Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    как с localhost попасть в IPSEC туннель?

    Scheduled Pinned Locked Moved Russian
    18 Posts 2 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      http://forum.pfsense.org/index.php?topic=56206.0

      I had the same issue but I solved it and thought to share it with you guys. I would like just first to explain why this error persists!

      When using special characters in passwords which authenticates to the Active Directory in order to retrieve the users unit, These passwords get transmitted html-encodedly.

      So for example the password: abc1" becomes abc1&qout; which obviously leads to a failure.

      It seems that this bug could be fixed by adding this code to the Active directory plugin " html_decode_entities($password)" according to similar issue I noticed in another forum, just to be honest I'm not good at all with HTML/PHP coding.

      so in order to solve your problem, create a user on AD e.g. (Pfsense) and the password is plain simple e.g. (pfsense) no numbers of special characters involved.

      test it by clicking Select next to Authentication containers.

      И

      The quoting there has other issues actually. If a user has international characters it needs a call to utf8_encode/utf8_decode in various places as well. I'm not sure why it's run through html encoded there, it probably shouldn't be done at that stage, only if the text needs transmitted back to the user in the GUI somewhere.

      1 Reply Last reply Reply Quote 0
      • W
        warpil
        last edited by

        Я видел, не актуально. Включена анонимная аутентикация, в контекст ЛДАП можно попасть с пустым юзернейм/пароль.

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Ну так выключите анонимную аутентикацию на LDAP , создайте пользователя pfsense с паролем 123 и проверяйте. В чем проблема-то?

          1 Reply Last reply Reply Quote 0
          • W
            warpil
            last edited by

            В том, что пфсенс даже не доходит до самого каталога лдапа, причем тут пользователь?
            И я пробовал и с пользователем - с абсолютно тем же результатом.

            1 Reply Last reply Reply Quote 0
            • W
              warpil
              last edited by

              ldap_bind_s
              ldap_simple_bind_s
              ldap_sasl_bind_s
              ldap_sasl_bind
              ldap_send_initial_request
              ldap_new_connection 1 1 0
              ldap_int_open_connection
              ldap_connect_to_host: TCP 10.20.0.100:389
              ldap_new_socket: 15
              ldap_prepare_socket: 15
              ldap_connect_to_host: Trying 10.20.0.100:389
              ldap_pvt_connect: fd: 15 tm: -1 async: 0
              attempting to connect:
              connect errno: 65
              ldap_close_socket: 15
              ldap_err2string

              Поставил дебаг патч LDAP …

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                LDAP-сервер  - это Вин-машина? Если это Вин - то можно и UDP 389-ый порт использовать - http://msdn.microsoft.com/en-us/library/cc717362.aspx

                1 Reply Last reply Reply Quote 0
                • W
                  warpil
                  last edited by

                  Да, ЛДАП на виндах.
                  В пфсенс у меня нет UDP - только TCP / SSL .. Да и смысл ? Оно по тцп не работает :(

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Тогда в англоветке спросите. Возможно там помогут.

                    P.s. Если найдется решение - выложите его здесь , пож-та. Пригодится многим.

                    P.p.s. В настройках Protocol version менять пробовали? А в Authentication containers полный путь указывать где искать учетку?

                    1 Reply Last reply Reply Quote 0
                    • W
                      warpil
                      last edited by

                      Пробовал, без толку :(

                      Я думаю что какая-то засада именно с попаданием пфсенс лдап утилиты в айписек тоннель.
                      Возможно надо какой-то рул в нате ручками написать, я писал - но эффекта не возымело - вероятно я его не так делал.
                      В ветку английскую написал, в дженерал … пока тишина.
                      Пойду еще в ирц спрошу

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Отключите IPSec. Пробуйте OpenVPN.

                        1 Reply Last reply Reply Quote 0
                        • W
                          warpil
                          last edited by

                          Не могу, на другой стороне перед LAN2 стоит Cicso ASA .. =)

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            У Циски нет проброса портов?!

                            1 Reply Last reply Reply Quote 0
                            • W
                              warpil
                              last edited by

                              Да даже если есть - в ЛАН2 у меня некому принимать впн… + LAN2 - Это колокейшн, там не совсем мои правила работают :(

                              1 Reply Last reply Reply Quote 0
                              • W
                                warpil
                                last edited by

                                Походу, так никто и не в курсе :(

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  У вас в ЛАН2 - Вин-сервер , не так ли? Вы им рулите?

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.