Duvida - Captive Portal + Radius + Proxy Autenticado



  • Olá Pessoal, Bom dia!

    Estou com um problema ao configurar Captive portal + Radius  no pfsense 2.2.5 junto com o squid (proxy autenticado).

    Meu cenário, Pfsense com squid 3 + squidguard (proxy autenticado) + snort + sarg + vpn.

    Segui os passos do post.
    https://forum.pfsense.org/index.php?topic=56238.0

    Ao ativar o captive portal sem o proxy,  consigo me comunicar com o servidor Radius, (Windows server 2008) o usuário é reconhecido, mas a navegação não é liberada, o captive portal sempre retorna para a tela de login.

    Ao ativar o proxy e setar as configurações da aba autentication para Captive Portal , o serviço do Squid para de funcionar.

    Já apliquei o patch fornecido pelo Marcelloc, no post abaixo, mas mesmo assim não estou obtendo sucesso.
    https://forum.pfsense.org/index.php?topic=103745.msg578553#msg578553

    Alguma dica?

    Obrigado

    Diego



  • @didonsom:

    Ao ativar o captive portal sem o proxy,  consigo me comunicar com o servidor Radius, (Windows server 2008) o usuário é reconhecido, mas a navegação não é liberada, o captive portal sempre retorna para a tela de login.

    O captive portal pode não estar "entendendo" a resposta do radius e interpretando como access denied e consequentemente volta para a tela de login.



  • Olá Marcello Bom dia!

    Refiz a configuração do Radius, e agora consegui resolver o problema de autenticação no captive portal, (provavelmente tinha alguma configuração errada por isso retornava para a tela de login).

    O Meu problema agora é a autenticação por SQUID se eu setar o squid 3 autenticação (Captive portal), o serviço é interrompido e não funciona de jeito nenhum.

    Já apliquei o patch de correção que você disponibilizou, mas mesmo assim não tive sucesso,  tem mais alguma dica?

    Obrigado

    Diego



  • @didonsom:

    O Meu problema agora é a autenticação por SQUID se eu setar o squid 3 autenticação (Captive portal), o serviço é interrompido e não funciona de jeito nenhum.

    fez o link das libs e do php?

    
    arch="`uname -p`"
    ln -s /usr/local/bin/php /usr/pbi/squid-${arch}/local/bin/php
    ln -s /usr/local/lib/php /usr/pbi/squid-${arch}/local/lib/php
    ln -s /usr/local/etc/php.ini /usr/pbi/squid-${arch}/local/etc/php.ini
    ln -s /usr/local/lib/libsqlite3.so.0 /usr/pbi/squid-${arch}/local/lib/
    ln -s /usr/local/lib/libintl.so.8.1.14 /usr/pbi/squid-${arch}/lib/libintl.so.8
    ln -s /usr/local/lib/libmcrypt.so.4 /usr/pbi/squid-${arch}/lib
    ln -s /usr/local/lib/libonig.so.1 /usr/pbi/squid-${arch}/lib
    ln -s /usr/local/lib/libsodium.so.13 /usr/pbi/squid-${arch}/lib
    ln -s /usr/local/lib/libssh2.so.1 /usr/pbi/squid-${arch}/lib
    ln -s /usr/local/lib/ipsec/libvici.so.0 /usr/pbi/squid-${arch}/lib
    ln -s /usr/local/lib/libzmq.so.5 /usr/pbi/squid-${arch}/lib
    
    


  • Olá Marcello, Bom dia!

    Realmente o problema era esse, fiz o que você me passou e agora os serviços estão ativos.

    Só não estou conseguindo obter o redirecionamento de pagina, mas deve ser algum problema de configuração.

    Obrigado,

    Abraços

    Diego



  • Olá, Pessoal,

    alguém tem mais alguma dica? tentei de tudo e não consigo utilizar o captive portal em conjunto com squid.

    Quando o proxy está setado no navegador o captive portal não carrega, o squid informa que o proxy não está respondendo mesmo com o serviço ativo,  mas o captive está funcionando em conjunto com o radius, pq se eu desmarcar o proxy e liberar o trafego da porta 80 e 443 navego normalmente.

    obrigado

    Diego



  • A questão é que para o Captive Portal funcionar (redirecionar para a pagina de autenticação) é necessário uma conexão para porta 80.
    Então você irá ter que fazer uma exceção de um site HTTP para que não passe pelo proxy e "chegue" no Captive Portal.
    Eu tenho um cliente (escola) onde a exceção é o site da escola, então a regra é acessar o site da escola e assim é redirecionado para a autenticação.



  • Olá Tomas,

    Obrigado pela ajuda!

    Então eu fiz essa exceção nas regras do firewall liberando o site da empresa para a porta 80, mas ai está abrindo o site da empresa em vez de puxar a autenticação do captive, mas se eu desmarcar o proxy o captive funciona normalmente.

    abraços

    Diego



  • A exceção precisa ser feita no Squid também e manter o proxy ativo.



  • @Tomas:

    A exceção precisa ser feita no Squid também e manter o proxy ativo.

    Eu fiz o que você falou, mas em vez de redirecionar para a autenticação captive portal o site é aberto.

    Abaixo minhas configurações, aonde estou errando?

    obrigado

    Diego

    ![server status.png](/public/imported_attachments/1/server status.png)
    ![server status.png_thumb](/public/imported_attachments/1/server status.png_thumb)
    ![squid 0.png](/public/imported_attachments/1/squid 0.png)
    ![squid 0.png_thumb](/public/imported_attachments/1/squid 0.png_thumb)
    ![print squid.png](/public/imported_attachments/1/print squid.png)
    ![print squid.png_thumb](/public/imported_attachments/1/print squid.png_thumb)
    ![patch captive portal.png](/public/imported_attachments/1/patch captive portal.png)
    ![patch captive portal.png_thumb](/public/imported_attachments/1/patch captive portal.png_thumb)
    ![print captive 1.png](/public/imported_attachments/1/print captive 1.png)
    ![print captive 1.png_thumb](/public/imported_attachments/1/print captive 1.png_thumb)
    ![print captive 2.png](/public/imported_attachments/1/print captive 2.png)
    ![print captive 2.png_thumb](/public/imported_attachments/1/print captive 2.png_thumb)
    ![print captive 3.png](/public/imported_attachments/1/print captive 3.png)
    ![print captive 3.png_thumb](/public/imported_attachments/1/print captive 3.png_thumb)
    ![config captive.png](/public/imported_attachments/1/config captive.png)
    ![config captive.png_thumb](/public/imported_attachments/1/config captive.png_thumb)
    ![regra firewall.png](/public/imported_attachments/1/regra firewall.png)
    ![regra firewall.png_thumb](/public/imported_attachments/1/regra firewall.png_thumb)



  • Limpe o campo: Pre-authentication redirect URL, você está dizendo para redirecionar para esse site e não para o CP.
    Isso é para ser usado se tem uma pagina personalizada de autenticação.



  • @Tomas:

    Limpe o campo: Pre-authentication redirect URL, você está dizendo para redirecionar para esse site e não para o CP.
    Isso é para ser usado se tem uma pagina personalizada de autenticação.

    limpei, mas não funcionou, fora isso minha configuração está certa? vou tentar instalar o squid de novo pra ver se resolve

    obrigado

    abraços

    diego



  • Olá Pessoal,

    Em testes que fiz, identifiquei que meu problema é na autenticação do Squid com o captive portal

    O Captive portal funciona normalmente, quando desmarco o proxy do navegador, mas quando marco o proxy e tento autenticar no captive portal o proxy parece não identificar essa autenticação a pagina que liberei nas "exceções" é exibida mas as demais não.

    Estou postando um print da forma que liberei o site de teste uol.com.br no navegador.

    Precisa realizar mais algum procedimento?

    • Url de exceção liberada.
    • Proxy marcado no navegador.
    • Patch aplicado no squid, através de system patches
    • link das libs e php realizado.

    Abraços,

    Diego






  • Pessoal,

    Desculpem por da um up nesse tópico, mas alguém tem mais alguma sugestão?

    O captive portal funciona normalmente fora do proxy, mas quando habilito o proxy, o captive autentica e libera somente a pagina q liberei nas rules para chamar a tela de autenticação, ao tentar acessar as demais paginas o proxy retorna a mensagem de acesso negado, preciso ter alguma regra especifica ou configuração para redirecionar o trafego para o squid?

    Vale salientar q tenho uma regra bloqueando o trafego das portas 443 e 80 e utilizo squid em conjunto com squidguard

    Abraços

    Diego



  • Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.



  • @marcelloc:

    Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.

    Marcello,

    Fiz o que você falou, desabilitei o squidguard deixei somente o squid.

    Olha nas imagens o que o access log e o cache retornam depois da autenticação.

    o access.log não busca usuário o usuario retorna "Aborted" é como se o squid não identificasse a autenticação  e  o patch está aplicado! não consigo identificar o que estou fazendo de errado :(

    Estou encaminhando prints de tela dos serviços para confirmar que estão ativos e print do usuário autenticado.

    abraços,

    Diego

    ![Sem título.png](/public/imported_attachments/1/Sem título.png)
    ![Sem título.png_thumb](/public/imported_attachments/1/Sem título.png_thumb)









  • @didonsom:

    Olá Pessoal,

    Em testes que fiz, identifiquei que meu problema é na autenticação do Squid com o captive portal

    O Captive portal funciona normalmente, quando desmarco o proxy do navegador, mas quando marco o proxy e tento autenticar no captive portal o proxy parece não identificar essa autenticação a pagina que liberei nas "exceções" é exibida mas as demais não.

    Estou postando um print da forma que liberei o site de teste uol.com.br no navegador.

    Precisa realizar mais algum procedimento?

    • Url de exceção liberada.
    • Proxy marcado no navegador.
    • Patch aplicado no squid, através de system patches
    • link das libs e php realizado.

    Abraços,

    Diego

    Fiz tudo igualzinho como o diego descreveu no topico, porem quando ativo o proxy na maquina e abro a pagina teste que no meu caso é o google ele não redireciona para a pagina do captive portal ele apenas abre a pagina do google, alguma dica do que devo fazer?



  • @didonsom:

    @marcelloc:

    Faz uma coisa de cada vez. Deixa o squidguard por último e olha os logs do squid, principalmente o access pra procurar o nome do usuário e cache.log pra debugar os erros.

    Marcello,

    Fiz o que você falou, desabilitei o squidguard deixei somente o squid.

    Olha nas imagens o que o access log e o cache retornam depois da autenticação.

    o access.log não busca usuário o usuario retorna "Aborted" é como se o squid não identificasse a autenticação  e  o patch está aplicado! não consigo identificar o que estou fazendo de errado :(

    Estou encaminhando prints de tela dos serviços para confirmar que estão ativos e print do usuário autenticado.

    abraços,

    Diego

    Marcello,

    Nenhuma dica? :)

    Abraços,

    Diego