Prezados bom dia!
Seguinte, venho do PfSense. Estou migrando em um cliente para OpnSense.
Estou passando por alguns desentendimentos e quero aqui postar tudo de uma vez para ter mais objetividade.
Cenário:
OpnSense + ZenArmor + AD.
Já tenho no LAB (sem virtualização!!) , um FW Opn Sense rodando o ZenArmor > OK.
Acontece que para que no ZenArmor apareça o nome do Usuário da rede (AD), e não precise comprar uma licença caríssima do plano Business do ZenArmor para ter a integração com AD ( até por que o cliente não é grande porte), pensei em usar o Captive Portal + AD. Até aí OK, integração do Firewall + AD configurada com Sucesso!
Problemas que enfrento:
Captive Portal:
1. Em certos momentos ( geralmente), ele não abre diretamente a página do Firewall(Captive P), tendo que clicar em "avançado" e clicar no link para o Firewall:porta CP - Vide Imagem em Anexo;
2. Mesmo ao abrir a Página do Firewall:porta CP, Erro de CERTIFICADO quando Aparece a página de LOGIN do CP. Testes: Já instalei os certificados na máquina e nada;
3. Após realizar o LOGIN no CP, não sai dessa página, embora "libere internet", mas não sai, não avisa que "liberou a rede" nem redireciona ( não vi opção de configurações para isso no Captive Portal);
ZenArmor
1. Logs realtime (SESSIONS): Não aparece Username (nomne do usuário) que está acessando aquele site naquele instante. Testes: Já refiz testes usando apenas usuários da Database do Firewall do Captive Portal e também do AD, mesmo sintoma, aparece somente o IP origem.
Quero também pedir, se, por acaso existe alguma outra forma de Integração e LOGON no AD, seja algo automático ou não estou aceitando ideias!
Desde já agradeço e peço desculpas por algum equívoco;
Ninguém??
Olá Pipe!
Esse erro de certificado aparece ao tentar acessar uma página HTTPS e ser redirecionado? O Certificado que está usando é auto-assinado? Tentou instala-lo como confiável para ver se o erro deixa de acontecer?
Quote from: juliocbc on June 03, 2024, 09:02:16 AM
Olá Pipe!
Esse erro de certificado aparece ao tentar acessar uma página HTTPS e ser redirecionado? O Certificado que está usando é auto-assinado? Tentou instala-lo como confiável para ver se o erro deixa de acontecer?
Oi Julio, tudo bem?
Sim. Já testei isso. Agora estou testando outros tipo de Captive. Inclusive estou pensando seriamente em partir para o Free Radius, o que acha? Pois preciso de um auto-cadastro.
Olá Pipe! Nós já fizemos algumas integrações personalizadas em clientes e costuma funcionar muito bem. O Free Radius ainda não tentamos, porém se quiser um bom ponto de partida é personalizar o template do Captive. Um exemplo:
https://github.com/mixmint/opnsense-captive-portal-template (https://github.com/mixmint/opnsense-captive-portal-template)
Há ainda plataformas SaaS como o IronWifi https://www.ironwifi.com/ (https://www.ironwifi.com/) que tem compatibilidade com o OPNsense.
Quote from: juliocbc on June 04, 2024, 11:13:13 AM
Olá Pipe! Nós já fizemos algumas integrações personalizadas em clientes e costuma funcionar muito bem. O Free Radius ainda não tentamos, porém se quiser um bom ponto de partida é personalizar o template do Captive. Um exemplo:
https://github.com/mixmint/opnsense-captive-portal-template (https://github.com/mixmint/opnsense-captive-portal-template)
Há ainda plataformas SaaS como o IronWifi https://www.ironwifi.com/ (https://www.ironwifi.com/) que tem compatibilidade com o OPNsense.
Bom dia Julio!
Primeiramente muito obrigado pelo retorno e pelas dicas. É uma pena não ter ainda usado free Radius, isso me parece que será um desafio para mim então. Vou ver mas se vc disse que não usaram, provavelmente ainda não tem material aqui no forum, mas vou dar uma olhada .
A cliente quer algo dela e não terceirizado. E sobre o template, eu já customizei, inclusive este mesmo, que por sinal muito lindo! Acontece que, como não usarei autenticação do Firewall (local database) para a rede Guest, somente para a corporativa usarei o LDAP e aí sim, usarei esse template que o customizei, até por que como disse no início do Post, preciso dos Logs com usuários do AD no ZenArmor e é aí que entra o CP com LDAP, até por que não achei outra solução mais "transparente", sem ter que o usuário fazer login no início do dia. E acabei descobrindo algo (aproveitando aqui): o ZenArmor não está entregando os Logs em tempo real com LDAP do CP, porém se filtrar pelo nome de usuário, ele entrega logs mais do passado, algo em torno de uns 30 minutos para trás! O que já me ajudaria. Fica aqui o relato para alguém que no futuro venha passar por isso!
Voltando , no caso da rede Guest, preciso que seja "liberada" a navegação após um cadastro, pois a cliente gostou da ideia de usar isso para o MKT também. Então estou pensando seriamente em um BD interno, mySQL algo assim entende?
É aí que entraria o Free Radius. Mesmo assim agradeço a ajuda e estarei aqui caso tenha alguma outra ideia. Abraço.
Obrigado pelo retorno Pipe! Boa sorte com a implementação!
Bom dia! Ressucitando o tópico..
OpnSense em produção.
Integrado Servidor de autenticação LDP AD.
Porém... como relatado acima.. Zen Armor mostra na aba SRC USERNAME apenas alguns usuários.. Sendo que no CP todos estão autenticado via LDAP!
Alguma ideia?
PS: Ah! Só pra constar sobre a parte do Free Radius, mantive um PfSense lá dentro, Sim.. fiz essa "loucura".. e está funcionando bem.
Agora só preciso ver essa questão dos logs do Zen com usuáriosdo AD em que pega "somente alguns".
Obrigado desde já! ;)