OPNsense Forum
International Forums => French - Français => Topic started by: tsystem on April 18, 2021, 06:27:31 pm
-
Bonjour à tous,
J'essaye désespérément de mettre en place un portail captif avec OTP, j'ai suivi tout les tuto que j'ai trouvé et rien à faire cela ne marche que quand ça veut, c'est d'une instabilité hallucinante, je désespère d'y arriver ...
Pour info, j'ai une config plutôt simple
1 machine avec 3 ports WAN / LAN (réservé pour un accès full admin qui marche d'ailleurs sans câble croisé ?!) / Opt1 ( avec 3 vlans)
les vlan sont isolés et non pas le droit de se voir hormis pour les ip adm qui peuvent passer
switches et AP mangés pour gérer vlans et multissid.
Tout marche bien, mais lorsque j'essaye de mettre en route sur l'un des vlan le portails captif (template ok, authentification otp validée ok)... je n'arrive qu'une fois sur 50 à arriver sur la page de login et le reste du temps pas d'accès ...
Par avance merci de votre aide
Mr
-
Hello,
Bon apparemment, le captive portal marches bien, mais il ne capture pas les https ... hors aujourd'hui 95% des sites sont en https, donc le client arrive juste sur une page introuvable / hors connexion / ... mais ne voit pas le portail pour s'authentifier ...
une idée pour solutionner cela ? car sans cela , le portail n'a vraiment aucun intérêt
Merci de votre aide
-
Bonsoir,
bon je désespère, le portail captif est totalement instable pour attraper les tentatives de connexion, même en http simple ... le seul moyen d'y accéder à coup sur (et dans ces cas là il marche à merveille), c'est d'ici accéder par l'ip
http://168.168.220.xxx:8000
Y aurait-il donc un moyen de définir un host plus simple qui rerouterait automatiquement vers la bonne ip/port, du genre http://portail ?
Par avance merci de votre aide
Bonne soirée
-
Bonsoir,
Bon, problème en partie résolu ! Pas le problème de catching du client, c'est totalement instable...
par contre je lui donne une adresse simple : http://wifi sur laquelle se connecter et tout marche nikel, il accede au portail instantanément sans avoir a taper une ip bizarre avec un port (proche du chinois pours la plupart de nos interlocuteur)
Je laisse ma procédure si cela peut aider quelqu'un :
(je fonction avec un vlan guest, mais à remplacer par lan ou tout autre interface)
- dans le service DHCP du vlan guest : forcer le server DNS sur l'ip firewall (= resolution interne)
- dans service unbound dns / overrides, créer un host (A) nommé "wifi" pointant vers l'ip du firewall
- dans firewall NAT / port forwarding : ajouter une règle de NAT sur l'interface vlan guest
( cela force toute arrivée http à repartir sur le captive portal)
- en tcp
- destination single host : ip firewall/32
- port destination : http
- redirection single host:ip du firewall
- port redirection 8000
- dans firewall / rules / vlan guest : dupliquez la règle donnant l'accès au captive portal (8000-1000) et faire la même pour le port 80-80
et voila ca marche tout beau tout propre
Bon courage et bonne soirée
-
Les regles sont sencé etre automatique.
Regarde ma procedure pour ça.
https://wiki.slemoal.fr/index.php/Portail_captif_%2B_proxy_transparent
ça fonctionne correctement pour moi, la seul chose rendant instable est si je change l'assignation des interface une fois que tout est fonctionnel.
-
Bonjour,
Avant tout merci de ce retour et de ce lien , très bien documenté !
Pas de soucis de changement d'interface, pour info, à chaque fois que je fais un test non concluant, je re-Install et restaure une sauvegarde pour repartir sur la dernière bonne base connue...on est jamais trop sure ...
De mon côté, je n'ai pas de proxy, mais le proxy n'a pas de rôle à jouer par rapport au portail ?
J'ai bien la règle coché dans le firewall, mais lorsque je cherche, je ne trouve aucune règle générée automatiquement pouvant s'y référer...
Par avance merci
Excellente journée
-
Bonsoir,
C'est très étrange, j'ai testé ta config en suivant le tuto et une fois le proxy opérationnel, j'ai carrément plus rien qui arrive au portail, donc le proxy prends tout et le portail captif inopérant, plus de demande d'autorisation, tout passe de façon transparente...
peut-être un problème avec les vlans ...