portail captif et certificats



  • Bonjour à tous

    voila le contexte :
    je suis en stage dans une petite entreprise, ils ont une machine sous pfsense et voudrais que je mette en place un portail captif pour les accès wifi.
    Pour info, mon tuteur avait commencé quelques configuration avant que je reprenne le projet.
    Voila mon problème :
    Lorsque je me connecte sur le réseau wifi, j'ai soit une page qui s'ouvre automatiquement sur un pc, soit un pop-up sur un téléphone, jusque là rien d'annormal.
    Le problème est que mon entreprise utilise des compte google, je suis donc automatiquement redirigé vers l'adresse :
    https://accounts.google.com
    c'est là que ca coince, car tout les appareils me dise que la page n'est pas sécurisée, du a un problème de certificat,
    voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
    et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALID
    Je suis donc aller faire un tour dans les configuration de pfsense, dans les configuration du portail captif, il y a bien un certificat obtenu via let's encrypt spécialement pour le domaine : wifi.entreprise.net

    J'avoue être un petit peu perplexe sur la façon de régler le problème et peu competant en matière de portail captif, pensez vous que le problème puisse venir de la redirection vers un page d'authentification google ? ou pensez vous que ca viens tout simplement du certificat utilisé qui est mal configuré ?
    Toute aide sera la bienvenue, je suis également prenneur de liens vers des posts ou des sites pouvant m'aider même si j'ai deja fais quelques recherche.

    Bonne journée à vous.



  • @aurelien-utt said in portail captif et certificats:

    wifi.entreprise.net

    Salut,

    Dans la config de la zone de ton portail captif, les option "HTTPS Options", t'as mis quoi ?

    Puis, pense a mettre dans le Resolver (si tu utilise le Resolver) un "Host Overrides" comme
    Host : wifi
    Domain : entreprise.net
    IP : Le IP de ta zone portail captif

    @aurelien-utt said in portail captif et certificats:

    voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
    et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALID

    Je dirais que "wifi.entreprise.net" ne fait pas partie de ton certificat.



  • Bonjour
    Ce n'est pas moi qui ai fait les config mais dans la partie https j'ai :
    enable HTTPS login : check
    HTTPS server name : wifi.entreprise.net
    SSL certificate : le nom du certificat let's encrypt
    HTTPS forward : uncheck

    Pour la partie DNS j'ai bien pensé à ajouter tout ce que tu as dis.
    Tu entends auoi par : " Je dirais que "wifi.entreprise.net" ne fait pas partie de ton certificat.", je ne comprend pas bien ?



  • Lecture :
    @aurelien-utt said in portail captif et certificats:

    voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
    et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALID

    donc je me suis dit que le Common Name n'est pas bon ou pas présent.

    Exemple :

    0_1537781091018_a7e163f5-7d46-416c-970f-7dc48165dba5-image.png

    Chez toi, il figure bien "wifi.entreprise.net" ou comme chez moi, le wildcard qui donne un résultat indentique ?

    Puis, il s'agit Chrome, essaie avec Firefox aussi ^^



  • Alors dans le certificat, le nom alternatif su certificat est bien wifi.entreprise.net
    J'ai esayer avec firefox meme probleme. :/



  • Je reviens apres avec quelques nouvelles informations :
    je pense aue mon probleme viens bien de la redirection vers accounts.google, car apres avoir fais des test avec opera, le message d'erreur apparait :
    " impossible de verifier sur le serveur qu'il s'agit bien du domaine accounts.google car le sertificat de securite viens de wifi.entreprise.net"



  • encore une nouvelle information, j'ai cocher la case Disable HTTPS forward pour faire un test, j'obtiens ma page d'authentification sans probleme. Je ne sais pas si cela pose des problemes en terme de securite je vais me renseigner.
    merci de ton aide en tout cas



  • @aurelien-utt said in portail captif et certificats:

    Je reviens apres avec quelques nouvelles informations :
    je pense aue mon probleme viens bien de la redirection vers accounts.google, car apres avoir fais des test avec opera, le message d'erreur apparait :
    " impossible de verifier sur le serveur qu'il s'agit bien du domaine accounts.google car le sertificat de securite viens de wifi.entreprise.net"

    Là, ça me semble que "Opera" n'a pas compris que la requête initiale "accounts.google" a été rédigé vers "wifi.entreprise.net". Du coup, le certificat reçu dit qu'il est connecté avec "wifi.entreprise.net" (le page login du portail de pfSense) , or il a voulu parler avec ""accounts.google"".

    "accounts.google" ?? ou "https://accounts.google.com" ? Faut mieux que tu copie l'erreur exacte. le FSDN "accounts.google" est impossible ...

    De mon coté, j'ai

    0_1537791625731_d3d54f36-f3b5-4c5c-9888-0bd0a7618efb-image.png

    et ça se passe très bien.

    Je te conseille de regarder les deux vidéos officielles pfSense Hangout Captive Portal - May 2017 et pfSense Hangout Advanced Captive Portal - June 2017



  • je vais regarder tout ca et prendre toutes les information en compte.
    Merci beaucoup pour ton aide



  • Je pense en voyant tout ca que mon problème viens du certificat, je vais essayer d'en refaire un.
    En tout cas ,erci pour ton aide et ces liens très interessant !



  • Juste pour être sur : tu utilise bien bien les serveurs Letenscrypt de Production, pas le Staging ?

    0_1537861534489_3ba410a2-0b31-4d72-998e-8fffc996cf42-image.png



  • Oui ce sont bien les serveurs que j'utilise



  • @aurelien-utt said in portail captif et certificats:

    ERR_CERT_COMMON_NAME_INVALID

    Et quand la page login du portail s’affiche, t'as bien
    https://wifi.entreprise.net:8002/.....

    qui s'affiche ?

    T'as un capture d’écran avec les détails du certificat au même moment ?

    Capture de mon login pfSense (même certificat pour moi car wildcard) :

    0_1537864008137_54eebecf-b3d3-4e8d-a6d7-97350b137c80-image.png

    edit : et les dates de validité de ton certificat.



  • Le certificat est encore valable, donc le probleme ne viens pas de ca.
    La page https://wifi.entreprise.net:8002 ne s'affiche pas car mon tuteur a mis en place une redirection des la connexion vers la page https://acccounts.google.com, car tout nos comptes utilisateurs sont des compte google.
    Je viens de finir de refaire un certificat et ca a l'air de fonctionner.
    je vais faire des test sur differents appareils car je sais que mon tuteur a poussé le certificats sur tout les pc de l'entreprise ( je pense que ce n'est pas optimal comme solution).



  • @aurelien-utt said in portail captif et certificats:

    je vais faire des test sur differents appareils car je sais que mon tuteur a poussé le certificats sur tout les pc de l'entreprise ( je pense que ce n'est pas optimal comme solution).

    PC's ?? Totalement inutile car les certs de LetEnscrypt sont reconnues par toutes les navigateurs (sauf des PC's avec des navigateurs pas mise à jour depuis des lustres).
    Je copie mon certs de LetEnscrypt effectivement vers mes NAS, Imprimantes etc, quoi que pas vraiment nécessaire.

    @aurelien-utt said in portail captif et certificats:

    mis en place une redirection des la connexion vers la page https://acccounts.google.com

    AVANT l'authentification auprès le portal captif, ou une redirection vers https://acccounts.google.com APRÈS authentification ?



  • "PC's ?? Totalement inutile car les certs de LetEnscrypt sont reconnues par toutes les navigateurs (sauf des PC's avec des navigateurs pas mise à jour depuis des lustres)."

    c'est exactement ce aue je me dis, si on fait ca autant creer un certificat auto-signe si je me trompe pas.

    "AVANT l'authentification auprès le portal captif, ou une redirection vers https://acccounts.google.com APRÈS authentification ?"
    La redirection est faite avant.



  • Voia les captures de ce aue j'obtient a la connexion sur le reseau :

    0_1537869245529_Capture 1.PNG

    et voila ce que j'obtiens avec mozzila, je n'ai aucun certificat qui apparait (je vais peut etre le chercher au mauvais endroit):
    0_1537869497730_Capture 2.PNG

    Je dois avouer etre un peu perplexe



  • J'ai fais quelques recherches du cote de l'authentification google et apparement tres peu de gens ont trouve un moyens de faire fonctionner cette methode.



  • @aurelien-utt said in portail captif et certificats:

    La redirection est faite avant.

    @aurelien-utt said in portail captif et certificats:

    J'ai fais quelques recherches du cote de l'authentification google et apparement tres peu de gens ont trouve un moyens de faire fonctionner cette methode.

    Mais non ....
    Depuis que Netgate à mis en ligne les vidéos originales, accessible pour tout le monde, c'est devenue simple.
    pfSense Hangout Advanced Captive Portal - June 2017 11 minutes, 40 secondes.



  • je vais à nouveau me pencher sur cette video ce soir en prenant des notes, comme mon entreprise bloque youtube, pas facile de réussir de modifier mes conf avec l'aide de la vidéo :/



  • @aurelien-utt said in portail captif et certificats:

    je vais à nouveau me pencher sur cette video ce soir en prenant des notes, comme mon entreprise bloque youtube, pas facile de réussir de modifier mes conf avec l'aide de la vidéo :/

    Télécharge le "à la maison" et copie-le dans le Phone ^^

    Et, le "mon entreprise bloque youtube" ne devrait pas exister pour toi. C'est toi qui bloque l'accès pour les autres - pas pour toi-même - c'est toi qui gère e parafeu, non ? ☺



  • Effectivement je gère le firewall mais je vais éviter de modifier les règles dès le premiers mois dans l'entreprise pour contourner les bloquage ;)

    je vais effectivement la mettre sur le téléphone pour pouvoir faire mes modification en direct ;)



  • malheureusement, l'entreprise à annulé le projet.
    Quoi qu'il en soit, cela aurait été dificile je pense car ils ne voulais pas utiliser de serveur radius.
    En tout cas merci pour ton aide



  • @aurelien-utt said in portail captif et certificats:

    car ils ne voulais pas utiliser de serveur radius

    ??

    Portail captif.
    T'as jamais mentionné radius.



  • desole du temps de reponse
    je n'avais jamais parlé de radius cqr jusque la ils n'y en avais pas.
    Malheureusement, le projet est annulé.