Authentication Server (MS RADIUS, MS LDAP AD) - сервер находится в другой сети
-
@mikeroygbiv
Рисуйте схему того, чего хотите (с адресацией).
Скрины правил fw на ВСЕХ интерфейсах покажите. И скрин NAT. -
-
-
-
-
-
@mikeroygbiv
2 последних блокирущих правила, не относятся к вопросу..один блокирует доступ к веб морде ПФсенс, а нижний вобще другой сервис в локалке. -
@werter
NAT на сайте А это всякие сервисы извне, фтп,voip итд - там ни слова про сайт Б и что либо с ним связанноеNAT на сайте B - вообще пустой.
-
@mikeroygbiv
Здр
Что приходит на ум , глядя на все это- есть очень странные правила , которые никогда работать не будут, и счетчики явно на это указывают
Например , правила для протокола ESP на ipsec интерфейсе ( в обоих случаях )
Правила Lan Site B - 2 правило тоже никогда не сработает
Туннель ipsec прекрасно работает в обе стороны , это тоже хорошо видно.
Возникает вопрос- Верно ли настроены параметры MS Radius сервера на PF SiteB ?
- Знает ли MS Radius сервер о клиенте PF Site B ?
Я бы лично , для начала , посмотрел журналы со стороны MS Radius при попытках авторизации. А потом уже делал какие-либо выводы
и запустил бы tcpdump на порту 1812 udp и посмотрел бы на то , что происходит в момент авторизации
- есть очень странные правила , которые никогда работать не будут, и счетчики явно на это указывают
-
- Параметры MS radius на сайте B указаны верно..
- не знал, да, - добавил LAN ip pf2 сайта B в MS Radius на сайте А
- не помогло..
вобщем, буду тестить это:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html -
@mikeroygbiv
Запустите tcpdump и посмотрите , что присходит
если все верно настроено , то должны увидеть вот такое
те должен быть ответ ms radius-а ( или принято или отклонено )
-
@Konstanti
извините за "нубство" но не пойму никак какой интерфейс сканитьперепробовал уже и lan и openvpn и wan ... не вижу нужный траффик
это мне надо делать на pf1 сайт А ?
-
@mikeroygbiv
все зависит от ваших настроек
Покажите настройки сервера аутентификации PF Site B/System/User Manager/ Authentication Servers
-
-
@mikeroygbiv
вот теперь на интерфейсе Lan PF Site A - смотрите пакеты на порту 1812 udp -
это при логине по VPN на сайт А напрямую
при логине по VPN на сайт Б -- тишина -
@mikeroygbiv
а покажите, пож , настройки фазы 2 ipsec PF Site B -
-
@mikeroygbiv
Попробуйте , ради интереса, сделать так
создайте дополнительную фазу 2 на стороне PF Site B
-
на сайте B при логине по VPN такая картина
есть реквесты но никакого ответа
