Portail captif avec serveur Radius externe.



  • Bonjour à tous, jespère qu'une personne de bonne âme pourra apporter une réponse à mon problème.
    J'ai configurer mon Pfsense avec 3 interfaces:
    LAN: 192.168.1.2
    Wan: 192.168.3.62
    OPT1: 192.168.0.1

    Mon serveur Radius et sur la branche OPT1 il a pour adresse 192.168.0.1, il fait serveur DNS, Radius et AD.
    lorsqu'un poste sur le lan veut aller sur une page web il tombe bien sur la page d'authentification. En faisant des captures de trame au niveau du serveur Radius je vois bien 3 trames "Radius request" mais rien d'autre, le poste qui a demandé l'accès au web fini par tombé sur la page d'erreur de mot de passe.




  • Dans ton AD tu as bien précisé le droit aux connexion entrantes sur l'utilisateur?

    Tu as suivis le tuto sur le site ? Tu devrais si ce n'est pas le cas…..



  • Oui j'ai suivi le tuto du site. J'ai dans mon AD crée un groupe "pfsenseauth" avec un utilisateur dedans. Sur radius j'ai rajouté ce groupe.
    sa fait déja 3 semaines que je torune en rond avec ce problème, je ne sais vraiment pas pourquoi sa ne marche pas.



  • hum, vraiment bizard moi je n ai aucun soucis, par contre chez moi l'appartenanceau groupe n' a aucune incidence. Seul la case a cocher pour autoriser les connexion entrantes a de l'effet.



  • Par contre mon radius est sur une machine virtuel (vmware server), cela peut être un soucis????
    as tu un autre tutorial que celui qui se trouve sur le forum??



  • Salut,

    L'interface OPT1 signifie DMZ ? si oui, c'est p'être un problème de communication entre ton LAN et OPT1, car si je prend l'exemple sur IPCOP, par défaut la DMZ ne peut pas atteindre le LAN, mais par contre le LAN peut atteindre la DMZ.



  • Non OPT1 ne signifie pas DMZ.
    Hier j'ai installé win serveur 2003 sur une station fixe au lieu d'une machine virtuel mais le problème reste le même. Je vois toujours trois requête "radius request" qui arrive sur mon serveur radius mais rien. Mon client tombe toujours sur la page "erreur d'authentification".
    Je ne vois pas se que j'ai pu loupé, dans la logique tout semble être correct.
    J'essaie de faire sa pour mon projet au bts, mais je bloque sur ce problème.



  • @triton:

    Pfsense avec 3 interfaces:
    LAN: 192.168.1.2
    Wan: 192.168.3.62
    OPT1: 192.168.0.1

    Mon serveur Radius et sur la branche OPT1 il a pour adresse 192.168.0.1, il fait serveur DNS, Radius et AD.

    Ton AD a une autre adresse IP je suppose car  la 0.1 est celle OPT1 Pfsense…

    Ensuite tu recois 3 fois une demande de connection access-request du client. Cela veut dire que le client va emettre 3 tentatives de connexion sans avoir à chaque fois une réponse access-accept =>raison tu as quelque chose qui bloque la réponse en sortie sur ton AD - radius. Ca peut etre un firewall actif sur la carte réseau concernée de l'AD par exemple...
    Je dis cela car ton analyse de trame effectuée sur l'AD meme montre bien que rien ne sort..donc rien à voir avec Pfsense... en tout cas pas pour le moment  ::)

    Autre possibilité un radius mal configuré, rien à voir avec machine virtuelle ou non, c'est plutot de l'ordre de la config... Si jamais faut reprendre ce qu'il y a dans le tuto, pas besoin de plus pour que ca fonctionne...

    Tiens nous au courant et si jamais postes ton analyse de trames pour confirmer ou infirmer  :)



  • Oui mon Ad est sur l'adresse 192.168.0.2 la même que le serveur radius.
    J'ai regadé voir si il y avait un pare-feu qui pouvait bloqué mais rien.
    Peut être un problème de config alors. Il y a t-il un ordre pour installer le DNS, RADIUS et l'AD????
    J'ai aussi fait des test hier, j'ai enlever le secret partager et la en faisant une capture de trame j'avais "Radius accept-request" puis "refused" Donc je pense que c mon Ad qui ne fait pas son boulot vu qu'il ne reconnait pas mon utilisateur.
    Ou alors mon Radius mais d'après le tuto je pense l'avoir bien configuré.
    Alors voila je reste dans le mystère.



  • Tout d'abord!
    @triton:

    Il y a t-il un ordre pour installer le DNS, RADIUS et l'AD????

    il n'y a pas vraiment d'ordre AD-DNS, par contre installes les services IAS une fois AD-DNS bouclé

    J'ai aussi fait des test hier, j'ai enlever le secret partager et la en faisant une capture de trame j'avais "Radius accept-request" puis "refused"

    as tu eu un jour un accept-accept? car c'est avec cette réponse que tu vois bien si ton radius répond. Si tu ne l'as pas essaies un netstat -a et regardes si tu as bien le port 1812 en ecoute ?..si oui ton radius est en attente de connexion

    Donc je pense que c mon Ad qui ne fait pas son boulot vu qu'il ne reconnait pas mon utilisateur.

    Essaies de connecter un utilisateur sans utiliser radius, via un PC test en filaire. Tu seras sur du bon fonctionnement de ton annuaire

    Ou alors mon Radius mais d'après le tuto je pense l'avoir bien configuré.

    Je pense que tu dois commencer a balayer cette piste triton, ca parait la plus plausible pour le moment

    Alors voila je reste dans le mystère.

    Et nous aussi tant que tu ne posteras pas ta capture de trames  ;)

    ++
    Lylian



  • Bon voila j'avance un peu, peut être je m'approche de la lumière, bien sur grâce au bonne parole de ce forum. Maintenant j'ai réinstaller mon windows server 2003 j'ai tout bien configurer, jai vérifié mon AD et sa marche bien, dns OK.
    Problème radius : - Marche pas quand il y a le secret partagé
                            - Marche sans secret partagé PK????? voila la question du jour.



  • AS tu bien rajouter le secret partagé
    ET dans PfSense via "Services/captive Portal" ET dans ton IAS via "ajouter un client RAdius"
    Ce secret partagé est-il le même partout?=> il faut bien sur que oui

    Ta regle crée dans IAS / stratégie d'accès distant est-elle en rang numero 1 ? (dans mon tuto elle s'appelle "AuthRadiusPfSense") car ces règles sont lues tour à tour un peu comme les IPtables….si mes souvenirs sont exact  :-\

    Tiens nous au courant....  :)



  • Oui j'ai bien rajouté le secret partagé sur pfsense et sur le serveur Radius.
    Il est bien le mm de partout.
    ma règle est bien numéro 1

    Je ne sais pas pourquoi maintenant c sa qui ne veut pas, les machines doivent être contre moi.

    Je vous tiens au courant de mon avancé, je vais tout refaire d'ici peu.



  • salut!

    Tu peux nous poster la Capture de trame avec et sans le secret partagé si tu peux STP :) ?

    On va bien voir de quoi ca vient…



  • J'ai le même probléme que toi,

    donne nous un ipconfig /all de chacune de tes interfaces en nous précisant bien à qui cela appartient.



  • En regardant de nouveau ton schema je repenses à un truc….. au niveau de ta resolution de nom...tu as bien un serveur DNS sur le 2K3 et celui-ci contient un enregistrement valable (A) pour la machine pfsense ?



  • J'essaie de vous fournir tout sa ds la semaine (capture de trame et la config de mes interfaces.)



  • Alors voila j'ai fait deux captures de trame avec le secret partager (quand sa marche pas) et une autre sans (ou sa marche).
    Pour ma résolution de nom, j'ai un serveur DNS dans mon serveur 2003 par contre que veux tu dire par "enregistrement valable (A) pour la machine pfsense ?" J'ai crée un hôte pfsense comme sur le tuto.






  • Salut!

    C'est bien ce que je pensais ca vient de ton AD

    Entre parentheses la prochaine fois Triton respecte ton plan d'adressage du schéma en début de Topic :-
    ici Pfsense OPT1= 192.168.0.10 et AD= 192.168.0.1

    En fait tu n'as même pas d'Access-Reject, c'est à dire que ton paquet UDP Access-request arrive bien sur le Radius, après "…" en moulinette..et tu n'as même pas de réponse négative ou positive.
    Si tu avais mal configuré le secret partagé tu aurais eu un access-reject par exemple.. La rien ne sort..
    En essayant de mettre un secret partagé qui soit pas le même dans Pfsense par exemple, sans toucher à celui de l'AD, la tu as une réponse ?
    Problème assez sournois je dirais..... ???



  • oui mais j'ai oublié de dire que j'ai un peut changer mon schéma, la j'ai essayé avec 2 interfaces seulement, lan et wan en me disant que si sa marche comme sa il y aura pas trop de problème avec l'interface en plus opt1.
    qu'est ce qu'il pourrait cloché dans mon AD???
    J'ai vraiment pas de chance POURQUOIIII????




  • Quelques questions….
    Tu utilises la derniere release de Pfsense ?

    T'as fais le test donné plus haut avec en même temps capture de trame pour voir si un Accept-Reject apparait?..ca m'etonnerais fort que la réponse négative apparaisse mais on sait jamais...

    Moi je pense toujours à un FW qui bloque en sortie ou alors je sais par exemple qu'un client IPSEC (comme Netgear xxx) bloque parfois le traffic d'authentification etc...

    T'as vraiment un AD s2003 sans "fioritures"? Si apres réinstallation ca fonctionne toujours pareil c'est étonnant...



  • Je pense bien avoir la dernière version de pfsense enfin je l'ai retélécharger sur le site il y a moins d'une semaine.
    Sinon mon point d'accès et un linksys mais il me semble que j'ai désactivé le firewall.
    Je vais refaire des test ds la semaine.
    Il ne me semble pas avoir vu de accept-reject mais je vais confirmer.



  • Si problême Firewall ou autres il doit y avoir, c'est bien sur l'AD puisque à priori rien ne sort en reponse radius secret…



  • J'ai une autre question sur le radius on utilise qu'elle cryptage le PAP ou le CHAP???
    Le PAP n'est pas sécurisé non???
    je voulais savoir un peu le mécanisme de l'authentification.
    Comment mon message est crypté dans la capture de trame alors que le pap n'est pas sécurisé??
    Ou alors est ce que c'est le CHAP qui est tjs actif?? et comment il marche???



  • je repose ma question.
    Sur le tuto il est dit au moment de la configuration du radius de choisir l'authenrification PAP, CHAP. Je voulais savoir si ce n'était pas une erreur?
    Est-ce seulement PAP, SPAP??? Ou bien PAP et aussi le CHAP???
    merki



  • Salut !

    Désolé du retard j'ai du m'absenter pendant un bon moment….

    Au niveau de l'authentification il est vrai que nous avons mis "non cryptée PAP SPAP" et lorsque tu regardes la capture de trame en dessous tu vois "Encrypted" pour le password, c'est à cause du SPAP ( Shiva PAP).

    PAP (Password Authentification Protocol) lui transmet le mot de passe en clair sur le réseau...

    Maintenant tu peux (je pense) utiliser le protocole CHAP pour tester ca fonctionnait aussi je crois pour nous....

    Pour répondre simplement à ta question, Oui tu peux utiliser soit PAP, CHAP, SPAP avec PfSense...

    Pour savoir comment ca fontionne le CHAP , google regorge de tutos et autres présentations comme ici http://www.leskiosques.com/V3/solutions/trafic/faq.php4

    Toujours le même problème de configuration pour toi ?



  • Oui toujours le même problème de configuration. J'ai encore tout refait. Pfsense a deux interface:

    • L'une WAN avec dessus le serveur radius en 192.168.0.5, la freebox en 192.168.0.254 et pfsense en 192.168.0.6
    • L'autre Lan avec comme adresse 192.168.1.2. Il y a aussi mon point d'accès en 192.168.1.1 et mon poste client 192.168.1.10
      Tout marche bien quand le secret partagé n'est plus cochez, une fois mit j'ai trois requête Radius-Request et après aurevoir.

    Je ne vois vraiment pas d'ou vient le problème  :'(

    Je viens d'essayé de mettre en CHAP mais sa ne marche pas. c'est dingue sa, j'ai pas de bole…


Log in to reply