira vista, a regras estão ok
pula a regra que libera acesso local
65310 1150 58248 skipto 65314 ip from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } dst-port 3128 inEncaminha a requisição para o captive portal
65531 794 49330 fwd 127.0.0.1,8000 tcp from any to any in -
Tem alguma coisa errada em algum pacote ou eu to fazendo merd@ 8)
A primeira vista, a regras estão ok
pula a regra que libera acesso local
65310 1150 58248 skipto 65314 ip from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } dst-port 3128 inEncaminha a requisição para o captive portal
65531 794 49330 fwd 127.0.0.1,8000 tcp from any to any inMarcello to com dúvida em relação aos comandos para adicionar tais regras:
Pular a regra -
ipfw add skipto 65314 ip from any to { 255.255.255.255 or 192.168.2.107 or 192.168.5.11 } dst-port 3128 inEncaminha a requisição para o captive portal
ipfw add fwd 127.0.0.1,8000 tcp from any to any inSe puder me ajudar com os comandos marcelloc lhe agradeço ;D
Apenas o site cadastrado para não utilizar o proxy está acessando o resto nada :P
-
Vina,
Só comentei que as regras estão corretas, não precisa cadastrar. :)
você consegue ver via tcpdump se as conexões estão chegando no squid?
att,
Marcello Coutinho -
Vina,
Só comentei que as regras estão corretas, não precisa cadastrar. :)
você consegue ver via tcpdump se as conexões estão chegando no squid?
att,
Marcello CoutinhoTenho o tcpdump aqui marcelloc :) mas não sei como analisar o log dele para lhe passar tal informação.
Uma ajudinha é de grande valia 8)
Obs:Consegui gerar os logs :D
Marcello você já testou o captive + squid3 ?
Alguem aqui do fórum conseguiu realizar tais testes ?Em squid modo transparente também não funciona ,isso que achei estranho pois ele redireciona para a página do portal consegui autenticar, mas não redireciona para nenhuma página e não navega.
Se puder dar uma olhada nas prints que tirei no 1ºpost tem as configurações que fiz tanto no squid ,quanto no captive (pode ter algo errado). -
Os pacotes não estão chegando no squid, o firewall está bloqueando.
vou conferir as regras denovo.
Desabilite o patch antes de testar o modo transparente com captive portal.
-
Os pacotes não estão chegando no squid, o firewall está bloqueando.
vou conferir as regras denovo.
Desabilite o patch antes de testar o modo transparente com captive portal.
Testei com o patch desabilitado e o resultado é que o redirecionamento para a página do portal acontece,mas depois de autenticar não consigo navegar( o usuário é listado no captive status).É como se ele não liberasse a conexão com a porta 3128 depois da autenticação.
Se tiver mais idéias do que pode estar acontecendo lhe agradeço marcello ;)
-
Tem uma observação marcelloc… o pfsense que estou testando está atrás de outro pfsense.
Ambiente:
Pfsense(principal) -> distribui DHCP na rede -> PFsense(teste) recebe IP do dhcp na interface WAN e um IP fixo na interface LAN.
Será que pode ter alguma influência para acontecer tal erro ?
Grato!
-
De acordo com o tcpdump que você mandou, os pacotes estão parando nas regras do primeiro firewall.
