portail captif problème d'accès au site d'authentification

Ledebutant · Nov 28, 2018, 8:16 AM

Bonjour à tous
Je suis débutant dans le monde de pfsense et j'essaie de faire fonctionner le portail captif.
Je demande à mes utilisateurs s'identifier en les redirigeant vers le site : accounts.google.com.
J'ai bien sur mis tous les domain utiles comme étant authorisé (onglet: allowed hostname).
Je me heurte à un problème étrange, quand je configure le portail captif que je clique sur save, tout se passe bien, les clients on accès à la page d'acceuil et peuvent s'authentifier et ont accès à internet. Mais après un certain temps, les nouveaux clients qui se connecte au réseaux n'arrive pas à acceder à la page d'authentification, le message suivant apparait sur le navigateur :
this site can't be reached
try checking the connection
checking the proxy and the firewall

J'ai fait quelques "tests" lorsque ce problème apparait, les postes clients n'arrive pas a faire de ping vers les sites normalement authorisés (ex accounts.google.com).
C'est comme si le portail captif n'était plus configuré.

Une fois que ce problème apparait, je n'ai qu'a aller dans la page de configuration du portail captif, appuyer de nouveau sur save, et tout redeviens accèssible.

Si quelqu'un peut m'aider à résoudre se probblème je lui en serait très reconnaissant.

merci de m'avoir lu

Gertjan · Nov 28, 2018, 9:51 AM

Salut,

Quelques posts plus bas : https://forum.netgate.com/topic/137553/probl%C3%A8me-portail-captive-apr%C3%A8s-update-pfsense/9

Ledebutant · Nov 28, 2018, 10:43 AM

merci du lien je vais lire tout ca et essayer de modifier mes configurations
merci

Gertjan · Nov 28, 2018, 11:02 AM

Fait gaffe : ne modifie plus rien quand des clients sont connectés (ne change pas le paramétrage de ton portail).

Ledebutant · Nov 28, 2018, 1:27 PM

j'ai vu que ca causait des problèmes effectivement, ce que je ne savais pas du tout, ce qui expliquerait peut être mes problemes

Gertjan · Nov 28, 2018, 1:51 PM

Je vous invite de comparer la liste des utilsateurs connecté suivant le GUI : Status / Captive Portal
et la commande (accès console, SSH direct ou par la connection" USB", menu option 8):

ipfw table all list

Il y a deux "tables" : ZONE_auth_up et ZONE_auth_down qui doivent à tout moment correspondre avec ce qu'il affiche le GUI.
Une connections vers l'Internet est possible du moment que l'IP d'un appareil d'un client est présent dans les deux tables (== la connexion passe) et tes règles Parafeu de ton interface "Captive Portail" (LAN, ou mieux : OPTx) laissent passer la connexion.

Ledebutant · Nov 28, 2018, 2:06 PM

J'ai vérifié ces deux tables, effectivement, quand un utilisateur arrive a atteindre la page d'authentification son ip apparait bien dans les deux tables, et il dispose d'un accès internet.
Par contre si l'utilisateur ne parviens pas a atteindre la page d'authentification, alors les tables sont vide.

Gertjan · Nov 28, 2018, 2:45 PM

Exact.

Par ce que les deux tables "ipfw" n'ont pas l'IP du visiteur, ce même visiteur va être rédigé vers la page login du portail captif.
Ça se passe ici :

ipfw list

......
02117 fwd 127.0.0.1,8003 tcp from any to any 443 in
02118 fwd 127.0.0.1,8002 tcp from any to any 80 in
.....

Devine qui écoute sur la porte 8003 et 8002 de localhost (= 127.0.0.1 sur pfSense) : justement, notre serveur web "portail captif" qui va afficher la page de login.

Mais, avant que la page s'affiche, le code va effectuer quelques vérifications, et une va tout faire foirer : l'utilsateur (son MAC et IP) sont est déjà dans la base des données avec les connections en cours, et du coup : pas besoin de "login" et rien s'affiche. Car, suivant le GUI (son code) l’utilisateur est déjà loggé.....
Voila le bug.

Remède à court terme : ne change pas le paramétrage de ton portail quand des utilisateurs sont présent.
Si tu décide autrement, pense à éjecter dans le GUI toutes les utilisateurs juste après le sauvegarde de ton paramétrage.

Ledebutant · Nov 28, 2018, 3:20 PM

merci de l'explication

Ledebutant · Nov 29, 2018, 1:12 PM

J'ai une autre petite question si jamais tu peux m'aider.
j'ai pris en compte tout ce que tu m'as dis et ca marche bien bbmieux merci beaucoup.
Il ne me reste qu'un seul problème, de temps en temps, lorsqu'un client se connecte, le navigateur s'ouvre, mais la page d'acceuil n'arrive pas a se charger, même si c'est la première connexion du clients.
Je n'aarive pas a voir d'ou cela peut venir. Sachant que si j'attend un certain temps et que j'essaie de reconnecter le client cela fonctionne.

En tout cas merci pour tes explications elles m'ont enlevée une épine du pied

Gertjan · Nov 29, 2018, 1:12 PM

@ledebutant said in portail captif problème d'accès au site d'authentification:

Il ne me reste qu'un seul problème, de temps en temps, lorsqu'un client se connecte, le navigateur s'ouvre, mais la page d'acceuil n'arrive pas a se charger, même si c'est la première connexion du clients.

Sous "HTTPS Options" t'as quoi ?

Sache que, avant même que t'as lancé un navigateur, dès le moment que la connexion "ethernet" est up ; le moment que t'as reçu un IP/DNS/Passerelle, le OS va faire une requete "http".
Par exemple : iOS va lancer un requête test : http://captive.apple.com/hotspot-detect.html. Si la réponse n'est pas "Success" (va voir toi même) mais autre chose, l'OS saura que l'appareil est derrière un portail captif.
L'OS lance un navigateur, avec le même "http://captive.apple.com/hotspot-detect.html" comme URL, soit il signale par un popup que l'attention de l’utilisateur est requise (Windows).
Le navigateur va bien sir afficher ta page login au lieu de http://captive.apple.com/hotspot-detect.html
Chaque OS possède son propre http://.... pour détecter s'il s'agit d'un portail, ou une connexion direct - ou pas de connexion du tout.

A tout moment : connecté (loggé) au portail, ou pas, le DNS doit fonctionner.
Ne te contente pas de faire un ping - mais lance nslookup puis demande un site que t'as pas encore visite les dernières 24 heures. Il doit y avoir une réponse (adresse IP).
Sans DNS, le portail fonctionnera pas.

Ledebutant · Nov 29, 2018, 1:29 PM

Sous https j'ai
enable https login : check
https server name : wifi.enteprise.net
ssl certificate : wifi.entreprise.net (let's encrypt certificate)
https forward : uncheck

Effectivement j'ai tester nslookup aussi il y a bien une adresse IP aui m'est donnee

Gertjan · Nov 29, 2018, 1:34 PM

@ledebutant said in portail captif problème d'accès au site d'authentification:

Sous https j'ai
enable https login : check
https server name : wifi.enteprise.net
ssl certificate : wifi.entreprise.net (let's encrypt certificate)
https forward : uncheck

Ok, parfait.
Il me semble que la mode "http" et/ou "https" fonctionne mieux.

@ledebutant said in portail captif problème d'accès au site d'authentification:

Effectivement j'ai tester nslookup aussi il y a bien une adresse IP aui m'est donnee

Ok.
Pour les navigateurs récalcitrant, je n'ose te conseiller, quoi que changer de navigateur, puis visiter "http://www.google.fr" doit te ramener à la page de login sans faute.

Ledebutant · Nov 29, 2018, 1:37 PM

Je vais essayer tout ca
merci pour ton aide