OPNsense Forum

International Forums => German - Deutsch => Topic started by: gerhard on August 08, 2017, 03:44:56 pm

Title: umleitung nur über http
Post by: gerhard on August 08, 2017, 03:44:56 pm

Hallo zusammen,

mir ist aufgefallen, dass ich nur auf die CaptivePortal Seite umgeleitet werden, wenn ich eine Http Seite aufrufe. Gibt es eine Möglichkeit das ich auch beim Aufruf einer https seite auch umgeleitet werde?
Welche Einstellungen müssen hier getätigt werden?

Title: Re: umleitung nur über http
Post by: fabian on August 08, 2017, 06:28:31 pm

nicht wirklich - geht zumindest nicht ohne Zertifikatswarnung. Firefox hat allerdings ein Feature um ein Captive Portal zu erkennen und dann kommt oben ne Leiste mit einem Button, um auf die Anmeldeseite zu kommen.

Title: Re: umleitung nur über http
Post by: franco on August 09, 2017, 08:29:24 am

Hmm, doch, die gibt es: es muss ein SSL Zertifikat ausgewählt werden in den CP-Zonen-Einstellungen.

Dann gilt allerdings richtigerweise was Fabian sagte. :)


Grüsse
Franco

Title: Re: umleitung nur über http
Post by: gerhard on August 09, 2017, 02:49:34 pm

danke erst einmal für die antworten!

Ich habe Opensese im Unternehmen für "Gäste-Wlan" eingerichtet und hatte nun gehofft, dass es für jeden Gast der rein gar keine IT Kenntnisse hat auf einfache Weise versteht was er tun muss.
Das er nun eine http Seite extra aufrufen muss bringt mich natürlich in Erklärungsnot. Wenn ich das also richtig verstehe muss ich extra ein ssl Zertifikat kaufen oder reicht ein selbst ausgestelltes Zertfikat von unsere Zertfikatsstelle im Unternehmen?
Welche schöne Lösung habt ihr denn im Einsatz?

Title: Re: umleitung nur über http
Post by: fabian on August 09, 2017, 06:12:42 pm

Quote from: gerhard on August 09, 2017, 02:49:34 pm

Das er nun eine http Seite extra aufrufen muss bringt mich natürlich in Erklärungsnot. Wenn ich das also richtig verstehe muss ich extra ein ssl Zertifikat kaufen oder reicht ein selbst ausgestelltes Zertfikat von unsere Zertfikatsstelle im Unternehmen?

das kann ein selbst ausgestelltes sein oder ein webserverzertifikat, welches du mit dem acme plugin (let's encrypt machst). Auf jedem Fall bekommt jeder client mal ne Zertifikatswarnung weil der die Startseite öffnet (üblicherweise eine Nachrichtenseite oder Suchmaschine) und du für diese Seite von keiner CA ein gültiges Zertifikat ausgestellt bekommst. Ein Zertifikat kaufen halte ich für Geldverschwendung.

Title: Re: umleitung nur über http
Post by: Oxygen61 on August 09, 2017, 10:31:34 pm

Hey hey,

kleiner Einwurf von mir, weil ich das schon gemacht hatte.
Wie fabian und franco schon sagten ist ein gültiges, "öffentliches" Zertifikat von Nöten.
Du wirst zwar Schwierigkeiten mit der Google Suche bekommen beim ersten Aufrufen einer Webseite für das Captive Portal (zu mindestens war das bei mir so der Fall), aber alles andere geht, entgegen der anderen Meinungen auch ohne Warnung.

Wir hatten damals die Möglichkeit durch Partnerschaften gültige öffentliche Zertifikate auszustellen denen vertraut wurde. Vielleicht hatte ich dadurch nicht den Stress mit den Warnungen. (wer weiß)

Wichtig ist wie gesagt, dass dem Zertifikat auch im Internet vertraut wird.
>"reicht ein selbst ausgestelltes Zertfikat von unserer Zertfikatsstelle im Unternehmen?"
Einer Firmeninternen PKI wird außerhalb deiner Domain nicht vertraut, weshalb das nicht funktioniert.

Zertifikat kaufen halte ich auch für blödsinnig, gerade in Zeiten von Let's Encrypt.
Außer du hast einen Security Officer der dich zu einem gekauften Zertifikat zwingt, weil wegen ist so.
Dann soll der aber auch bezahlen. ;-)

Schöne Grüße
Oxy