Duvida - Captive Portal + Radius + Proxy Autenticado
-
Olá Pessoal, Bom dia!
Estou com um problema ao configurar Captive portal + Radius no pfsense 2.2.5 junto com o squid (proxy autenticado).
Meu cenário, Pfsense com squid 3 + squidguard (proxy autenticado) + snort + sarg + vpn.
Segui os passos do post.
https://forum.pfsense.org/index.php?topic=56238.0Ao ativar o captive portal sem o proxy, consigo me comunicar com o servidor Radius, (Windows server 2008) o usuário é reconhecido, mas a navegação não é liberada, o captive portal sempre retorna para a tela de login.
Ao ativar o proxy e setar as configurações da aba autentication para Captive Portal , o serviço do Squid para de funcionar.
Já apliquei o patch fornecido pelo Marcelloc, no post abaixo, mas mesmo assim não estou obtendo sucesso.
https://forum.pfsense.org/index.php?topic=103745.msg578553#msg578553Alguma dica?
Obrigado
Diego
-
Ao ativar o captive portal sem o proxy, consigo me comunicar com o servidor Radius, (Windows server 2008) o usuário é reconhecido, mas a navegação não é liberada, o captive portal sempre retorna para a tela de login.
O captive portal pode não estar "entendendo" a resposta do radius e interpretando como access denied e consequentemente volta para a tela de login.
-
Olá Marcello Bom dia!
Refiz a configuração do Radius, e agora consegui resolver o problema de autenticação no captive portal, (provavelmente tinha alguma configuração errada por isso retornava para a tela de login).
O Meu problema agora é a autenticação por SQUID se eu setar o squid 3 autenticação (Captive portal), o serviço é interrompido e não funciona de jeito nenhum.
Já apliquei o patch de correção que você disponibilizou, mas mesmo assim não tive sucesso, tem mais alguma dica?
Obrigado
Diego
-
O Meu problema agora é a autenticação por SQUID se eu setar o squid 3 autenticação (Captive portal), o serviço é interrompido e não funciona de jeito nenhum.
fez o link das libs e do php?
arch="`uname -p`" ln -s /usr/local/bin/php /usr/pbi/squid-${arch}/local/bin/php ln -s /usr/local/lib/php /usr/pbi/squid-${arch}/local/lib/php ln -s /usr/local/etc/php.ini /usr/pbi/squid-${arch}/local/etc/php.ini ln -s /usr/local/lib/libsqlite3.so.0 /usr/pbi/squid-${arch}/local/lib/ ln -s /usr/local/lib/libintl.so.8.1.14 /usr/pbi/squid-${arch}/lib/libintl.so.8 ln -s /usr/local/lib/libmcrypt.so.4 /usr/pbi/squid-${arch}/lib ln -s /usr/local/lib/libonig.so.1 /usr/pbi/squid-${arch}/lib ln -s /usr/local/lib/libsodium.so.13 /usr/pbi/squid-${arch}/lib ln -s /usr/local/lib/libssh2.so.1 /usr/pbi/squid-${arch}/lib ln -s /usr/local/lib/ipsec/libvici.so.0 /usr/pbi/squid-${arch}/lib ln -s /usr/local/lib/libzmq.so.5 /usr/pbi/squid-${arch}/lib -
Olá Marcello, Bom dia!
Realmente o problema era esse, fiz o que você me passou e agora os serviços estão ativos.
Só não estou conseguindo obter o redirecionamento de pagina, mas deve ser algum problema de configuração.
Obrigado,
Abraços
Diego
-
Olá, Pessoal,
alguém tem mais alguma dica? tentei de tudo e não consigo utilizar o captive portal em conjunto com squid.
Quando o proxy está setado no navegador o captive portal não carrega, o squid informa que o proxy não está respondendo mesmo com o serviço ativo, mas o captive está funcionando em conjunto com o radius, pq se eu desmarcar o proxy e liberar o trafego da porta 80 e 443 navego normalmente.
obrigado
Diego
-
A questão é que para o Captive Portal funcionar (redirecionar para a pagina de autenticação) é necessário uma conexão para porta 80.
Então você irá ter que fazer uma exceção de um site HTTP para que não passe pelo proxy e "chegue" no Captive Portal.
Eu tenho um cliente (escola) onde a exceção é o site da escola, então a regra é acessar o site da escola e assim é redirecionado para a autenticação. -
Olá Tomas,
Obrigado pela ajuda!
Então eu fiz essa exceção nas regras do firewall liberando o site da empresa para a porta 80, mas ai está abrindo o site da empresa em vez de puxar a autenticação do captive, mas se eu desmarcar o proxy o captive funciona normalmente.
abraços
Diego
-
A exceção precisa ser feita no Squid também e manter o proxy ativo.
-
A exceção precisa ser feita no Squid também e manter o proxy ativo.
Eu fiz o que você falou, mas em vez de redirecionar para a autenticação captive portal o site é aberto.
Abaixo minhas configurações, aonde estou errando?
obrigado
Diego
 -
Limpe o campo: Pre-authentication redirect URL, você está dizendo para redirecionar para esse site e não para o CP.
Isso é para ser usado se tem uma pagina personalizada de autenticação. -
Limpe o campo: Pre-authentication redirect URL, você está dizendo para redirecionar para esse site e não para o CP.
Isso é para ser usado se tem uma pagina personalizada de autenticação.limpei, mas não funcionou, fora isso minha configuração está certa? vou tentar instalar o squid de novo pra ver se resolve
obrigado
abraços
diego
-
Olá Pessoal,
Em testes que fiz, identifiquei que meu problema é na autenticação do Squid com o captive portal
O Captive portal funciona normalmente, quando desmarco o proxy do navegador, mas quando marco o proxy e tento autenticar no captive portal o proxy parece não identificar essa autenticação a pagina que liberei nas "exceções" é exibida mas as demais não.
Estou postando um print da forma que liberei o site de teste uol.com.br no navegador.
Precisa realizar mais algum procedimento?
- Url de exceção liberada.
- Proxy marcado no navegador.
- Patch aplicado no squid, através de system patches
- link das libs e php realizado.
Abraços,
Diego
-
Pessoal,
Desculpem por da um up nesse tópico, mas alguém tem mais alguma sugestão?
O captive portal funciona normalmente fora do proxy, mas quando habilito o proxy, o captive autentica e libera somente a pagina q liberei nas rules para chamar a tela de autenticação, ao tentar acessar as demais paginas o proxy retorna a mensagem de acesso negado, preciso ter alguma regra especifica ou configuração para redirecionar o trafego para o squid?
Vale salientar q tenho uma regra bloqueando o trafego das portas 443 e 80 e utilizo squid em conjunto com squidguard
Abraços
Diego
-
Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.
-
Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.
Marcello,
Fiz o que você falou, desabilitei o squidguard deixei somente o squid.
Olha nas imagens o que o access log e o cache retornam depois da autenticação.
o access.log não busca usuário o usuario retorna "Aborted" é como se o squid não identificasse a autenticação e o patch está aplicado! não consigo identificar o que estou fazendo de errado :(
Estou encaminhando prints de tela dos serviços para confirmar que estão ativos e print do usuário autenticado.
abraços,
Diego
-
Olá Pessoal,
Em testes que fiz, identifiquei que meu problema é na autenticação do Squid com o captive portal
O Captive portal funciona normalmente, quando desmarco o proxy do navegador, mas quando marco o proxy e tento autenticar no captive portal o proxy parece não identificar essa autenticação a pagina que liberei nas "exceções" é exibida mas as demais não.
Estou postando um print da forma que liberei o site de teste uol.com.br no navegador.
Precisa realizar mais algum procedimento?
- Url de exceção liberada.
- Proxy marcado no navegador.
- Patch aplicado no squid, através de system patches
- link das libs e php realizado.
Abraços,
Diego
Fiz tudo igualzinho como o diego descreveu no topico, porem quando ativo o proxy na maquina e abro a pagina teste que no meu caso é o google ele não redireciona para a pagina do captive portal ele apenas abre a pagina do google, alguma dica do que devo fazer?
-
Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.
Marcello,
Fiz o que você falou, desabilitei o squidguard deixei somente o squid.
Olha nas imagens o que o access log e o cache retornam depois da autenticação.
o access.log não busca usuário o usuario retorna "Aborted" é como se o squid não identificasse a autenticação e o patch está aplicado! não consigo identificar o que estou fazendo de errado :(
Estou encaminhando prints de tela dos serviços para confirmar que estão ativos e print do usuário autenticado.
abraços,
Diego
Marcello,
Nenhuma dica? :)
Abraços,
Diego
