Captive Portal + Radius Server 2012 com rede distinta

TreeDark

Boa Tarde,

Estou com uma dúvida em relação ao Captive Portal,

Minha rede está assim:

Wan - 192.168.0.1
LAN - 172.16.0.1/16 Radius, AD, DNS, DHCP - Todos em servidores Server 2012 R2
LAN2 - 192.168.10.1 DHCP - Pfsense

Gostaria de ativar o captive portal somente para a LAN2 (192.168.10.0) porém meu Radius e AD Estão na LAN (172.16.0.0)
Eu consegui fazer com que o captive funcione normalmente sem o RADIUS porém quando tento colocar ele para rodar não dá certo.
Coloquei em Allow o ip dos Server eles pingam mais não autentica os usuários.
De vez em quando da erro de usuário não encontrado e de vez em quando erro que o radius não foi encontrado.

Os ips são
Radius 172.16.0.9
DNS e AD - 172.16.0.5

Alguém poderia me dar uma ajuda para ver onde estou errando Obrigado!!

marcelloc

os logs do pfsense apontam algum erro para ajudar no diagnostico?

Já tentou monitorar via tcpdump para ver se os dois estão se comunicando?

TreeDark

Bom dia Marceloc, Obrigado pelo retorno

Capturei via tcpdump:

| 09:34:53.777501 IP 192.168.10.1 > 172.16.0.9: ICMP echo request, id 40571, seq 8, length 64
09:34:53.778685 IP 172.16.0.9 > 192.168.10.1: ICMP echo reply, id 40571, seq 8, length 64
09:34:54.456381 IP 192.168.10.1 > 172.16.0.9: ICMP echo request, id 40571, seq 9, length 64
09:34:54.459537 IP 172.16.0.9 > 192.168.10.1: ICMP echo reply, id 40571, seq 9, length 64
|

e

| 09:35:22.459577 IP 192.168.10.10.53949 > 172.16.0.9.80: Flags [.], ack 1, win 8235, options [nop,nop,TS val 634622022 ecr 145889087], length 0
09:35:22.480665 IP 192.168.10.10.53949 > 172.16.0.9.80: Flags [P.], ack 1, win 8235, options [nop,nop,TS val 634622041 ecr 145889087], length 403
|

e

| 10:20:45.691217 IP 172.16.0.9 > 224.0.0.252: igmp v2 report 224.0.0.252
10:21:04.083027 IP 172.16.0.9.137 > 172.16.255.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
10:21:04.083099 IP 172.16.0.9.51901 > 224.0.0.252.5355: UDP, length 24
10:21:04.494297 IP 172.16.0.9.51901 > 224.0.0.252.5355: UDP, length 24
10:21:04.838301 IP 172.16.0.9.137 > 172.16.255.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
10:21:05.603792 IP 172.16.0.9.137 > 172.16.255.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
10:21:28.721408 IP 172.16.0.1.50683 > 172.16.0.9.1812: RADIUS, Access Request (1), id: 0xd4 length: 178
10:21:28.981810 IP 172.16.0.9.1812 > 172.16.0.1.50683: RADIUS, Access Reject (3), id: 0xd4 length: 42
10:21:32.217666 IP 172.16.0.9.55666 > 178.255.155.117.5938: Flags [P.], ack 418502728, win 32478, length 24
10:21:32.548965 IP 178.255.155.117.5938 > 172.16.0.9.55666: Flags [P.], ack 24, win 511, length 24
10:21:32.608206 IP 172.16.0.9.55666 > 178.255.155.117.5938: Flags [.], ack 25, win 32472, length 0
10:21:33.702222 ARP, Request who-has 172.16.0.1 (00:15:5d:01:f6:04) tell 172.16.0.9, length 28
10:21:33.702230 ARP, Reply 172.16.0.1 is-at 00:15:5d:01:f6:04, length 28
|

Tanto o pf se comunica com o Radius como o que está na wireless se comunica porém não tem autenticação.

Desculpe minha Pergunta, quem é o cliente radius nesta situação será o ip 172.16.0.1 ou o 192.168.10.1.
Subi um outro pf em lab e na mesma rede funciona beleza em redes diferentes não consigo fazer a autenticação.

Desde já agradeço a ajuda.

TreeDark

Achei o erro estava na configuração do Usuário do Windows, Estranho que com as mesmas configurações na mesma rede não precisei alterar nada só em redes distintas tive que alterar o valor do usuário nas propriedades de discagem que estava antes em:
"Controlar o Acesso por meio da Política de Rede do NPS" para
"Permitir Acesso"

Só estou vendo como fazer com que ele logue agora com as politicas de rede NPS porque quando está na mesma rede ele não dá esse erro.

marcelloc

10:21:28.721408 IP 172.16.0.1.50683 > 172.16.0.9.1812: RADIUS, Access Request (1), id: 0xd4 length: 178
10:21:28.981810 IP 172.16.0.9.1812 > 172.16.0.1.50683: RADIUS, Access Reject (3), id: 0xd4 length: 42

Isso. O tcpdump apontou que o erro estava na configuração do servidor já que você sabe que a senha digitada está correta

@TreeDark:

Desculpe minha Pergunta, quem é o cliente radius nesta situação será o ip 172.16.0.1 ou o 192.168.10.1.

IP 172.16.0.1.50683 > 172.16.0.9.1812

TreeDark

Valeu Marceloc!!!!!!

Quria tirar mais uma dúvida quando temos outra interface de rede por padrão elas não se comunicam né.
Eu não sei porque mais quando eu logo na rede (192.168.10.0) ela deixa eu acessar a (172.16.0.0).

Dai fiz uma regra impedindo a 192 falar com a 172. Isso é normal ou tem algo errado nas rules minhas?

lan01.jpg_thumb
lan02.jpg_thumb

marcelloc

@TreeDark:

Eu não sei porque mais quando eu logo na rede (192.168.10.0) ela deixa eu acessar a (172.16.0.0).

Você consegue entender o que esses *s fazem nas suas regras?

Se você cria uma regra permitindo qualquer trafego, significa que você não quer bloquear nada.

TreeDark

Obrigado pelo retorno Marceloc,

To meio sem grana esse mês, mais mês que vem vou fazer uma doação por toda ajuda que tem me prestado teria como me mandar um número de conta para eu fazer o depósito pelo paypal não tenho conta.

Muito Obrigado!!

marcelloc

@TreeDark:

mês que vem vou fazer uma doação por toda ajuda que tem me prestado

Mando sim. Obrigado.