[Resolvido] Captive Portal com VLANs



  • Pessoal,

    Eu estou fazendo esta configuração agora no meu pfSense e estou tendo problemas para fazer o Captive Portal funcionar junto com VLAN.

    Pesquisei na net e aqui no forum e vi que existe um bug/incompatibilidade dos dois serviços nas versões 1.x.x do pfSense, ou seja, na 2.x tudo deve funcionar normalmente. Mas o problema é que, no meu caso, não está funcionando… estou com os mesmos sintomas que o pessoal teve na versão 1.x.x.

    Minhas interfaces estão assim:

    • WAN

    • LAN

    • VLAN100

    Meu Firewall está Allow All entre as duas interfaces e de cada uma delas para a internet também.

    Testes que fiz:

    1 - Criei (na verdade já tinha criado e funcionando) uma Captive Portal Zone (com LAN e VLAN100 ativada nele) com autenticação no radius e com acesso via https, tudo funcioando normalmente.

    Então criei a VLAN100, configurei os switches (portas trunk e access vlan 100 para a VM Win7 de teste). Configurei o firewall etc etc etc. Tentei a partir da VM Win7 dar um ping para um servidor na interface LAN. Sem respostas… Desabilitei o Captive Portal e o ping começou a responder... a VM Win7 começou a navegar na Net etc etc... tudo funcionando.

    Então desabilitei a interface VLAN100 do cpzone e mesmo assim não funciona! Só funciona se eu desativar a cpzone.

    2 - Criei uma cpzone_VLAN100 nova apenas para a VLAN100, desativei a cpzone_LAN e fiz um teste com a cpzone_VLAN100 ativada. Nada de tráfego (entre lan e vlan100 e dela para a internet).

    Deixei desativada as duas cpzone e o tráfego começou a passar normalmente.

    3 - Se eu deixar habilitada a cpzone_lan apenas com a interface LAN, as máquinas nesta rede conseguem trafegar normalmente para a internet fazendo a autenticação no cpzone sem problemas.

    Vi nos posts antigos o pessoal falando de configuração de parâmetros na interface (rxcsum, txcsum e vlanhwtag), tentei e não funcionou por que o ifconfig não reconheceu estes parâmetros.

    Alguém tem alguma ideia de como resolver este problema??

    Valeu pessoal



  • Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

    Já tentou cadastrar a rede de destino na aba allowed ip addresses?

    Note:
    Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page



  • @marcelloc:

    Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

    Já tentou cadastrar a rede de destino na aba allowed ip addresses?

    Note:
    Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page

    Vou precisar sim… é provável alguem querer acessar apenas um servidor da outra LAN sem ter que autenticar no CP pra isso... porém, independente disso o CP nem carrega quando está habilitado. E o fato de habilitá-lo faz com que pare qualquer tipo de tráfego (vlan100-lan e vlan100-internet).

    Após configurar um dos servidores na lista de allowed IP address eu consegui pelo menos pingar este servidor. Mas, de qualquer forma, preciso que o CP abra para que tudo funcione devidamente (internet e LANs).

    Acabei de instalar o pfSense do zero e restaurar o XML de backup do ambiente que estava configurado até agora pela manhã... mesmo problema.

    Alterei o tipo de placa de rede do pfsense no VMware de Flexible (le0/le1 no pfsense) para E1000 (em0/em1 no pfsense)... mesmo problema.

    Alguma outra sugestão?

    Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

    Valeuz



  • @eldersouza:

    Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

    Valeuz

    Eu tenho funcionando em uma vlan, tive alguns problemas na configuracao, nao estava conseguindo comunicacao, depois de uma dica do marcello percebi que era a configuracao da vlan no switch, estava com PVID errado.. foi so corrigir e funcionou direitinho



  • @eldersouza:

    @marcelloc:

    Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

    Já tentou cadastrar a rede de destino na aba allowed ip addresses?

    Note:
    Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page

    Vou precisar sim… é provável alguem querer acessar apenas um servidor da outra LAN sem ter que autenticar no CP pra isso... porém, independente disso o CP nem carrega quando está habilitado. E o fato de habilitá-lo faz com que pare qualquer tipo de tráfego (vlan100-lan e vlan100-internet).

    Após configurar um dos servidores na lista de allowed IP address eu consegui pelo menos pingar este servidor. Mas, de qualquer forma, preciso que o CP abra para que tudo funcione devidamente (internet e LANs).

    Acabei de instalar o pfSense do zero e restaurar o XML de backup do ambiente que estava configurado até agora pela manhã... mesmo problema.

    Alterei o tipo de placa de rede do pfsense no VMware de Flexible (le0/le1 no pfsense) para E1000 (em0/em1 no pfsense)... mesmo problema.

    Alguma outra sugestão?

    Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

    Valeuz

    Cara, xo agilizar aqui logo a informação… parece que tu matou a charada :). O fqdn do meu pfsense está com IP LAN e os DNSs são da LAN também. Então quando o cliente da vlan100 solicita qualquer site e o pfsense faz o redirect para o fqdn dele na porta do CP então o cliente não conseguia acessar o pfsense pelo IP dele da LAN. Bastou colocar o IP do pfsense no Allowed IP Address do CP e funcionou :). Não sei se deu pra entender a bagunça uheuhehuehuehu

    Mas enfim... acho que agora a brincadeira vai avançar... pena que formatei a VM do pfsense e de raiva ainda apaguei os snapshots todos do ambiente que estava pronto agora pela manhã uhehueuhe... vou ter que refazer todos os outros serviços (samba auth mschapv2 etc).

    Valeuzzzzz a dica viu!!!!


    Atualização:

    Vou deixar uma dica aqui que pode servir para mais alguém:

    Com um CP listando todas as vlans e LAN funciona tranquilo a auth. Após dividir o escopo, criando um CP para uma VLAN e outro CP para LAN eu comecei a pegar o erro abaixo (tcpdump) e não consegui abrir nem mesmo a auth do CP.

    … IP truncated-ip - 15300 bytes missing! ...

    Basta desabilitar o vlanhwtag da interface que os CPzones funcionam normalmente.

    ifconfig em1 -vlanhwtag

    Flw



  • Obrigado pelo feedback.

    Fixei nos tutoriais de captive portal.



  • @marcelloc : Boa noite, desculpe reavivar este tópico, mas é parecido com meu problem.
    Tenhos uam Wan e Lan, ambas utilizando XenServer.
    Na lan tenho uma vlan, que funciona muito bem, até ativa o Capvite portal, quando ativo tudo cai, sem acesso e internet e ping.

    Fiz com o colega de cima fez, coloquei o ip da Lan do pfsense em Nos Permitidos e pingou, só que não navega.
    A propósito meu servidor de Dns é um NxFilter que redirecionan para um Ad, já colquei os dois ips nos permitidos e nada, sempre que ativo capitve portal cai a conexão.

    Agradeço a ajuda.


Log in to reply