Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    как с localhost попасть в IPSEC туннель?

    Scheduled Pinned Locked Moved Russian
    18 Posts 2 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      warpil
      last edited by

      Хочется попробовать прикрутить авторизацию пользователей через ЛДАП сервер. Сервер находится в другой подсети, к которой открыт туннель через IPSEC

      Запросы в LDAP , если я верно понял, идут из 127.0.0.1 , а сам сервер ЛДАП лежит в сети 10.20.0.0/24 . Туда открыт туннель IPSEC. Но, что-то запросы на 10.20.0.0 не сильно стремятся внутрь туннеля =)

      Т.е. логика примерно такова:

      Локалхост - туннель - сервер.
      Как заставить его попасть в ту подсеть?

      Я сделал алиас на интерфейс и прописал его как роут к этому серверу … и вроде работает, но у него не получается забиндится на лдап сервер.
      Если делаю с локальной машины, подключенной к этому же пфсенсу - все биндится и работает....
      Логи у лдапбиндера весьма печальны, даже не представляю куда копать

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Т.е. ldap-сервер пингуется (доступен) и порт TCP\UDP 389 доступен через туннель?

        P.s. Сорри, а в кач-ве шлюза IPSEC-туннель указан в правилах fw на LAN, где в destination - адрес ldap-сервера (и его порт). Или маршрут до ldap-сервера через этот туннель автоматом создается ?

        1 Reply Last reply Reply Quote 0
        • W
          warpil
          last edited by

          Да, с локальной машины в LAN = сервер за туннелем - доступен, я коннекчусь анонимно, видны нужные контексты, все работает.
          А с самого пфсенса - Oct 14 06:29:33 php: /system_usermanager_settings_ldapacpicker.php: ERROR! ldap_get_user_ous() could not bind anonymously to server .

          Нет, в качестве шлюза айписек не указан, я вообще не уверен что айписек можно указывать в качестве шлюза. Во всяком случае - я не в курсе как.
          А маршрут создается автоматически, компьютеры из LAN ведь попадают в LAN2 который за туннелем.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            http://forum.pfsense.org/index.php?topic=56206.0

            I had the same issue but I solved it and thought to share it with you guys. I would like just first to explain why this error persists!

            When using special characters in passwords which authenticates to the Active Directory in order to retrieve the users unit, These passwords get transmitted html-encodedly.

            So for example the password: abc1" becomes abc1&qout; which obviously leads to a failure.

            It seems that this bug could be fixed by adding this code to the Active directory plugin " html_decode_entities($password)" according to similar issue I noticed in another forum, just to be honest I'm not good at all with HTML/PHP coding.

            so in order to solve your problem, create a user on AD e.g. (Pfsense) and the password is plain simple e.g. (pfsense) no numbers of special characters involved.

            test it by clicking Select next to Authentication containers.

            И

            The quoting there has other issues actually. If a user has international characters it needs a call to utf8_encode/utf8_decode in various places as well. I'm not sure why it's run through html encoded there, it probably shouldn't be done at that stage, only if the text needs transmitted back to the user in the GUI somewhere.

            1 Reply Last reply Reply Quote 0
            • W
              warpil
              last edited by

              Я видел, не актуально. Включена анонимная аутентикация, в контекст ЛДАП можно попасть с пустым юзернейм/пароль.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Ну так выключите анонимную аутентикацию на LDAP , создайте пользователя pfsense с паролем 123 и проверяйте. В чем проблема-то?

                1 Reply Last reply Reply Quote 0
                • W
                  warpil
                  last edited by

                  В том, что пфсенс даже не доходит до самого каталога лдапа, причем тут пользователь?
                  И я пробовал и с пользователем - с абсолютно тем же результатом.

                  1 Reply Last reply Reply Quote 0
                  • W
                    warpil
                    last edited by

                    ldap_bind_s
                    ldap_simple_bind_s
                    ldap_sasl_bind_s
                    ldap_sasl_bind
                    ldap_send_initial_request
                    ldap_new_connection 1 1 0
                    ldap_int_open_connection
                    ldap_connect_to_host: TCP 10.20.0.100:389
                    ldap_new_socket: 15
                    ldap_prepare_socket: 15
                    ldap_connect_to_host: Trying 10.20.0.100:389
                    ldap_pvt_connect: fd: 15 tm: -1 async: 0
                    attempting to connect:
                    connect errno: 65
                    ldap_close_socket: 15
                    ldap_err2string

                    Поставил дебаг патч LDAP …

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      LDAP-сервер  - это Вин-машина? Если это Вин - то можно и UDP 389-ый порт использовать - http://msdn.microsoft.com/en-us/library/cc717362.aspx

                      1 Reply Last reply Reply Quote 0
                      • W
                        warpil
                        last edited by

                        Да, ЛДАП на виндах.
                        В пфсенс у меня нет UDP - только TCP / SSL .. Да и смысл ? Оно по тцп не работает :(

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Тогда в англоветке спросите. Возможно там помогут.

                          P.s. Если найдется решение - выложите его здесь , пож-та. Пригодится многим.

                          P.p.s. В настройках Protocol version менять пробовали? А в Authentication containers полный путь указывать где искать учетку?

                          1 Reply Last reply Reply Quote 0
                          • W
                            warpil
                            last edited by

                            Пробовал, без толку :(

                            Я думаю что какая-то засада именно с попаданием пфсенс лдап утилиты в айписек тоннель.
                            Возможно надо какой-то рул в нате ручками написать, я писал - но эффекта не возымело - вероятно я его не так делал.
                            В ветку английскую написал, в дженерал … пока тишина.
                            Пойду еще в ирц спрошу

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Отключите IPSec. Пробуйте OpenVPN.

                              1 Reply Last reply Reply Quote 0
                              • W
                                warpil
                                last edited by

                                Не могу, на другой стороне перед LAN2 стоит Cicso ASA .. =)

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  У Циски нет проброса портов?!

                                  1 Reply Last reply Reply Quote 0
                                  • W
                                    warpil
                                    last edited by

                                    Да даже если есть - в ЛАН2 у меня некому принимать впн… + LAN2 - Это колокейшн, там не совсем мои правила работают :(

                                    1 Reply Last reply Reply Quote 0
                                    • W
                                      warpil
                                      last edited by

                                      Походу, так никто и не в курсе :(

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        У вас в ЛАН2 - Вин-сервер , не так ли? Вы им рулите?

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.