10
PfSense Captive Portal Login via Apple nicht möglich
Hallo zusammen,
ich hoffe es gibt ein paar pfSense-Gurus unter euch.
Ich habe folgendes Problem.
Wir haben einen WLAN-Controller mit ein paar APs für die WLAN-Verteilung im Unternehmen, nun habe ich
pfSense eingeführt um ein sauberes Captive Portal zu etablieren (die DLink eigene Sache ist Miste).
Die Sache funktioniert auch einwandfrei auf alle Notebooks und Androids bisher im Test ... nehme ich ein
iPhone oder ein iPad so bekomme ich keine Vorschlag mich anzumelden, versuche ich eine Seite zu besuchen
passiert auch einfach nichts, spätestens jetzt haben auch die zögerlichsten Endgeräte die URL des CPs aufgerufen.
Wenn ich die IP-Adresse der WebGUI des CPs eingebe für die Anmeldung dann geht es aber automatisch ist da nix.
Stelle ich jetzt natürlich im pfSense die Loginseite auf HTTPS so funktioniert das ganze, jedoch eben mit der hässlichen
Zertifikatsmeldung die den einen oder anderen Gast dann in meine Richtung treibt was die Sache wieder unnötig
intensiviert.
Hat da jemand einen Tipp oder einen wink in die richtige Richtung?
Wichtig dazu ist leider: Es muss alles können, darf aber leider nichts kosten.
Grundlage sind aktuell:
1 DLink DWC-1000
8 APs auf div Etagen verteilt
1 VM mit 3 Schnittstellen (WAN, LAN, Verwaltung > um die Sache vom Firmennetz zu trennen)
Danke schonmal fürs lesen
ich hoffe es gibt ein paar pfSense-Gurus unter euch.
Ich habe folgendes Problem.
Wir haben einen WLAN-Controller mit ein paar APs für die WLAN-Verteilung im Unternehmen, nun habe ich
pfSense eingeführt um ein sauberes Captive Portal zu etablieren (die DLink eigene Sache ist Miste).
Die Sache funktioniert auch einwandfrei auf alle Notebooks und Androids bisher im Test ... nehme ich ein
iPhone oder ein iPad so bekomme ich keine Vorschlag mich anzumelden, versuche ich eine Seite zu besuchen
passiert auch einfach nichts, spätestens jetzt haben auch die zögerlichsten Endgeräte die URL des CPs aufgerufen.
Wenn ich die IP-Adresse der WebGUI des CPs eingebe für die Anmeldung dann geht es aber automatisch ist da nix.
Stelle ich jetzt natürlich im pfSense die Loginseite auf HTTPS so funktioniert das ganze, jedoch eben mit der hässlichen
Zertifikatsmeldung die den einen oder anderen Gast dann in meine Richtung treibt was die Sache wieder unnötig
intensiviert.
Hat da jemand einen Tipp oder einen wink in die richtige Richtung?
Wichtig dazu ist leider: Es muss alles können, darf aber leider nichts kosten.
Grundlage sind aktuell:
1 DLink DWC-1000
8 APs auf div Etagen verteilt
1 VM mit 3 Schnittstellen (WAN, LAN, Verwaltung > um die Sache vom Firmennetz zu trennen)
Danke schonmal fürs lesen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 362057
Url: https://administrator.de/contentid/362057
Printed on: April 19, 2024 at 00:04 o'clock
10 Comments
Latest comment
Moin moin,
versuch mal in den iPhone-Einstellungen unter WLAN auf die jeweilige SSID zu tippen und dann "Dieses Netzwerk ignorieren" auszuwählen. Dann erneut verbinden, dann sollte auch die Captive Portal-Seite angezeigt werden.
lG MOS
versuch mal in den iPhone-Einstellungen unter WLAN auf die jeweilige SSID zu tippen und dann "Dieses Netzwerk ignorieren" auszuwählen. Dann erneut verbinden, dann sollte auch die Captive Portal-Seite angezeigt werden.
lG MOS
Hab ich probiert, klappt leider auch nicht.
Er verbindet sich, IP-Adresse ruft er auch ab aber da endet es auch schon.
Die SSID ist sichtbar und ohne Schlüssel.
Er verbindet sich, IP-Adresse ruft er auch ab aber da endet es auch schon.
Die SSID ist sichtbar und ohne Schlüssel.
1
Habs hier gerade mal ausprobiert auf:
ALIX 2D-13 mit pfSense 2.3.5-p1
APU2 mit pfSense 2.4.2-p1
und als Client:
iPhone 11.2.2
iPad 11.2.2
iPad 9.3.5
MacOS High Sierra
Win 10
Android
In allen Kombinationen auf allen Plattformen funktioniert das Captive Portal fehlerlos.
Fehler lässt sich nicht nachvollziehen. Login Page poppt automatisch hoch, da wo nicht spätestens nachdem man den URL eingetippt hat. Alles sauber wie es sein soll.
Fazit: Da hast du wohl was an deiner Konfig verbaselt !
Was passiert denn wenn du die IP einer Webseite direkt eingibst wie z.B. 82.149.225.21 (administrator.de) ?
Vielleicht besser nochmal nachlesen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ALIX 2D-13 mit pfSense 2.3.5-p1
APU2 mit pfSense 2.4.2-p1
und als Client:
iPhone 11.2.2
iPad 11.2.2
iPad 9.3.5
MacOS High Sierra
Win 10
Android
In allen Kombinationen auf allen Plattformen funktioniert das Captive Portal fehlerlos.
Fehler lässt sich nicht nachvollziehen. Login Page poppt automatisch hoch, da wo nicht spätestens nachdem man den URL eingetippt hat. Alles sauber wie es sein soll.
Fazit: Da hast du wohl was an deiner Konfig verbaselt !
Was passiert denn wenn du die IP einer Webseite direkt eingibst wie z.B. 82.149.225.21 (administrator.de) ?
Vielleicht besser nochmal nachlesen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ich habe nun nochmal folgende Szenarien durchgetestet:
Acer Aspire 10V (Win 10) > CP-Aufruf funktioniert
iPhone 6 (iOS 10.3.2) > CP-Aufruf funktioniert
iPhone 6 (iOS 10.0.2) > CP-Aufruf funktioniert
iPhone 8 (iOS 11.2.2) > CP-Aufruf funktioniert nicht
iPad Air 2 (iOS 11.2.2) > CP-Aufruf funktioniert nicht
iPhone 6 (nach Update von iOS 10.3.2 auf 11.2.2) > CP-Aufruf funktioniert
Android & Win-Mobile (mehrere div. Geräte) > CP-Aufruf funktioniert
Ich setze jetzt nochmal das pfSense komplett zurück da es ja irgendwo hängen muss.
Es sind bisher nur meine eigenen beiden Geräte vom Apfel die nicht darauf reagieren.
Viele Optimierungen wurden ja noch nicht vorgenommen.
3 Schnittelstellen wurden auf Static konfiguriert, eine mit DHCP-Server und eben Captive Portal.
Wenn ich natürlich die IP-Adresse von administrator.de statts des Hostnamen/URL eingebe dann springt er sofort zur CP-Seite ...
Korrektur: Das iPad Air 2 verbindet nun gar nicht mehr mit den APs.
Acer Aspire 10V (Win 10) > CP-Aufruf funktioniert
iPhone 6 (iOS 10.3.2) > CP-Aufruf funktioniert
iPhone 6 (iOS 10.0.2) > CP-Aufruf funktioniert
iPhone 8 (iOS 11.2.2) > CP-Aufruf funktioniert nicht
iPad Air 2 (iOS 11.2.2) > CP-Aufruf funktioniert nicht
iPhone 6 (nach Update von iOS 10.3.2 auf 11.2.2) > CP-Aufruf funktioniert
Android & Win-Mobile (mehrere div. Geräte) > CP-Aufruf funktioniert
Ich setze jetzt nochmal das pfSense komplett zurück da es ja irgendwo hängen muss.
Es sind bisher nur meine eigenen beiden Geräte vom Apfel die nicht darauf reagieren.
Viele Optimierungen wurden ja noch nicht vorgenommen.
3 Schnittelstellen wurden auf Static konfiguriert, eine mit DHCP-Server und eben Captive Portal.
Wenn ich natürlich die IP-Adresse von administrator.de statts des Hostnamen/URL eingebe dann springt er sofort zur CP-Seite ...
Korrektur: Das iPad Air 2 verbindet nun gar nicht mehr mit den APs.
Hört sich an als ob du einen Fehler in der Firewall Regel am CP Interface hast.
Das iPhone 6 mit der jetz 11.2.2 beweist das ja.
Das CP wird ausschliesslich von HTTP Traffic getriggert. Wenn du z.B. einen Hostnamen eingibst und der DNS Request geht nicht durch kommt niemals HTTP Traffic am CP an.
Check also mal das Regelwerk dort.
DNS UDP und TCP 53 . TCP 80 unbd 443 und der Portal Traffic Port TCP 8000-8002 sollten in der Regel ganz oben stehen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das iPhone 6 mit der jetz 11.2.2 beweist das ja.
Das CP wird ausschliesslich von HTTP Traffic getriggert. Wenn du z.B. einen Hostnamen eingibst und der DNS Request geht nicht durch kommt niemals HTTP Traffic am CP an.
Check also mal das Regelwerk dort.
DNS UDP und TCP 53 . TCP 80 unbd 443 und der Portal Traffic Port TCP 8000-8002 sollten in der Regel ganz oben stehen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das habe ich genau so eingerichtet wie abgebildet eben nur im LAN und die Anti-Lockout-Regel hab ich rausgeschmissen.
Desweiteren habe ich noch Port 80 auf der IP der LAN-Schnittstelle geblockt damit mir keine Schnüffeler an der AdminUI rumfummeln!
Aber selbst wenn ich diese deaktiviere ist alles wie bisher!
Kann es auch möglich sein das es an der Einstellung der Geräte selbst liegt weil alle anderen funzen sauber!
Desweiteren habe ich noch Port 80 auf der IP der LAN-Schnittstelle geblockt damit mir keine Schnüffeler an der AdminUI rumfummeln!
Aber selbst wenn ich diese deaktiviere ist alles wie bisher!
Kann es auch möglich sein das es an der Einstellung der Geräte selbst liegt weil alle anderen funzen sauber!
Dein Fehler ist die fehlende Portal Range. TCP 8000 bis 8002. pfSense nutzt das je nach Interface. Besser also die Range freigeben.
Die Regel blockt dann auch kein HTTPS damit könnte ein Schnüffler es weiter versuchen...
Sinnvoller hier unter Alias eine Portgruppe "WebPorts" zu definieren mit TCP 80 und TCP 443. Dann die Deny Regel mit LAN_address und Desination Ports dann mit dem WebPorts Alias einrichten
Aber auch ein Test mit deinem Regelwerk rennt hier unter den oben angegebenen Hardware Plattformen mit den entsprechenden Clients fehlerlos.
Hier das entsprechende Ruleset dazu:
Desweiteren habe ich noch Port 80 auf der IP der LAN-Schnittstelle geblockt
Sinnvoller wäre hier nicht die IP einzutippen sondern die im Ruleset unter Destination vorgegebene LAN_address ! Aber warum einfach machen.Die Regel blockt dann auch kein HTTPS damit könnte ein Schnüffler es weiter versuchen...
Sinnvoller hier unter Alias eine Portgruppe "WebPorts" zu definieren mit TCP 80 und TCP 443. Dann die Deny Regel mit LAN_address und Desination Ports dann mit dem WebPorts Alias einrichten
Aber auch ein Test mit deinem Regelwerk rennt hier unter den oben angegebenen Hardware Plattformen mit den entsprechenden Clients fehlerlos.
Hier das entsprechende Ruleset dazu:
1
Ja gut das stimmt, der Tipp mit der LAN_adress ist durchaus logisch, da hab ich bei der ganzen Fehlersuche mal wieder den Kopf deaktiviert.
Das mit den Ports habe ich auch komplett angepasst, ich werde das mal testen und sehen wie es läuft.
Beste dank für die Unterstützung bis hier her.
Das mit den Ports habe ich auch komplett angepasst, ich werde das mal testen und sehen wie es läuft.
Beste dank für die Unterstützung bis hier her.
Wie gesagt hier auf mehreren HW Plattformen komplett fehlerlos.
Sollte dann eigentlich bei dir auch so sein.
Sollte dann eigentlich bei dir auch so sein.
Liegt an den Geräten ... irgendwas harmoniert da nicht!
Ich habe div. Geräte über das Gäste-WLAN gekurbelt und alles lief sorgenlos, danke für die Unterstützung.
Ich habe div. Geräte über das Gäste-WLAN gekurbelt und alles lief sorgenlos, danke für die Unterstützung.
