Problème portail Captive après update pfsense

abrougui

Bonjour
J'ai une portail captive installé sur un réseau guest, d'habitude si je me connecte sur la page google ou youtube il me sort la page login de pfsense sans aucun problème. Mais après la mise à jours de pfsense vers la dernière version, si je met l'adresse "google, youtube facebook..." j'aurais pas la page d'authentification de la portail mais si je met une adresse http ça fonctionne normallement.
SVP s'il y a quelqu'un qui a eu le même problème merci de m'aider.

Gertjan

@abrougui said in Problème portail Captive après update pfsense:

si je met l'adresse "google, youtube facebook..."

Tout d'abord, "google, youtube facebook..." n'est pas un URL qui est valable. Ton navigateur va rien comprendre (il ne pourrait pas faire son boulot : ressoude le URL vers un IP, puis se connecter à cet IP, etc), il va donc visiter ta "moteur de recherche par défaut" pour lui demander ce que c'est, i.e. "google".
Et là, c'est le drame : ton moteur de recherche par défaut, c'est qui ? Un URL comme https://...... et dans ce cas, c'est mort - et tant mieux. Aucun portail captive, ni même le NSA pourrait intercepteur un https:// ....

Comme t'as bien vu : un URL correct comme http://www/google.fr/ montrera la page login du portail captif, car le http://......, lui, peut être intercepté.

Mais, il y a quand même quelque chose de bizarre.
Normalement, t'as même pas besoin de te connecter a un site comme http://www.google.fr pour forcer l'affichage de ta page de login de ton portail captif. Dès que l'OS de ton appareil active la connexion, par Wifi ou câble, il va lancer lui même une requête style http://....... en arrière plan, et te présenter un navigateur (qui va t'afficher la page de login) , ou au moins te notifier (comme Windows).

Essaie toi même : coupe la connexion (arrache le câble, coupe le Wifi) - puis active le de nouveau.

abrougui

@gertjan said in Problème portail Captive après update pfsense:

Un URL comme http

Merci pour ta repense, quand j'ai motionné google youtube... ce n'est pas que je met juste google. biensur https://www.google.com. mais ici, quand je met http://www.google.com ça passe. d'habitude, dès que je me connecte au réseau il me sort directement la page de login. mais après la mise à jours j'ai pas ça.
Et même j'ai cru dabord que s'est un problème de configuration. un ami a eu le même problème, et même j'ai monté un environnement de test en virtuel j'ai eu le même problème.

Gertjan

https://www.google.com ne pourrait pas être intercepté par le portal captif - ni aujourd'hui, ni dans le passé.
Et même, si tu insisté, ton navigateur va le savoir directement que le certificat qui va rendre ton portal ne donne pas "*.google.com" comme nom alternatif du sujet du certificat. Autrement dit : ton navigateur va refuser la connexion direct.

Pour que le https fonctionne pour ton portail captif, il faut d'abord l'activer.
T'as fait ça ? T'as donné un certificat valide pour que le "https" fonctionne ? Avec par exempla l'aide du package acme ?

Et encore, a ne pas confondre : l'affichage d'un page de login de ton portal captif en mode https ne veut pas dire que la redirection d'un requête "https" quelconque fonctionne pour que la page de login s'affiche. Car, comme c'est dit, c'est impossible - ton navigateur (toutes les navigateurs) le refusent maintenant.
De mémoire, si t'as activé

abrougui

Pour lets uncrypt, ça ne fonctionne pas avec mon domaine qui est sur un serveur AD windows server,
Et dans tout les cas, normalement si j'ouvre un navigateur j'aurais la page login, mais là je suis obligé de taper une adresse quelconque en http pour l'avoir. et Puisque ce sont des visiteurs qui vont utiliser ce réseau donc c'est difficile de les donner cet information.

Gertjan

AD Server ?
Lui t’empêche pas de passer la page d'authentification auprès ton portail captif en https - et donc un certificat 'valide'

abrougui

@gertjan said in Problème portail Captive après update pfsense:

Lui t’empêche pas

Non j'ai essayé comme vous disez de créer une certificat avec acme, avec mon domaine local qui est sur un serveur AD et il me sort cet erreur :
new-authz error: {"type":"urn:acme:error:malformed","detail":"Error creating new authz :: Name does not end in a public suffix","status": 400}

Gertjan

Le domaine, genre "ton-lan-a-toi.net" doit exister, il faut l'acheter d'abord.
Genre : go OVH (sans vouloiur faire le pub), et achète-le, on te fille aussi la structure DNS avec (important !).
Après, le package acme - et une paramétrage correcte - qui utilise le API d'OVH, il va ensuite demander un certificat auprès LetEnscrypt.
Bref, le sujet est déjà documenté à mort dans le forum et divers vidéos, docs, etc etc.

(Mais vrai, le package "acme" n'est pas un clique-clique-ça-marche" concept, comme tout le concept 'certificat')

abrougui

Ben j'ai bien compris ce que vous avez dis, merci.
juste une chose j'ai vérifie maintenant avec une ancienne version de pfsense, même si j’écris salut dans la barre de recherche de google, il me sort la page de login de la portail. juste si je fasse la mise à jours. rien ne ce passe juste une page bloqué. mais par contre il y a d'autres site en https si je les tapes il me sort la page portail. c'est vraiment bizarre.

Gertjan

C'est effet peut s'expliquer facilement.
Ton PC possède un cache DNS , comme pfSense.
Si l'IP d'un URL est déjà connu, le navigateur va se connecter directement sur cet IP, pas besoin qu'il fasse un recherche DNS d'abord. De plus, si le site est un site https donc porte 443, raison de plus qu'il n'y aura pas de redirection possible. La page de login ne pourrait s'afficher.

D’ailleurs, je n'ai pas l'impression que la version 2.4.2 ou 2.4.3 ou 2.4.4 fonctionne différent.
J'utilise pfSense dans un lieu publique, un hôtel, il y a donc un va et vient de clients, et je leur explique pas comme se connecter.
Il existe simplement une documentation dans leur chambre qui dit qu'il faut s'authentifier d'abord, et qu'un mot de passe existe par chambre. C'est tout. Et crois-moi, tout le monde se connecte, avec tout les appareils possible.

Sache qu'il ne faut pas modifier le paramétrage du portail quand il existe déjà des connections !
Si tu a modifié le paramétrage du portail, déconnecte d'abord tout les clients connectés.

Comme j'ai déjà dit plus haut, dèes que un iPhone ou Ipdas se conecte au Wifi de l'hôtel, un requete comme ceci :
lhttp://captive.apple.com/hotspot-detect.htm
est lancé par l'OS.
Si la réponse n'est pas

Success

l'OS lance un navigateur de suite, et la page de login s'ouvre, sans que utilisateur a quelque chose chose à faire.
Pour les Android s, ça marche pareil, avec un autre URL "http" bien sur.
Window : Idem.
Autres OS4s : idem.
Donc ça devrait fonctionne pour toi aussi.

abrougui

je connais bien tout ce qui est écrit, mais d'habitude quand le client se connecte une fenêtre s'ouvre automatiquement de login et ce n'est plus le cas.

Gertjan

Qui est connecté en ce moment là ?
Montre aussi tes règles ipfw.
Ça arrive avec la page login par défaut ?
Qui est le DNS ? Passerelle ?
Règles parafeu "GUI" de l'interface ?

T'as fait le tour ici https://www.netgate.com/docs/pfsense/captiveportal/captive-portal-troubleshooting.html ?

abrougui

ben j'ai essayé avec le navigateur opera et ça fonctionné même en tapant https://www.google.com
comme s'est mentionné dans le lien que vous avez envoyé, apparemment s'est lié au navigateur, et que s'est la mise à jours de chrome à causé ça