Portail captif avec serveur Radius externe.
-
Bonjour à tous, jespère qu'une personne de bonne âme pourra apporter une réponse à mon problème.
J'ai configurer mon Pfsense avec 3 interfaces:
LAN: 192.168.1.2
Wan: 192.168.3.62
OPT1: 192.168.0.1
Mon serveur Radius et sur la branche OPT1 il a pour adresse 192.168.0.1, il fait serveur DNS, Radius et AD.
lorsqu'un poste sur le lan veut aller sur une page web il tombe bien sur la page d'authentification. En faisant des captures de trame au niveau du serveur Radius je vois bien 3 trames "Radius request" mais rien d'autre, le poste qui a demandé l'accès au web fini par tombé sur la page d'erreur de mot de passe.
-
Dans ton AD tu as bien précisé le droit aux connexion entrantes sur l'utilisateur?
Tu as suivis le tuto sur le site ? Tu devrais si ce n'est pas le cas…..
-
Oui j'ai suivi le tuto du site. J'ai dans mon AD crée un groupe "pfsenseauth" avec un utilisateur dedans. Sur radius j'ai rajouté ce groupe.
sa fait déja 3 semaines que je torune en rond avec ce problème, je ne sais vraiment pas pourquoi sa ne marche pas. -
hum, vraiment bizard moi je n ai aucun soucis, par contre chez moi l'appartenanceau groupe n' a aucune incidence. Seul la case a cocher pour autoriser les connexion entrantes a de l'effet.
-
Par contre mon radius est sur une machine virtuel (vmware server), cela peut être un soucis????
as tu un autre tutorial que celui qui se trouve sur le forum?? -
Salut,
L'interface OPT1 signifie DMZ ? si oui, c'est p'être un problème de communication entre ton LAN et OPT1, car si je prend l'exemple sur IPCOP, par défaut la DMZ ne peut pas atteindre le LAN, mais par contre le LAN peut atteindre la DMZ.
-
Non OPT1 ne signifie pas DMZ.
Hier j'ai installé win serveur 2003 sur une station fixe au lieu d'une machine virtuel mais le problème reste le même. Je vois toujours trois requête "radius request" qui arrive sur mon serveur radius mais rien. Mon client tombe toujours sur la page "erreur d'authentification".
Je ne vois pas se que j'ai pu loupé, dans la logique tout semble être correct.
J'essaie de faire sa pour mon projet au bts, mais je bloque sur ce problème. -
Pfsense avec 3 interfaces:
LAN: 192.168.1.2
Wan: 192.168.3.62
OPT1: 192.168.0.1Mon serveur Radius et sur la branche OPT1 il a pour adresse 192.168.0.1, il fait serveur DNS, Radius et AD.
Ton AD a une autre adresse IP je suppose car la 0.1 est celle OPT1 Pfsense…
Ensuite tu recois 3 fois une demande de connection access-request du client. Cela veut dire que le client va emettre 3 tentatives de connexion sans avoir à chaque fois une réponse access-accept =>raison tu as quelque chose qui bloque la réponse en sortie sur ton AD - radius. Ca peut etre un firewall actif sur la carte réseau concernée de l'AD par exemple...
Je dis cela car ton analyse de trame effectuée sur l'AD meme montre bien que rien ne sort..donc rien à voir avec Pfsense... en tout cas pas pour le moment ::)Autre possibilité un radius mal configuré, rien à voir avec machine virtuelle ou non, c'est plutot de l'ordre de la config... Si jamais faut reprendre ce qu'il y a dans le tuto, pas besoin de plus pour que ca fonctionne...
Tiens nous au courant et si jamais postes ton analyse de trames pour confirmer ou infirmer :)
-
Oui mon Ad est sur l'adresse 192.168.0.2 la même que le serveur radius.
J'ai regadé voir si il y avait un pare-feu qui pouvait bloqué mais rien.
Peut être un problème de config alors. Il y a t-il un ordre pour installer le DNS, RADIUS et l'AD????
J'ai aussi fait des test hier, j'ai enlever le secret partager et la en faisant une capture de trame j'avais "Radius accept-request" puis "refused" Donc je pense que c mon Ad qui ne fait pas son boulot vu qu'il ne reconnait pas mon utilisateur.
Ou alors mon Radius mais d'après le tuto je pense l'avoir bien configuré.
Alors voila je reste dans le mystère. -
Tout d'abord!
@triton:Il y a t-il un ordre pour installer le DNS, RADIUS et l'AD????
il n'y a pas vraiment d'ordre AD-DNS, par contre installes les services IAS une fois AD-DNS bouclé
J'ai aussi fait des test hier, j'ai enlever le secret partager et la en faisant une capture de trame j'avais "Radius accept-request" puis "refused"
as tu eu un jour un accept-accept? car c'est avec cette réponse que tu vois bien si ton radius répond. Si tu ne l'as pas essaies un netstat -a et regardes si tu as bien le port 1812 en ecoute ?..si oui ton radius est en attente de connexion
Donc je pense que c mon Ad qui ne fait pas son boulot vu qu'il ne reconnait pas mon utilisateur.
Essaies de connecter un utilisateur sans utiliser radius, via un PC test en filaire. Tu seras sur du bon fonctionnement de ton annuaire
Ou alors mon Radius mais d'après le tuto je pense l'avoir bien configuré.
Je pense que tu dois commencer a balayer cette piste triton, ca parait la plus plausible pour le moment
Alors voila je reste dans le mystère.
Et nous aussi tant que tu ne posteras pas ta capture de trames ;)
++
Lylian -
Bon voila j'avance un peu, peut être je m'approche de la lumière, bien sur grâce au bonne parole de ce forum. Maintenant j'ai réinstaller mon windows server 2003 j'ai tout bien configurer, jai vérifié mon AD et sa marche bien, dns OK.
Problème radius : - Marche pas quand il y a le secret partagé
- Marche sans secret partagé PK????? voila la question du jour. -
AS tu bien rajouter le secret partagé
ET dans PfSense via "Services/captive Portal" ET dans ton IAS via "ajouter un client RAdius"
Ce secret partagé est-il le même partout?=> il faut bien sur que ouiTa regle crée dans IAS / stratégie d'accès distant est-elle en rang numero 1 ? (dans mon tuto elle s'appelle "AuthRadiusPfSense") car ces règles sont lues tour à tour un peu comme les IPtables….si mes souvenirs sont exact :-\
Tiens nous au courant.... :)
-
Oui j'ai bien rajouté le secret partagé sur pfsense et sur le serveur Radius.
Il est bien le mm de partout.
ma règle est bien numéro 1Je ne sais pas pourquoi maintenant c sa qui ne veut pas, les machines doivent être contre moi.
Je vous tiens au courant de mon avancé, je vais tout refaire d'ici peu.
-
salut!
Tu peux nous poster la Capture de trame avec et sans le secret partagé si tu peux STP :) ?
On va bien voir de quoi ca vient…
-
J'ai le même probléme que toi,
donne nous un ipconfig /all de chacune de tes interfaces en nous précisant bien à qui cela appartient.
-
En regardant de nouveau ton schema je repenses à un truc….. au niveau de ta resolution de nom...tu as bien un serveur DNS sur le 2K3 et celui-ci contient un enregistrement valable (A) pour la machine pfsense ?
-
J'essaie de vous fournir tout sa ds la semaine (capture de trame et la config de mes interfaces.)
-
Alors voila j'ai fait deux captures de trame avec le secret partager (quand sa marche pas) et une autre sans (ou sa marche).
Pour ma résolution de nom, j'ai un serveur DNS dans mon serveur 2003 par contre que veux tu dire par "enregistrement valable (A) pour la machine pfsense ?" J'ai crée un hôte pfsense comme sur le tuto.
-
Salut!
C'est bien ce que je pensais ca vient de ton AD
Entre parentheses la prochaine fois Triton respecte ton plan d'adressage du schéma en début de Topic :-
ici Pfsense OPT1= 192.168.0.10 et AD= 192.168.0.1En fait tu n'as même pas d'Access-Reject, c'est à dire que ton paquet UDP Access-request arrive bien sur le Radius, après "…" en moulinette..et tu n'as même pas de réponse négative ou positive.
Si tu avais mal configuré le secret partagé tu aurais eu un access-reject par exemple.. La rien ne sort..
En essayant de mettre un secret partagé qui soit pas le même dans Pfsense par exemple, sans toucher à celui de l'AD, la tu as une réponse ?
Problème assez sournois je dirais..... ??? -
oui mais j'ai oublié de dire que j'ai un peut changer mon schéma, la j'ai essayé avec 2 interfaces seulement, lan et wan en me disant que si sa marche comme sa il y aura pas trop de problème avec l'interface en plus opt1.
qu'est ce qu'il pourrait cloché dans mon AD???
J'ai vraiment pas de chance POURQUOIIII????