Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Configurar ACME para portal cautivo

    Español
    2
    10
    701
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jperezme
      last edited by

      Buenas.
      Tengo un dominio en internet con mi proveedor de la forma www.midominio.com. Mi proveedor utiliza lets encrypt para generarlo y no puedo acceder por ssh pero si por panel plex. La idea es poder utilizar el certificado en el portal cautivo de mi red interior para evitar el aviso de seguridad de los certificados que muestran los navegadores.

      He instalado acme en pfsense 2.6 e intentado configurarlo pero no lo consigo. En la configuracion de mi zona dns de mi proveedor. Veo:
      www.midominio.com. CNAME midominio.com.
      _acme-challengemidominio.com. TXT "nGflrSkiJMXNfKebTll_5xLZ9JC-do-7PF3KXht7qVs"

      ¿cual seria el proceder para configurarlo bien y que se actualice cada 3 meses automaticamente?
      Gracias.

      1 Reply Last reply Reply Quote 0
      • I
        infosoporte
        last edited by

        Hola

        Asigna como nombre de host a tu pfsense que sea subdominio del principal"fw.midominio.com"
        Lanza en el pfsense la creación del certificado, te dará error y te indicará que debes hacer un registro txt en tu proveedor de hosting
        Añade ese registro en tu panel plex. Vuelve a lanzar en el pfsense el certificado.
        Saludos

        J 1 Reply Last reply Reply Quote 0
        • J
          jperezme @infosoporte
          last edited by

          @infosoporte
          Ante todo gracias por tu ayuda. Cuando dices de crear el certificado en mi pfsense te refieres a hacerlo desde ACME o desde el propio pfsense. Por otro lado, mi portal cautivo no quiero que sea accesible desde el exterior. Es solo a nivel interno.

          1 Reply Last reply Reply Quote 0
          • I
            infosoporte
            last edited by

            @jperezme said in Configurar ACME para portal cautivo:

            Ante todo gracias por tu ayuda. Cuando dices de crear el certificado en mi pfsense te refieres a hacerlo desde ACME o desde el propio pfsense. Por otro lado, mi portal cautivo no quiero que sea accesible desde el exterior. Es solo a nivel interno.

            Me refiero a hacerlo desde Acme en pfsense. Esto no supone hacer que sea accesible desde el exterior. Implica que cuando lo usuarios se conecten a la WIFI (al portal cautivo) lo hagan sobre htpps. De no ser así dispositivos como los iPhone y similares no se podrán conectar porque encontrarán que la página de logueo no es confiable.
            Esta guía está en francés pero es lo bastante explícita:
            [https://www.adrienfuret.fr/2017/03/02/pfsense-letsencrypt-acme/](link url)

            J 1 Reply Last reply Reply Quote 0
            • J
              jperezme @infosoporte
              last edited by

              This post is deleted!
              J 1 Reply Last reply Reply Quote 0
              • J
                jperezme @jperezme
                last edited by

                @jperezme
                Cuando creas el certificado te pide un metodo para el dominio SAN list. En el video explica DNS-Manual, pero en otro foro me dicen que esto no provocara que se renueve automaticamente cada 2 meses. Para ello deberia utilizar otro, pero mi registrador no esta en el listado.

                Otro tema es que mi maquina pfsense se llama: fw.dominio.local con ip lan 10.0.0.1 y wan xxx.xxx.xxx.xxx
                El portal cautivo esta asignado a otra tarjeta de red con ip 172.30.0.1 y hasta ahora se levanta en esa ip.
                En mi registrador tengo configurado como dije mi dominio: www.midominio.com y he añadido el registro txt que acme da.
                con la forma:
                _acme-challengeportal.midominio.com. TXT "nGflrSkiJMXNfKebTll_5xLZ9JC-do-7PF3KXht7qVs"

                El proceso que acme muestra parece que ha ido correctamente y ya tengo el certificado en mi pfsense, pero no se exactamente si tengo que cambiar el nombre de mi maquina, algo en dns resolver, y supongo que en el portal cautivo escribir el portal.midominio.com.

                El video no me aclara nada a este respecto, al menos yo no lo entiendo.

                1 Reply Last reply Reply Quote 0
                • I
                  infosoporte
                  last edited by

                  _acme-challengeportal.midominio.com. TXT "nGflrSkiJMXNfKebTll_5xLZ9JC-do-7PF3KXht7qVs"
                  El registro TXT lo requiere Letsencrypt porque el hecho de que hayas podido realizarlo acredita que "midominio.com" es tuyo
                  El registro que has realizado es para el subdominio "portal" por lo tanto tu pfsense debe llamarse "portal".
                  Es decir en System>General Setup:
                  Hostname: portal
                  Domain: midominio.com

                  Salvar y guardar

                  J 1 Reply Last reply Reply Quote 0
                  • J
                    jperezme @infosoporte
                    last edited by

                    @infosoporte
                    Pero es que yo solo quiero que ese nombre sea accesible por el portal cautivo, no por la maquina pfsense. No necesitamos acceder a ella mediante su nombre. Quiero que cualquier usuario que se conecte por wifi le salte el portal cautivo https://portal.midominio.com que estara asignado a la ip interna 172.30.0.1. En el caso que cuentas creo que estarian en conflicto porque pfsense seria la 10.0.0.1 y el portal la otra ip.

                    I 1 Reply Last reply Reply Quote 0
                    • I
                      infosoporte @jperezme
                      last edited by

                      @jperezme
                      En la forma en que te he explicado el pfsense no será accesible desde afuera.
                      Cuando el usuario de la WIFI accede al portal cautivo se conecta a una página web interna donde debe introducir usuario y contraseña. Esa página se publica por el protocolo http, es decir página no segura y por lo tanto la tableta, el portátil...del cliente puede rechazar la conexión o, en el mejor de los casos, pedirle al usuario que confirme que quiere conectarse a esa página no segura.
                      Si certificas el portal superas ese inconveniente. Esta certificación resulta totalmente imprescindible si eres un profesional y estás instalando el portal en una empresa, en un hotel...etc. No es serio remitir al cliente a una página insegura.
                      [https://forum.netgate.com/topic/92652/is-letsencrypt-org-an-option-for-https-captive-portal/6](link url)
                      Nada más por mi parte.

                      J 1 Reply Last reply Reply Quote 0
                      • J
                        jperezme @infosoporte
                        last edited by jperezme

                        @infosoporte
                        Ante todo muchas gracias por tu paciencia, pero sigo con las dudas del anterior mensaje. Que ip responde si la maquina tiene un nombre que es el de la maquina y el mismo para el portal cautivo y dos interfaces de red?
                        Cuando creas el certificado te pide un método para el dominio SAN list que método uso si mi registrador no esta en la lista? Si utilizo DNS-Manual como en el video que me indicaste, no se renovara automaticamente.

                        Gracias.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post