Problème de résolution DNS et authentification du portail captif



  • Bonjour,
    Le portail captif fonctionne parfaitement … Mais bizarrement deux téléphones mobiles (Android) lors de l'activation de DNS Resolver et la désactivation de '' DNS forwarder '' n'affiche plus la page d'authentification du portail captif, pas de problème pour les autres machines
    Je suis maintenant obligé de désactiver DNS Resolver mais cela rendra pfBlockerNG inactif

    Merci de votre aide



  • 'Soir.

    Je n'ai jamais utilisé le Forwarder.
    Comme le Resolver est activé par défaut, je me suis dit : c'est parfait comme ça.
    J'ai bien sur un captive portal actif et ça marche bien avec toutes les appareils, et ceci depuis très longtemps.

    Le Resolver renforce un idée très classique : UN appareil, le passerelle ou le gateway (== pfSEnse) s'occupe du DNS.
    Et personne d'autre (ni OpenDNS, ni Google, ni mon FAI).
    Presque partout au monde, le DNS est le box qui connecte ton LAN à Internet. C'est lui qui joue le "serveur DNS". pfSense fait pareil.

    Si un appareil se connecte sur ton réseau "captive" de pfSense il a reçu un IPv4, un IPv4  'passerelle' et un IP DNS. Ces dernier deux sont forcement l'IP de ton réseau captive de pfSense. Si ce même appareil (ou l'App dans cet appareil) décide de ne pas utiliser le DNS fourni par le DHCP (== pfSesne) , alors, c'est simple : c'est son problème. C'est son choix, ça lui regarde. Je respecte ça.
    Mais que personne vient pleurer devant moi que ces propres choix ne sont pas bon :)

    Sache que t'as fourni quasiment pas de détails concernant la question, ton paramétrage. J'ai donc répondu plutôt générique.
    Le Forwarder fonctionne très bien mais demande une paramétrage particulière, qui n'est pas très complique, mais demande une compréhension totale de ce que c'est : le DNS.

    Tes règles parafue de ton interface Portail ?
    T'as changé quoi dans le paramétrage DHCP ? DNS (Resolver) ?



  • @Gertjan:

    'Soir.

    Je n'ai jamais utilisé le Forwarder.
    Comme le Resolver est activé par défaut, je me suis dit : c'est parfait comme ça.
    J'ai bien sur un captive portal actif et ça marche bien avec toutes les appareils, et ceci depuis très longtemps.

    Le Resolver renforce un idée très classique : UN appareil, le passerelle ou le gateway (== pfSEnse) s'occupe du DNS.
    Et personne d'autre (ni OpenDNS, ni Google, ni mon FAI).
    Presque partout au monde, le DNS est le box qui connecte ton LAN à Internet. C'est lui qui joue le "serveur DNS". pfSense fait pareil.

    Si un appareil se connecte sur ton réseau "captive" de pfSense il a reçu un IPv4, un IPv4  'passerelle' et un IP DNS. Ces dernier deux sont forcement l'IP de ton réseau captive de pfSense. Si ce même appareil (ou l'App dans cet appareil) décide de ne pas utiliser le DNS fourni par le DHCP (== pfSesne) , alors, c'est simple : c'est son problème. C'est son choix, ça lui regarde. Je respecte ça.
    Mais que personne vient pleurer devant moi que ces propres choix ne sont pas bon :)

    Sache que t'as fourni quasiment pas de détails concernant la question, ton paramétrage. J'ai donc répondu plutôt générique.
    Le Forwarder fonctionne très bien mais demande une paramétrage particulière, qui n'est pas très complique, mais demande une compréhension totale de ce que c'est : le DNS.

    Tes règles parafue de ton interface Portail ?
    T'as changé quoi dans le paramétrage DHCP ? DNS (Resolver) ?

    Merci pour votre aide,
    Voici des captures d'écran qui résument toutes les modifications que j'ai faites dans DHCP et Resolver DNS



    ![dns resolver.png](/public/imported_attachments/1/dns resolver.png)
    ![dns resolver.png_thumb](/public/imported_attachments/1/dns resolver.png_thumb)
    ![Advanced Resolver Options.png](/public/imported_attachments/1/Advanced Resolver Options.png)
    ![Advanced Resolver Options.png_thumb](/public/imported_attachments/1/Advanced Resolver Options.png_thumb)
    ![Captive Portal.png](/public/imported_attachments/1/Captive Portal.png)
    ![Captive Portal.png_thumb](/public/imported_attachments/1/Captive Portal.png_thumb)



  • Un truc que je trouve étrange :
    Le certificat que tu utilise, "pro4545", est probablement ok, ça change de "blablabla.tld" d'habitude.
    Sachant que le page d’authentification est passé par le https, ce certificat est valide pour les navigateurs (visiteurs) de ton portail ? Autrement dit, c'est un certificat vérifié et fabrique par un vrai autorité ?
    C'est partie est ok :

    This name will be used in the form action for the HTTPS POST and should match the Common Name (CN) in the certificate (otherwise, the client browser will most likely display a security warning). Make sure captive portal clients can resolve this name in DNS and verify on the client that the IP resolves to the correct interface IP on pfSense.

    ?

    T'es au courant qu'un vrai certificat via Letenscrypt est possible avec le package "acme" ?

    Un autre détail : Le LAN est normalement que pour les appareils de confiance, le portail captive se monte sur un interface dédié.