portail captif et certificats
-
Bonjour à tous
voila le contexte :
je suis en stage dans une petite entreprise, ils ont une machine sous pfsense et voudrais que je mette en place un portail captif pour les accès wifi.
Pour info, mon tuteur avait commencé quelques configuration avant que je reprenne le projet.
Voila mon problème :
Lorsque je me connecte sur le réseau wifi, j'ai soit une page qui s'ouvre automatiquement sur un pc, soit un pop-up sur un téléphone, jusque là rien d'annormal.
Le problème est que mon entreprise utilise des compte google, je suis donc automatiquement redirigé vers l'adresse :
https://accounts.google.com
c'est là que ca coince, car tout les appareils me dise que la page n'est pas sécurisée, du a un problème de certificat,
voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALID
Je suis donc aller faire un tour dans les configuration de pfsense, dans les configuration du portail captif, il y a bien un certificat obtenu via let's encrypt spécialement pour le domaine : wifi.entreprise.netJ'avoue être un petit peu perplexe sur la façon de régler le problème et peu competant en matière de portail captif, pensez vous que le problème puisse venir de la redirection vers un page d'authentification google ? ou pensez vous que ca viens tout simplement du certificat utilisé qui est mal configuré ?
Toute aide sera la bienvenue, je suis également prenneur de liens vers des posts ou des sites pouvant m'aider même si j'ai deja fais quelques recherche.Bonne journée à vous.
-
@aurelien-utt said in portail captif et certificats:
wifi.entreprise.net
Salut,
Dans la config de la zone de ton portail captif, les option "HTTPS Options", t'as mis quoi ?
Puis, pense a mettre dans le Resolver (si tu utilise le Resolver) un "Host Overrides" comme
Host : wifi
Domain : entreprise.net
IP : Le IP de ta zone portail captif@aurelien-utt said in portail captif et certificats:
voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALIDJe dirais que "wifi.entreprise.net" ne fait pas partie de ton certificat.
-
Bonjour
Ce n'est pas moi qui ai fait les config mais dans la partie https j'ai :
enable HTTPS login : check
HTTPS server name : wifi.entreprise.net
SSL certificate : le nom du certificat let's encrypt
HTTPS forward : uncheckPour la partie DNS j'ai bien pensé à ajouter tout ce que tu as dis.
Tu entends auoi par : " Je dirais que "wifi.entreprise.net" ne fait pas partie de ton certificat.", je ne comprend pas bien ? -
Lecture :
@aurelien-utt said in portail captif et certificats:voila le code d'erreur obtenu sur edge : DLG_FLAGS_SEC_CERT_CN_INVALID
et celui sur google chrome : NET::ERR_CERT_COMMON_NAME_INVALIDdonc je me suis dit que le Common Name n'est pas bon ou pas présent.
Exemple :
Chez toi, il figure bien "wifi.entreprise.net" ou comme chez moi, le wildcard qui donne un résultat indentique ?
Puis, il s'agit Chrome, essaie avec Firefox aussi ^^
-
Alors dans le certificat, le nom alternatif su certificat est bien wifi.entreprise.net
J'ai esayer avec firefox meme probleme. :/ -
Je reviens apres avec quelques nouvelles informations :
je pense aue mon probleme viens bien de la redirection vers accounts.google, car apres avoir fais des test avec opera, le message d'erreur apparait :
" impossible de verifier sur le serveur qu'il s'agit bien du domaine accounts.google car le sertificat de securite viens de wifi.entreprise.net" -
encore une nouvelle information, j'ai cocher la case Disable HTTPS forward pour faire un test, j'obtiens ma page d'authentification sans probleme. Je ne sais pas si cela pose des problemes en terme de securite je vais me renseigner.
merci de ton aide en tout cas -
@aurelien-utt said in portail captif et certificats:
Je reviens apres avec quelques nouvelles informations :
je pense aue mon probleme viens bien de la redirection vers accounts.google, car apres avoir fais des test avec opera, le message d'erreur apparait :
" impossible de verifier sur le serveur qu'il s'agit bien du domaine accounts.google car le sertificat de securite viens de wifi.entreprise.net"Là, ça me semble que "Opera" n'a pas compris que la requête initiale "accounts.google" a été rédigé vers "wifi.entreprise.net". Du coup, le certificat reçu dit qu'il est connecté avec "wifi.entreprise.net" (le page login du portail de pfSense) , or il a voulu parler avec ""accounts.google"".
"accounts.google" ?? ou "https://accounts.google.com" ? Faut mieux que tu copie l'erreur exacte. le FSDN "accounts.google" est impossible ...
De mon coté, j'ai
et ça se passe très bien.
Je te conseille de regarder les deux vidéos officielles pfSense Hangout Captive Portal - May 2017 et pfSense Hangout Advanced Captive Portal - June 2017
-
je vais regarder tout ca et prendre toutes les information en compte.
Merci beaucoup pour ton aide -
Je pense en voyant tout ca que mon problème viens du certificat, je vais essayer d'en refaire un.
En tout cas ,erci pour ton aide et ces liens très interessant ! -
Juste pour être sur : tu utilise bien bien les serveurs Letenscrypt de Production, pas le Staging ?
-
Oui ce sont bien les serveurs que j'utilise
-
@aurelien-utt said in portail captif et certificats:
ERR_CERT_COMMON_NAME_INVALID
Et quand la page login du portail s’affiche, t'as bien
https://wifi.entreprise.net:8002/.....qui s'affiche ?
T'as un capture d’écran avec les détails du certificat au même moment ?
Capture de mon login pfSense (même certificat pour moi car wildcard) :
edit : et les dates de validité de ton certificat.
-
Le certificat est encore valable, donc le probleme ne viens pas de ca.
La page https://wifi.entreprise.net:8002 ne s'affiche pas car mon tuteur a mis en place une redirection des la connexion vers la page https://acccounts.google.com, car tout nos comptes utilisateurs sont des compte google.
Je viens de finir de refaire un certificat et ca a l'air de fonctionner.
je vais faire des test sur differents appareils car je sais que mon tuteur a poussé le certificats sur tout les pc de l'entreprise ( je pense que ce n'est pas optimal comme solution). -
@aurelien-utt said in portail captif et certificats:
je vais faire des test sur differents appareils car je sais que mon tuteur a poussé le certificats sur tout les pc de l'entreprise ( je pense que ce n'est pas optimal comme solution).
PC's ?? Totalement inutile car les certs de LetEnscrypt sont reconnues par toutes les navigateurs (sauf des PC's avec des navigateurs pas mise à jour depuis des lustres).
Je copie mon certs de LetEnscrypt effectivement vers mes NAS, Imprimantes etc, quoi que pas vraiment nécessaire.@aurelien-utt said in portail captif et certificats:
mis en place une redirection des la connexion vers la page https://acccounts.google.com
AVANT l'authentification auprès le portal captif, ou une redirection vers https://acccounts.google.com APRÈS authentification ?
-
"PC's ?? Totalement inutile car les certs de LetEnscrypt sont reconnues par toutes les navigateurs (sauf des PC's avec des navigateurs pas mise à jour depuis des lustres)."
c'est exactement ce aue je me dis, si on fait ca autant creer un certificat auto-signe si je me trompe pas.
"AVANT l'authentification auprès le portal captif, ou une redirection vers https://acccounts.google.com APRÈS authentification ?"
La redirection est faite avant. -
Voia les captures de ce aue j'obtient a la connexion sur le reseau :
et voila ce que j'obtiens avec mozzila, je n'ai aucun certificat qui apparait (je vais peut etre le chercher au mauvais endroit):
Je dois avouer etre un peu perplexe
-
J'ai fais quelques recherches du cote de l'authentification google et apparement tres peu de gens ont trouve un moyens de faire fonctionner cette methode.
-
@aurelien-utt said in portail captif et certificats:
La redirection est faite avant.
@aurelien-utt said in portail captif et certificats:
J'ai fais quelques recherches du cote de l'authentification google et apparement tres peu de gens ont trouve un moyens de faire fonctionner cette methode.
Mais non ....
Depuis que Netgate à mis en ligne les vidéos originales, accessible pour tout le monde, c'est devenue simple.
pfSense Hangout Advanced Captive Portal - June 2017 11 minutes, 40 secondes. -
je vais à nouveau me pencher sur cette video ce soir en prenant des notes, comme mon entreprise bloque youtube, pas facile de réussir de modifier mes conf avec l'aide de la vidéo :/