karlnapf
Goto Top

PfSense - Captive Portal - Zwei Zonen parallel betreiben

Beim Parallelbetrieb von 2 CP-Zonen (LAN und VLAN) taucht im VLAN folgendes Problem auf:
- der Login-Bildschirm der VLAN-Zone erscheint
- nach Anmeldung wird der Benutzer in der VLAN-Zone angezeigt
- Zugriff auf das Internet ist jedoch nicht möglich
- danach erscheint im Browser der (deformierte) Anmeldeschirm der LAN-Zone (keine CSS-Auswertung ...)
- nach erneuter Anmeldung wird der Benutzer auch in der LAN-Zone angezeigt
- Internetzugriff nun möglich

- in der LAN-Zone keinerlei Probleme (User & Voucher)

Die Hinweise zu diesem Thema auf administrator.de habe ich alle schon durchgelesen und die Einstellungen entsprechend vorgenommen.
Das Problem dürfte im Bereich Firewall liegen, momentan weiss ich leider nicht mehr weiter ...

Content-Key: 343898

Url: https://administrator.de/contentid/343898

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 20.07.2017 um 10:47:26 Uhr
Goto Top
Welche Software Version ?!
Sieht entweder nach eionem Bug oder nach einem Konfig Fehler aus ?!
Mitglied: KarlNapf
KarlNapf 20.07.2017 um 13:56:37 Uhr
Goto Top
Es handelt sich um folgende Version:

2.3.4-RELEASE (amd64)
built on Wed May 03 15:13:29 CDT 2017
FreeBSD 10.3-RELEASE-p19

Dies sollte die momentan aktuelleste Version sein.
Alle Pakete sind aktuell.

Die CP-Einstellungen sind in beiden Zonen identisch.
Anmeldungen in der LAN-Zone erfolgen problemlos, danach ist der Zugriff auf das Internet sofort verfügar.

Auf der pfSense-FW läuft noch squid (transparent) und pfBlockerNG.
Die hatte ich beide vorübergehend deaktiviert, brachte aber keine Besserung.
Auch das Zurücksetzen meiner individuellen Login- und Fehlerseite des CP auf die Default-Seite brachte keine Besserung.

An der FW kann ich sehen, dass am VLAN die DNS-Abragen des Clients ankommen und auch die Verbindung zum Portal auf Port 8004 hergestellt werden.
Nach Eingabe der Anmeldedaten, wird die Verbindung in das Internet jedoch nicht hergestellt werden, sondern es erscheint die bereits erwähnte 'verkrüppelte' Loginseite des LAN Portals auf Port 8002. Die dazugehörende CSS-Datei wird aber offensichtlich nicht gefunden, bzw. benutzt.
Wenn ich mich dort noch einmal anmelde, dann gelange ich sofort in das Internet, bin allerdings in beiden CP-Zonen angemeldet.

Auch wenn ich für das VLAN alle FW-Restriktionen aufhebe, bleibt das Fehlerbild gleich.
Mitglied: KarlNapf
KarlNapf 20.07.2017 um 15:22:59 Uhr
Goto Top
Ich habe eben noch einmal über "Services / Captive Portal / Gast / Allowed IP Addresses" den IP-Bereich des VLAN-Netzes ("Gast") eingegeben.
Hiermit umgeht man normalerweise die Anmeldung am CP und gelangt direkt in das Internet.

Die Anmeldung im Netz führte dann direkt zur 'verkrüppelten' Portalseite des LAN.

Woher stammt diese (ständige) Weiterleitung der Anmeldung von der VLAN-Zone in die LAN-Zone?
Mitglied: KarlNapf
KarlNapf 21.07.2017 um 10:22:19 Uhr
Goto Top
Ich habe heute morgen ein Update des pfSense auf

2.3.4-RELEASE-p1 (amd64)
built on Fri Jul 14 14:52:43 CDT 2017
FreeBSD 10.3-RELEASE-p19

durchgeführt.

Und ich glaube es kaum:
Plötzlich funktioniert mein Gastnetz wie gewünscht!
Da waren wohl etwas mehr Bugfixes für das CP drin, als angegeben ...

Hoffentlich bleibt das nun auch so ...
Mitglied: aqui
aqui 27.07.2017 um 16:28:56 Uhr
Goto Top
"Services / Captive Portal / Gast / Allowed IP Addresses" den IP-Bereich des VLAN-Netzes ("Gast") eingegeben. Hiermit umgeht man normalerweise die Anmeldung
Deshalb machen verantwortungsvolle Netzwerker es auch niemals über die IP Adresse sondern immer nur über die Mac Adresse !!
Ein IP Adresse ist mit ein paar Mausklicks für jedermann zu faken. Eine Mac Adresse nicht so ohne weiteres !!
Darüber solltest du mal nachdenken...
Aber gut wenns nun klappt...egal wie sicher oder unsicher...
Mitglied: KarlNapf
KarlNapf 29.07.2017 um 11:21:34 Uhr
Goto Top
Danke für die Sicherheitsinformation, aber zig MAC-Adressen einzutragen, ist ein mühsames Unterfangen.
Und die echten bösen Buben und Mädels wissen sowieso was MAC-Spoofing ist.

BTW:
Leider ist mein ursprüngliches Problem noch immer nicht gelöst.
Ich hatte mich zu früh gefreut - der Internetzugriff über die GAST-Zone gelang nur deswegen, weil noch eine (vergessene) identische Anmeldung in der LAN-Zone existierte.

Trotzdem schönes Wochenende!

Karl
Mitglied: aqui
aqui 29.07.2017 um 11:32:06 Uhr
Goto Top
aber zig MAC-Adressen einzutragen, ist ein mühsames Unterfangen.
Aber sicherer ! Ist immer die Frage wie hoch deine Security Anforderungen sind und welches Risiko du bereit bist zu akzeptieren face-wink
Man kann das auch bequem über die Aliases machen und dann zentral pflegen..

Ein 2 Zonen Captive Portal rennt hier übrugens auf einer APU Hardware vollkommen unaufällig und der o.a. Fehler lässt sich nicht nachvollziehen.
Allerdings statt mit IP hier mit Mac Ausnahmeregel.
Mitglied: KarlNapf
KarlNapf 30.07.2017 um 19:58:50 Uhr
Goto Top
Habe auch noch eine APU rumstehen.
Werde dem Phänomen mit diesem System ohne die vielen Pakete auf dem Produktivsystem bei Gelegenheit auf den Grund gehen.

Karl