[Resolvido] Captive Portal com VLANs

eldersouza · May 23, 2014, 9:14 PM

Pessoal,

Eu estou fazendo esta configuração agora no meu pfSense e estou tendo problemas para fazer o Captive Portal funcionar junto com VLAN.

Pesquisei na net e aqui no forum e vi que existe um bug/incompatibilidade dos dois serviços nas versões 1.x.x do pfSense, ou seja, na 2.x tudo deve funcionar normalmente. Mas o problema é que, no meu caso, não está funcionando… estou com os mesmos sintomas que o pessoal teve na versão 1.x.x.

Minhas interfaces estão assim:

WAN
LAN
VLAN100

Meu Firewall está Allow All entre as duas interfaces e de cada uma delas para a internet também.

Testes que fiz:

1 - Criei (na verdade já tinha criado e funcionando) uma Captive Portal Zone (com LAN e VLAN100 ativada nele) com autenticação no radius e com acesso via https, tudo funcioando normalmente.

Então criei a VLAN100, configurei os switches (portas trunk e access vlan 100 para a VM Win7 de teste). Configurei o firewall etc etc etc. Tentei a partir da VM Win7 dar um ping para um servidor na interface LAN. Sem respostas… Desabilitei o Captive Portal e o ping começou a responder... a VM Win7 começou a navegar na Net etc etc... tudo funcionando.

Então desabilitei a interface VLAN100 do cpzone e mesmo assim não funciona! Só funciona se eu desativar a cpzone.

2 - Criei uma cpzone_VLAN100 nova apenas para a VLAN100, desativei a cpzone_LAN e fiz um teste com a cpzone_VLAN100 ativada. Nada de tráfego (entre lan e vlan100 e dela para a internet).

Deixei desativada as duas cpzone e o tráfego começou a passar normalmente.

3 - Se eu deixar habilitada a cpzone_lan apenas com a interface LAN, as máquinas nesta rede conseguem trafegar normalmente para a internet fazendo a autenticação no cpzone sem problemas.

Vi nos posts antigos o pessoal falando de configuração de parâmetros na interface (rxcsum, txcsum e vlanhwtag), tentei e não funcionou por que o ifconfig não reconheceu estes parâmetros.

Alguém tem alguma ideia de como resolver este problema??

Valeu pessoal

marcelloc · Feb 9, 2021, 5:19 PM

Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

Já tentou cadastrar a rede de destino na aba allowed ip addresses?

Note:
Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page

eldersouza · May 23, 2014, 7:04 PM

@marcelloc:

Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

Já tentou cadastrar a rede de destino na aba allowed ip addresses?

Note:
Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page

Vou precisar sim… é provável alguem querer acessar apenas um servidor da outra LAN sem ter que autenticar no CP pra isso... porém, independente disso o CP nem carrega quando está habilitado. E o fato de habilitá-lo faz com que pare qualquer tipo de tráfego (vlan100-lan e vlan100-internet).

Após configurar um dos servidores na lista de allowed IP address eu consegui pelo menos pingar este servidor. Mas, de qualquer forma, preciso que o CP abra para que tudo funcione devidamente (internet e LANs).

Acabei de instalar o pfSense do zero e restaurar o XML de backup do ambiente que estava configurado até agora pela manhã... mesmo problema.

Alterei o tipo de placa de rede do pfsense no VMware de Flexible (le0/le1 no pfsense) para E1000 (em0/em1 no pfsense)... mesmo problema.

Alguma outra sugestão?

Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

Valeuz

lucaspolli · May 23, 2014, 7:17 PM

@eldersouza:

Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

Valeuz

Eu tenho funcionando em uma vlan, tive alguns problemas na configuracao, nao estava conseguindo comunicacao, depois de uma dica do marcello percebi que era a configuracao da vlan no switch, estava com PVID errado.. foi so corrigir e funcionou direitinho

eldersouza · May 23, 2014, 8:56 PM

@eldersouza:

@marcelloc:

Você precisa da comunicação entre as redes sem a necessidade de autenticação no captive portal?

Já tentou cadastrar a rede de destino na aba allowed ip addresses?

Note:
Adding allowed IP addresses will allow IP access to/from these addresses through the captive portal without being taken to the portal page

Vou precisar sim… é provável alguem querer acessar apenas um servidor da outra LAN sem ter que autenticar no CP pra isso... porém, independente disso o CP nem carrega quando está habilitado. E o fato de habilitá-lo faz com que pare qualquer tipo de tráfego (vlan100-lan e vlan100-internet).

Após configurar um dos servidores na lista de allowed IP address eu consegui pelo menos pingar este servidor. Mas, de qualquer forma, preciso que o CP abra para que tudo funcione devidamente (internet e LANs).

Acabei de instalar o pfSense do zero e restaurar o XML de backup do ambiente que estava configurado até agora pela manhã... mesmo problema.

Alterei o tipo de placa de rede do pfsense no VMware de Flexible (le0/le1 no pfsense) para E1000 (em0/em1 no pfsense)... mesmo problema.

Alguma outra sugestão?

Tem alguém com o pfSense 2.x.x trabalhando com VLAN e o CP normalmente?

Valeuz

Cara, xo agilizar aqui logo a informação… parece que tu matou a charada :). O fqdn do meu pfsense está com IP LAN e os DNSs são da LAN também. Então quando o cliente da vlan100 solicita qualquer site e o pfsense faz o redirect para o fqdn dele na porta do CP então o cliente não conseguia acessar o pfsense pelo IP dele da LAN. Bastou colocar o IP do pfsense no Allowed IP Address do CP e funcionou :). Não sei se deu pra entender a bagunça uheuhehuehuehu

Mas enfim... acho que agora a brincadeira vai avançar... pena que formatei a VM do pfsense e de raiva ainda apaguei os snapshots todos do ambiente que estava pronto agora pela manhã uhehueuhe... vou ter que refazer todos os outros serviços (samba auth mschapv2 etc).

Valeuzzzzz a dica viu!!!!

Atualização:

Vou deixar uma dica aqui que pode servir para mais alguém:

Com um CP listando todas as vlans e LAN funciona tranquilo a auth. Após dividir o escopo, criando um CP para uma VLAN e outro CP para LAN eu comecei a pegar o erro abaixo (tcpdump) e não consegui abrir nem mesmo a auth do CP.

… IP truncated-ip - 15300 bytes missing! ...

Basta desabilitar o vlanhwtag da interface que os CPzones funcionam normalmente.

ifconfig em1 -vlanhwtag

Flw

marcelloc · May 23, 2014, 9:16 PM

Obrigado pelo feedback.

Fixei nos tutoriais de captive portal.

plins · May 26, 2019, 4:02 AM

@marcelloc : Boa noite, desculpe reavivar este tópico, mas é parecido com meu problem.
Tenhos uam Wan e Lan, ambas utilizando XenServer.
Na lan tenho uma vlan, que funciona muito bem, até ativa o Capvite portal, quando ativo tudo cai, sem acesso e internet e ping.

Fiz com o colega de cima fez, coloquei o ip da Lan do pfsense em Nos Permitidos e pingou, só que não navega.
A propósito meu servidor de Dns é um NxFilter que redirecionan para um Ad, já colquei os dois ips nos permitidos e nada, sempre que ativo capitve portal cai a conexão.

Agradeço a ajuda.

Snows 0 · Feb 9, 2021, 5:19 PM

@marcelloc muuuuitos anos depois, você me ajudou gigantescamente. Eu estava com esse problema (de uma VLan não pingar a outra com CP ativado) e nem no forum em inglês eu consegui ajuda.
Caí hoje aqui de paraquedas e pronto. Resolvido.

Muito obrigado!