Bonjour,
 
 
Suite de mon projet https://forum.hardware.fr/hfr/syste [...] 1758_1.htm
J'ai réussi à établir l'authentification AD sur le "PFSENSE-REIMS".
 
Par contre je cherche à faire exactement la même chose sur le "PFSENSE-CHAUMONT", cela ne fonctionne pas
 
Voici ma configuration sur le PFSENSE-REIMS :
https://zupimages.net/viewer.php?id=22/24/azid.png
https://zupimages.net/viewer.php?id=22/24/96op.png
https://zupimages.net/viewer.php?id=22/24/6kvt.png
 
Si j'applique la même configuration sur le PFSENSE-CHAUMONT
Message : Could not connect to the LDAP server. Please check the LDAP configuration.
 
https://zupimages.net/viewer.php?id=22/24/ayln.png

Bah visiblement tu n'as pas de connexion au serveur LDAP

J'ai vu. Je ne vois pas pourquoi ca ne fonctionne pas    
 
Ca fonctionne très bien avec le PFSENSE-REIMS. Mais avec le PFSENSE-CHAUMONT : NOK
 
Qu'est qui pourrait empêcher la connexion LDAP ?
 
SRV-DC1-REIMS (contrôleur de domaine) et PFSENSE-CHAUMONT se pinguent

Ton DC est sur le réseau à REIMS non ? Donc normal qu'il y ait connectivité.
Là il y a surement des spécificités

Tu ne sais pas lesquels par hasard    

bah si c'est pareil que ton pb de la dernière fois où le ping marchait qu'en sélectionnant la bonne source adresse j'ai envie de dire c'est mort vu que tu peux pas la choisir pour l'auth ldap.
 
Après de ce que je me souviens, tu fais un vpn ipsec en tunnel based, ptetre qu'en route based ça fonctionnerait mieux, le tunnel based c'est vraiment un truc du passé

IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel réseau.  
 
Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet IP) qui sont chiffrées. Néanmoins, les adresses IP ne pouvant pas être modifiées par le NAT sans corrompre le hash  
Le mode transport est utilisé pour les communications dites hôte à hôte (Host-to-Host).
 
 
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié.  
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée.)  
 
Source Wikipedia  
 
Donc, mode transport tous les jours et ajout d'un protocole de routage ou de routes statiques pour faire fonctionner la topo  

euh ça n'a rien à voir avec le schmilblik, je parle de policy based vpn vs route based vpn
https://ipwithease.com/difference-b [...] based-vpn/

Perso, les tunnels entre 2 routeurs... Ça fait un beau SPOF.

Chez moi j'utilise 2 machines à l'intérieur du LAN, de cette manière je ne dépends pas (entièrement) des routeurs et ça marche tout aussi bien avec un truc plus moderne comme Wireguard ultra simple à configurer. Tu devrais peut-être tester cette config voir si ça résout ton problème  

  un beau spof ?
Tunnel entre 2 routeurs pour que ça tombe il faut qu'un des 2 routeurs tombe (ou que la connexion internet d'un des 2 tombe)
Tunnel entre 2 machines derrière les 2 routeurs, pour que ça tombe il suffit qu'un des 2 routeurs tombe ou qu'une des 2 machines tombe (ou que la connexion internet d'un des 2 sites tombe)
 
Mathématiquement ya pas photo, le 2eme scénario a plus de probabilité de tomber...

Mathématiquement c'est pas faux, mais perso je raisonne autrement : on peut compenser en mettant une machine en backup qui peut reprendre tout de suite avec les mêmes paramètres.

Quant au routeur, sa config est simplifiée, donc plus facile à remplacer (si défaillance matérielle par ex) et à reconfigurer rapidement.

En bref, je vois ça comme le fameux : ne pas mettre tous ses œufs dans le même panier. Après chacun fait comme il veut.

dans ce cas tu peux avoir un routeur de spare voir même faire de l'actif/passif voir actif/actif entre plusieurs équipements

je suis d'accord qu'il faut pas mettre ses oeufs dans le même panier mais gérer un vpn c'est un peu le job d'un routeur d'accès c'est pas comme si je lui demandais de faire serveur dhcp ou dns, proxy, etc.

Dans mon cas j'avais opté pour une machine dédiée car l'implémentation de wireguard était bof sur mon routeur, enfin, sur la version d'OWRT que j'utilise. Mais j'avais bien tenté de faire du site-to-site en direct.
 
Et puis avoir une machine séparée, permet de se passer des limites hardware du routeur (d'autant plus avec la fibre). Du coup, j'ai continué avec cette solution qui fonctionne nickel depuis 2 ans maintenant.