Pfsense 2.4 portail captif et problème de (re)connexion



  • Bonjour,
    J'ai pour objectif de mettre en place un portail captif wifi, coté professionnel pour respecter la loi sur les accès internet/wifi en entreprise, et coté perso pour rendre service à quelqu'un qui veut faire la même chose pour des location de chambres d'hôte.
    Après une rapide recherche, j'ai découvert il y a quelques jours ce très bon système qu'est PfSense. Ca fait quasi tout ce que je veux, c'est rapidement paramétrable, je le teste actuellement avec plusieurs VM sur Virtualbox avant d'envisager une production physique.

    J'ai mis en place de manière simple une connection interne LAN (en réseau Interne vitualbox) sur lesquels je teste mes clients, et un WAN (en NAT virtualbox) qui part sur le net.
    PfSense de manière simple fonctionne très bien : DHCP clients, connexion, etc.. il fait très bien office de passerelle/pare-feu.

    J'ai ensuite activé le service pour faire un portail captif, soit en mode client authentifié (un simple login/mdp) soit, ce qui m'interesse plus, en mode "tickets" (vouchers) valides un jour par exemple.
    La génération des tickets est OK. Quand on tente d'accéder à une page, le portail captif re-route et présente bien la page de connexion, on saisie un ticket, il s'active dès la 1ere connexion. Puis la page initiale est bien accédée, tout est OK on peut surfer et même utiliser d'autres protocoles.

    Mon problème est le suivant : si je laisse passer quelques temps, plusieurs minutes, ou que je reboote le client (de type Windows ou Debian Linux), quand j'accède à nouveau à un site :

    • le navigateur me dit qu'il faut passer par une page d'authentification et ne me présente pas ma page
    • si je clique sur le popup de connexion à la page d'authentification, je suis redirigé vers une page m'annonçant "you are connected" et ... c'est tout

    Grosso modo on dirait que PfSense m'identifie bien comme connecté (en effet le ticket est valide 3600 minutes pour mes tests, soit plusieurs jours) mais qu'il n'effectue plus le routage pour m'autoriser à traverser le système.
    Je précise que je n'ai mis aucun paramètre de timeout au niveau des sessions, des adresses MAC, rien de spécifique donc.
    Coté clients je peux faire un ping de la passerelle LAN (192.168.1.1), un nslookup résolu (par la passerelle) mais un traceroute/tracert échoue.

    J'ai un peu tout essayé, j'ai aucun moyen de passer outre sauf à déconnecter manuellement le ticket dans l'admin PfSense ce qui revient à devoir utiliser un autre ticket. Je précise aussi que j'ai le même dysfonctionnement en mode user connecté par login/mdp (droits de login sur portail captif).

    J'imagine mal un client utiliser le wifi dans sa chambre 20 minute, puis qu'après une douche il ne puisse plus du tout se connecter... ça le ferait pas.

    Si vous pouvez m'orienter parce que là je sèche 😉

    Merci d'avance

    (version : pfSense-CE-2.4.4-RELEASE-amd64)



  • @superlemming said in Pfsense 2.4 portail captif et problème de (re)connexion:

    Mon problème est le suivant : si je laisse passer quelques temps, plusieurs minutes, ou que je reboote le client (de type Windows ou Debian Linux), quand j'accède à nouveau à un site :

    • le navigateur me dit qu'il faut passer par une page d'authentification et ne me présente pas ma page
    • si je clique sur le popup de connexion à la page d'authentification, je suis redirigé vers une page m'annonçant "you are connected" et ... c'est tout

    Check https://redmine.pfsense.org/issues/8616 - solution : ne change pas le setup du portail quand il y a des utilisateurs connecté.
    Ce 'problème est connu déjà.

    Le problème est très visible :

    1. Observe les utilisateurs connecté dans le GUI et regarde les tables "ipfw" ( https://www.netgate.com/docs/pfsense/captiveportal/captive-portal-troubleshooting.html#ipfw-tables )
    2. Change un paramètre dans le setup du portail.
    3. Constate que pour le GUI les utilisateurs sont toujours connectés, mais les tables ipfw concernant ont été vidé, et cette situation bloque tout tentative de login.

    regarde aussi : https://forum.netgate.com/topic/133560/captive-portal-shows-auth-success-page-instead-of-login-page/9

    la solution : pas touche le setup et tout va bien ^^

    Je précise que je n'ai mis aucun paramètre de time out au niveau des sessions, des adresses MAC, rien de spécifique donc.

    Au contraire : pas de time out est très spécial, normalement déconseillé.

    J'ai un peu tout essayé, j'ai aucun moyen de passer outre sauf à déconnecter manuellement le ticket dans l'admin PfSense ce qui revient à devoir utiliser un autre ticket.

    Un voucher qui n'est pas encore expiré pourrait être ré-utilisé quand l’utilisateur est déconnecté.

    J'imagine mal un client utiliser le wifi dans sa chambre 20 minute, puis qu'après une douche il ne puisse plus du tout se connecter... ça le ferait pas.

    Je n'utilise pas les vouchers (un hôtel) mais un client peut se reconnecter après un time-out (soft : 480 minutes ou hard 600 minutes). J'utilise un simple user/password et FreeRadius pour forcer une consommation max de 2 Giga / jour.



  • Merci beaucoup de ces réponses rapides et précises.

    Effectivement mes recherche simples sur le sujet ne m'avait pas permis de trouver cette cause, mais maintenant je comprend mieux (d'autant que forcément je touchais le setup en faisant mes différents tests...).

    Je vais aussi poursuivre mes expériences avec ce que tu m'a détaillé...

    ++