Hotspot 4.x

Ici , tout ce qui concerne les problèmes d'installation de ARTICA

Hotspot 4.x

New postby dsi.plateforme » Thu Nov 19, 2015 10:28 am

Bonjour,

J'ai déployé un Artica Proxy (v2.26+) dans mon LAN qui fonctionne en mode mixte :
1. Pour les postes Windows: wpad et authentification AD
2. Pour les postes Linux et/ou Firefox: mode transparent (configuration juniper/netscreen/pbr -> http://artica-proxy.com/using-artica-and-juniper-netscreen-as-a-transparent-proxy/)

Je souhaite mettre en place le Hotspot (via la 2ème licence Artica) afin d'authentifier les utilisateurs du point 2.
Ma configuration réseau est basée sur un Netscreen protégeant LAN et DMZ.

Je me suis peut-être bien compliqué la tache mais le hotspot nécessitant 2 IP différentes (normalement IP privée et IP publique), j'ai pris 2 IP de mon LAN (IPa ert IPb). M'appuyant sur la configuration expliquée dans le lien ci-dessus (Juniper Netscreen), mon firewall renvoie à l'IPb tous les paquets 80/443 et seule l'IPa est autorisée à sortir sur le Net.

Sous Hotspot, j'ai créé une règle pour l'authentification AD et locale.
Toujours sous Hotspot, j'ai ajouté 2 réseaux :
0.0.0.0/0 - from Guest network to internet - known users - 80 - tcp - allow
0.0.0.0/0 - from Guest network to internet - known users - 443 - all - allow

Lorsque je me connecte, j'ai bien la page d'authentification, session créée, utilisateur local créé (à partir de l'AD) puis la page "redirection vers" s'affiche quelques secondes mais je reboucle vers la page d'authentification.

Qu'ai-je pu oublier ?
Y'avait-il d'autres pistes ou une configuration plus simple à mettre en oeuvre vu mon existant ?

Merci pour votre aide
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Re: Hotspot 4.x

New postby admin » Thu Nov 19, 2015 12:08 pm

Oui il faut que les réseaux soient différents car le hostpot ne sait pas déterminer le réseau guest.
Les règles iptables sont alors désorganisées.

Assurez-vous d'avoir ce genre de chose Hotspot ] 10.10.1.25 -> eth0 / 10.10.1.1 -> eth1/ 192.168.1.255 -> 192.168.1.1 -> [ Internet
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: Hotspot 4.x

New postby dsi.plateforme » Fri Nov 20, 2015 2:12 pm

Bien je suis donc reparti sur une machine physique (l'ancienne était une vm) avec une patte dans le LAN 192.168.0.x et une dans la DMZ 192.168.177.x (mappée sur une adresse publique)

Effectivement, lorsque je prends un poste client et que je lui affecte la gateway 192.168.0.x ça fonctionne correctement

En revanche, lorsque j'utilise le mode "transparent" c'est à dire sans modifier la gateway du poste client et en renvoyant tous les paquets 80/443 vers 192.168.0.x (tache effectuée par le Juniper Netscreen), je boucle indéfiniment sur la page d'authentification.

Qu'est-ce qui expliquerait ce "bouclage" ? Y'a-t-il une solution pour l'éviter ?

Merci
Last edited by dsi.plateforme on Fri Nov 20, 2015 3:13 pm, edited 1 time in total.
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Re: Hotspot 4.x

New postby admin » Fri Nov 20, 2015 2:20 pm

Attention à votre règle sur le netscreen.

1) Le hotSpot s'attarde sur la carte MAC, il ne faut surtout pas que le NetScreen fasse office de proxy ARP
2) Il ne faut pas une règle de NAT mais bel et bien un changement de NextHop ( passerelle ) dans le Netscreen
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: Hotspot 4.x

New postby dsi.plateforme » Fri Nov 20, 2015 4:53 pm

1) et 2) Juste une utilisation des PBR avec une interface et un NEXTHOP. Pas de Proxy ARP de défini...

Une autre idée ?
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Re: Hotspot 4.x

New postby admin » Fri Nov 20, 2015 6:16 pm

Mettez votre MAC en trusted et regradez si au moins vous surfez

20-11-2015 19-16-11.png
20-11-2015 19-16-11.png (88.17 KiB) Viewed 4859 times
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: Hotspot 4.x

New postby dsi.plateforme » Mon Nov 23, 2015 9:04 am

Même en ajoutant mon adresse MAC sous la forme xx:xx:xx:xx:xx:xx et xxxxxxxxxxxx, j'ai la mire du Hotspot : "https://artica-hotspot-auth.<domain>.fr:16443/hotspot.php?wifidog-login=yes&gw_address=192.168.7.12&gw_port=58645&gw_id=0013725CBE22&ip=192.168.x.x&mac=xx:xx:xx:xx:xx:xx&url=http%3A%2F%2Fwww.google.com%2F"
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Re: Hotspot 4.x

New postby admin » Tue Nov 24, 2015 12:36 am

Vous avez redémarré le service HotSpot ?
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: Hotspot 4.x

New postby dsi.plateforme » Tue Nov 24, 2015 8:56 am

Serveur entièrement redémarré
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Re: Hotspot 4.x

New postby dsi.plateforme » Thu Nov 26, 2015 9:45 am

Un autre idée ? piste ? conseil ?
dsi.plateforme
 
Posts: 6
Joined: Thu Nov 19, 2015 10:03 am
Artica servers number: 6
Linux System: Debian
Technical skills: A Geek

Next

Return to Installation

Who is online

Users browsing this forum: No registered users and 1 guest

cron