Kein Captive Portal mehr nach Installation von squid und squidGuard



  • Hallo,

    ich bin echt begeistert von pfSense, habe aber noch ein kleines Problem.

    pfSense: 1.2.2
    squid: 2.6.21_10
    squidGuard: Beta 1.3-2 plattform 1.1

    Ich verwende einen P3 800 MHz, 1 GB RAM mit 3 Netzwerkkarten.

    WAN ==> momentan hängt ein Router davor, später DSL Modem mit PPOE
    LAN ==> Gästenetzwerk IP: 10.0.0.1/24
    DMZ ==> Firmennetzwerk IP: 192.168.96.105/23

    Ich benötige im LAN und DMZ-Bereich ein Blacklistfilter.
    Außerdem sollen sich DMZ-Maschinen am Proxy mit Username + Passwort authentifizieren.

    Nach der Installation von pfSense habe ich zuerst das Captive Portal für LAN aktiviert.
    Das lief auch perfekt.
    Im 2. Step habe ich squid und squidGuard installiert.
    Squid habe ich auf Port 3128 aktiviert.
    Unter squidGuard habe ich zusätzlich noch eine Blacklist installiert.
    Unter Firewall Rules habe ich eine Regel für DMZ ==> WAN erstellt.

    Jetzt habe ich aber folgende Situation:

    DMZ: Internetverbindungen laufen über Proxyport 3128 und Userauthentifizierung + Blacklistfilterung perfekt.

    LAN: alle User können ohne jegliche Anmeldung das Internet verwenden, Blacklistfilter funktioniert auch nicht.

    Wer kann mir helfen?

    Gruß

    Marcel



  • Hi,

    ich bin jetzt einen Schritt weiter gekommen.
    Habe mir jetzt pfSense 1.2.3-RC1 installiert.

    Wenn ich hier den Proxy als Transparent proxy betreibe,
    werden die Webseiten im Gastlan gefiltert.
    Leider geht dann die Proxy authentifizierung vom DMZ nicht mehr.  :(

    Stelle ich den Proxy auf nicht transparent, und stelle dann am Gastlan PC den Proxy auf 3128,
    werden die Seiten auch gefiltert. Der Gast soll ohne Proxy einstellungen surfen können,
    die Webseiten sollen aber gefiltert werden.

    Ich muß also irgendwie den Port 80 vom Gastlan zum Proxy Port 3128 umleiten.
    Kann man das mit Rules erledigen?
    Alle meine Versuche sind bisher gescheitert.

    Gruß

    Marcel



  • Das Captive Portal läuft derzeit nur auf genau einem Interface gleichzeitig.
    Einzige Möglichleit ist, einen zweite pfSense vor das WAN der ersten zu hängen und das CP darauf für alle laufen zu lassen. Nicht schön aber funktional.



  • @jahonix:

    Das Captive Portal läuft derzeit nur auf genau einem Interface gleichzeitig.

    Das soll bei mir auch nur vom LAN erreichbar sein.

    Der squid Proxy + squidGuard soll für das LAN + DMZ wirken.

    Und da liegt mein Problem.

    Gruß

    Marcel



  • Galt das nicht auch für den Squid, dass er nur auf einem Interface laufen kann? Zumindest transparent?



  • @jahonix:

    Galt das nicht auch für den Squid, dass er nur auf einem Interface laufen kann? Zumindest transparent?

    Das wäre aber schlecht  ::)
    Bei den squid Einstellungen kann man aber mehrer Interfaces auswählen.
    Der Proxy funktioniert auch auf beiden Karten, wenn ich die Proxy-Ports im Browser einstelle.
    Ich möchte aber am LAN-Interface alle Browserabfragen automatisch durch den Proxy geben,
    ohne das die Browsereinstellungen verändert werden müssen.

    Geht das?

    Komischerweise funktioniert heute mein Captive Portal wieder nicht  ???
    Was kann das denn jetzt schon wieder sein?
    Ich habe die Proxy Einstellung deaktiviert und die Rules auf Standard gesetzt.
    Das CP ist für das LAN aktiviert, es komt aber keine Anmeldeseite, nur ein offener WWW-Zugriff.

    Gruß

    Marcel



  • Hast Du nach den Änderungen mal eine "reset states" durchgeführt?
    Ansonsten bleiben bestehende Verbindungen ja offen und werden nicht umgeleitet.



  • @jahonix:

    Hast Du nach den Änderungen mal eine "reset states" durchgeführt?
    Ansonsten bleiben bestehende Verbindungen ja offen und werden nicht umgeleitet.

    Ja, habe schon mehrmals "Diagnostics ==> States ==> Reset States ==> Reset"

    und einen Reboot ausgeführt, leider ohne Erfolg.
    Die CP-Anmeldung kommt einfach nicht automatisch.

    Wie muß die Rules für CP aussehen?

    Gruß

    Marcel



  • Funktioniert leider immer noch nicht.

    Da werde ich wohl den pfSense neu installieren müssen.

    Gruß

    Marcel


Log in to reply