URGENT - Mystère avec captive portal?

bersotj

Bonjour je suis actuellement au Togo pour installer un Pfsense SG-4860

Besoin : j'ai un soucis avec la configuration du pfsense mais je ne sais pas vraiment à quel niveau, je ne comprend pas vraiment ce qui se passe, ça ne me semble pas logique

Schéma :

WAN (modem/routeur/box) : j'ai normalement deux wan, deux gateway du type failover. Les étudiants sur un gateway (wan2 et wan1 si wal2 failed) et un pour le staff (wan1 et wan2 si wan1 failed)

LAN : deux lan physique (le lan2 n'est pas encore en fonction). Sur LAN1 j'ai deux vlan provenant de WIFI Openmesh, un pour le wifi étudiant et l'autre pour un intranet. quatre DHCP qui fonctionne bien
192.168.20.1 pour le LAN par fil (switch)
192.169.21.1 pour le VLAN 101 wifi sur LAN
192.168.40.1 pour le VLAN 102 wifi sur LAN
192.168.25.1 pour LAN2

les DHCP fonctionnent bien et donnent bien les IP

DMZ : DNS du provider

Proxy SQUID géré par le Pfsense

Règles Firewall : par onglet, règles principales, …
ici je suis moins sur alors j'ai fait large
WAN IPv4+6 * * * * *

LAN  * * * LAN Adress 443/80/222 * * (anti-Lockout)
LAN IPv4* LAN net * * * Failover1
LAN IPv6* LAN net * * * *

LAN2 IPv4* Lan2 net * Lan net * *
LAN2 IPv4* Lan2 net * * * Failover1
Lan2 Ipv6* Lan2 net * * * *

OPENMESH IPv4 OPENMESH net * OPENMESH net * *
OPENMESH IPv4 OPENMESH net * Lan net * *
OPENMESH IPv4 OPENMESH net * * * Failover2
OPENMESH IPv6 OPENMESH net * * * *

WAN2 Ipv4+6* * * * * *

INTRANET IPv4+6* INTRANET net * Lan net * *
INTRANET IPv4+6* INTRANET net * INTRANET net * *
INTRANET IPv4* * * INTRANET net * *

Un captive Portal sur LAN+LAN2
un autre captive Portal sur OPENMESH

Question :
Le captive portal sur LAN+LAN2 fonctionne très bien sans aucun soucis
Le captive portal sur OPENMESH a fonctionné hier quelques heures très bien. Puis plus du tout. Si je me souvient bien, j'ai rajouté des Mac Address pour ce captive portal puis cela n'a plus fonctionné.

Ce qui me semble incompréhensible c'est que j'ai fait un restore du système au moment où cela marchait, mais cela ne fonctionne pas.

Cependant je ne sais pas vraiment où est le problème, car même quand je désactive Captive portal cela ne passe pas. Un problème de firewall ?

actuellement sur un poste Windows, en WIFI sur OPENMESH (adresse IP 192.168.21.1) quand je fait un ping sur 192.68.20.1 (pfsense) cela fonctionne mais pas le ping sur 192.168.21.1 et bien sur ping 8.8.8.8 ne passe pas

quand je tente d'ouvrir une page web j'ai bien une redirection sur http://192.168.21.1

Pour tout vous dire, j'avais fait des test au Québec avant de venir au Togo et j'avais rencontré ce problème sur un troisième VLAN. On a passé plusieurs heures avec les techniciens de Pfsense sans pourvoir régler le problème que j'ai contourné en supprimant ce troisième VLAN

Pistes imaginées

j'ai l'impression que le problème vient du firewall car quand je désactive Captive portal cela ne fonctionne quand même pas, mais?

Logs et tests : j'ai essayer de tout rependre a zéro, sans succès

merci pour votre aide

chris4916

Je ne vais pas répondre directement mais juste te donner une piste:

• avec le proxy sur pfSense, ton load balancing WAN ne fonctionne pas, le proxy n'utilisant pas les policy rules définies au niveau des entrées.
• as-tu essayé sans portail captif mais également sans proxy ? (au fait c'est un proxy en mode transparent ?)

bersotj

Merci pour la réponse

Non, je ne fais pas de Load Balancing car cela ne fonctionne pas avec un proxy sur la même machine que le PfSense. Je vais installer un serveur pour le proxy plus tard. Donc pour l'instant je me contente de faire du FailOver, en dirigeant LAN+LAN2 sur WAN et OpenMESH sur WAN2 (avec failover si un wan tombe)

Pour le proxy. oui c'est en mode transparent. J'ai essayé de faire sans proxy avec le même résultat. Je peux refaire le test

merci

chris4916

Dans un mode "basique" sans portail captif ni proxy, on doit quand même arriver à voir plus facilement à quel endroit les flux sont coupés  ;)

bersotj

je me suis mis en mode basic (pas de poxy ni captive portal)

avec le vlan OpenMesh le pc a bien une bonne adresse Ip (le DHCP marche bien) mais cela bloque

un ping 192.168.20.1 (routeur pfsense) fonctionne bien
mais un ping 192.168.21.1 (gateway Openmesh) bloque bizarrement

ma config fire wall :

States Protocol Source         Port         Destination   Port Gateway
IPv4+6 * *         *                   *            OPENMESH2 net  *       *            
IPv4          *         OPENMESH2 net                     *                     * Failover1    
IPv6 *                 OPENMESH2 net   *             *                     *       *    
IPv4 *                 OPENMESH2 net  *             *                     *       *

une suggestion?

bersotj

je viens de refaire les gateway et Vlan et paradoxalement cela ne marchait pas en mode basic et cela c'est mit à marcher avec le proxy et Captive portal

je test pour voir si cela reste stable

bersotj

Je poste ici le résultat de mes investigations

Si j'ai bien compris ce qui se passe je pense que l'origine du problème est que j'avait un LAN sur un port Ethernet et un VLAN sur le même port Ethernet avec deux Captive Portal différents.

J'ai modifié ma configuration et si tous les LAN et VLAN du même port Ethernet sont sur le même Captive Portal cela fonctionne bien (j'ai même du activer Captive Portal sur un Vlan qui n'en avait pas besoin (intranet) sinon cela ne marchait pas)

bref, selon mes déductions, tout ce qui se trouve sur le même port Ethernet doivent être tous sur le même Captive Portal ou personne, mais pas les deux.

merci à ceux qui ont pris le temps de réfléchir à ce dossier.

baalserv

Bonsoir,

Il ne faut pas mélanger des réseaux physique et virtuel sur une même interface  ;)

Quand on fait du Vlan il ne FAUT PAS donner de configuration IP à la carte, seulement lui affecter des Vlan.

Faite un test avec cette recommandation car je ne pensse pas que votre problème vienne du CP ou du squid.

Cordialement