как с localhost попасть в IPSEC туннель?



  • Хочется попробовать прикрутить авторизацию пользователей через ЛДАП сервер. Сервер находится в другой подсети, к которой открыт туннель через IPSEC

    Запросы в LDAP , если я верно понял, идут из 127.0.0.1 , а сам сервер ЛДАП лежит в сети 10.20.0.0/24 . Туда открыт туннель IPSEC. Но, что-то запросы на 10.20.0.0 не сильно стремятся внутрь туннеля =)

    Т.е. логика примерно такова:

    Локалхост - туннель - сервер.
    Как заставить его попасть в ту подсеть?

    Я сделал алиас на интерфейс и прописал его как роут к этому серверу … и вроде работает, но у него не получается забиндится на лдап сервер.
    Если делаю с локальной машины, подключенной к этому же пфсенсу - все биндится и работает....
    Логи у лдапбиндера весьма печальны, даже не представляю куда копать



  • Т.е. ldap-сервер пингуется (доступен) и порт TCP\UDP 389 доступен через туннель?

    P.s. Сорри, а в кач-ве шлюза IPSEC-туннель указан в правилах fw на LAN, где в destination - адрес ldap-сервера (и его порт). Или маршрут до ldap-сервера через этот туннель автоматом создается ?



  • Да, с локальной машины в LAN = сервер за туннелем - доступен, я коннекчусь анонимно, видны нужные контексты, все работает.
    А с самого пфсенса - Oct 14 06:29:33 php: /system_usermanager_settings_ldapacpicker.php: ERROR! ldap_get_user_ous() could not bind anonymously to server .

    Нет, в качестве шлюза айписек не указан, я вообще не уверен что айписек можно указывать в качестве шлюза. Во всяком случае - я не в курсе как.
    А маршрут создается автоматически, компьютеры из LAN ведь попадают в LAN2 который за туннелем.



  • http://forum.pfsense.org/index.php?topic=56206.0

    I had the same issue but I solved it and thought to share it with you guys. I would like just first to explain why this error persists!

    When using special characters in passwords which authenticates to the Active Directory in order to retrieve the users unit, These passwords get transmitted html-encodedly.

    So for example the password: abc1" becomes abc1&qout; which obviously leads to a failure.

    It seems that this bug could be fixed by adding this code to the Active directory plugin " html_decode_entities($password)" according to similar issue I noticed in another forum, just to be honest I'm not good at all with HTML/PHP coding.

    so in order to solve your problem, create a user on AD e.g. (Pfsense) and the password is plain simple e.g. (pfsense) no numbers of special characters involved.

    test it by clicking Select next to Authentication containers.

    И

    The quoting there has other issues actually. If a user has international characters it needs a call to utf8_encode/utf8_decode in various places as well. I'm not sure why it's run through html encoded there, it probably shouldn't be done at that stage, only if the text needs transmitted back to the user in the GUI somewhere.



  • Я видел, не актуально. Включена анонимная аутентикация, в контекст ЛДАП можно попасть с пустым юзернейм/пароль.



  • Ну так выключите анонимную аутентикацию на LDAP , создайте пользователя pfsense с паролем 123 и проверяйте. В чем проблема-то?



  • В том, что пфсенс даже не доходит до самого каталога лдапа, причем тут пользователь?
    И я пробовал и с пользователем - с абсолютно тем же результатом.



  • ldap_bind_s
    ldap_simple_bind_s
    ldap_sasl_bind_s
    ldap_sasl_bind
    ldap_send_initial_request
    ldap_new_connection 1 1 0
    ldap_int_open_connection
    ldap_connect_to_host: TCP 10.20.0.100:389
    ldap_new_socket: 15
    ldap_prepare_socket: 15
    ldap_connect_to_host: Trying 10.20.0.100:389
    ldap_pvt_connect: fd: 15 tm: -1 async: 0
    attempting to connect:
    connect errno: 65
    ldap_close_socket: 15
    ldap_err2string

    Поставил дебаг патч LDAP …



  • LDAP-сервер  - это Вин-машина? Если это Вин - то можно и UDP 389-ый порт использовать - http://msdn.microsoft.com/en-us/library/cc717362.aspx



  • Да, ЛДАП на виндах.
    В пфсенс у меня нет UDP - только TCP / SSL .. Да и смысл ? Оно по тцп не работает :(



  • Тогда в англоветке спросите. Возможно там помогут.

    P.s. Если найдется решение - выложите его здесь , пож-та. Пригодится многим.

    P.p.s. В настройках Protocol version менять пробовали? А в Authentication containers полный путь указывать где искать учетку?



  • Пробовал, без толку :(

    Я думаю что какая-то засада именно с попаданием пфсенс лдап утилиты в айписек тоннель.
    Возможно надо какой-то рул в нате ручками написать, я писал - но эффекта не возымело - вероятно я его не так делал.
    В ветку английскую написал, в дженерал … пока тишина.
    Пойду еще в ирц спрошу



  • Отключите IPSec. Пробуйте OpenVPN.



  • Не могу, на другой стороне перед LAN2 стоит Cicso ASA .. =)



  • У Циски нет проброса портов?!



  • Да даже если есть - в ЛАН2 у меня некому принимать впн… + LAN2 - Это колокейшн, там не совсем мои правила работают :(



  • Походу, так никто и не в курсе :(



  • У вас в ЛАН2 - Вин-сервер , не так ли? Вы им рулите?


Log in to reply