Messages

Falls es jemanden interessiert:

Mein Android (Lineage) hat den Redirect nicht gefressen, weil das Zertifikat self-signed war.

Ich markier das als solved.

Danke,
aber das ist ja genau die NAT Lösung die ich angesprochen habe.
Mich hat interessiert, ob es noch einen eleganteren weg gibt.
Dennoch danke.

Kann mir vielleicht jemand sagen, wie ich mir die BIOS version meiner Kiste anzeigen lassen kann ?
Unter Linux kann ich das mit dmidecode, dass gibt es hier aber leider nicht...

Hi,
hat jemand eine Idee, wie ich herausfinden kann, was dafür verantwortlich ist, dass die RAM-Auslastung auf meiner FW kontinuierlich ansteigt ? Bis 18.7.6 war alles ok und es bewegte sich immer im Bereich um die 20-25%. Aktuell bin ich auf 19.1.1, aber auch auf 18.7.9 und 18.7.10 machte das bereits Probleme. Ich habe ja die Vermutung, dass das vielleicht durch einen weiteren IPSec-Tunnel hervorgerufen wird, der im Gegensatz zu den anderen (IKEv2) mit IKEv1 arbeitet, aber ich schaffe es irgendwie nicht, dass Ganze irgendwie einzugrenzen.
Jemand 'ne Idee ?
MFG

Hi,
kennt jemand  eine elegantere Lösung einen bestimmten DNS Server innerhalb eines HA-Setups zu erzwingen, als dafür eine NAT Regel zu schreiben, die alles was aus einem bestimmten Netz an 53/UDP geht zu natten ?
Vielen Dank schonmal.

Hi,
just an idea: Did you whitelist your DNS-Server (the one you announce via DHCP)? And is the captive portal login resolveable ?
I managed to get mine working again. It was just a simple certificate issue.
If you like post or PM your config and i'll have a look at it.
Cheers
Wayne

Hi,

hat vielleicht jemand eine Idee, woran es liegen könnte, dass der Redirect, bei Apple-Geräte funktioniert, bei Android hingegen nicht ?

Meine Config sieht wie folgt aus:

<captiveportal version="1.0.0">
      <zones>
        <zone uuid="aaaaaa-bbbb-cccc-dddd-eeeeeeeeeeeee">
          <enabled>1</enabled>
          <zoneid>0</zoneid>
          <interfaces>optX</interfaces>
          <authservers>CaptivePortal</authservers>
          <authEnforceGroup/>
          <idletimeout>0</idletimeout>
          <hardtimeout>0</hardtimeout>
          <concurrentlogins>0</concurrentlogins>
          <certificate>cert_id</certificate>
          <servername>login.my-domain.com</servername>
          <allowedAddresses>10.100.x.x, 10.100.y.y</allowedAddresses>
          <allowedMACAddresses>b8:xx:xx:xx:xx:xx, b7:yy:yy:yy:yy:yy</allowedMACAddresses>
          <transparentHTTPProxy>0</transparentHTTPProxy>
          <transparentHTTPSProxy>0</transparentHTTPSProxy>
          <template>xxx</template>
          <description>Captive Portal</description>
        </zone>
      </zones>

Der DNS-Record des CP ist von beiden Geräten aus aufzulösen und auch sonst kann ich keinen wirklichen Unterscheid sehen...

Jemand ne Idee ?

MFG
Wayne

Did you manage to get this working again ? I'm experiencing similar issues. iOS works like expected, while android devices aren't redirected to the login page. Any ideas ?

Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne

Hey,
vielleicht solltest du wirklich mal ein paar Auszüge deiner Logs und eventuell deine OpenVPN-Config und die entsprechende Policy auf dem WAN posten.

1) Welchen Servermode hast du im OpenVPN gewählt ? Auf welchem Interface lauscht der Dienst ? Hast du udp ausgewählt ?

2) Check mal deine Cipher-Settings, sowie das verwendete Zertifikat.

3) Kann es sein, dass du den OpenVPN Port auf dem WAN nicht offen hast ? Das müsste DEIN_PORT/udp oder als Standard 1194/udp sein. Verifizier das mal von extern mittels netcat, oder nmap.

Für alles Weitere braucht man mehr Infos.

MFG
Wayne

3) Auf was hast du das Zerifikat ausgestellt ? Auf deine IP, auf einen Hostnamen ? Falls auf einen Hostnamen, kannst du diesen auch auflösen ?

Hi,
mit einem weiteren Upgrade (warum auch immer) hat sich das Problem erledigt. CARP funktioniert wieder wie es soll.
Danke

Nur mal ganz schnell ein paar Ideen in die Runde geworfen (nach dem ersten überfliegen). Hab gerade leider nicht mehr Zeit...

Probier im ESX mal eine Intel NIC (Intel Pro irgendwas), falls noch nicht geschehen.

Schau mal ob du im TCPDump einen VLAN-Header hast, wenn du ein Port probe aus einem bestimmten Netz machst. Alternativ einfach auf der Shell mit NCat testen und mitschneiden.

Was nutzt du für ein Switch ? Auch ein Ubiquity ? Zufällig EdgeMax ?

Zum UniFi-Controller:

1) Hast du in deinem Wireless Netzwerk "Apply guest policies (captive portal, guest authentication, access)" aktiviert ?

2) Ebenso "Use VLAN XYZ"

3) Unter Networks checken, ob du deinem Netzwerk auch das entprechende TAG verpasst hast...

4) Jetzt unter "Guest Control" im  "Pre-.Authorization-Access" dein CaptivePortal, also die OPN eintragen und falls du im Captive Portal einen DNS-Namen verwendest zusehen, dass der Record aus dem Gästenetz auch aufgelöst werden kann.

5) Den Haken bei "Guest Portal" (Unifi) NICHT aktivieren.

6) Falls du einen anderen DNS als die OPN verwendest musst du diesen unter "Allowed Addresses" im CP der OPN noch whitelisten.

7) Achte bei der OPN auch darauf, dass du in der CP-Config unter "Authenticate using" das  CP ausgewählt hast.

Die APs brauchen auf dem Switchport übrigens all die Netze auf dem Trunk, die du darüber zur Verfügung stellen willst. Falls du ein Ubiquity hast, kann ich dir morgen auch meine Config kurz pasten. Bei mir funktioniert das alles sauber.

So. Hoffe das war jetzt nicht zu konfus... Falls doch, meld dich einfach :-)

MFG
Wayne

Hi,
entweder bin ich vollkommen blind, oder der Button zum Import von Usern aus dem LDAP ist verschwunden...
Kann mir jemand sagen, wo er ist, oder wie ich jetzt neue user importiere ?
MFG
Wayne

Thx,
dann ist das ja schonmal ok, dachte die senden beide. Aber meine Rules sehen dann doch was anders aus.

Code Select Expand

pfctl -s rules | grep carp
pass in log quick proto carp all keep state
pass in quick on igb3 reply-to (igb3 11.22.33.44) inet proto carp from <CARP_WAN> to <CARP_WAN> keep state label "USER_RULE: Allow CARP"

Mein Alias CARP_WAN enthält 11.22.33.45 (MASTER) und 11.22.33.46 (SLAVE) und die 11.22.33.44 ist der GW.

Liegt da vielleicht die Ursache ?

Mit tcpdump sehe ich nur auf dem Slave-Node Multicast. Der kommt von  meinem Master-Node nach 224.0.0.18. Ist das korrekt so ? Ich dachte bei CARP senden beide Nodes und der mit der höheren Prio macht das Rennen...
MFG