Ldap over BGP
-
Привет. После на стройки BGP появилась одна проблема - не могу подключится к DC с ldap на другой стороне. Как показал Packet Capture, запрос идет с локального интерфейса (vti), того что в тунеле на адрес сервера, а не на адрес интерфейса с другой стороны. Если пробовать достучатся с любого девайса перед pfsense, то DC доступен. Если из любых локальных инетерфейсов pfsense (кроме vti) - тоже.
Была идея сменить интерфейс для ldap на другой локальный( так делал на Fortigate), но немогу найти такой функционал. Может кто занает, как решить эту проблему. -
Набросайте схемку (https://app.diagrams.net/)
Вообще pfSense выбирает ближайший интерфейс для подключения к хосту, и, да, в случае с LDAP нет возможности выбрать source interface
Удалённый DC блокирует IP VTI интерфейса?
-
-
@dirty-0 в таком случае понятно - APIPA адреса, используемые в туннеле, невозможно маршрутизировать и они просто дропаются
LDAP просто по TCP или SSL/TLS (636 порт)?
в последнем случае можно попробовать такой костыль -
запустить STunnel (у него можно указывать исходящий IP) на лупбеке pfSense и подключаться уже к нему -
@viktor_g Ldap просто по TCP
-
@dirty-0
А др. адресацию для vti-интерфейсов нельзя пользовать? -
@werter Это AWS сам выдает в мануалах при создании тунелей. Думаю, что можно, но надо ковырять + не факт, что смена адресации поможет
-
@dirty-0 как вариант грязный хак с установкой на pfSense netcat и переадресацией через него (как с STunnel, только без TLS)
-
Тоже самое и с RADIUS аутентификацией - в функциях PHP на данный момент нет возможности указывать исходящий IP.
Багрепорт: https://redmine.pfsense.org/issues/12283
-
@viktor_g Ясно. Спасибо.
