PFSense: radius, captive portal lentezza e logout automatico



  • Salve a tutti,

    ho configurato una macchina pfsense con server radius 2016 e captive portal. Ho testato gli account che dovranno avere accesso alla rete Internet e che sono utenti di dominio ed il firewall riesce a farli accedere tranquillamente, mentre nega l'accesso alla rete Internet a tutti quelli che non ho incluso nel gruppo di utenti autorizzati alla navigazione.

    Ho solo due problemi:

    1. premetto che la rete è sotto dominio Windows 2016 server ed ogni corsista (perchè si tratta di un'aula corsi) ha il proprio account. Il problema che emerge è che quando finisce la sessione di un corso e quindi l'utente A si disconnette per lasciare il posto all'utente B, nonostante che riavvii il pc o che usi la funzione disconnetti di Windows, l'utente B accede direttamente ad Internet senza la richiesta d'immissione delle credenziali. Dato che vorrei effettuare LOG di tutto il traffico fatto monitorando il giusto account, occorrerebbe che ad ogni disconnessione di Windows, in modo automatico, anche PFSense disconnettesse l'utente A per poi richiedere le credenziali di accesso. La finestra di logout, purtroppo spesso viene chiusa e comunque la manualità di disconnessione in questo contesto non è "concepita". E' possibile abilitare in qualche modo la funzione di disconnessione dell'utente da PFSense al logout dell'utente Windows?

    2. Ho configurato il DHCP sul firewall PFSense ed impostato come DNS primario l'ip del server Windows, IP secondario quello di PFSense e come terzo il classico 8.8.8.8 di Google. Dato che così PFSense è rallentato sia nella comparsa della finestra di login del captive portal, che nella navigazione in generale, ho provato ad invertire il DNS primario con quello secondario, ovvero a mettere come principale l'ip di PFSense. Quando parlo di lentezza intendo decine di secondi, tanti che alcuni PC non riescono nemmeno a visualizzare la pagina di captive portal che scade prima la sessione del browser di caricamento pagina per timeout. Disattivando CAPTIVE PORTAL tutto funziona alla grande. Suggerimenti?

    Grazie, saluti

    SIMONE


  • LAYER 8

    che mi risulti non esiste niente di automatico, l'unica cosa che puoi fare è impostare l'hard timing / usare i voucher / aggiustare di conseguenza il tempo per il dhcp lease.

    invertendo i dns non è cambiato nulla? se stai usando pfsense 2.4.4-p3 c'e' una patch da applicare se non lo hai già fatto
    https://forum.netgate.com/topic/148095/disconnetct/11



  • OK perfetto, intanto grazie per le due risposte. Ho applicato la PATCH, vediamo se la lentezza è scomparsa nei prossimi giorni. Per quanto riguarda invece la disconnessione degli account al riavvio del sistema o alla disconnessione degli stessi per me è un grosso limite, capirete che l'utente che si logga a Windows con la propria credenziale ma che naviga con i dati del precedente user non è poi granchè corretto, anche dal punto di vista del GDPR.

    Possibile a nessuno serva questa funzione?

    Grazie, saluti

    SIMONE


  • LAYER 8

    sinceramente non credo sia facilmente implementare qualcosa che sia in grado di comunicare tra windows e freebsd, se sai che le sessioni dei corsi ad esempio durano un ora imposti l'hard timing a 60 minuti e la durata del dhcp lease a 61 minuti, ti resta un buco di 1 minuto? teoria, non uso captive portal magari prova



  • Vero, il problema è che le sessioni dei corsi hanno durata variabile dall'ora alle quattro ore.

    Magari se esistesse un link di chiusura della sessione, potrei vedere d'intervenire con uno script Windows sull'utente in fase di connessione. Hai niente da suggerirmi?

    Grazie


  • LAYER 8

    chiedi e ti sarà dato 😂 :e
    la discussione è del 2015, dovrebbe funzionare ancora eventualmente Gertjan è ancora attivo e potresti chiedergli se ha fatto qualche altra modifica più aggiornata



  • Grazie mille,

    questo mi pare il codice da inserire all'interno del firewall, ma non esiste un link da poter eseguire da BROWSER per la disconnessione?

    saluti

    SIMONE


  • LAYER 8

    Immagine.jpg

    😏

    qui devi fare il login su pfsense,andare li e cliccare, con il codice di prima ti puoi fare uno script con putty/ssh per eseguirlo con un click da windows

    esempio: putty.exe -agent -ssh some.host -m 'c:/stuff/cmd.txt' (apre la sessione, fa il login, esegue il comando, esce)



  • Tutto chiaro, perfetto!!! Grazie mille, ci provo!!! Ottimo!!!


Log in to reply