Portail captif avec serveur Radius externe.
-
Bon voila j'avance un peu, peut être je m'approche de la lumière, bien sur grâce au bonne parole de ce forum. Maintenant j'ai réinstaller mon windows server 2003 j'ai tout bien configurer, jai vérifié mon AD et sa marche bien, dns OK.
Problème radius : - Marche pas quand il y a le secret partagé
- Marche sans secret partagé PK????? voila la question du jour. -
AS tu bien rajouter le secret partagé
ET dans PfSense via "Services/captive Portal" ET dans ton IAS via "ajouter un client RAdius"
Ce secret partagé est-il le même partout?=> il faut bien sur que ouiTa regle crée dans IAS / stratégie d'accès distant est-elle en rang numero 1 ? (dans mon tuto elle s'appelle "AuthRadiusPfSense") car ces règles sont lues tour à tour un peu comme les IPtables….si mes souvenirs sont exact :-\
Tiens nous au courant.... :)
-
Oui j'ai bien rajouté le secret partagé sur pfsense et sur le serveur Radius.
Il est bien le mm de partout.
ma règle est bien numéro 1Je ne sais pas pourquoi maintenant c sa qui ne veut pas, les machines doivent être contre moi.
Je vous tiens au courant de mon avancé, je vais tout refaire d'ici peu.
-
salut!
Tu peux nous poster la Capture de trame avec et sans le secret partagé si tu peux STP :) ?
On va bien voir de quoi ca vient…
-
J'ai le même probléme que toi,
donne nous un ipconfig /all de chacune de tes interfaces en nous précisant bien à qui cela appartient.
-
En regardant de nouveau ton schema je repenses à un truc….. au niveau de ta resolution de nom...tu as bien un serveur DNS sur le 2K3 et celui-ci contient un enregistrement valable (A) pour la machine pfsense ?
-
J'essaie de vous fournir tout sa ds la semaine (capture de trame et la config de mes interfaces.)
-
Alors voila j'ai fait deux captures de trame avec le secret partager (quand sa marche pas) et une autre sans (ou sa marche).
Pour ma résolution de nom, j'ai un serveur DNS dans mon serveur 2003 par contre que veux tu dire par "enregistrement valable (A) pour la machine pfsense ?" J'ai crée un hôte pfsense comme sur le tuto.
-
Salut!
C'est bien ce que je pensais ca vient de ton AD
Entre parentheses la prochaine fois Triton respecte ton plan d'adressage du schéma en début de Topic :-
ici Pfsense OPT1= 192.168.0.10 et AD= 192.168.0.1En fait tu n'as même pas d'Access-Reject, c'est à dire que ton paquet UDP Access-request arrive bien sur le Radius, après "…" en moulinette..et tu n'as même pas de réponse négative ou positive.
Si tu avais mal configuré le secret partagé tu aurais eu un access-reject par exemple.. La rien ne sort..
En essayant de mettre un secret partagé qui soit pas le même dans Pfsense par exemple, sans toucher à celui de l'AD, la tu as une réponse ?
Problème assez sournois je dirais..... ??? -
oui mais j'ai oublié de dire que j'ai un peut changer mon schéma, la j'ai essayé avec 2 interfaces seulement, lan et wan en me disant que si sa marche comme sa il y aura pas trop de problème avec l'interface en plus opt1.
qu'est ce qu'il pourrait cloché dans mon AD???
J'ai vraiment pas de chance POURQUOIIII????
-
Quelques questions….
Tu utilises la derniere release de Pfsense ?T'as fais le test donné plus haut avec en même temps capture de trame pour voir si un Accept-Reject apparait?..ca m'etonnerais fort que la réponse négative apparaisse mais on sait jamais...
Moi je pense toujours à un FW qui bloque en sortie ou alors je sais par exemple qu'un client IPSEC (comme Netgear xxx) bloque parfois le traffic d'authentification etc...
T'as vraiment un AD s2003 sans "fioritures"? Si apres réinstallation ca fonctionne toujours pareil c'est étonnant...
-
Je pense bien avoir la dernière version de pfsense enfin je l'ai retélécharger sur le site il y a moins d'une semaine.
Sinon mon point d'accès et un linksys mais il me semble que j'ai désactivé le firewall.
Je vais refaire des test ds la semaine.
Il ne me semble pas avoir vu de accept-reject mais je vais confirmer. -
Si problême Firewall ou autres il doit y avoir, c'est bien sur l'AD puisque à priori rien ne sort en reponse radius secret…
-
J'ai une autre question sur le radius on utilise qu'elle cryptage le PAP ou le CHAP???
Le PAP n'est pas sécurisé non???
je voulais savoir un peu le mécanisme de l'authentification.
Comment mon message est crypté dans la capture de trame alors que le pap n'est pas sécurisé??
Ou alors est ce que c'est le CHAP qui est tjs actif?? et comment il marche??? -
je repose ma question.
Sur le tuto il est dit au moment de la configuration du radius de choisir l'authenrification PAP, CHAP. Je voulais savoir si ce n'était pas une erreur?
Est-ce seulement PAP, SPAP??? Ou bien PAP et aussi le CHAP???
merki -
Salut !
Désolé du retard j'ai du m'absenter pendant un bon moment….
Au niveau de l'authentification il est vrai que nous avons mis "non cryptée PAP SPAP" et lorsque tu regardes la capture de trame en dessous tu vois "Encrypted" pour le password, c'est à cause du SPAP ( Shiva PAP).
PAP (Password Authentification Protocol) lui transmet le mot de passe en clair sur le réseau...
Maintenant tu peux (je pense) utiliser le protocole CHAP pour tester ca fonctionnait aussi je crois pour nous....
Pour répondre simplement à ta question, Oui tu peux utiliser soit PAP, CHAP, SPAP avec PfSense...
Pour savoir comment ca fontionne le CHAP , google regorge de tutos et autres présentations comme ici http://www.leskiosques.com/V3/solutions/trafic/faq.php4
Toujours le même problème de configuration pour toi ?
-
Oui toujours le même problème de configuration. J'ai encore tout refait. Pfsense a deux interface:
- L'une WAN avec dessus le serveur radius en 192.168.0.5, la freebox en 192.168.0.254 et pfsense en 192.168.0.6
- L'autre Lan avec comme adresse 192.168.1.2. Il y a aussi mon point d'accès en 192.168.1.1 et mon poste client 192.168.1.10
Tout marche bien quand le secret partagé n'est plus cochez, une fois mit j'ai trois requête Radius-Request et après aurevoir.
Je ne vois vraiment pas d'ou vient le problème :'(
Je viens d'essayé de mettre en CHAP mais sa ne marche pas. c'est dingue sa, j'ai pas de bole…