URGENT : Problème radius avec portail captif



  • Bonjour,

    Je travaille sur la mise en place d'un portail captif sous pfsense couplé à un serveur Radius.
    Le problème est que l'authentification ne veut pas passer par le serveur Radius. Quand j'utilise l'authentification locale du portail captif cela fonctionne.

    D'où pourrai venir ce problème ? DNS, configuration TCP/IP ?

    En attente de vous lire,
    Merci d'avance.



  • Bonjour,

    Le problème pourrais venir de beaucoup d'endroit ^^. Ils nous manque je pense un peut d'information

    Sur quoi est installé ton Serveur radius ? (Windows 2003, 2008…)
    Peut tu joindre ton serveur depuis pfsense?
    A tu essayer une analyse de trame sur ton serveur radius pour voir si la demande arrive bien ??
    A tu bien rentrer tout les information du serveur radius (IP, shared secret…) dans pfsense

    Commence par faire quelques testes et donne nous les retour.

    ps : a tu regarder sur le forum il y a une très bon Tuto avec dedans une explication sur le portail captif avec authentification radius sur un Windows serveur.



  • J'ai suivi le tuto à dispo sur le site pfSense. La config au niveau du serveur radius ainsi que du portail captil est à mon avis correct.

    Quand je fais un ping depuis pfSense via mon serveurs les paquets sont envoyés mais je n'en reçoit aucun !
    Ci-dessous mon schéma réseau:



  • Bonjour
    Quel est le plan d'adressage IP sur la patte WAN de PfSense ?
    Les ping sont-il bien envoyés depuis l'interface WAN (pour ne pas passer via les règles du firewall) ?



  • Quand je fais un ping depuis pfSense via mon serveurs les paquets sont envoyés mais je n'en reçoit aucun !

    Que veux-tu dire exactement ? Tu fais un ping dans pfsense vers ton serveur radius ? Et pfsense te dit que les paquets on était recu ; mais quand tu fais une analyse de trames  sous le serveur radius tu ne recoit rien ?

    J’ai déjà fait une configuration semblable (mais pas avec une pfsense) donc peut être que mon idée n’est pas du tout la bonne mais pfsense n’est il pas configurer pour que le serveur radius soit sur la pate LAN ? Cela marcherais peut être mieux , enfin c’est une idée  ;D.

    Sinon comme dit fremois donne nous plus d'information si possible sur les IP du erseau relier a la pâte WAN.



  • @bensss:

    J’ai déjà fait une configuration semblable (mais pas avec une pfsense) donc peut être que mon idée n’est pas du tout la bonne mais pfsense n’est il pas configurer pour que le serveur radius soit sur la pate LAN ? Cela marcherais peut être mieux , enfin c’est une idée  ;D.

    Le serveur Radius sur la patte LAN semble plus logique mais ce n'est pas une obligation et, dans les tutos il est placé coté WAN. Mais cela ne devrait pas empêcher un ping lancé sur l'interface WAN de passer. Dans le cas contraire, le problème n'est pas coté PfSense.



  • Voici la configuration IP de chacune des machines :

    Serveur 2003 :

    • Adresse IP : 192.168.1.19

    • Masque : 255.255.255.0

    • Passerelle par défaut : 192.168.1.1

    • Serveur DNS préféré : 192.168.1.1

    PfSense :

    Côté WAN

    • Adresse IP : 192.168.1.18

    • Passerelle : 192.168.1.1

    Côté WAN pfSense est relié à un switch. Sur ce même switch est relié mon AD ainsi qu'une livebox en 192.168.1.1

    Côté LAN

    • Adresse IP : 163.150.10.1

    • Masque : 255.255.255.0

    Serveur DNS de pfSense : 192.168.1.19



  • Niveau IP tout semble bon

    Que ce passe t’il exactement quand t’on client rentre ses identifiant dans le portail captif ?

    Retourne nous les résultats des testes suivant pour que nous puissions voir exactement ou sa bloque :

    • depuis pfsense fait un ping depuis l’interface WAN a ton Windows serveur
    • tente aussi un ping de ton serveur Windows vers pfsense
      -Lance une analyse de trames sous ton serveur Windows et essayer de te conneter avec ton compte radius via ton portail captif, voit tu des trames radius arriver ?


  • Question:

    • quelle est la raison pour que le Serveur Radius ce trouve dans cette zone?
    • je suppose que votre serveur est équipé d'un anti-virus/pare-feu, si oui laisse t'il bien l'accès au réseau 163.150.10.0/24

    Côté LAN

    * Adresse IP : 163.150.10.1
       * Masque : 255.255.255.0

    Serveur DNS de pfSense : 192.168.1.19

    -Pourquoi ce ne sont pas les DNS de pfSense?



    • je suppose que votre serveur est équipé d'un anti-virus/pare-feu, si oui laisse t'il bien l'accès au réseau 163.150.10.0/24

    Comment vérifier cela ?

    Aucune trame ne parvient à mon serveur 2003.
    La page d'authentification n'apparait même pas côté LAN



  • S’il vous plait détaillé nous mieux vos problèmes, essayer de répondre a nos question (comme celle de Titofe qui est intéressante) et surtout essayer de faire les testes que l’on vous demande sinon nous n’y arriverons pas.

    Aucune trame ne parvient à mon serveur 2003.

    De qu’elle trame parlez vous, radius ? Ou les ping ?

    Avait vous fait les testes ping que je vous ai demandé ? Si oui que donne t’il ?

    La page d'authentification n'apparaît même pas côté LAN

    Vous voulez dire la page d’authentification du portail captif qui apparaît dans le navigateur de votre client ?
    Mais au début vous avez dit que :

    Quand j'utilise l'authentification locale du portail captif cela fonctionne.

    Donc au début vous aviez bien la page d’authentification ?

    Avez-vous bien configuré votre pc mobil avec une IP compatible avec le LAN de pfsense (DHCP de préférence) et Pfsense comme passerelle et DNS ??
    Vérifier que le navigateur de votre client n’a pas de Proxy dans ça configuration car cela peut empêcher l’affichage de la page du portail captif.

    Vérifier bien ces paramètres, fait les testes et retourner nous tous ça de façon bien détaillé pour que nous puissions vous aidez.



  • J'effectue une capture de trame sur mon pc serveur 2003. Je n'obtiens rien venant de mon pfsense. Et je ne peux pinger mon pfsense depuis mon serveur 2003.

    J'ai mis le serveur côté WAN comme indiqué dans le tuto pfsense sur le portail captif.

    Mon pc mobile est bien configuré.



  • @flo2929:

    J'effectue une capture de trame sur mon pc serveur 2003. Je n'obtiens rien venant de mon pfsense.

    Le ping est-il bien lancé sur l'interface WAN de PfSense (choix "Interface" dans Diagnostic:ping)
    Essayer aussi de faire un ping sur la box (192.168.1.1)
    @flo2929:

    Et je ne peux pinger mon pfsense depuis mon serveur 2003.

    Normal si la configuration des règles de PfSense est restée par défaut = tout trafic entrant initié sur le WAN est "dropé".



  • J'ai mis le serveur côté WAN comme indiqué dans le tuto pfsense sur le portail captif.

    Je ne connais pas le tuto que vous avez suivi et suis très étonner qu'il vous conseille de mettre le Serveur Radius à cette endroit, donc si vous avez aucune raison de le mettre là, je vous invite à le passez sur le LAN.

    Mon pc mobile est bien configuré.

    Je suis content pour vous …, si vous ne nous donnez pas plus d'info, vous êtes pas prêt d'avancer ...



  • C'est la première fois que je fais une telle chose et pfSense je n'y connais pas grand chose ! Désolé pour le manque d'informations.
    Je vais donc passer le serveur côté LAN. Dois-je rajouter une carte réseau à pfSense pour le serveur 2003 ou est-ce que je dois juste mettre un switch côté LAN avec la borne wifi pour les pc clients et le serveur 2003 ?

    Avez-vous des tutos propre à vous avec le serveur radius côté LAN ?

    Merci par avance



  • Avez-vous des tutos propre à vous avec le serveur radius côté LAN ?

    Non, je n'utilise pas cette configuration.

    Mettez à plat votre projet, redéfinissais vos besoins.

    A quoi ressemble votre réseau sans le portail captif?

    Suivre un tuto c'est bien, mais il ne faut pas oubliez de l'adapter à ses besoins …



  • Normalement pour vous la configuration ne change pas entre mettre le radius sur le WAN ou sur le LAN faite juste bien attention en changent les ip. La vrai differrence sera pour les regles par defaut de pfsense.

    Je suis d'accord avec titofe redefinissez peut etre mieux vos besoins dans votre infrastructure.
    Et donné nous plus d'informations comme par exemple pour votre pc mobil, peut etre pensez vous l'avoir bien reglé, mais en faite pas du tout.

    Est il en DHCP ? quelle est sont IP, Netmask, GateWay, dns … ??



  • Le pc portable est en dhcp et ses paramètres tcp/ip sont reçus par le serveur dhcp.



  • Le pc portable est en dhcp et ses paramètres tcp/ip sont reçus par le serveur dhcp.

    décidément que d'information….

    Bon je comprend que nous n'avons pas tous un superbe niveau informatique ( moi le premier ;D)

    Mais honnêtement fait un effort sinon on ne va jamais y arriver.

    Ok il est en DHCP mais ou ce situe ce serveur DHCP sur pfsense ? ou un autre serveur sur le réseau ?

    Donne nous la configuration suivante que ton client reçoit du serveur DHCP :

    IP
    Netmask
    Gateway
    DNS



  • C'est bon tout fonctionne j'ai mis le serveur 2003 côté LAN.
    Merci pour votre aide quand même !


Log in to reply