[RESOLU]Portail captif PfSense + Authentification Radius
-
Bonjour,
Afin de valider ma formation (TSRIT) dans le domaine du réseau informatique je suis amené à réaliser un stage en entreprise.
Je suis actuellement en stage dans un lycée où j’ai pour projet de mettre en œuvre un portail captif avec authentification par serveur Radius.
Etant depuis plus d’une semaine maintenant à cour de solution pour faire fonctionné correctement mon projet, je me tourne vers vous en espérant trouver de l’aide voir même un début de solution.
Avant toute chose commençons par le commencement :
J’utilise uniquement des machines physiques, certes pas très performante, mais suffisamment pour ce que j’ai à faire.
Je dispose d’une machine sur laquelle j’ai installé une solution FreeBSD de Pfsense (version 2.0-RELEASE (i386)) : Sur une première interface (192.168.1.1) j’y ai connecté un point d’accès Linksys configuré par défaut en 192.168.1.245.
Sur une deuxième interface de ma machine Pfsense (172.16.10.2) je l’ai connecté, via un switch, à mon serveur radius (176.16.10.7).
L’authentification se fera donc sur une deuxième machine sur laquelle est installé un Windows serveur 2003, installé en contrôleur de domaine + dns. J’y ai rajouté le service d’authentification internet.
Question paramétrage…
J’ai suivi pas à pas le tuto: http://elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial-PfSense-Francais-1v1.0.pdf qui est vraiment d’une très bonne qualité, mais même avec ça je ne m’en sors pas :/
Pour résumer :
- Installation de PfSense + configuration des interfaces
- Depuis l’interface graphique configuration du l’interface LAN et WAN
- Configuration de la plage d’adresse DHCP
- Configuration de la partie « captive portal » + authentification par radius (IP, port, clé partagée…)
- Configuration de la partie Windows serveur 2003 + radius
- Installation domaine + dns
- Ajout d’un utilisateur + groupe + configuration des paramètres
- Installation service authentification internet + configuration IAS
- Inscription du serveur d’authentification dans l’Active Directory
10. Ajout du client Radius + configuration d’une nouvelle stratégie d’accès distant + sélection d’attribut + ajout du groupe d’utilisateurs
J’espère ne rien n’avoir oublié, si certaines choses vous paraissent aberrantes n’hésitez pas à me le faire savoir ;)
Ce qui ne marche pas :
Après avoir réalisé cette petite phase de configuration je me lance dans une simple phase de « test »
Je connecte donc un client au wifi de mon point d’accès, j’ouvre une page web dans mon navigateur internet et arrive comme il se doit sur la page du portail de Pfsense (page par défaut)
Je rentre les identifiants de mon utilisateur et un message d’erreur s’affiche « Error sending request: No valid RADIUS responses received »
En lançant le wireshark sur ma machine Windows serveur 2003 je visualise bien les requêtes Radius en entrée sur ma machine, mais aucune réponse du serveur n’est renvoyée.
Je me tourne donc aujourd’hui vers vous dans le but d’y voir un peu plus clair, je prend tout conseil, et toute aide car mon niveau n’étant pas celui d’un ingénieur je galère un peu à trouvé une solution à mon problème. J’espère également que mon post aura sa place et qu’il aura su retenir votre attention.
Dans l’attente de réponse, je vous souhaite bonne lecture et vous dis merci par avance de vos réponses.
Yannick.
-
Petite mise à jour de l'avancement de mon projet.
Ce matin en arrivant au lycée la tête reposée je me suis aperçu que mon DNS faisait des siennes, du coup après avoir cherché un peu à droite à gauche quelles pouvaient être mes problèmes, j'ai opté pour une réinstallation complète du serveur windows 2003. J'ai donc réinstallé un Active Directory avec un DNS tout neuf, reconfigurer le service IAS et voilà que maintenant tout (ou presque) fonctionne correctement. Mon Wireshark capture les trames en entrée et aussi en sortie. Je visualise bien les trames acces-request, acces-reject et acces-accept :D
Seule zone d'ombre qui persiste encore, l'acces au web ne s'effectue pas encore, il semblerait qu'un défaut de paramétrage subsiste encore dans ma configuration de PfSense!! Je vous tiendrais donc au courant de la suite des évènements…
Si certains d'entre vous se sentent l'âme charitable pour me donner des conseils j'en suis toujours prenneur ;)
Cordialement Yannick.