CAPTIVE PORTAL NÃO ACEITANDO NOVOS USUÁRIOS



  • Bom dia!

    Tenho implementado em um cliente, um pfSense com algumas funções básicas, load balance, fail over…
    Além de um Captive Portal personalizado que tem dado dor de cabeça.
    Desenvolvi a página html personalizada no Dreamweaver e no geral ela funcionava ok.
    Eles queriam apenas a pagina personalizada, mantendo a senha antiga do Wi Fi. Então voucher n
    ao solucionaria, pois precisava de uma senha fixa. E usuário/senha teria um campo a mais para preencher.
    O que eu fiz foi o seguinte:
    Criei um usuário no pfSense.
    E na minha pagina html, coloquei o campo de usuário como invisível e padronizado já com o nome do meu usuário no pfsense. Assim, o cliente teria que digitar somente a senha. Enfim, até então sem problemas. A questão é:

    O Captive Portal atinge uma certa quantia de usuários e para de aceitar novos usuários. E o pior: Essa quantia não é fixa. Já bloqueou com 77, com 57, com 55... Quando ele "decide travar" ele não aceita mais nenhuma autenticação. O que poderia ser? Não encontrei nenhum tipo de configuração que limita quantidade de usuários autenticados no captive portal e nem uma quantidade de login simultâneos em um mesmo usuário do pfsense. Uma solução provisória foi habilitar o "Idle timeout (Minutes)", no momento com 240 minutos (4 horas) tem sido suficiente. 12 horas, 8 horas, o problema manteve. Mas com 4 horas, ele desliga a autenticação desses usuários inativos e não atinjo o número que "trava" novas autenticações. Mas é um tempo extremamente baixo e precisava de uma solução mais maleável. Cheguei nessa solução, foi desabilitando e habilitando o captive portal, esses clientes conseguiam se conectar. Alguém passou por uma situação parecida?



  • Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.



  • @andrezaomac:

    Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.

    Boa tarde!

    Na verdade não… Acredito que essa opção seria no caso de meus roteadores/AP's estarem em NAT, recebendo ip na WAN e servindo uma nova faixa. Mas não é o meu caso. Utilizo os roteadores meio que como "bridge" somente recebendo pela LAN.

    A questão é que conecta normalmente, mas do nada trava, as vezes com 55 usuários, ninguém mais consegue autenticar, so se eu desabilitar e habilitar novamente.



  • Os APs Wifi tem capacidade para esse fluxo de conexões?



  • @fabricioborges1:

    @andrezaomac:

    Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.

    Boa tarde!

    Na verdade não… Acredito que essa opção seria no caso de meus roteadores/AP's estarem em NAT, recebendo ip na WAN e servindo uma nova faixa. Mas não é o meu caso. Utilizo os roteadores meio que como "bridge" somente recebendo pela LAN.

    A questão é que conecta normalmente, mas do nada trava, as vezes com 55 usuários, ninguém mais consegue autenticar, so se eu desabilitar e habilitar novamente.

    Essa opção não ter nada haver com Nat, e sim com a quantidade de usuários conectados.



  • @Tomas:

    Os APs Wifi tem capacidade para esse fluxo de conexões?

    Acredito que sim. Mas a necessidade é de ficar reconectando o Captive Portal, ativando e desativando. Antes de existir o firewall não havia este problema.



  • @andrezaomac:

    @fabricioborges1:

    @andrezaomac:

    Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.

    Boa tarde!

    Na verdade não… Acredito que essa opção seria no caso de meus roteadores/AP's estarem em NAT, recebendo ip na WAN e servindo uma nova faixa. Mas não é o meu caso. Utilizo os roteadores meio que como "bridge" somente recebendo pela LAN.

    A questão é que conecta normalmente, mas do nada trava, as vezes com 55 usuários, ninguém mais consegue autenticar, so se eu desabilitar e habilitar novamente.

    Essa opção não ter nada haver com Nat, e sim com a quantidade de usuários conectados.

    Mas não seria a quantidade de maquinas com o mesmo ip?
    Um router no meio com NAT mudando a faixa e diversos aparelhos conectados nesse roteador pegando dhcp servido por esse novo route. Mas o pfSense reconheceria os equipamentos conectados através desse router.

    Ex:
    LAN do meu pfSense = 10.1.1.1
    DHCP Server do meu pfSense = 10.1.1.100 ~ 10.1.1.200
    WAN do meu Router TP-Link = 10.1.1.2
    LAN do meu Router TP-LINK  = 172.14.14.1
    DHCP server= 172.14.14.100 ~ 172.14.14.200
    15 Celulares, tablets e Notebooks conectados pegando DHCP do meu Router TP link = 172.14.14.100 ~ 172.14.14.115

    Para o pfSense ele entenderia esses 15 dispositivos com somente o IP do TP-LINK 10.1.1.2. (Com essa opção recomendada, que não é o meu caso)
    Até por que, acho 100 (que é o máximo permitido nessa opção) um número muito baixo para uma rede inteira (Até mesmo por AP)



  • @fabricioborges1:

    @andrezaomac:

    @fabricioborges1:

    @andrezaomac:

    Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.

    Boa tarde!

    Na verdade não… Acredito que essa opção seria no caso de meus roteadores/AP's estarem em NAT, recebendo ip na WAN e servindo uma nova faixa. Mas não é o meu caso. Utilizo os roteadores meio que como "bridge" somente recebendo pela LAN.

    A questão é que conecta normalmente, mas do nada trava, as vezes com 55 usuários, ninguém mais consegue autenticar, so se eu desabilitar e habilitar novamente.

    Essa opção não ter nada haver com Nat, e sim com a quantidade de usuários conectados.

    Mas não seria a quantidade de maquinas com o mesmo ip?
    Um router no meio com NAT mudando a faixa e diversos aparelhos conectados nesse roteador pegando dhcp servido por esse novo route. Mas o pfSense reconheceria os equipamentos conectados através desse router.

    Ex:
    LAN do meu pfSense = 10.1.1.1
    DHCP Server do meu pfSense = 10.1.1.100 ~ 10.1.1.200
    WAN do meu Router TP-Link = 10.1.1.2
    LAN do meu Router TP-LINK  = 172.14.14.1
    DHCP server= 172.14.14.100 ~ 172.14.14.200
    15 Celulares, tablets e Notebooks conectados pegando DHCP do meu Router TP link = 172.14.14.100 ~ 172.14.14.115

    Para o pfSense ele entenderia esses 15 dispositivos com somente o IP do TP-LINK 10.1.1.2. (Com essa opção recomendada, que não é o meu caso)
    Até por que, acho 100 (que é o máximo permitido nessa opção) um número muito baixo para uma rede inteira (Até mesmo por AP)

    Você esta utilizando os APRouters com dhcp ativado ou o exemplo acima é somente um "exemplo"?



  • Verifica no log o que realmente esta acontecendo, Será se esta chegando no Captive ou seus AP que não suportam a quantidade, ja tive programa parecido e o problema era os roteadores da Intelbras (win240), muito bom de sinal mas trava com o trafego, começa a mandar o mac dele ao invez do mac do cliente e ai o captive portal não se entende.



  • @empbilly:

    @fabricioborges1:

    @andrezaomac:

    @fabricioborges1:

    @andrezaomac:

    Existe uma opção de Maximo de Concorrentes, ela deve fazer o que vc necessita.

    Coloque o valor maior possível lá, pode ser que resolva.

    Boa tarde!

    Na verdade não… Acredito que essa opção seria no caso de meus roteadores/AP's estarem em NAT, recebendo ip na WAN e servindo uma nova faixa. Mas não é o meu caso. Utilizo os roteadores meio que como "bridge" somente recebendo pela LAN.

    A questão é que conecta normalmente, mas do nada trava, as vezes com 55 usuários, ninguém mais consegue autenticar, so se eu desabilitar e habilitar novamente.

    Essa opção não ter nada haver com Nat, e sim com a quantidade de usuários conectados.

    Mas não seria a quantidade de maquinas com o mesmo ip?
    Um router no meio com NAT mudando a faixa e diversos aparelhos conectados nesse roteador pegando dhcp servido por esse novo route. Mas o pfSense reconheceria os equipamentos conectados através desse router.

    Ex:
    LAN do meu pfSense = 10.1.1.1
    DHCP Server do meu pfSense = 10.1.1.100 ~ 10.1.1.200
    WAN do meu Router TP-Link = 10.1.1.2
    LAN do meu Router TP-LINK  = 172.14.14.1
    DHCP server= 172.14.14.100 ~ 172.14.14.200
    15 Celulares, tablets e Notebooks conectados pegando DHCP do meu Router TP link = 172.14.14.100 ~ 172.14.14.115

    Para o pfSense ele entenderia esses 15 dispositivos com somente o IP do TP-LINK 10.1.1.2. (Com essa opção recomendada, que não é o meu caso)
    Até por que, acho 100 (que é o máximo permitido nessa opção) um número muito baixo para uma rede inteira (Até mesmo por AP)

    Você esta utilizando os APRouters com dhcp ativado ou o exemplo acima é somente um "exemplo"?

    É somente um exemplo, numa situação em que a indicação andrezaomac seria válida (da forma em que eu interpretei)
    Na realidade não utilizo dhcp ativo nos aps. Tudo na faixa do pfSense.



  • @Reinaldo:

    Verifica no log o que realmente esta acontecendo, Será se esta chegando no Captive ou seus AP que não suportam a quantidade, ja tive programa parecido e o problema era os roteadores da Intelbras (win240), muito bom de sinal mas trava com o trafego, começa a mandar o mac dele ao invez do mac do cliente e ai o captive portal não se entende.

    Boa tarde!

    Primeiramente, obrigado pela sua resposta.
    Irei dar uma verificada, embora atualmente o problema esteja de certa forma sanado com a configuração de "Se tiver mais de 4hrs inativo será desconectado".
    Deu muita dor de cabeça com o cliente e não vou ter condição de aumentar esse time pra forçar o problema atualmente. Vamos ver se volta a dar o problema, quem sabe no próximo fds com algum evento no local.

    Você se refere a função em Status -> System Logs -> Captive Portal Auth ?




  • fabricioborges1,

    Posta uma print das configurações do teu captiveportal.



  • @empbilly:

    fabricioborges1,

    Posta uma print das configurações do teu captiveportal.

    Segue abaixo conforme solicitado.














  • Cara, a principio parece tudo ok. Eu utilizo o captiveportal a muito tempo e já tivemos quase 100 usuários simultâneos e não ocorreu esse problema que contigo ocorre. A diferença é que eu não configurei o "usuário" diretamente na pagina de acesso. Cada usuário precisa informar seu login e senha a cada acesso ou após o tempo de desconexão da rede wifi.

    Não sei se isso é motivo para acontecer isso. O que tu pode fazer é remover o valor do "Idle timeou" e com o tcpdump monitorar os acessos. Talvez dessa forma tu descubra algo a mais.
    https://doc.pfsense.org/index.php/Sniffers,_Packet_Capture



  • @empbilly:

    Cara, a principio parece tudo ok. Eu utilizo o captiveportal a muito tempo e já tivemos quase 100 usuários simultâneos e não ocorreu esse problema que contigo ocorre. A diferença é que eu não configurei o "usuário" diretamente na pagina de acesso. Cada usuário precisa informar seu login e senha a cada acesso ou após o tempo de desconexão da rede wifi.

    Não sei se isso é motivo para acontecer isso. O que tu pode fazer é remover o valor do "Idle timeou" e com o tcpdump monitorar os acessos. Talvez dessa forma tu descubra algo a mais.
    https://doc.pfsense.org/index.php/Sniffers,_Packet_Capture

    Entendi. Nesse cliente que tá ocorrendo o problema não tenho condição de realizar testes, forçar o problema para ver o que esta acontecendo. Mas estou arrumando uma parceiria, vou fornecer um firewall a uma empresa de graça, mas para poder estar realizando testes, acredito que semana que vem já devo ter uma resposta do problema. Minhas suspeitas são exatamente essas, ou os APs não estão aguentando, ou essa configuração da minha pagina html está dando problema. Quem sabe seja um limite de logins com o mesmo usuário.

    Mas teria alguma outra forma de utilizar o captive portal somente com uma senha fixa? Sem usuário, sem voucher. só a pagina personalizada e senha.



  • Não há possibilidade de deixar SEM SENHA??

    E faz uma regra com adegamento de horário e dia.
    Ou seja quando o estabelecimento estiver fechado, não há conexão.

    Não seria uma saída para sua solução.?



  • @andrezaomac:

    Não há possibilidade de deixar SEM SENHA??

    E faz uma regra com adegamento de horário e dia.
    Ou seja quando o estabelecimento estiver fechado, não há conexão.

    Não seria uma saída para sua solução.?

    Obrigado pela sua resposta. Poderia ser uma solução válida. Mas acho que não agradaria o cliente deixar sem senha. Além do mais, e um estabelecimento 24hrs (Hotel), então sempre haverá conexão :\



  • @fabricioborges1:

    @andrezaomac:

    Não há possibilidade de deixar SEM SENHA??

    E faz uma regra com adegamento de horário e dia.
    Ou seja quando o estabelecimento estiver fechado, não há conexão.

    Não seria uma saída para sua solução.?

    Obrigado pela sua resposta. Poderia ser uma solução válida. Mas acho que não agradaria o cliente deixar sem senha. Além do mais, e um estabelecimento 24hrs (Hotel), então sempre haverá conexão :\

    Nesse caso por ser Hotel, sem senha não é viável mesmo.



  • @fabricioborges1:

    @empbilly:

    Cara, a principio parece tudo ok. Eu utilizo o captiveportal a muito tempo e já tivemos quase 100 usuários simultâneos e não ocorreu esse problema que contigo ocorre. A diferença é que eu não configurei o "usuário" diretamente na pagina de acesso. Cada usuário precisa informar seu login e senha a cada acesso ou após o tempo de desconexão da rede wifi.

    Não sei se isso é motivo para acontecer isso. O que tu pode fazer é remover o valor do "Idle timeou" e com o tcpdump monitorar os acessos. Talvez dessa forma tu descubra algo a mais.
    https://doc.pfsense.org/index.php/Sniffers,_Packet_Capture

    Entendi. Nesse cliente que tá ocorrendo o problema não tenho condição de realizar testes, forçar o problema para ver o que esta acontecendo. Mas estou arrumando uma parceiria, vou fornecer um firewall a uma empresa de graça, mas para poder estar realizando testes, acredito que semana que vem já devo ter uma resposta do problema. Minhas suspeitas são exatamente essas, ou os APs não estão aguentando, ou essa configuração da minha pagina html está dando problema. Quem sabe seja um limite de logins com o mesmo usuário.

    Mas teria alguma outra forma de utilizar o captive portal somente com uma senha fixa? Sem usuário, sem voucher. só a pagina personalizada e senha.

    A principio somente as opções que mostram na pagina de config.




  • Boa noite.
    Analisando seu cenário, é possível criar VOUCHERS com duração de 1 ano ou mais ai poderia ate fazer um rotatividade do código que seria bom, e um ano é um bom tempo de duração.
    Com relação a travar com certa quantidade de conexões simultâneas, tem que se observar alguns detalhes:

    1. Use a faixa de IPs da rede Hotspot /16 assim o SV DHCP terá mais IPs livres para liberar já que os APs estão em Bridge;
    2. Os APs tem limites de acesso simultâneos principalmente esses APs domésticos que suportam entorno de 16 a 30 conexões (isso se não travar);
    3. Verificar como está o uso do processador, memoria, MBUF Usage e State table size do servidor;
    4. Caso continue a TRAVAR com essa configuração de apenas de usuário desative a autenticação e monitore se vai continuar a travar;

    Espero que ajude. ;D



  • @denicio:

    Boa noite.
    Analisando seu cenário, é possível criar VOUCHERS com duração de 1 ano ou mais ai poderia ate fazer um rotatividade do código que seria bom, e um ano é um bom tempo de duração.
    Com relação a travar com certa quantidade de conexões simultâneas, tem que se observar alguns detalhes:

    1. Use a faixa de IPs da rede Hotspot /16 assim o SV DHCP terá mais IPs livres para liberar já que os APs estão em Bridge;
    2. Os APs tem limites de acesso simultâneos principalmente esses APs domésticos que suportam entorno de 16 a 30 conexões (isso se não travar);
    3. Verificar como está o uso do processador, memoria, MBUF Usage e State table size do servidor;
    4. Caso continue a TRAVAR com essa configuração de apenas de usuário desative a autenticação e monitore se vai continuar a travar;

    Espero que ajude. ;D

    Boa tarde.

    Quanto aos vouchers, nessa situação não seria possível, o cliente deseja que mantenha a senha padrão deles.
    Quanto aos AP's, estarei verificando na próxima oportunidade de ir a cidade do cliente e verificar suas configurações.
    Estamos implementando em um cenário semelhante, mas com a utilização de ap's coorporativos (unifi's da ubnt).
    O firewall está bem. E sem o captive não temos problemas. Inclusive, quando trava, acessamos remotamente, desativamos e ativamos novamente o captive portal, assim todos conseguem conexão. (Sempre trava por volta de 50 a 55 conexões simultaneas).

    Grato pela resposta, em breve volto com resultado do ambiente de testes. Abrss