[RESOLU] Page d'authentification du portail captif ne se montre pas

baalserv

Bonjour,

Je vais faire cour car ce n'est pas le sujet du topic  ::)

J'invite ceux qui résume la virtualisation à un choix entre ESX et Hyper-v à s'interresser sérieusement à Proxmox. Il est très pertinant et ce à plusieurs niveaux et supporte plus que facilement la comparaison  ;)

Dans bien des cas, l'essayer c'est l'adopter  ;D

zeb50

Bonjour,
Je ne cherche pas à faire la guerre @jdh, je me suis remis en cause ainsi que ce que j'utilisais, et ait finalement réussi à installer PfSense sur une machine physique.

Dorénavant j'ai un autre problème, je ne sais pas si vous préférez que je continue ce post ou que j'en refasse un second, dans le doute je vais écrire ici.

Un petit schéma pour commencer :

Internet –- Routeur --- Switch situé dans mon bureau (relié au WAN de PfSense)
                                                  |
                                                  |
                                          Carte WAN

Machine contenant PfSense et les deux cartes WAN et LAN

Carte LAN 
                                                    |
                                                    |
                                Point d'accès (branché en direct à PfSense sur la carte LAN)
                                                    |
                                      |_
                                      |                            |
                                  PC client                  PC client

Je pense que ce schéma est bon au vu des différentes docs lu, néanmoins je ne serais pas contre une confirmation de votre part.

Ensuite, je rappelle le besoin initial :

• Les visiteurs dans l'entreprise se connecte au wifi sur le SSID invité d'un point d'accès (les AP ne sont pas encore achetés, donc je test sur ce que j'ai trouvé, à savoir une Netgear wn2000rpt et puis depuis ce début d'après-midi une cisco linksys wap610n, je vais expliquer le pourquoi du comment ci-dessous).

• Ces visiteurs une fois connecté au wifi doivent se logger sur un portail captif.

• Authentification et sauvegarde des logs ne font pas bon ménage alors le proxy transparent sera mis en questionnement plus tard.

Après avoir installé PfSense, j'ai configuré un portail captif.
J'ai essayé avec l'authentification "local user" ainsi que sans authentification.
Mais le soucis c'est que ma page d'authentification n’apparaît jamais, je ne peux pas me log.

Elle est apparu une seule fois (sans raison particulière car je n'avais pas fait de changements) et ayant copié l'url, je peux confirmer que une fois loggé cela fonctionne, mais c'est l'apparition de la page qui m'intéresse.

Pour revenir à ce que j'ai dit plus haut, j'avais cru lire il y a quelques temps que l'AP Netgear avait un DNS intégré, ce qui aurait pu faire foirer mon portail captif.
J'ai donc testé avec la Cisco mais le résultat n'est pas différent.

Voilà, je ne sais pas trop où chercher de solution sur ce que j'ai fait, mise à part en configurant "comme les autres" sur les divers tutos (j'adapte bien évidemment, même si sur l'activation d'un portail il n'y a rien à adapter), et malgré les mésentente, j'espère trouver une solution à mon soucis.

Cordialement.

baalserv

Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

Vos postes clients sont bien derriere pF et configurer en Dhcp ?

Reçoivent il une adresse coérante donner par pF ?

Ont il bien l'ip lan de pF comme GW et 1er redirecteur Dns ?

Fonctionne il correctement avant l'activation du CP ?

zeb50

J'ai oublié la configuration détaillé dans mon dernier post, toute mes excuses.

Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

Carte WAN : 192.9.182.53

Carte LAN : 192.9.182.1

Point d'accès :

• IP :  192.9.182.10
• Subnet : 255.255.255.0
• Gateway : 192.9.182.1

DHCP de PfSense : 192.9.11 - 254

Vos postes clients sont bien derriere pF et configurer en Dhcp ?

Mon PC sert de poste client, mais je teste avec d'autre chose comme mon téléphone ou un autre PC, et oui la carte wifi est configuré en DHCP.
Ils se connectent au point d'accès par le wifi donc IMHO c'est cohérent.

Reçoivent il une adresse coérante donner par pF ?

Tout à fait, je suis actuellement en 192.9.182.11, dans la plage de mon DHCP donc.

Ont il bien l'ip lan de pF comme GW et 1er redirecteur Dns ?

Résultat d'un ipconfig sur ma carte wifi :

Suffise DNS propre à la connexion : ici, j'ai le nom de domaine de mon entreprise
Adresse IPv4 : 192.9.182.11
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.9.182.1

Je vais retourner voir la configuration du DNS resolver, j'avais laissé par défaut.

Fonctionne il correctement avant l'activation du CP ?

Oui, je navigue fluidement sur internet lorsque je suis juste connecté à mon point d'accès et sans avoir "enable" le portail captif, et je navigue fluidement aussi quand je suis connecté au portail, via le lien que j'ai récupéré lors de son seul affichage (à savoir : http://192.9.182.1:8002/index.php?zone=test ).

La configuration du portail captif :

Enable : coché
Interfaces : LAN
Maximum concurrent connection : 60
Idle timeout : 60
Hard timeout : 5
Concurrent user logins : coché
MAC filtering : coché
Authentification : Local user manager / only users/groups with "captive portal login" privilege

Cordialement.

Tatave

salut salut

Carte WAN : 192.9.182.53

Carte LAN : 192.9.182.1

Point d'accès :

• IP :  192.9.182.10
• Subnet : 255.255.255.0
• Gateway : 192.9.182.1

DHCP : 192.9.11 - 254

wan et lan sont dans le même réseau ==> problèmes
il faut que ces deux réseaux soient différents

c'est comme si sur une deux fois deux voies routière vous faisiez passer tout le monde dans le même sans sauf vous a contre sens.

Manque de compréhension du réseau de manière générale, demandez à votre tuteur un complément de formation ou a votre formateur.
Il est quand meme étrange que vous ayez trouver un stage dans du réseau sans en avoir les bases

Ce site " http://irp.nain-t.net/doku.php " ne vous fera pas de mal, ayant eu des tuteurs aux abonnés absents pour leurs fonctions tutorales.

A oui pour une meilleur compréhension de votre adressage ne faites pas une écriture raccourci de celle ci cela prete a confusion.

++

zeb50

Bonsoir,

Merci pour l'explication et pour le lien (que je vais lire), j'ai appris sur le tas et ça se ressent.

Je vais régler ça demain, je n'avais pas vu les choses de cette façon.

baalserv

@zeb50 :

Le lien donné par Tatave se trouve dans un post en Sticky et se nomme : A tous les débutants  ;)

jdh

La totalité des fils en "sticky" (étiqueté en haut du forum) sont à lire pour tous ceux qui s'inscrivent sur le forum, et à relire régulièrement pour les autres.

Bien que ce soient des choses tellement évidentes, certains oublient de les lire et d'agir en tenant compte …

Cela concerne les règles d'usage de tout milieu de vie (sociale) :

• faire des recherches avant de poster
• bien présenter son problème
• rester courtois
• ...

Bref du bon sens ...

ccnet

@zeb50:

Sur votre pF, vous avez bien des adressages différent sur lan et wan ? (ils ne doivent pas être dans le même réseau)

Carte WAN : 192.9.182.53

Carte LAN : 192.9.182.1

Point d'accès :

• IP :  192.9.182.10
• Subnet : 255.255.255.0
• Gateway : 192.9.182.1

Non seulement lan et wan sont dans le même réseau mais en plus il s"agit d'ip publiques qui appartiennent à Oracle.

j'ai appris sur le tas et ça se ressent.

Alors vous avez encore deux ou trois sujets à regarder de près.

zeb50

Être cordial, tout à fait, être cassant malgré cette cordialité de façade, non, et c'est ce que je reprocherais au forum FR (car je fais mes petites recherches en deux langues).

Bref, encore toute mes excuses de dire ce que je pense, d'autre débutants se sont fait rabrouer beaucoup plus violemment que moi, mais le résultat est que ces débutants/particuliers n'ont sans doute jamais retouché à leur projet, ont laissé tombé, et je trouve personnellement cela dommage.

Enfin, peut-importe, grâce à vos conseils j'ai finalement réussi à mettre en place le portail captif  :)

Je n'ai pas encore bien saisi pourquoi si l'adresse IP de la carte LAN commençait par "192.x.x.x" cela ne peut pas marcher.
Je pensais que 192.9.x.x était différent de 192.168.x.x, l'allégorie de l'autoroute m'ayant fait tilter, mais si vous avez un exemple précis je veux bien (Même si cela ne presse pas car je vais lire votre site et me renseigner).

Du coup je vous remercie, et je vais paramétrer mon portail comme il se doit (et chercher une solution de proxy transparent après l'authentification, qui permet d'avoir les logs de connexions des utilisateurs, comme demandé par la loi).

Merci encore et peut-être à plus tard  :)

chris4916

La section française du forum se distingue en effet de la section anglaise de part son accueil…  :-X

Concernant les adresse IP:
1 - il faut, tu l'as bien compris, qu'elles soient dans des plages différentes entre les toutes les sections de ton réseau, pas uniquement entre LAN et WAN
2 - l'autre point important, c'est que sur un réseau privé, tes adresses doivent être dans les sections définies par la RFC 1819 qui décrit spécifiquement les réseau privés.

Ces adresses spécifiques (il y a un range en classe A, B et C, le plus utilisé étant celui de la classe C en 192.168.x.x/24 (habituellement) ne sont pas routées sur internet, alors que les autres le sont.
Si ton réseau utilise le même plan d'adressage que Oracle, tu ne pourras pas joindre le réseau d'Oracle si un jour ce besoin apparaît...

ccnet

Enfin, peut-importe, grâce à vos conseils j'ai finalement réussi à mettre en place le portail captif

C'est déjà un résultat.

Je pensais que 192.9.x.x était différent de 192.168.x.x,

C'est le cas mais ce n'est pas ce que nous avons lu. Et encore une fois 192.9..0.0 est un réseau publique qui appartient à Oracle. 192.168.0.0 est bien un réseau privé (voir RFC). Une interface Pfsense = un numéro de réseau distinct.
Donc une configuration correcte s'agissant des interfaces pourrait être :
Wan 192.168.75.1 (si votre box ne sait pas gérer le mode pont (bridge)
Lan 192.168.16.254 ou .1 ou . ce que vous voulez avec des masques en /24.
Si vous avez beaucoup de machines dans le Lan ce peut être aussi 172.30.2.254, par exemple, et des masque en /16.

chris4916

@chris4916:

La section française du forum se distingue en effet de la section anglaise de part son accueil…  :-X

;D ;D ;D au lieu d'empiler de "smite" donc je me moque d'ailleurs éperdument  :P :P il serait bien plus intéressant de démontrer que ce n'est pas vrai  ::)

Vous devriez aller parcourir un peu les sections des autres langues que vous pratiquez pour vous rendre compte de cette spécificité de la section française  8)
Et si malgré cette visite "à l'étranger" ça ne vous saute pas aux yeux, probablement n'y a t-il effectivement rien à faire  :-X

zeb50

Bonjour,
Après quelques questions à mon tuteur je ne peux pas vous apporter de réponses pour vos remarques sur le réseau oracle, le réseau était configuré comme ça avant que lui même arrive et pour l'instant ça ne changera pas, quand on changera l'infra je remettrais la question sur la table.
Sinon j'ai utilisé une configuration en 10.x.x.x pour essayer de respecter la RFC 1918 au mieux.

Je profite de ce message pour une dernière question, que j'avais évoqué précédemment mais qui n'étais pas ma priorité.

J'aurais besoin d'un proxy transparent avec ce portail captif, sauf que bah c'est incompatible.
Du coup ma question : Comment faire? Peut-être déjà, un nouveau topic? :)

J'ai imaginé plusieurs solutions et j'aimerais savoir si elles sont réalisable, sachant que je n'ai pas trouvé de solution "parfaite", c a d qui authentifie et trace , et du coup fait le lien entre les deux.

Mettre un proxy avant PfSense, et renseigner son IP dans la configuration de PfSense. Je ne peux actuellement pas tester mais cette solution me parait juste inutile, les utilisateurs passant par PfSense pour s'authentifier uniquement, ils n'y restent pas.

Mettre un proxy transparent sur le réseau touché par le portail captif, et en cas de demande des logs internet, donner les deux fichiers de logs, et après ils se débrouillent pour recouper manuellement les infos, sachant que y a la date, l'heure, l'ip, etc… donc c'est possible pour moi (ou alors faire un script qui recoupe les infos tout les jours et qui est stocké sur le serveur du proxy transparent)

Une solution avec WPAD? (je viens de tomber dessus, je ne suis pas sûr que cela desserve mon besoin, je m'y penche!)

En vous remerciant encore.

chris4916

Il te faut d'abord répondre à la question de "pourquoi tu veux mettre un proxy".

ensuite, pourquoi faut-il que ce proxy soit transparent ?

En fonction de la réponse, tu pourras choisir ton design.
Un proxy "avant" le portail captif, oui c'est incompatible car dans ce cas, c'est le proxy qui accède le portail et donc celui-ci va ouvrir la porte au proxy, donc à tous les utilisateurs qui passent par le proxy => donc c'est un proxy "après".
Est-ce que ce proxy doit être transparent ou pas ? ça dépend de l'usage que tu veux faire du proxy.

D'une manière générale, je suis plutôt opposé au proxy transparent qui pose quelques problèmes de sécurité et qui offre moins de possibilité de filtrage et aucune possibilité de profiling, c'est à dire de filtrage en fonction de l'utilisateur.
Mais il y a des cas de figures dans lesquels ce mode de proxy se justifie.

zeb50

C'est pour respecter la loi demandant les logs de connexion des utilisateurs : https://www.cdse.fr/wifi-et-conservation-des-donnees

Et du coup, c'est pour les visiteurs extérieurs à l'entreprise, qui quand ils arrivent pour par exemple une journée, le portail captif leur donne accès au réseau et les identifie.
L'idée ensuite c'est de ne pas toucher à leur machine grâce au proxy transparent, et d'avoir quand même une trace de leur passage grâce à lui.

Car sinon pour des utilisateurs de l'entreprise, des employées avec un compte dans l'AD, une GPO qui déploie le proxy et c'est terminé, mais je ne peux pas me permettre ceci sur les visiteurs.

eebya97

@zeb50 said in [RESOLU] Page d'authentification du portail captif ne se montre pas:

Ayant farfouillé quelques topics, je trouve l'ambiance de ce forum très désagréable.

J'ai déjà été modo et membre actif sur divers forum et je n'ai jamais été aussi virulent envers les débutants, aussi nul et peu respectueux de la charte soit-ils.

M'enfin bref, j'ai suivi votre conseil de l'installer sur une machine physique, et ai eu la chance de trouver une documentation m'apportant un élément sûrement évident pour vous mais qui je l'avoue ne m'étais pas venu à l'esprit, à savoir la nécessité de relier le PfSense à un switch / AP et que les utilisateurs s'y connecte et soient donc reliés à PfSense par ce biais.

Du coup, cela marche très bien, j'ai un seul soucis sur lequel je me pencherais demain, c'est lors de l'activation de mon portail captif.
Je le configure pour avoir une authentification en local, mais la page d'authentification n’apparaît pas.
Elle m'est apparue une fois sans que je sache pourquoi, mais pas de seconde fois.

Voilà c'est tout pour moi, je chercherais demain.

P.S: Hyper-V est utilisé dans la boîte où je suis en stage, pour confirmer les propos de Nightwolf :)

Stp je peux avoir ta documentation je suis un peu coincé

Tatave

Salut salut

@eebya97 ce topic est suffisamment ancien pour en ré-ouvrir un propre et en conformité aux exigences de la section du forum.

Vous êtes libre de suivre ou pas ces exigences, dans le cas du non suivi des exigences vous vous exposé au mieux à une ignorance total d'une partie des habitués qui ont ou ont eu un grand parc de machine sous ce produit, au pire une remontée de bretelles virulentes de ceux ci.

Cordialement

ps : je n'interviendrais pas plus sur ce topic.