(resolu)Securiser la connection au portail

rabi29

Bonjour,

L authentification se faisant en clair pour le portail captif, sur la doc j ai vu que le narateur utilisait le raduis d un serveur 2003.

j ai vu que dans les packet il y avait freeradius , puis je l installer sur pfsense ou sur un autre serveur.

Qu est ce que ca engendre au niveau des utilisateur..

merci
a+

Juve

L'important c'est surtout de placer un certificat SSL pour la page d'authentification du portail.

rabi29

Merci
je vais regarder ca aussi mais je suis pas sur de la manip faut que je regarde la doc

rabi29

re,
bon j ai cree un certificat via pfsense,j ai active https sur le portail,j ai copier les cle et cetificat, probleme je n 'est pas d acces au portail d authenfication .
je ne vois pas quelle boullette j ai fais

merci
a+

Juve

il faut autoriser les clients à se connecter au port 8001 de pfsense lorsqu'on est en HTTPS

rabi29

merci
Donc j ouvre  le port 8001 a mon lan si j ai bien compris :)

a+

Juve

si le LAN est la carte ou il y a le CP  oui.

rabi29

bonjour
Pintade je suis , pintade je reste :D
Non blague mise a part, j ai ete dans le firewall, les règles par defaut sont à any pour le lan donc si je comprend bien, le https sur 8001 est ouvert ???

merci
a+

rabi29

bon ben ca passe toujours pas , je ne sais pas d ou ca viens, enfin si certainement les regles.

Mais si dans firewall j ai une regle any pour tout protocole ca devrais passer non  ???
a+

rabi29

Bonsoir
personne n a d idée ou la procédure a suivre..
Pour infos , j ai cree le certificat, quand je lance via le pc la page d accueil du pc, celui-ci m indique que le certificat n 'est pas bon.
je poursuis quand même et la https:\192.168.1.1:8001,il n y a rien.

merci
a+

sigmarus

Si je peux me permettre, as tu bien renseigné ton nom de serveur Https ? (le Pfsense en l'occurence)

Lorsque tu as généré ton certif+clé; tu as bien copier/coller le tout à la BONNE place ?

Sinon le message "d'erreur" concernant le certificat est tout à fait normal; étant donné que tu génère un certificat privé (non reconnu par une chaîne de certification du genre de Verisign ou Thawte) ton navigateur te prévient qu'il ne le connait pas.

Quand tu valide ensuite le certif, vérifie en cliquant sur le petit cadenas dans ton navigateur et dit moi ce que tu lis.

Cdt,
Sig

ccnet

Pour être plus précis et exact sur les termes vous avez probablement un message d'avertissement et non d'erreur. Pouvez vous indiquer quel navigateur est utilisé ? Le comportement est différent selon que l'in utilise IE6, Firefox2 ou Firefox 3 par exemple? Les opération nécessaire ensuite ne sont pas les mêmes.
Votre certificat, sous réserve comme l'indique Sigmarus, que vous ayez bien reporté les bonnes informations aux bons endroits, est un certificat auto signé et non signé par une autorité de certification reconnu de votre navigateur. Avec Firefox 3 par exemple le bon fonctionnement ultérieir réclame que vous cceptiez une exception de sécurité, c'est à dire que vous accordiez votre confiance à un certificat auto signé. Dans votre situation cela ne pose pas de problème, dans un autre contexte c'est bien sûr risqué.
Le plus efficace serait que vous indiquiez le message envoyé par votre navigateur et son type.

rabi29

Bonjour
Merci pour les explication..
Effectivement j ai teste avec ie8 et firefoxe, dans les deux cas j ai accepter la connection avec le certificat.
Mon 2 soucis vient du firewall et de ma méconnaissance.

Comme je l ai dis plus haut, j ai laisser les regle par defaut  donc lan ouvert et les rfc pour le wan.
J ai voulu ouvrir le port 8001 pour le https, mais ca ne fonctionne pas.

port j ai mis other puis 8001 avec pass et j ai mis any pour les sources ..

Que ca soit sur ie ou firefox , j accepte le certifcat et j ai la page demande,etc…n'ai pas accessible.

il y a t il une manip particulier a faire pour ouvrir le 8001

sigmarus

Concernant l'HTTPS pour le portail captif, je ne vois pourquoi vous voulez autoriser le port 8001 puisque par défaut le FW est en Any/any sur le LAN.

Cdt,
Sig

rabi29

bonjour

Oui c'est ce que je me disais.
j ai fais different test, et finalement c'est passé, mais je ne sais pas pourquoi,,
je cherche la manip que j ai fais.
l une est d avoir active le webgui en https.
merci pour vos réponse.
des que je sais la manip que j ai effectue je la donnerai comme ca j aurais une explication sur ma boulette ;)

rabi29

Bonjour
J ai trouve la BOULETTE , je n ai pas consider pfsense comme un serveur dns, donc je n avais renseigne le domaine.
donc j ai rajouter mediapole.local et ca passe pour le https..
Enfin je pense que c'est ca..

merci a vous tous
a+