Настройка Radius-сервера в Captive portale



  • Здравствуйте, уважаемые форумчане. Никаких схем и полных настроек пока выкладывать не буду, чтобы не растягивать сообщение. Основная проблема вот в чем, решили поднять на pfsense 2.2.5 Captive Portal с авторизацией у контроллера домена, и столкнулся с такой проблемкой. Во-первых, вызвало большое удивление что нельзя просто указать какой использовать Радиус из настроенных (openvpn на другом сервере у меня так работает, в User Manager настроил, указал в настройках OpenVPN и забыл), но это конечно частности. Во-вторых, настроил - указал имя, порт, ключ соединения с Windows Server 2012 R2 (AD+NPS), но работает как то странно - в правилах NPS стоит определенная группа пользователей - Wifi_Work, но Caprtive Portal авторизует всех кто есть в домене. У меня складывается впечатление что я неправильно настроил службу Accounting в настройках Radius Server'a. Потому что если те же самые параметры внести через User Manager (создать там Radius сервер) все прекрасно работает, авторизуются пользователи только из группы Wifi_Work.
    Настройки:
    Authentication -  RADIUS Authentication
      RADIUS Protocol -  MSCHAPv2
    Primary RADIUS server
    IP address - 192.168.0.2
    Port - 1812
    Shared secret  - 23416461345465a465

    Accounting
    send RADIUS accounting packets +
    Accounting port - 1813
    Accounting updates -
                                  no accounting updates
                                  stop/start accounting  +
                                  interim update

    RADIUS options
    Reauthenticate connected users every minute +
    Enable RADIUS MAC authentication -
    RADIUS NAS IP attribute - ip адрес Wan интерфейса
    Use RADIUS Session-Timeout attributes -
    Type - default
    Accounting Style - Invert Acct-Input-Octets and Acct-Output-Octets -



  • В интернете нахожу только одну статью об общей настройке, и больше ничего путного, причем одна и та же статья на всех языках мира)). Хотя нашел и другие ресурсы, но почему не хочет именно группы брать - загадка. А еще вопрос, должен ли Captive Portal автоматически перенаправлять на страницу когда захочешь или необходимо набивать адрес pfsense с портом 8003?



  • Вопрос снят, у двух учеток на которых эксперементировал были заданы параметры обходящие NPS. Извиняюсь. Друзья, а как сделать чтобы автоматически происходило перенаправление на страницу авторизации?



  • @kudrik_tt:

    Вопрос снят, у двух учеток на которых эксперементировал были заданы параметры обходящие NPS. Извиняюсь. Друзья, а как сделать чтобы автоматически происходило перенаправление на страницу авторизации?

    Добрый.
    Разве Captive Portal это по-дефолту не делает? Ставите галку на Enable, выбираете правильно Interface.

    У pf есть своя стандартная страница для CP, но можно исп. и свою.
    Ниже в архиве пример.

    Captive_portal_instruction.zip



  • Да, про добавление своей страницы я знаю, как раз хотел ее написать под компанию. А вот про автомат перенаправления такого нет, захожу в ie 11 открываю, например google, он крутит и в последствии пишет что Нет доступа, проверьте соединение и пр. А если зайти на ip lan:8003 появляется страница авторизации и авторизовавшись, все работает. Я тоже думал что должен автоматом перенаправлять, не очень хочется у всех пользователей страницу по умолчанию прописывать((



  • @kudrik_tt:

    Да, про добавление своей страницы я знаю, как раз хотел ее написать под компанию. А вот про автомат перенаправления такого нет, захожу в ie 11 открываю, например google, он крутит и в последствии пишет что Нет доступа, проверьте соединение и пр. А если зайти на ip lan:8003 появляется страница авторизации и авторизовавшись, все работает. Я тоже думал что должен автоматом перенаправлять, не очень хочется у всех пользователей страницу по умолчанию прописывать((

    Хмм.. А попробуйте без radius - по ваучерам. Заработает , значит что-то не то с radius.

    P.s. Перенаправление делается в port forward на LAN. Только не будет лт это правило мешать уже после прохождения CP- авторизации?


Log in to reply