[Resolvido] Captive Portal com FreeRadius Autenticando em Openldap

gilmarcabral

Tenho um servidor bind interno como cache na rede lan.
O host atras da rede wireless esta setado para usar o servidor dns que esta na rede lan em ambiente debian com bind.
Este host atras da rede wireless pinga em todas maquinas da lan.
Penso que o problema não seja acesso ao dns.

gilmarcabral

Surgiu uma duvida comigo.
O Captive Portal com FreeRadius não deixa o acesso bloqueado ate que o usuário consiga fazer autenticação via navegador?
Testei aqui e notei que se eu não fizer autenticação e tentar acessar o ambiente de rede que esta na lan eu consigo.
Para mim o captive portal com freeradius só deixava isso ocorrer caso tive-se sucesso no login.
Agradeço novamente

marcelloc

@gilmarcabral:

Testei aqui e notei que se eu não fizer autenticação e tentar acessar o ambiente de rede que esta na lan eu consigo.

veja em que regras do ipfw o trafego está autorizado.

ipfw show e ipfw zero via console/ssh podem ajudar no diagnostico.

gilmarcabral

Descobri o motivo.
E devido que após a autenticação no captive portal ele fica disponivel ate 30 minutos de inativididade para depois expirar a conexão.
Ai como tavo logando e depois fechando o captive portal a conexão irá ficar valendo ate 30 minutos.
Então diminiu este tempo
Mas agora após a validadeção do captive portal ele passa mas não consigo navegar na web da como pagina não pode ser exibida.
Estou utilizando o captive portal + freeradiuns + Proxy autenticado squid (squidGuard) + bind em servidor debian.
Obs. na reda lan eu estou usando o squid + squidguard e a regra para a interface wireless esta any para tudo.
Agradeço

gilmarcabral

Eu utilizo proxy autenticado com o squidguard.
O problema que esta ocorrendo que quando abro o navegador ele não aparece a tela de login do captive portal, mas se eu for no navegador e digitar o IP + porta 8080 ele aparece a tela de login.
Estou com o ip do proxy setado nas configurações do navegador pois utilizo proxy autenticado.
Testei sem o proxy setado e acontece a mesma coisa.

nofault

existe uma opção no squid para caso voce utilize captive portal junto , habilite essa opção

gilmarcabral

Isso mesmo.
Estava habilitado, então desabilitei novamente e habilitei e deu certo.
Porem agora estou com um outro problema.
Tenho um atalho para o sistema, este funciona pelo navegador então tenho um atalho na area de trabalho apontando para este endereço que e: http://192.168.1.32/sief ou http://sief.agrovale.com.br/sief.
Pois bem quando o usuario autenticar no captive portal o mesmo direciona para o squidGuard Autenticado porem ele da um erro conforme a imagem anexo.
Parece que o problema esta na barra após o endereço.

marcelloc

você tem alguma outra regra de reescrita de url? a imagem de erro parece mostrar o ip interno colado no nome da pasta sief.

gilmarcabral

Estou achando estranho na imagem a ultima mensagem:
URL: http://192.168.1.32sief/

Sendo que meu link esta assim: 192.168.1.32/sief.
Parece que ele ta comendo a barra /.

marcelloc

Pois é, mas na URL do screenshot esta OK.

Você não consegue deixar o acesso interno sem proxy via wpad ou gpo?

gilmarcabral

Bom dia.
Obrigado.
Sobre a URL, ele não deveria ter uma barra depois do ip?
Da maneira que ele esta apresentando ai esta emendado o IP + o nome do sistema.

Sobre o proxy posso tentar via wpad pois sem proxy não da certo pois utilizo proxy autenticado com o squidguard.

marcelloc

@gilmarcabral:

Sobre o proxy posso tentar via wpad pois sem proxy não da certo pois utilizo proxy autenticado com o squidguard.

Para evitar gargalo e criar um ponto único de falha, qualquer acesso http/https interno deve ficar fora do proxy.

gilmarcabral

Certo.
Isso já ocorre.
Tenho a seguinte regra no Custom Settings do squid
acl SITES_NO_PROXY url_regex "/var/db/squidGuard/SITES_NO_PROXY/domains";
http_access allow SITES_NO_PROXY;redirect_children 3 redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass

Neste arquivo domains tenho o IP 192.168.1.32 para não passar pelo proxy.
Ate na lan eu digitar o ip 192.168.1.32/sief no navegador o mesmo não pede autenticação.

marcelloc

Gilmar,

Mas de qualquer forma você esta enviando a requisição para o squid.

Falo de alterar o wpad ou a gpo para não enviar trafego interno para o proxy.

Entende a diferença?

gilmarcabral

Eu coloquei no firefox sem proxy para sief.agrovale.com.br e 192.168.1.32 e ocorre o mesmo problema.
Penso que seria a mesma coisa que colocar no wpad.

marcelloc

Se o IP cadastrado esta na mesma faixa de rede da estação de trabalho, o acesso não deveria passar pelo proxy.

Tentou fechar e abrir o browser depois da alteração da configuração? Faça o teste sem o wpad.

gilmarcabral

No caso a rede da estação é 10.9.9.0/24 esta rede acessa a rede 192.168.1.0/24 que é onde esta o servidor 192.168.1.32.

marcelloc

Alguma chance do proxy estar com modo transparente habilitado?

gilmarcabral

Bom dia.
Estou com o Proxy Setado no navegador e o mesmo esta autenticando em base openldap.

gilmarcabral

Bom dia.
Pelo meus testes o problema ocorre porque o squidGuard não esta conseguindo liberar conexão vinda de uma outra lan no meu caso 10.9.9.0.
Minha lan é 192.168.1.0 e o squidguard aceita perfeitamente.
Já quando o trafego vem da rede 10.9.9.0 que e direcionado para o proxy ai o squidguard não esta conseguindo tratar nas acl e cai no grupo não defenido.