Bonjour,
Je suis sur le point de finir l'installation du portail captif COPSPOT+RADIUS server sur mon interface BLUE.
J'ai suivi les instructions d'Olaf Westrick sur l'installation d'un serveur radius et de copspot sur IPCOP.
http://www.ban-solms.de/t/IPCop-copspot.htm
Resultat:
1. Serveur Radius fonctionne (le logiciel ntradping est utile pour tester le serveur Radius d'un client windows)
2. Copspot fonctionne egalement; le client peut se connecter sur les sites choisis ne necessitant pas d'authentification.
3. (C'est la qu'est l'os) Pour les sites necessitants une connexion authentifiee le client doit etre redirige sur le portail de copspot pour le login et mot de passe. Or ceci ne n'arrive pas; "Network time out"
Pour tester si le portail est ok, je me connecte sur copspot manuellement en http sur le port par defaut 3990, je suis bien redirige automatiquement sur copspot en mode https sur le port 55445 et lorsque je me loggue sur cette page, le serveur Radius m'authentifie normalement et je peux naviguer sur le net comme je veux.
Ma question est la suivante: comment faire pour que mon client soit redirige automatiquement sur la page d'accueil du portail de copspot pour authentification lorsqu'il veut se connecter a internet?
Merci
arret sur COPSPOT
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
arret sur COPSPOT
par tyoan » 12 Jan 2009 18:19
Dernière édition par tyoan le 21 Jan 2009 19:06, édité 2 fois au total.
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
par tyoan » 15 Jan 2009 01:10
Je vois que ca n'inspire personne!
Si je reformule ma question plus clairement peut etre qu'une personne pourra m'eclairer.
Ipcop nat les requetes http port 80 vers le port 800, comme Ipcop nat les infos venant sur port 81 vers le port 445 pour l'acces a son adminstration web, c'est le principe de base.
Dans le meme registre, en theorie copspot redirige les requetes http sur le port 80 vers le portail captif sur le port 3990 par defaut qui lui meme redirige vers le https sur le port 55445 par defaut. De la on rentre le login et la password qui sont analyses par le serveur radius qui nous donne ensuite le droit de "naviguer" sur le web.
Pourquoi, dans mon cas, copspot ne redirige pas les requetes http du port 80 vers le port 3990?
Dans le menu status -> connections, lorsque le pc client est suppose etre natter vers le port 3990 j'ai dans la colonne mark: use=1.
Que dois-je faire?
Merci
Si je reformule ma question plus clairement peut etre qu'une personne pourra m'eclairer.
Ipcop nat les requetes http port 80 vers le port 800, comme Ipcop nat les infos venant sur port 81 vers le port 445 pour l'acces a son adminstration web, c'est le principe de base.
Dans le meme registre, en theorie copspot redirige les requetes http sur le port 80 vers le portail captif sur le port 3990 par defaut qui lui meme redirige vers le https sur le port 55445 par defaut. De la on rentre le login et la password qui sont analyses par le serveur radius qui nous donne ensuite le droit de "naviguer" sur le web.
Pourquoi, dans mon cas, copspot ne redirige pas les requetes http du port 80 vers le port 3990?
Dans le menu status -> connections, lorsque le pc client est suppose etre natter vers le port 3990 j'ai dans la colonne mark: use=1.
Que dois-je faire?
Merci
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
par Franck78 » 15 Jan 2009 22:29
ca deviendrait peut être clair pour toi et/ou les autres si tu employait les bons termes aux bons endroits:
nat: c'est un terme très précis qui décrit une méthode utilisée pour permettre a une IP PRIVEE d'apparaitre sous une IP publique quand une connexion est établie depuis l'espace privé vers l'espcae publique.
transfert de port: est la méthode utilisée par IPCop pour autoriser un client publique à joindre un serveur situé dans l'espace privé.....
un peu le pendant du NAT....
Alors analyse encore ton problème et décrit le bien...!
Bye
nat: c'est un terme très précis qui décrit une méthode utilisée pour permettre a une IP PRIVEE d'apparaitre sous une IP publique quand une connexion est établie depuis l'espace privé vers l'espcae publique.
transfert de port: est la méthode utilisée par IPCop pour autoriser un client publique à joindre un serveur situé dans l'espace privé.....
un peu le pendant du NAT....
Alors analyse encore ton problème et décrit le bien...!
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par tyoan » 16 Jan 2009 01:12
Je sais qu'utiliser les bons termes en informatique est essentiel pour la comprehension d'un probleme, je suis desole pour la confusion.
Transfert de port etait donc le bon terme a utiliser.
Pour en revenir a mon probleme, je comprends pas pourquoi mes PCs sur BLUE ne voient pas leurs transfert de port s'operer par COPSPOT. Le port 80 devrait etre transferer vers le port 3990.
Avez vous une idee de comment resoudre cette question?
Lorsque je consulte l'etat des connections, la connection est closed et la colonne mark est a use=1.
J'aimerais etre plus clair...
Transfert de port etait donc le bon terme a utiliser.
Pour en revenir a mon probleme, je comprends pas pourquoi mes PCs sur BLUE ne voient pas leurs transfert de port s'operer par COPSPOT. Le port 80 devrait etre transferer vers le port 3990.
Avez vous une idee de comment resoudre cette question?
Lorsque je consulte l'etat des connections, la connection est closed et la colonne mark est a use=1.
J'aimerais etre plus clair...
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
par Franck78 » 17 Jan 2009 17:01
Pour en revenir a mon probleme, je comprends pas pourquoi mes PCs sur BLUE
Doit-on comprendre que ca marche bien pour des PC situés en GREEN?
Si oui, c'est qu'il manque la régle pour le réseau bleu (le DNAT), oui tu n'étais pas loin en utiilsant 'nat'
Sur IPCop:
iptables -n -t nat -L
Si elles semblent y être (probablement DNAT), il faut ensuite que firewall (-t filter) laisse passer entre BLUE et GREEN.
pour vérifier ça il y a tcpdump. Enfin bref, ce problème se résout en cherchant dans IPCop en mode console et en lisant l'installateur de l'addon !
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par tyoan » 19 Jan 2009 14:00
L'addon Copspot gere le dhcp et l'authentification des utilisateurs de mon wireless LAN, pas l'IPCOP de base. Mon wireless LAN est connecté sur l'interface BLUE de mon IPCOP, c'est pour cela que j'ai dit mes PCs sur BLUE.
Je ne crois pas que l'interface GREEN ait un rôle dans ce scénario.
Bref je continue à chercher, je vous tiens au courant.
Je ne crois pas que l'interface GREEN ait un rôle dans ce scénario.
Bref je continue à chercher, je vous tiens au courant.
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
par Franck78 » 20 Jan 2009 10:23
BLUE a été rajoutée pour la soritie de la 1.4
GREEN existe depuis toujours
GREEN est l'interface naturelle pour les clients PC et l'admin de IPCop.
Donc:
C'est plus facile de vérifier que l'install fonctionne entre GREEN et copspot car en est sur à 1000% que ca existe et que c'est testé.
Et ensuite c'est un jeu de piste de vérifier que les modifs apportées suffisent aussi pour BLUE.
Alors le iptables -L pourquoi tu ne publies pas les lignes afferantes à copspot???
GREEN existe depuis toujours
GREEN est l'interface naturelle pour les clients PC et l'admin de IPCop.
Donc:
C'est plus facile de vérifier que l'install fonctionne entre GREEN et copspot car en est sur à 1000% que ca existe et que c'est testé.
Et ensuite c'est un jeu de piste de vérifier que les modifs apportées suffisent aussi pour BLUE.
Alors le iptables -L pourquoi tu ne publies pas les lignes afferantes à copspot???
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par tyoan » 20 Jan 2009 18:09
Chose absolument hallucinante, en regardant les differents fichiers de configurations, j'ai juste redemarre /etc/rc.d/rc.firewall.local start par pur hasard et maintenant copspot redirige convenablement vers la page de login.
Incroyable...
Qu'en pensez-vous?
Incroyable...
Qu'en pensez-vous?
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
Arret sur CopSpot [RESOLU]
par tyoan » 21 Jan 2009 02:37
Frank,
Voici le resultat de iptables regardant copspot.
J'ai rajoute la regle en caractere gras dans /usr/local/sbin/chilli.ipup pour pouvoir utiliser le https, car par defaut comme tu le sais seul le protocole http sur le port 80 est disponible sur copspot.
La ligne a ajouter : $IPT -A COPSPOT_FORWARD -i $1 -o $REAL_RED -s $2/$3 -p tcp --dport 443 -j ACCEPT
Chain COPSPOT_FORWARD (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:http
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:https
Chain COPSPOT_INPUT (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:bv-is
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:55445
ACCEPT udp -- 192.168.5.0/24 anywhere udp dpt:domain
J'ai bien compris que je dois creer les regles que conviennent afin d'ameliorer l'utilisation de copspot comme BOT le fait pour les interfaces GREEN et BLUE.
Voici le resultat de iptables regardant copspot.
J'ai rajoute la regle en caractere gras dans /usr/local/sbin/chilli.ipup pour pouvoir utiliser le https, car par defaut comme tu le sais seul le protocole http sur le port 80 est disponible sur copspot.
La ligne a ajouter : $IPT -A COPSPOT_FORWARD -i $1 -o $REAL_RED -s $2/$3 -p tcp --dport 443 -j ACCEPT
Chain COPSPOT_FORWARD (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:http
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:https
Chain COPSPOT_INPUT (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:bv-is
ACCEPT tcp -- 192.168.5.0/24 anywhere tcp dpt:55445
ACCEPT udp -- 192.168.5.0/24 anywhere udp dpt:domain
J'ai bien compris que je dois creer les regles que conviennent afin d'ameliorer l'utilisation de copspot comme BOT le fait pour les interfaces GREEN et BLUE.
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
par tyoan » 21 Jan 2009 22:30
tyoan a écrit:Chose absolument hallucinante, en regardant les differents fichiers de configurations, j'ai juste redemarre /etc/rc.d/rc.firewall.local start par pur hasard et maintenant copspot redirige convenablement vers la page de login.
Incroyable...
Qu'en pensez-vous?
Ok ok ok, je me disais bien que c'etait trop beau cette histoire! Bilan retour case depart.
Je crois mieux comprendre la source du probleme: la gestion de l'interface entre IPCOP et copspot semble etre le soucis. eth2 est mon interface Blue sur ipcop 192.168.5.0/24 et tun0 mon interface Blue par copspot 192.168.5.0/24. Le fait que j'ai choisi la meme ip reseau pour les deux interfaces etait surement une mauvaise solution.
Je vous fais un topo plus clair du probleme ce soir si je ne suis pas trop creve.
- tyoan
- Second Maître
- Messages: 37
- Inscrit le: 13 Mars 2007 14:45
- Localisation: London
10 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité