Captive Portal funktioniert nicht

[MrCount]

Ich verstehe den Zusammenhang zwischen Captive Portal und dem Digitus Adapter jetzt nicht.
Die Verbindung über den Adapter funktioniert ohne aktives CP einwandfrei...

Und warum dann bei aktivem CP (nur für OPT1-Interface) auch über das LAN-Interface die Verbindung zum Internet nicht geht ist mir ebenfalls ein Rätsel.

LAN-Interface:
Laptop (darüber dann auch auf dem Web-Interface), Windows 8.1

für OPT1 dann entweder:
Smartphone am OPT1 (WiFi), Android 4.4.2

oder:
PC am OPT1 (LAN-Adapter), Debian 7.8

[jstrebel]

Ich glaube dir, dass das ganze ohne CP funktioniert. Bei der Fehlersuche geht es darum die ganze kette so einfach wie möglich zu halten. Darum möchte ich dass du den pc direkt via LAN kabel ans OPT anschliesst. Wir müssen der ursache auf die spur kommen.
Wenn du am linux pc ifconfig eingibst, was ist der output?


Gesendet von iPhone mit Tapatalk

[MrCount]

Der Output ist normal, also

eth0
Link encap: Ethernet
Hardware Adresse: 00:17:A4:xx:xx:xx
inet Adresse: 192.168.168.107
Bcast: 192.168.168.255
Maske: 255.255.255.0

Ping auf 192.168.168.1 (OPT1 Interface) funktioniert.
Ping auf localhost (127.0.0.1) funktioniert.
Ping auf web.de oder google.com funktioniert NICHT

Es geht ja nicht nur um das OPT1-Interface, sondern auch darum, warum ich über das LAN-Interface keinen Zugriff mehr aufs Internet habe, wenn das CP für OPT1 aktiv ist.
Das hat ja nichts mit dem verwendeten Adapter zu tun, der sowieso ohne das CP problemlos funktioniert, so wie das WLAN auch ohne CP einwandfrei lief.

[jstrebel]

Also eins nach dem Andern, Schritt für Schritt, dann finden wir den Fehler und kommen ans Ziel.
Gib mir bitte die Interface Adressen / und Masken deines OPNsense an.
WAN:
LAN:
OPT: 192.168.168.1 / 255:255:255:0

[MrCount]

WAN (WiFi/run0): 192.168.178.144 /24 (per DHCP über WLAN von FritzBox)
LAN (bge0): 192.168.1.1 / 24
OPT1: 192.168.168.1 / 255:255:255:0


Bin erst Montag wieder "am System".
Wünsche ein schönes Wochenende! 

[jstrebel]

MrCount,
Ich habe am Wochenende mit verschiedenen Clients probiert. Das CP hat immer funktioniert. Das soll aber nicht heissen, dass das Problem nicht im OPNsense liegen könnte. Wir müssen die Ursache gemeinsam suche wenn du Lust und Geduld hast.
Ich habe dein Capture File angesehen.
Das erste was mir aufällt ist, dass dein Browser kein redirect macht auf Port 8002 oder (8001 / 8000.) macht. Ich gehe davon aus, dass du den Firewall wie im Forum angegeben konfiguriert hast.

Könntest du einen oder 2 verschiedene Clients nacheinander direkt an den Ethernet OPT Port anschließen und je einen Packet Capture fahren. Den Capture solltest du nach 10-20 sec stoppen nachdem du den Browser gestartet hast.

[MrCount]

jstrebel,
Geduld und Lust um die Ursache zu finden sind vorhanden. 

Anbei die beiden Captures, gestartet jeweils vor dem Einstöpseln des Kabels, Ende ca 10 Sekunden nach öffnen des Browsers mit google.de
Und ein Screenshot der Firewall-Rules für OPT1.

[MrCount]

Kurze blöde Frage am Rande:
Ist das CP von irgend einer bestimmten Hardware abhängig?
Bzw. der Redirect?

[jstrebel]

@MrCount: Schiebe bitte die Regel mit dem Port 8000-8002 ganz an den Anfang. Muss die erste Regel sein.

[jstrebel]

Kurze blöde Frage am Rande:
Ist das CP von irgend einer bestimmten Hardware abhängig?
Bzw. der Redirect?

Nein: Aber ich habe Fälle erlebt, wo der Client nicht  dem " pseudo standard" folgte.
Anbei eine kleine Erläuterung. Im Wikipedia http://en.wikipedia.org/wiki/Captive_portal gibts auch Erläuterungen.
http://tools.ietf.org/html/rfc6585

[MrCount]

Okay, die Regel steht nun oben.
Geändert hat sich aber sonst nichts.

Aber in welchem Zusammenhang steht das CP für das OPT1- mit dem Routing auf dem LAN-Interface?

[jstrebel]

Was ist der Hintergrund deiner Frage?
Kannst du mir bitte dein Config File zusenden. (komme aber erst am Abend zum Testen)

[MrCount]

Der Hintergrund meiner Frage ist, wie ich schon in früheren Posts erwähnt habe, dass ich mit aktivem CP (nur für das OPT1) auch über das LAN-Interface keinen Zugang mehr zum Internet habe.

Lösche ich das CP wieder, dann kann ich auch über LAN wieder surfen.

Wohin soll ich das Config-File schicken?

[jstrebel]

Sende mir bitte eine priv message, dann sende ich dir meine mail adr


Gesendet von iPhone mit Tapatalk

[MrCount]

Ich habe jetzt mal das CP nur für das LAN-Interface enabled.
Das CP-Portal wird mir auch automatisch angezeigt, wenn ich versuche auf z.B. google.de zu surfen.
Aber wenn ich dort entweder einen Voucher oder die root-Zugangsdaten ein das CP eingebe, werde ich immer wieder erneut auf die Anmeldemaske geleitet, anstatt auf die Zielseite (hier google.de).

Außerdem werde ich regelmäßig nach ein paar Minuten immer wieder im Dashboard zur Authentifizierung aufgefordert.