looser27
Goto Top

SquidGuard auf pfSense verhindert automatische WLAN-Anmeldung

Nabend allerseits,

ich habe Zuhause für die Kids ein eigenes WLAN-Netz eingerichtet, welches mittels squid und squidguard gefiltert werden soll.
Folgendes Phänomen trat dabei auf:
Solange der squid alleine läuft, ist alles in Ordnung.
Starte ich den squidguard (mit allen Blacklist-Punkten = allow) funktioniert die Anmeldung am WLAN nicht mehr.
Es wird sofort das "nicht vertrauenswürdige Zertifikat" der pfsense angemeckert und die Anmeldung läuft nicht mehr automatisch, d.h. die Smartphones melden sich nicht mehr automatisch an.

Kennt jemand das Problem und kann mir nen Tipp geben, wie man das umgeht?
Es gibt derzeit auf der pfsense noch keine eingerichteten Zertifikate.

Gruß

Looser

Content-Key: 398414

Url: https://administrator.de/contentid/398414

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: 131422
131422 16.01.2019 um 21:13:11 Uhr
Goto Top
Mitglied: aqui
aqui 17.01.2019 aktualisiert um 09:33:56 Uhr
Goto Top
funktioniert die Anmeldung am WLAN nicht mehr.
Ist eigentlich unmöglich, denn das eine hat mit dem anderen soviel zu tun wie ein Fisch mit einem Fahrrad.
Das Einbuchen ins WLAN muss IMMER klappen völlig unabhängig davon wie man aus dem WLAN in die weite Welt kommt (Internet).
Außerdem wird ja auch beim Einbuchen in ein WLAN keinesfalls irgendein Zertifikat abgefragt. Jedenfalls nicht solange der TO vermutlich simpel WPA2 Preshared Keys nutzt und keine Zertifikats basierte Authentisierung für das WLAN wie in großen Unternehmen.
Irgendwie klingt das also wirr und geraten.
Frage ist auch WIE das WLAN aufgebaut ist:
  • Integriert in die pfSense ?
  • Extern mit APs ?
  • MSSID oder single SSID AP ?
Auch das muss man alles erraten... face-sad
Mitglied: Looser27
Looser27 17.01.2019 aktualisiert um 10:13:46 Uhr
Goto Top
Ich glaube ich habe mich falsch ausgedrückt.
Beim Android-Smartphone meiner Tochter wird zur Prüfung des WLAN-Zugangs eine Internetverbindung (auf eine bestimmte HP) geprüft.
Der squidguard blockiert diese Verbindung, obwohl alle Blacklistpunkte auf "allow" stehen.

Jetzt erscheint beim Handy die Meldung "An WLAN anmelden". Drückt man drauf, erscheint die Sperrseite der pfSense, obwohl keine Seiten gesperrt sind.
Selbes übrigens mit der Updatefunktion des ESET-AV-Scanners auf dem Handy.

Ich werde am WE mal versuchen, ob ich mit einer kleinen White-List hier zurande komme.
Verstehen tue ich das Verhalten des squidguard allerdings noch nicht, denn nach meinem Verständnis sollte der alles durchlassen, solange es mit "allow" gekennzeichnet ist.

Der Vollständigkeit halber:
MSSID-AP von Unifi
jede SSID in getrenntem VLAN;Eltern ohne proxy und squidguard, Kids natürlich mit face-wink
Mitglied: aqui
aqui 17.01.2019 um 13:08:04 Uhr
Goto Top
Ich glaube ich habe mich falsch ausgedrückt.
Vermutlich, denn so wie oben geschildert kann das technisch niemals stimmen !
Beim Android-Smartphone meiner Tochter
Das ist nicht nur bei Androiden so, iPhone und alle anderen machen das auch so wie jeder weiss. Das ist die Captive Portal Autodetection.
Der squidguard blockiert diese Verbindung, obwohl alle Blacklistpunkte auf "allow" stehen.
Dann hast du vermutlich doch einen Setup Fehler begangen !
Ein simpler Sniffer Trace mit dem Wireshark hätte dir die richtige Domain bzw. IP Adresse gezeigt. Es macht dann auch Sinn das für iOS zu setzen, denn nicht alle Kids haben gruselige Androiden.
Meldung "An WLAN anmelden". Drückt man drauf, erscheint die Sperrseite der pfSense,
Wie gesagt ! Captive Portal Autodetection !
Genau DAS will man ja auch das das Captive Portal hochkommt und nach dem Voucher oder Login fragt !!
Kann das sein das du Captive Portal auf der pfSense aktiviert hast zusätzlich ?!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wenn ja und du nicht willst das deine eigenen Kids am CP hängenbleiben trägst du logischerweise dessen Mac Adresse ihrer Geräte in die CP Ausnahmeliste ein.
Dann bleiben deine Kids am CP nicht mehr hängen, wohl aber noch deren Gäste wie es ja auch sein soll.
Mitglied: Looser27
Looser27 17.01.2019 um 13:37:39 Uhr
Goto Top
Ich habe das CP nicht wissentlich eingerichtet. Muss ich aber alles nochmal prüfen.