[Résolu] Problème serveur d'authentification GUI



  • Bonjour,

    Contexte: Pro, Étudiant, Nouveau, pfSense 2.4.4-RELEASE-p3 installé sur HYPER-V
    Besoin: changer de mode d'authentification avec le SHELL

    Schéma : Toutes les interfaces possèdent leur propre commutateur réseau virtuel
    WAN: 192.168.15.x/22
    LAN: 192.168.100.x/24
    SYNC: 10.0.10.254/24 FAILOVER

    Problème:
    Par le passé j'avais mis en place l'accès au GUI de pfSense via LDAP (uniquement pour les admin réseaux). Suite au changement de serveur AD, j'ai donc logiquement mis à jour cette configuration qui d'ailleurs d'après la console fonctionne:
    "vpn-1 php-fpm[62090]: /index.php: Successful login for user 'admin' from: 192.168.x.x (Local Database Fallback)". Malheureusement, l'interface graphique mouline très longtemps et me renvoie un "504 Gateway Time-out".

    Suite à cette erreur, j'ai décidé de redémarrer via la console le webConfigurator et PHP-FPM sans succès. Toujours le signe que la connexion est Ok sur la console mais erreur 504 sur mon navigateur. Je n'ai pas pu redémarrer le pfSense car mon secondaire est dans les choux actuellement (il ne récupère pas les tunnels).

    Piste imaginée:
    Passer par le shell afin de changer de serveur d'authentification et le repasser sur Local database. Le problème est que je ne sais pas si c'est possible et si oui comment le faire.

    Cordialement



  • salut salut

    sous hyper-v ? si j'ai bien suivi.

    Coté logiciel
    nous avons eu un soucis avec du 2012 et 2016 suite a des déploiement de mise a jours sur ces serveurs, le temps que ces dites mise a jour se mette en place (dl , installe, ...) certain service étaient actifs mais innéfficiant. post redémarrage cela allait mieux, donc regarder de ce coté l'avant.

    Coté hardware
    Autre chose, avez vous relancé vos vm ou changer de zone de stockage celle ci voir déplacée les vm, il se pourrait que cela viennent de vos support qui lâchent ou on lâché.

    Option possible

    • avoir une sauvegarde des pf et les remettre a plat lui recaler les dites sauvegarde sur les pfneuf.
    • contrôler que le nouvelle ldap n'aurait pas un manque ou un raté dans la conf, teste avec ancien si encore dispo
    • remettre a plat l'ensemble et documenter les actions et déterminer les sources possibles d'erreur ou dysfonctionnement.
    • faire un reset du bug clavier chaise écran par un autre bug identique ne connaissant pas l'architecture actuelle, il aura peut être des mirettes neuve, si l'association des deux bug ne donne rien demander au génie de la lampe qui vous à donné cours ou au baton qui sert de tuteur s'il a une idée du pourquoi cela ratatouille.

    De manière général, passer par de la virtu quand on ne maitrise pas les sources possible de bug lié a la virtu c'est presque sauter en chute libre sans avoir de quoi ralentir la chute et donc se vautrer.
    Avoir au minima si j'ai bien compris votre projet 4 machines (2pf, 1 ldap, 1 client) avec suffisamment de port réseaux par machine ne serait pas du luxe ni un puis sans fond financier, en évitant les chipset réseau exotique que bsd a du mal a supporter par la même occasion. je suis presque sur que le tutueur doit avoir des tracassins dans un coin du bureau qui sont dit hs non pas parce qu'ils ne fonctionne pas mais qu'il ne sont pas utilisable avec les derniers windows (sisi cela arrive) avec deux switch (1wan 1lan) ca fonctionne tout seul et c'est plus pratique pour trouver si c'est les pf ou les ladp qui tournent en rond que de devoir se coller l’hypothèse en plus des serveurs de virtu qui bug.

    la virtu oui si on la maitrise sinon on oublie.



  • Salut Tatave,

    Merci beaucoup pour votre réponse pleine d'idée pour m'aider à régler le souci.

    Du coup, le problème était bien côté logiciel (Windows Server 2016). Après un simple redémarrage du serveur, la connexion fut instantanée. Je vous avouerais que je n'aurai eu l'idée de regarder côté serveur AD à cause du message que la console pfSense me renvoyait.

    Effectivement, la virtualisation de ce type de service n'est pas vraiment optimisée, je vous l'accorde. D'ailleurs bientôt ces deux pfSense disparaîtrons pour laisser place à des pare-feu physique.



  • @Dimix971 said in [Résolu] Problème serveur d'authentification GUI:

    D'ailleurs bientôt ces deux pfSense disparaîtrons pour laisser place à des pare-feu physique.

    Pare-feu physique qui peuvent être aussi Pfsense.



  • salut salut

    merci pour votre retour
    je confirme étant depuis la 2.0 en cluster actif/passif avec pfsense sur deux serveurs physique c'est réalisable.
    ayant au début commencer avec de veux pc recyclés, et ensuite passé sur de vrai machine serveurs réformés d'une entreprise cliente ou j'étais en info gérance.
    le cout etait dans les 50€ unité, bon coté bruit c'est un autre problème au démarrage c'est des avions de chasse qui décollent, mais en ordre de marche, ils sont relativement silencieux.
    Quelques soit le constructeur le problème est le même coté niveau décibel et coté consommation électrique c'est souvent moins élevé qu'un vieux pc avec un pf ou tout autres solutions ou distributions de parefeu.



  • Je ne vois pas la pertinence de créer un cluster de pfSense virtualisés sur un même serveur !

    Au mieux, on visera cela pour une preuve de concept.

    Mais, en production, un firewall doit être physique, alors 2 en cluster, c'est forcément aussi physique ...

    NB : je ne ferais aucune publicité de votre démonstration de virtualisation sous Hyper-V ... Il existe heureusement d'autre hyperviseur bien plus efficace (ESXi ou KVM, par exemple Proxmox)


Log in to reply