Authentification serveur radius sur ip virtuelle



  • Bonjour à tous, je post ici pour la première fois puisque je n'ai trouvé aucune aide concernant mon problème.

    Je suis stagiaire dans un lycée et l'une de mes mission consiste à monter un cluster entre deux pfsense.
    L'un des deux pfsense était déjà en fonctionnement et j'ai monté le deuxième.

    Le premier est configuré en master et le second en slave via un lien privatisé SYNC.

    Chaque utilisateur du réseau SIO doit s'authentifier au lancement du navigateur via un serveur radius. Cela fonctionne parfaitement lorsqu’un utilisateur configure sa passerelle et son proxy sur l'adresse LAN physique de l'un des deux pfsense.

    Le problème étant que lorsque un utilisateur modifie sa config IP pour avoir la passerelle et le proxy sur l'ip virtuelle LAN, la fenêtre d'authentification n'apparaît jamais, et n'ont donc pas accès à internet.
    Cette IP répond pourtant bien au ping et est configuré dans le serveur radius.

    Je vous partage un schéma que j'ai fait un peu plus tôt afin de faciliter votre compréhension.

    Le réseau WAN est en 192.168.1.0/29 car il y a derrière ce cluster un parefeu de l'académie sur lequel nous n'avons pas les droit.
    Le réseau LAN est en 172.16.0.0/16
    Le lien SYNC est en 192.168.2.0/30

    N’hésitez pas à me demander plus d'information sur le réseau si nécessaire.

    Merci



  • Il y a juste un "détail" non précisé .. les packages que vous avez installé sur Pfsense ?



  • @Nico31:

    Le problème étant que lorsque un utilisateur modifie sa config IP pour avoir la passerelle et le proxy sur l'ip virtuelle LAN, la fenêtre d'authentification n'apparaît jamais, et n'ont donc pas accès à internet.
    Cette IP répond pourtant bien au ping et est configuré dans le serveur radius.

    Quel serveur radius ? on ne le voit pas sur le schéma, pas plus que le proxy.

    ce qui me surprend un peu également, c'est que l'utilisateur ait besoin de "modifier sa config IP".

    • idéalement, la config de l'utilisateur est gérée par DHCP
    • et son proxy est retrouvé grâce à WPAD, ou des GPO dans un monde purement Windows si ce procédé te convient mieux, mais dans tous les cas pas géré, sauf exception, manuellement.


  • Salut,

    Les utilisateurs modifient effectivement leur config réseau manuellement car c'est un réseau réservé à une promotion de bts informatique qui doit régulièrement modifier sa config selon les tps à réaliser.

    Le serveur radius est sur le réseau 172.16.0.0/16 j'ai oublié de le préciser

    Le proxy est installé sur les deux pfsense du cluster avec squid

    Les packages installés sont : AutoConfigBackup, Cron, Lightsquid, squid, squidGuard, sudo



  • Dans mes souvenirs, il y a eu sur le forum US une discussionconcernant la prise en charge de Squid sur un cluster. La conclusion est que le cluster fonctionne directement pour Pfsense mais que pour les packages c'est beaucoup plus aléatoire et nécessite des interventions manuelles en dehors de l'interface.



  • Bonjour,

    De quel genre d'intervention faites vous allusion ?

    En recherchant sur le forum US je suis tombé sur cette personne qui a l'air d'avoir un problème presque identique au mien : https://forum.pfsense.org/index.php?topic=60094.msg323242#msg323242

    On lui conseille d'installer le package HAproxy. Pensez-vous que l'authentification à radius sur l'ip virtuelle s’effectuera grâce à ce package ? Si ce package prend en charge la clusterisation dois-je supprimer ma config cluster actuelle ? (CARP, High Avail Sync, ect… )



  • Je ne vois pas bien le rapport entre HAproxy et ton besoin de cluster pfSense.

    Le point de ccnet est que CARP et la synchro entre les pfSense fonctionne bien pour ce qui est nativement pfSense mais pas nécessairement pour les packages.

    Ceci étant, je pense que tu mélanges un peut différents aspects:

    • CARP (et la synchro entre les pfSense) va gérer le fait qu'il y a une IP virtuelle qui est "attachée" au noeud actif du cluster, ce qui permet aux clients de s'adresser toujours à la même IP (virtuelle) de manière transparente.
    • bien sûr il faut une IP virtuelle coté WAN également pour que es paquets reviennent bien par la bonne route  ;)

    Tu devrais déjà tester cette fonctionnalité sans proxy, juste pour t'assurer qu'au niveau réseau, tout fonctionne bien.

    Ensuite, si le proxy sur pfSense ne fonctionne pas dans ces conditions (mais à part des histoires de synchro de config, je ne vois pas ce qui l'empêcherait de fonctionner) alors tu peux faire un test avec un proxy standalone sur ton LAN.

    Tu as bien noté que je ne fais pas allusion à Radius qui est un service sur ton LAN donc pas impacté par cette partie du design (sauf bien sûr si ton serveur DHCP sur pfSense, par exemple, décrit une gateway par défaut qui n'est pas l'IP virtuelle, ou un truc de ce genre) ou encore que ce serveur Radius ai une config en dur avec l'IP d'un seul des pfSense, ce qui revient au même..



  • Merci pour ces réponses,

    J'ai testé le basculement en débranchant le pfsense principal du réseau, et cela s'effectue sans problème. De même avec la config parefeu (Les règles s'ajoute sur les deux parefeu)

    Effectivement, la config squid ne se synchronise pas comme les paramètres natifs pfsense. Du coup j'ai vu qu'il y a un onglet sync spécial à squid (Oui, j'aurais pu le remarquer avant… :/

    La config squid pas exactement identique sur les deux pfsense pourrait causer ce problème d’authentification sur l'ip virtuelle ?

    Du coup j'ai voulu configurer la synchro et ça me met ces erreurs : La première est en utilisant le protocole http et le second est en utilisant le protocole https.

    An error code was received while attempting XMLRPC sync with http://172.16.0.7:3128 - Code 5: Didn't receive 200 OK from remote server. (HTTP/1.1 400 Bad Request) @ 2017-03-16 09:55:03

    A communication error occurred while attempting XMLRPC sync with https://172.16.0.7:3128 (pfsense.exec_php). @ 2017-03-16 10:01:00

    edit : Sur le lien Sync ça ne me met pas d'erreur mais la synchro ne s'effectue quand même pas


Log in to reply