Captive portal apenas navegação ou uma determinada porta



  • Bom dia pessoal, tudo bem? Sou novato no pfsense, já consegui fazer ele funcionar tranquilamente, ative o captive,  já integrei com o AD, tudo 100%, funcionando. Minha dúvida é, tem alguma maneira de deixar o captive interferindo apenas na navegação? Deixar liberado para os usuarios entrarem no ftp ou no outlook sem que ele precise entrar no navegador para fazer a autenticação? Já tentei liberar as portas no firewall, mas se o captive estiver ativo ele não consegue. Alguém tem alguma dica?

    Obrigado..



  • No caso de ser apenas para alguns:
    Na aba MAC no cadastro da zona Captive Portal, vc adiciona os Mac adress permitidos sem altenticação, lá esses MAC Address irão se conectar e não vao ser interrompidos por autenticação nenhuma. Assim como se diz na nota, no rodapé da página:

    Nota:
    Adding MAC addresses as 'pass' MACs allows them access through the captive portal automatically without being taken to the portal page.

    Lembre-se que esses MACs conectados, nao aparecem na página de status, nen no widget. Somente os interceptados por autenticação aparecem.

    No caso de ser para TODOS que se conectarem:
    No cadastro da zona Captive Portal tem a sessão "Autentication" onde vc marca se quer usar Login/Voucher Freeradius ou No Autentication.
    Marcando "No Autentication" nenhuma autenticação será solicitada e toda nova conexão de cliente será registrada e liberada automaticamente.
    Nesse caso, nao vejo muitas vantagens em usar Captive Portal, mas cada caso é um caso….



  • Obrigado pelo retorno.
    Mas o que eu realmente queria é que ao tentar navegar, usando browser, fosse solicitado a autenticação, eu só não queria que solicitasse para determinados aplicativos, portas. tem como?



  • Reli sua pergunta e agora entendi certinho.

    Bom, não sei mesmo se tem como ou não.
    Vou acompanhar aqui pra ver se alguém sabe, a informação pode ser útil um dia.



  • Captive Portal é para não permitir nenhuma conexão, não tem como você separar por tipo de trafego.



  • Pensando bem…...
    Porque vc nao deixa o faz com squid autenticado???
    O Wifi ficaria livre e só a navegação exigiria autenticação!



  • Na verdade …eu já até configurei o squid com autenticação no ad, eu só queria aproveitar a tela de login do captive, iria substituir por um tutorial explicando para os usuarios de fora do dominio como configurar o proxy.
    Assim quando alguém tentasse navegar sem o proxy, seria exibido o tutorial, fornecido pelo captive, sei q é gambiarra, já desisti. Tentei dessa forma porque não consegui fazer no pfsense redirecionasse as tentativas de navegação para um minisite. Já tenho hoje em um servidor bem desatualizado, um squid com autenticação e com o iptables eu fiz q todo mundo q tentasse navegar sem proxy eu redirecionava para um servidor iis, exibindo o tutorial:

    iptables -t nat -A PREROUTING -p tcp -s 172.16.0.0/24 --dport 80 -j DNAT --to-destination 172.16.0.2:81

    Não sei como fazer isso no pfsense, tentei nas configurações firewall/nat mas não rolou, devo ter feito algo errado. Se alguém tiver uma dica.



  • Você pode entregar as configurações de proxy automaticamente por WPAD e tratar no Squid a autenticação e não usar proxy transparente.



  • Sim eu já uso wpad, mas em certas configurações ou dispositivos, como android, não rola. então fiz um html com javascrit que identifica o tipo de dispositivo e/ou navegador e ja abre um tutorial de como ele deve configurar o proxy. Só preciso saber como redirecionar.



  • Só configurar manualmente o proxy nas configurações avançadas da conexão nos dispositivos móveis que funciona.


Log in to reply