Squid com autenticação integrada ao Captive Portal

marcelloc

@utikawa:

Esta integração funciona com a versão 2.2 ??

Por conta das dependencias e do pseudo jail do pbi ainda não.

utikawa

Obrigado pela resposta!
Vou manter essa opção desativada por enquanto.

rribeirorj

@marcelloc:

@utikawa:

Esta integração funciona com a versão 2.2 ??

Por conta das dependencias e do pseudo jail do pbi ainda não.

Pessoal, nada ainda? Testei na 2.2 e realmente ocorre o erro… Alguém conseguiu alguma coisa?

Abraços

victorfmaraujo

@rribeirorj:

@marcelloc:

@utikawa:

Esta integração funciona com a versão 2.2 ??

Por conta das dependencias e do pseudo jail do pbi ainda não.

Pessoal, nada ainda? Testei na 2.2 e realmente ocorre o erro… Alguém conseguiu alguma coisa?

Abraços

Creio que somente na próxima versão do Squid.

Slackwarez

Estou com o mesmo problema!
Só agora vi que não funciona na ultima versão do Pfsense…
O me squidGuard nao iniciou de forma alguma...

Ficamos no aguardo entao!

gumergs

Não está funcionando.

PfSense 2.2.1
Squid 2.7.9 pkg v.4.3.6

tomaswaldow

@gumergs:

Não está funcionando.

PfSense 2.2.1
Squid 2.7.9 pkg v.4.3.6

Autaliza para o Squid 3 e veja se funciona. Essa versão é antiga e não tem mais atualização.

gumergs

PfSense 2.2.1
Squid 3.4.10_2 pkg 0.2.7

Squid reinicia o tempo todo !!

Log:

Apr 8 13:59:03 squid[18123]: Squid Parent: (squid-1) process 40086 exited with status 1
Apr 8 13:59:03 (squid-1): The check_cp helpers are crashing too rapidly, need help!
Apr 8 13:59:02 squid[18123]: Squid Parent: (squid-1) process 40086 started
Apr 8 13:58:59 squid[18123]: Squid Parent: (squid-1) process 33588 exited with status 1
Apr 8 13:58:59 (squid-1): The check_cp helpers are crashing too rapidly, need help!
Apr 8 13:58:59 squid[18123]: Squid Parent: (squid-1) process 33588 started
Apr 8 13:58:56 check_reload_status: Reloading filter
Apr 8 13:58:56 squid[18123]: Squid Parent: (squid-1) process 25098 exited with status 1
Apr 8 13:58:56 (squid-1): The check_cp helpers are crashing too rapidly, need help!
Apr 8 13:58:55 Squid_Alarm[26162]: Squid has resumed. Reconfiguring filter.

aniquiler

simmmm fica reiniciando…. help pls!!

tomaswaldow

Tente fazer uma instalação nova em uma maquina de teste.
Vai validando cada alteração até descobrir o erro, as vezes uma coisa simples está passando.

cgiampietro

Olá pessoal, antes de mais nada quero dizer que li várias vezes este tópico e alguns outros sobre Captive Portal e o Squid. Sou novo neste ambiente de pfSense e gostaria de uma ajuda, uma luz ou um caminho no qual eu possa seguir ;D.

Eu preciso configurar uma rede Wifi de Visitantes em minha empresa, precisamos controlar quem está acessando e o que esta pessoa está acessando, se isso me retornasse dentro do access.log do squid ou de qualquer outro arquivo de log já seria ótimo pra mim. Precisamos visualizar o acesso com o nome do usuário ou o Voucher de acesso, e a URL do endereço que foi acessado.

O sonho de consumo seria um Wifi tipo o do Starbucks, o cliente faz um cadastro coisa rápida, cria um login e senha, autentica e o seu acesso é gravado em log ou visualizado pelo LightSquid ou pelo Sarg, ou ele apenas insere o Voucher e com essa autenticação o acesso fica armazenado em log.

Problemas: não gostaríamos de criar na mão um usuário no pfsense, ou no squid para autenticação. Sei que este cenário é quase impossível de ser feito por isso se com os Vouchers ele já armazenasse o Voucher e a URL acredito que já atenderia muito o que precisamos.

Testei de várias formas, segui os Tutoriais, li e reli os posts, procurei outras informações mas ainda não cheguei numa solução. Criei um Captive Portal + Squid Proxy transparente e apenas mostra o IP do Acesso. Tentei configurar via arquivo ip2name mas não funcionou, tentei com o helper mencionado neste post e o Squid fica reiniciando toda hora, sei que na versão 2.2 estava apresentando erros mas não encontro nenhuma versão 2.1.5 na internet para download confiável.

Estou com todos os pacotes da ultima versão 2.2.5.

Se possível gostaria de alguma dica do que posso fazer neste caso, ou se é possível fazer um Wifi parecido com o do Starbucks, ou algum caminho das pedras sobre alguma outra coisa em que posso implementar.

De qualquer forma obrigado pela ajuda!

marcelloc

@gumergs:

PfSense 2.2.1
Squid 3.4.10_2 pkg 0.2.7

Squid reinicia o tempo todo !!

Os empacotamento pbi quebrou a integração. Na 2.2 só funciona removendo o pbi via console e instalando o squid do freebsd.

Se não tiver intimidade com manuseio de pacotes na console, tenho uma aula no sys-squad que trata somente dessa integração de autenticação no pfsense 2.2.x

amendoinn

Marcelo pode postar o link do curso?

marcelloc

@amendoinn:

Marcelo pode postar o link do curso?

Pfsense Intranet no http://sys-squad.com

derikdk

Galera,
Estou utilizando a versão

PFSense
2.2.5-RELEASE (i386)

Pacotes
Squid3 0.4.7

Seguindo o link https://forum.pfsense.org/index.php?topic=88847.msg518702#msg518702.
Consegui ativar o Squid e o Portal Captive os services estao running agora e Captive Portal esta autenticando por Radios. Segue os comandos alterando as dependencia do PBI:

Putty 1
tail -f /var/squid/logs/cache.log

Putty 2

ln -s /usr/local/bin/php /usr/pbi/squid-i386/local/bin/php
ln -s /usr/local/lib/php /usr/pbi/squid-i386/local/lib/php
ln -s /usr/local/etc/php.ini /usr/pbi/squid-i386/local/etc/php.ini
ln -s /usr/local/lib/libsqlite3.so.0 /usr/pbi/squid-i386/local/lib/
rm /usr/pbi/squid-i386/bin/check_ip.php
cp /usr/local/bin/check_ip.php /usr/pbi/squid-i386/bin/
ls -l /usr/pbi/squid-i386/bin/check_ip.php

Porem estou com dificuldade para liberar a autenticação do Capitive Portal no Squid, procurei em alguns post e percebi que eh preciso efetuar um redirecionamento nas configurações do Captive Portal tentei utilizando este procedimento:
https://forum.pfsense.org/index.php?topic=103745.msg580784#msg580784.
E liberar um link de redicecionamento no Squid no momento da autenticação do usuario e senha. Mais nao consegui colococar isso em pratica.

Alguem poderia indicar um caminho de Luz. Quero utilizar o Squid como PROXY ATIVO + Captivo Portal.
Captive Portal ate o momento autenticando no Radios tranquilamente, e Squid Ativo.
Que a força esteja com voces!

brunok

Bom dia galera!

Li diversas postagens sobre este assunto, mas não achei ninguém informando 100% a integração na versão 2.2.5.

Alguém conseguiu fazer esta validação?

O Captive Portal está funcionando aqui no meu ambiente de testes, porém, após login, não passa pelo proxy.

O proxy é autenticado via WPAD;

Criei uma VLAN para WIFI e apliquei o Captive Portal somente nela;

Em outra VLAN, a navegação é dada pelo proxy, pegando usuário do domínio de forma automática;

Na VLAN com CP ativo, aparece a página de login, onde digito credenciais do AD e libera o acesso, porém, não passando pelo proxy e ficando TUDO liberado, além de não aparecer no access log.

Pfsense 2.2.5 64 bits + Squid3 + SquidGuard + Sarg + Samba3 + Integração no AD 2008 R2

tomaswaldow

Tenho cenário parecido, mas não integrado ao AD.
Se esta passando é porque tem regra liberando trafego que não deveria, deve ter a porta 3128 só aberta para navegação.

brunok

@Tomas:

Tenho cenário parecido, mas não integrado ao AD.
Se esta passando é porque tem regra liberando trafego que não deveria, deve ter a porta 3128 só aberta para navegação.

Ainda sem solução definitiva.

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128? Acredito que ele apenas encaminhe pra frente 80/443.

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

marcelloc

@brunok:

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128?

Não. O Captive portal cria regras de acesso a internet apos a autenticação. Ele não faz qualquer tipo de teste se existe um squid ou não.

@brunok:

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Marcando o proxy no navegador e/ou atraves de wpad.

@brunok:

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

Não. Os dois vão fazer a negociação da autenticação com o navegador. Quando o squid está configurado para ler a autenticação do captive portal, aí sim o NTLM é feito somento no Captive.

brunok

@marcelloc:

@brunok:

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128?

Não. O Captive portal cria regras de acesso a internet apos a autenticação. Ele não faz qualquer tipo de teste se existe um squid ou não.

@brunok:

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Marcando o proxy no navegador e/ou atraves de wpad.

@brunok:

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

Não. Os dois vão fazer a negociação da autenticação com o navegador. Quando o squid está configurado para ler a autenticação do captive portal, aí sim o NTLM é feito somento no Captive.

Bom dia Marcello, houve mais compreensão agora. Este assunto está boiando em alguns tópicos, não vi ninguém afirmar nada com convicção, sempre com pé atrás.

O problema é que, tanto celulares como tablets, vem configurado de fábrica para não utilizarem proxy.

O WPAD está configurado no meu ambiente, mas os dispositivos não passam no proxy, a não ser que eu altere a configuração manualmente no aparelho. Mas num cenário com 300 celulares/tablets, fica inviável habilitar um por um.

O Captive Portal ajuda nisto? Teoricamente, mas queria que o CP redirecionasse o tráfego para o proxy após autenticação (Alguma rule/patch pra isso?).

O CP funciona redondo no proxy, somente em modo transparente então?! (Sem alterar manualmente os aparelhos).