เรื่อง: Fortigate ไม่ redirect ไปหน้า Captive Portal
 
 2647

My Name: weerawat.ch ออฟไลน์
  • ดูรายละเอียด
10 ก.ค. 19, 12:02:41น.
เข้าเใช้งานอินเตอร์เน็ตไม่ได้  FortiGate ไม่เด้งไปยังหน้า  Captive Portal  ใช้ทุก Browser IE, Chrome, Firefox แก้ยังไงครับ

FortiGate 200E Fw.v6.0.5 build0268 (GA)


My Name: ToR ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 10 ก.ค. 19, 17:14:03น.
ลอง reboot firewall หรือยังครับ

My Name: telthanya ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #2 15 ก.ค. 19, 19:31:36น.
ของผมเคสเดียวกันเลย
ผมว่าจริง ๆ แล้ว อาจจะเป็นที่การ Trust Cert ระหว่าง Firewall (ให้มองว่าเป็น Web Server ตัวหนึ่ง) กับ Web Browser นะ
กรณีที่ใช้ Web Browser ที่เคร่ง ๆ เรื่องการ Trust Cert อย่างเช่น Chrome ก็จะไม่สามารถแสดงหน้า Captive Portal ให้ (แม้กระทั่งกด Advance ไปแล้ว)
ซึ่งตอนนี้ผมติดในกรณีนี้เช่นกัน

สิ่งที่ค้นพบเจอว่ามันติดเกี่ยวกับ https (ไม่แน่ใจว่าอาจจะเป้นที่บางเครื่องด้วย) นั่นก้อคือในหัวข้อ User & Device > Authentication Setting > มีการ Tick Checkbox (Redirect HTTP Challenge to a Secure Channel (HTTPS))
ซึ่งหมายความว่า เวลา Client วิ่งเข้ามา Authen ตัว Firewall ด้วย HTTP จะบังคับให้ Redirect to HTTPS ทันที

วิธีแก้ไขแบบที่ใช้งานได้แน่ ๆ คือ เอา Tick Checkbox อันนั้นออกซะ แล้ว Client จะสามารถใช้ HTTP Captive Portal ได้ (กรณ๊นี้ใช้ได้กับทุก Web Browser)

ส่วนวิธีแก่ไข แบบที่ ยังไงก็ยังยืนยันว่าจะต้องใช้ HTTPS ให้ได้กับทุก Browser คือ
1.(คหสต.) ผมคิดว่าอาจจะมีปัญหาเรื่อง Cert ที่ Fortigate Deploy ไปยัง Client  ซื้อ Cert Wildcard อาจจะหาย
2.เคยเปิดเคสไปถามทาง Fortinet ได้คำตอบมาว่า บางเว็บ เช่น Google ใช้ Protocol HSTS กันแล้ว (บนหัวเว็บจะขึ้น https เหมือนเดิม) ซึ่งบาง Browser ยังไม่ Support ทำให้ Fortigate Trust Cert ไม่ได้ จึงไม่แสดงหน้า Captive Portal อันนี้จะติดแค่ตอนก่อนจะ Authen ถ้าสามารถหาวิธี Authen ผ่านไปได้ ก็ใช้เว็บ HSTS ได้ตามปกติ (แต่ถ้าไม่ได้ tick checkbox ข้างต้น ก็จะใช้ได้งาน Captive Protal ได้ปกตินะ ไม่ได้ติดอะไร)
ซึ่งวิธีแก้ HSTS ที่ว่า Fortinet แนะนำมาว่าให้ Clear HSTS ของแต่ละ Browser ซึ่งผมว่าวิธีนี้แม้ง WTF มากกกก
WTF ตรงที่ การ Clear HSTS จะต้องเคลียร์บน Browser ที่จะใช้ Login แล้วในวิธีการเคลียร์ ต้องกรอก เว็บ ที่จะเคลียร์
ซึ่งสมมติว่า Google กับ youtube ใช้ HSTS ผมต้อง Clear ทั้ง 2 เว็บ นั่นหมายความว่า ถ้า User เปิด Browser
ขึ้นมาแล้วกรอกเป็น Google หรือ youtube ก็จะขึ้นหน้า Captive Portal แล้วถ้าเกิด User กรอกเว็บอื่นที่เป็นที่ HSTS ละ ?
แน่นอนว่ามันก็จะติดเหมือนเดิม คิดว่าน่าจะมองภาพออกนะว่ายุ่งยากอย่างไรในการ Clear HSTS สำหรับ User จำนวนมาก ๆ
(เหมือนเล่นกับสัญชาตญาณของคนที่มันไม่เหมือนกัน บางคนชอบพิม google ตอนแรก บางคนชอบ pantip บางคน youtube) ซึ่งวิธี Clear HSTS นี้ไม่เหมาะมากกกกกกกก

หรือหากท่านใดมีคำแนะนำวิธีการแก้ไขให้สามารถใช้ HTTPS Captive Portal กับทุก Web Browser ได้ด้วยวิธีอื่น
ก็เสนอวิธีทางแก้ที่นอกเหนือจากที่ผมทราบด้วยครับ คือตอนนี้ก็ยังหาวิธีแก้ไม่ได้อยู่ ได้ tick checkbox ที่ว่านั่นออก ให้ user เข้าเปน http ไปก่อน 5555
ขอบคุณครับ

My Name: weerawat.ch ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 19 ก.ค. 19, 11:45:49น.
ขอบคุณครับ เด๋วลองดูครับ