Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1436 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Authentification AD sur un pfsense

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Authentification AD sur un pfsense

n°176473
Lanstack
Posté le 19-06-2022 à 14:53:29  profilanswer
 

Bonjour,
 
 
Suite de mon projet https://forum.hardware.fr/hfr/syste [...] 1758_1.htm
J'ai réussi à établir l'authentification AD sur le "PFSENSE-REIMS".
 
Par contre je cherche à faire exactement la même chose sur le "PFSENSE-CHAUMONT", cela ne fonctionne pas
 
Voici ma configuration sur le PFSENSE-REIMS :
https://zupimages.net/viewer.php?id=22/24/azid.png
https://zupimages.net/viewer.php?id=22/24/96op.png
https://zupimages.net/viewer.php?id=22/24/6kvt.png
 
Si j'applique la même configuration sur le PFSENSE-CHAUMONT
Message : Could not connect to the LDAP server. Please check the LDAP configuration.
 
https://zupimages.net/viewer.php?id=22/24/ayln.png


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
mood
Publicité
Posté le 19-06-2022 à 14:53:29  profilanswer
 

n°176477
Je@nb
Modérateur
Kindly give dime
Posté le 20-06-2022 à 11:05:13  profilanswer
 

Bah visiblement tu n'as pas de connexion au serveur LDAP :o

n°176491
Lanstack
Posté le 20-06-2022 à 22:30:26  profilanswer
 

J'ai vu. Je ne vois pas pourquoi ca ne fonctionne pas  :??:  
 
Ca fonctionne très bien avec le PFSENSE-REIMS. Mais avec le PFSENSE-CHAUMONT : NOK
 
Qu'est qui pourrait empêcher la connexion LDAP ?
 
SRV-DC1-REIMS (contrôleur de domaine) et PFSENSE-CHAUMONT se pinguent


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°176492
Je@nb
Modérateur
Kindly give dime
Posté le 20-06-2022 à 22:52:30  profilanswer
 

Ton DC est sur le réseau à REIMS non ? Donc normal qu'il y ait connectivité.
Là il y a surement des spécificités

n°176493
Lanstack
Posté le 20-06-2022 à 23:32:46  profilanswer
 

Tu ne sais pas lesquels par hasard   :D  


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°176495
Je@nb
Modérateur
Kindly give dime
Posté le 21-06-2022 à 13:03:41  profilanswer
 

bah si c'est pareil que ton pb de la dernière fois où le ping marchait qu'en sélectionnant la bonne source adresse j'ai envie de dire c'est mort vu que tu peux pas la choisir pour l'auth ldap.
 
Après de ce que je me souviens, tu fais un vpn ipsec en tunnel based, ptetre qu'en route based ça fonctionnerait mieux, le tunnel based c'est vraiment un truc du passé

n°176504
becket
Posté le 24-06-2022 à 07:07:56  profilanswer
 

IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel réseau.  
 
Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet IP) qui sont chiffrées. Néanmoins, les adresses IP ne pouvant pas être modifiées par le NAT sans corrompre le hash  
Le mode transport est utilisé pour les communications dites hôte à hôte (Host-to-Host).
 
 
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié.  
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée.)  
 
Source Wikipedia  
 
Donc, mode transport tous les jours et ajout d'un protocole de routage ou de routes statiques pour faire fonctionner la topo  

n°176505
Je@nb
Modérateur
Kindly give dime
Posté le 24-06-2022 à 09:31:10  profilanswer
 

euh ça n'a rien à voir avec le schmilblik, je parle de policy based vpn vs route based vpn
https://ipwithease.com/difference-b [...] based-vpn/

n°176506
renaud072
Posté le 24-06-2022 à 11:09:35  profilanswer
 

Perso, les tunnels entre 2 routeurs... Ça fait un beau SPOF.

 

Chez moi j'utilise 2 machines à l'intérieur du LAN, de cette manière je ne dépends pas (entièrement) des routeurs et ça marche tout aussi bien avec un truc plus moderne comme Wireguard ultra simple à configurer. Tu devrais peut-être tester cette config voir si ça résout ton problème  :jap:

Message cité 1 fois
Message édité par renaud072 le 24-06-2022 à 11:15:29

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
n°176507
Je@nb
Modérateur
Kindly give dime
Posté le 24-06-2022 à 11:26:02  profilanswer
 

renaud072 a écrit :

Perso, les tunnels entre 2 routeurs... Ça fait un beau SPOF.
 
Chez moi j'utilise 2 machines à l'intérieur du LAN, de cette manière je ne dépends pas (entièrement) des routeurs et ça marche tout aussi bien avec un truc plus moderne comme Wireguard ultra simple à configurer. Tu devrais peut-être tester cette config voir si ça résout ton problème  :jap:  


 :heink: un beau spof ?
Tunnel entre 2 routeurs pour que ça tombe il faut qu'un des 2 routeurs tombe (ou que la connexion internet d'un des 2 tombe)
Tunnel entre 2 machines derrière les 2 routeurs, pour que ça tombe il suffit qu'un des 2 routeurs tombe ou qu'une des 2 machines tombe (ou que la connexion internet d'un des 2 sites tombe)
 
Mathématiquement ya pas photo, le 2eme scénario a plus de probabilité de tomber...

mood
Publicité
Posté le 24-06-2022 à 11:26:02  profilanswer
 

n°176508
renaud072
Posté le 24-06-2022 à 11:48:37  profilanswer
 

Mathématiquement c'est pas faux, mais perso je raisonne autrement : on peut compenser en mettant une machine en backup qui peut reprendre tout de suite avec les mêmes paramètres.

 

Quant au routeur, sa config est simplifiée, donc plus facile à remplacer (si défaillance matérielle par ex) et à reconfigurer rapidement.

 

En bref, je vois ça comme le fameux : ne pas mettre tous ses œufs dans le même panier. Après chacun fait comme il veut.


Message édité par renaud072 le 24-06-2022 à 11:51:36

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
n°176509
Je@nb
Modérateur
Kindly give dime
Posté le 24-06-2022 à 11:58:25  profilanswer
 

dans ce cas tu peux avoir un routeur de spare :o voir même faire de l'actif/passif voir actif/actif entre plusieurs équipements

 

je suis d'accord qu'il faut pas mettre ses oeufs dans le même panier mais gérer un vpn c'est un peu le job d'un routeur d'accès :D c'est pas comme si je lui demandais de faire serveur dhcp ou dns, proxy, etc.


Message édité par Je@nb le 24-06-2022 à 12:17:30
n°176510
renaud072
Posté le 24-06-2022 à 12:12:35  profilanswer
 

Dans mon cas j'avais opté pour une machine dédiée car l'implémentation de wireguard était bof sur mon routeur, enfin, sur la version d'OWRT que j'utilise. Mais j'avais bien tenté de faire du site-to-site en direct.
 
Et puis avoir une machine séparée, permet de se passer des limites hardware du routeur (d'autant plus avec la fibre). Du coup, j'ai continué avec cette solution qui fonctionne nickel depuis 2 ans maintenant.


Message édité par renaud072 le 24-06-2022 à 12:15:52

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Authentification AD sur un pfsense

 

Sujets relatifs
base AD corrompue sur un DC avec Exchange dessus...Controleur AD Hs
WOL / PFSense / VlanAide pour trouver le bon switch pour mon système d'authentification
Azure/AD - gestion des droitsautomatisation de creation de compte AD
Azure AD Ajouter groupeAzure AD DS demande d'information
Relation d'approbation et migration AD 
Plus de sujets relatifs à : Authentification AD sur un pfsense


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR