Captiveportal - HTTP oder HTTPS abhängig von aufgerufener Seite



  • Hallo,

    ich betreibe eine pfSense Firewall mit Captiveportal in einem Netz mit vielen wechselnden Benutzern. Daher möchte ich es so einfach wie möglich gestalten, die Portalseite zu erreichen. Mein Ziel ist es momentan, den Benutzern je nach Art der aufgerufenen Website (mit oder ohne SSL) die entsprechende Portalseite (mit oder ohne SSL) anzuzeigen.

    Bisher habe ich es mit den vorhandenen Einstellungen nur geschafft, entweder für Anfragen nach Port 80 die entsprechende Portalseite ohne SSL zu senden, bei Anfragen auf 443 dann garnichts - oder eben bei Anfragen zu 80 und 443 die Portalseite mit SSL (und leider auch die Browserwarnung, welche ich gerne minimieren möchte durch o.g. Trennung).

    Ziel:

    Benutzer ruft beliebige Seite ohne SSL auf -> Captiveportal auf Port 8002 ohne SSL
    Benutzer ruft beliebige Seite mit SSL auf -> Captiveportal auf Port 8003 mit SSL

    Ich habe mir die Datei captiveportal.inc bereits angesehen, konnte aber bisher nicht genau nachvollziehen an welchen Stellen die Weiterleitung zu nur HTTPS geschieht und hoffe daher auf hilfreiche Tips, falls jemand Ähnliches schon versucht hat.

    Danke im Vorraus!



  • Deine Situation kann man auch anders lösen.

    Ich vermute Du benutzt das CP zur Authentifizierung der User und Gewährung des Internet-Zugangs. Hierbei gibst du warscheinlich jedem Nutzer einen eigenen Benutzernamen und ein Passwort.
    Idealerweise werden die Nutzerkonten über den Pfsense Freeradius-Server verwaltet.

    Wenn dem so ist, dann könntest du auch eine WPA2-Enterprise Zugriffskontrolle verwenden. Der Zugang zum WLAN und damit zum Internet wird damit nicht über einen einzigen Pre-Shared-Key
    genehmigt, sondern jeder Nutzer bekommt weiterhin seinen eigenen Benutzernamen und ein Passwort, dass auch weiterhin im Radius-Server verwaltet wird.

    Einziger Unterschied ist, das nicht das CP beim Radius-Server für eine Authentifizierung angfragt, sondern der WLAN-Accesspoint fragt die Authentifizierung beim Radius ab.

    Das CP benötigst Du dann nicht mehr.