Squid com autenticação integrada ao Captive Portal

marcelloc

@gumergs:

PfSense 2.2.1
Squid 3.4.10_2 pkg 0.2.7

Squid reinicia o tempo todo !!

Os empacotamento pbi quebrou a integração. Na 2.2 só funciona removendo o pbi via console e instalando o squid do freebsd.

Se não tiver intimidade com manuseio de pacotes na console, tenho uma aula no sys-squad que trata somente dessa integração de autenticação no pfsense 2.2.x

amendoinn

Marcelo pode postar o link do curso?

marcelloc

@amendoinn:

Marcelo pode postar o link do curso?

Pfsense Intranet no http://sys-squad.com

derikdk

Galera,
Estou utilizando a versão

PFSense
2.2.5-RELEASE (i386)

Pacotes
Squid3 0.4.7

Seguindo o link https://forum.pfsense.org/index.php?topic=88847.msg518702#msg518702.
Consegui ativar o Squid e o Portal Captive os services estao running agora e Captive Portal esta autenticando por Radios. Segue os comandos alterando as dependencia do PBI:

Putty 1
tail -f /var/squid/logs/cache.log

Putty 2

ln -s /usr/local/bin/php /usr/pbi/squid-i386/local/bin/php
ln -s /usr/local/lib/php /usr/pbi/squid-i386/local/lib/php
ln -s /usr/local/etc/php.ini /usr/pbi/squid-i386/local/etc/php.ini
ln -s /usr/local/lib/libsqlite3.so.0 /usr/pbi/squid-i386/local/lib/
rm /usr/pbi/squid-i386/bin/check_ip.php
cp /usr/local/bin/check_ip.php /usr/pbi/squid-i386/bin/
ls -l /usr/pbi/squid-i386/bin/check_ip.php

Porem estou com dificuldade para liberar a autenticação do Capitive Portal no Squid, procurei em alguns post e percebi que eh preciso efetuar um redirecionamento nas configurações do Captive Portal tentei utilizando este procedimento:
https://forum.pfsense.org/index.php?topic=103745.msg580784#msg580784.
E liberar um link de redicecionamento no Squid no momento da autenticação do usuario e senha. Mais nao consegui colococar isso em pratica.

Alguem poderia indicar um caminho de Luz. Quero utilizar o Squid como PROXY ATIVO + Captivo Portal.
Captive Portal ate o momento autenticando no Radios tranquilamente, e Squid Ativo.
Que a força esteja com voces!

brunok

Bom dia galera!

Li diversas postagens sobre este assunto, mas não achei ninguém informando 100% a integração na versão 2.2.5.

Alguém conseguiu fazer esta validação?

O Captive Portal está funcionando aqui no meu ambiente de testes, porém, após login, não passa pelo proxy.

O proxy é autenticado via WPAD;

Criei uma VLAN para WIFI e apliquei o Captive Portal somente nela;

Em outra VLAN, a navegação é dada pelo proxy, pegando usuário do domínio de forma automática;

Na VLAN com CP ativo, aparece a página de login, onde digito credenciais do AD e libera o acesso, porém, não passando pelo proxy e ficando TUDO liberado, além de não aparecer no access log.

Pfsense 2.2.5 64 bits + Squid3 + SquidGuard + Sarg + Samba3 + Integração no AD 2008 R2

tomaswaldow

Tenho cenário parecido, mas não integrado ao AD.
Se esta passando é porque tem regra liberando trafego que não deveria, deve ter a porta 3128 só aberta para navegação.

brunok

@Tomas:

Tenho cenário parecido, mas não integrado ao AD.
Se esta passando é porque tem regra liberando trafego que não deveria, deve ter a porta 3128 só aberta para navegação.

Ainda sem solução definitiva.

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128? Acredito que ele apenas encaminhe pra frente 80/443.

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

marcelloc

@brunok:

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128?

Não. O Captive portal cria regras de acesso a internet apos a autenticação. Ele não faz qualquer tipo de teste se existe um squid ou não.

@brunok:

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Marcando o proxy no navegador e/ou atraves de wpad.

@brunok:

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

Não. Os dois vão fazer a negociação da autenticação com o navegador. Quando o squid está configurado para ler a autenticação do captive portal, aí sim o NTLM é feito somento no Captive.

brunok

@marcelloc:

@brunok:

O CP "sabe" que depois de autenticar, é para redirecionar o tráfego para 3128?

Não. O Captive portal cria regras de acesso a internet apos a autenticação. Ele não faz qualquer tipo de teste se existe um squid ou não.

@brunok:

Como fazer para pós-autenticação no CP, passar pelo proxy ativo?

Marcando o proxy no navegador e/ou atraves de wpad.

@brunok:

Tanto o CP como o Squid3 estão integrados no AD. Teoricamente, o proxy deveria entender as credenciais utilizadas no CP e liberar a navegação, correto?

Não. Os dois vão fazer a negociação da autenticação com o navegador. Quando o squid está configurado para ler a autenticação do captive portal, aí sim o NTLM é feito somento no Captive.

Bom dia Marcello, houve mais compreensão agora. Este assunto está boiando em alguns tópicos, não vi ninguém afirmar nada com convicção, sempre com pé atrás.

O problema é que, tanto celulares como tablets, vem configurado de fábrica para não utilizarem proxy.

O WPAD está configurado no meu ambiente, mas os dispositivos não passam no proxy, a não ser que eu altere a configuração manualmente no aparelho. Mas num cenário com 300 celulares/tablets, fica inviável habilitar um por um.

O Captive Portal ajuda nisto? Teoricamente, mas queria que o CP redirecionasse o tráfego para o proxy após autenticação (Alguma rule/patch pra isso?).

O CP funciona redondo no proxy, somente em modo transparente então?! (Sem alterar manualmente os aparelhos).

tomaswaldow

Dispositovos móveis não reconhecem o WPAD, infelizmente ou informa manualmente o proxy ou deuixa sem e fazer regra permitindo eles, também outra possibilidade é usar um serviço de controle de conteúdo baseado em DNS como o OpenDNS por exemplo.

Captive Portal com proxy transparente acho complicado de funcionar…

brunok

Bom, acho que não seja tão simples o que eu queira fazer. Possível acredito ser, mas, não achei nada do tipo.  :-\

Olhem que louco este cenário:

VLAN X / VLAN Y passam no proxy autenticado.

O proxy está configurado com autenticação NTLM, integrado ao AD. As estações recebem proxy via WPAD, funcionando tudo ok!  ;D

Tenho a VLAN Z apenas para WIFI. Preciso controlá-la também pelos filtros do proxy.

Problema1: Aparelhos celulares e tablets vem configurados de fábrica para não utilizarem proxy, então não são atingidos pelo WPAD.
Daria pra configurar manualmente, mas são mais de 300 aparelhos, fica inviável. Precisa ser "automático".

Pensei no Captive Portal, autenticando via RADIUS no AD, até aí tudo bem. Funcionando normalmente.

Problema2: Após autenticação, a conexão sai direto para internet, não passa no PROXY.

Estava pensando em 2 instâncias do SQUID:

interfaces vlan X e Y - instância 1 - autenticação NTLM

interface vlan Z - instância 2 - autenticação CP

Alguém já viu um cenário desses na vida? Eu preciso disto.

Está tudo ok aqui, faltando apenas ter o controle do CP…  :'(

hugoteleco

Pessoal, eu uso squid + squidguard mas ainda não implementei os novos pacotes porque ainda não consegui entender qual deles eu devo usar para testar rs

Preciso daquele básico que todos tem interesse, acredito eu!

• Proxy transparente
• Usuários do domínio devem navegar autenticados no AD, por grupos ex. acesso_padrao e acesso_full
• Usuários fora do domínio devem inserir usuário e senha do domínio via pop up
• Sites https como face, youtube, twitter e etc… devem ficar bloqueados ou liberados dependendo do grupo em que o usuário está.

Será que alguém pode me indicar qual versão do pfsense e quais pacotes eu devo instalar pra iniciar esses testes rs? Estou perguntando pois estou lendo diversos tópicos e acabei me confundindo com tantas informações de diferentes cenários e também porque já tentei seguir alguns e sempre acabo com algum detalhe que não bate  :-\ rs

Desde já agradeço,

Hugo

wwatanabe

Olá PessoALL !

Marcello, como fazer isso (Autenticação pelo Captive Portal integrado ao Squid+SquidGuard) no PFSense 2.3.2 ?! Tem algo já desenhado ?!

Perguntei porque vi que o post é antigo e o ultimo comentário falava da versão 2.2.5.

Abs e obrigado pelo excelente trabalho !

igorr14

Galera estou com o mesmo problema para implantar o CP+Squid+SquidGuard.
Estou utilizando a versão 2.3.2, porém nada parece funcionar quando liga os dois.

Alguém tem alguma informação ?

Estou pensando em ter 2 pfsense com essas atividades depositadas separadas.

thiagocarlossilverio

Re: Squid com autenticação integrada ao Captive Portal

Estou com o mesmo problema na autenticação do Squid com o Portal Captive, estava funcionando normal, aconteceu após a atualização do PFsense 2.4.1 para o 2.4.5

Segue as imagens de minhas configurações:

Alguém consegue me dá uma força?

Já perdi muito tempo nisso!

GDSF

@thiagocarlossilverio Alguma solução para esse problema ?