Portail captif, page d'authentification



  • Bonsoir à toutes et à tous!

    Bon je vais peut être me faire taper sur les doigts, mais bon. J'ai beau chercher, des collègues de classes idems, nous avons tous le même problème sans solution.

    Donc voila j'expose le tout. Je suis actuellement en BTS SIO, et j'ai donc 2 PPE à préparer pour les épreuve de mai. Actuellement nous sommes tous coincer a la fin du 1er.

    Le but est de créer un portail captif, a l'aide de pfsense, depuis le LAN pour sortir sur le WAN.
    Si le portail captif est décocher, on sort sur internet, lorsque l'on active le portail captif, on n'arrive jamais sur la page d'authentification de pfsense (utilisation d'une authentification RADIUS, sur un serveur AD Windows 2008 R2).

    Petite précision, pfsense n'est utiliser que pour le portail captif, donc pas de DHCP ou autre.

    Donc voila, je ne sais pas si j'ai été très clair, mais la nous sommes tous à cour d'idée et les dates approche :/

    PS: Les VM sont faites sout VMWare Workstation 10



  • @Nefnef:

    Petite précision, pfsense n'est utiliser que pour le portail captif, donc pas de DHCP ou autre.

    tu veux dire en plus d'être la passerelle par défaut des postes ?
    donc pas de DNS, proxy, etc… des règles de FW spécifiques ?

    Donc voila, je ne sais pas si j'ai été très clair, mais la nous sommes tous à cour d'idée et les dates approchent :/

    d'un autre coté, c'est un travail de recherche personnel non  ???  ;D ;D ;D
    donc en commençant par regarder dans les log, ça doit permettre de trouver quelques indices
    ensuite, quelques informations supplémentaires sur le/les messages éventuels et la configuration du portail pourraient aider.
    Avec juste "ça ne marche pas" c'est un peu court  :P



  • Salut salut

    Effectivement je vais sortir la boite a baffes >:(

    1- vous ne respectez pas la convention en vigueur dans cette section, vous avez trouvez le forum mais surement pas cela.
    2- si vous voulez une aide plus constructive référez vous à 1-.
    3- avec les éléments de 1- vous verrez à coup sur ou vous avez fauté.

    Cordialement.



  • Donc je vais être un peu plus précis.

    Il y a deux serveur AD, RADIUS, DHCP, DNS, TS qui sont redonder entre eux. Ensuite il y a les clients qui sont connecté via l'AD N°1. Ces utilisateurs doivent pouvoir sortir sur le net en passant par le portail captif de pfSense.

    pfSense, dans les configuration général a pour DNS le premier serveur (192.168.1.1) puis le deuxieme serveur (192.168.1.2). Rien a part le portail captif n'est installer. Je met en photo les logs du portail captif.

    De plus si je force l'adresse du pfSense 192.168.1.254:8000 rien ne se passe … Je commence a m'enmeller les pinceaux...

    Si il vous faut d'autre info de plus n'hésitez pas!




  • @Nefnef:

    Il y a deux serveur AD, RADIUS, DHCP, DNS, TS qui sont redonder entre eux. Ensuite il y a les clients qui sont connecté via l'AD N°1. Ces utilisateurs doivent pouvoir sortir sur le net en passant par le portail captif de pfSense.

    Donc on suppose que le serveur DHCP de l'AD distribue 192.168.1.254 comme route par défaut isn'it ??? l'as-tu vérifié ?

    Rien a part le portail captif n'est installer.

    Ah si…!  il y a quand même un firewall  ;D
    Peut-être des logs à ce niveau ?

    De plus si je force l'adresse du pfSense 192.168.1.254:8000 rien ne se passe …

    non, ça c'est impossible. Il se passe nécessairement quelque chose. Pas nécessairement visible dans ton navigateur (et encore  ::)) mais il se passe quelque chose. Le jeu consiste à trouver et comprendre "quoi"  ;)

    A ta place, je commencerais par m'assurer que, du point de vue du poste de travail, la route par défaut point bien vers l'adresse du portail captif.
    Ensuite, je regarderais les règles au niveau du FW, puis les logs (pas ceux du portail en premier mais ceux du FW  ;) Est-ce que j’atteins bien cette machine (il n'y a pas un truc au niveau des GPOs de AD qui forcerait un proxy, par exemple ?)
    Next, si tu atteins le portail, quelle est la configuration de celui-ci ? C'est probablement une bonne idée, à défaut d'une compréhension exhaustive de l'ensemble, d'aborder le problème par étape:

    • utilisation basique du portail avec des white list
    • lorsque l'accès basique au portail fonctionnera, tu pourras envisager RADIUS


  • Bon j'ai un peu approfondie avec mes collègue de classe. Enfete le port n'est plus 8000 mais 8002 donc si je force 192.168.1.254:8002 j'arrive sur le portails captif et je peut utiliser les comptes de l'ad. Mais la j'ai un autre problème que je dois résoudre avant.

    Oui le serveur DHCP distribue correctement la passerelle qui est 192.168.1.254 cela a été la première vérification de ma part ;)

    Je reviens vers vous dès que j'ai avancer ;)



  • @Nefnef:

    Bon j'ai un peu approfondie avec mes collègue de classe. Enfete le port n'est plus 8000 mais 8002 donc si je force 192.168.1.254:8002 j'arrive sur le portails captif et je peut utiliser les comptes de l'ad.

    L'idée c'est quand même qu'il y ait une règle quelque part (au hasard au niveau du FW) qui redirige l'ensemble des requêtes faite sur le port 80 vers la portail  ;)

    Si ça peut aider un peu (rien à voir avec le portail  :-[):
    En fait, [i]enfete s'écrit en fait  ;D



  • Pour le français mal écrit en Alsace ont est pas très bon en français  ;D Mais merci pour la correction je vais tenté de m'en rappeler ;D

    Donc voila, j'ai créer un rules qui redirige tout sur le WAN pour accéder a internet. Si je tape 192.168.1.254:8000 et que je me connecte avec un compte de l'AD, c'est bon je peut sortir sur le net.

    Maintenant un problème persiste.  Je suppose qu'il y a aussi un rules a créer mais je ne vois pas comment. On souhaite que si l'utilisateur ne c'est pas connecter au portail captif et qu'il tape par exemple google.fr celui ci soit redigirer sur la page d'authentification du portail captif. Mais cela ne fonctionne pas … On se retrouve avec l'erreur "La page web est inaccessible".
    Dans pre-authentification redirect url, j'ai mis 192.168.1.254:8000 mais rien ...

    EDIT: Je suis repasser a l'ancienne version donc le port est 8000 a nouveau ;)



  • Bon et bien j'ai trouvé une solution qui n'est pas forcément se qu'il y a de mieux.

    Enfete je force une première fois le log en tapant 192.168.1.254:8000 je log un utilisateur puis je retourne sur pfSense ou je supprime l'accès qu'il a obtenue et la (pourquoi je ne sais pas) quand je vais sur n'importe qu'elle des postes au moment de taper une url sur le navigateur il me redirige vers la page d'authentification pour me connecter et le problème est régler!

    Mais je ne vois pas pourquoi en faisant sa cela fonctionne  :o



  • Ce garçon se moque du monde !



  • J'allais le dire,

    J'ai mal a la tete , vous pouvez réparer ma voiture ?

    Cela me fait pense à cela.

    Non cordialement.



  • Effectivement c'est assez cocasse  ;D ;D ;D



  • @Tatave:

    J'allais le dire,

    J'ai mal a la tete , vous pouvez réparer ma voiture ?

    Cela me fait pense à cela.

    Non cordialement.

    Alors autant ne rien dire!

    @ccnet:

    Ce garçon se moque du monde !

    Et la on se demande qui est le garçon qui préfère vous enfoncer plutôt que de vous aidez.

    Finalement, je me suis dit que ce forum pourrais me donner un coup de main (étant donner que le but premier d'un forum est de discuter, de s'entraider, de se respecter  les uns autres) mais finalement non.

    A part incendier toute les personnes qui posent des questions et qui malgré tout essaye de faire de leur mieux on préfère les envoyer bouler! C'est très bien! Donc je ne conte plus sur vous sur mon problème puisque apparemment vous n'avez pas de solution a ce problème d'où le fait que vous préfériez les envoyés bouler!

    Merci quand même à vous pour cette belle leçon de vie qui est de ne pas conter sur les gens qui se croient meilleur que tout le monde et qui prennent les débutants pour des idiots!



  • Il va se calmer le minot.

    Premièrement vous ne respecter pas les réglés établies dans cette section et vous vous étonnez de vous faire pater sur les doigts comme on pourrait le faire à un gamin qui fait une bêtise et qui en ai fière.

    Sur le point du respect de ces règles j'y ai fait moi même allusion vous en avez fait fit, ne vous étonnez pas que Je vous rentre dedans.

    Je vais dans le sens de ccnet pour ce point, vous nous prenez pour des idiots, et vous s'en offusqué car nous en faisons de même.

    Ne poussez pas mémé dans les orties.

    Non Cordialement.

    ps : je la fermerais si cela me chante…



  • Donc une mentalité d'enfant de 5 ans c'est que tu as… incroyable mais vrais. Vous ne suivez pas les règles, arrêter avec vos règles on lis tout on fait comme c'est écrit mais tant que pour vous ce n'est pas au pieds de la lettre sa ne vous plait pas.

    Encore heureux que je réponde, je ne suis pas la pour me faire marcher dessus mais pour trouver solution a un problème. Mais visiblement je ne me suis pas adresser au bonne personne qui plus ait des personnes incompétente qui ne peuvent pas résoudre mon problème. Bref continuer dans cette vois c'est très ben!

    EDIT: je ferme le sujet étant donner que je suis tombé dans un endroit ou les nouveaux ne sont pas les bienvenu!


Log in to reply