OPNsense Forum

International Forums => German - Deutsch => Topic started by: c-mu on February 03, 2020, 01:14:24 pm

Title: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: c-mu on February 03, 2020, 01:14:24 pm

Hallo,
ich möchte auf einer Remote OPNSense instanz einen Freeradius Server installieren, der seine LDAP Anfragen via VPN an meinen Standort stellt.

Bei FreeRadius gebe ich also meine IP vom LDAP Server ein. Der Dienst startet aber nicht, da sein Default inferface (WAN) die ZielIP nicht erreichen kann.

Ich habe dann versucht mit eine NAT Rule (outbound) zu bauen:

Interface: WAN
Source: WAN Address
Source Port: *
Destination: LDAP-IP/32
Destination Port: *
NAT Address: LAN
NAT Port: *
Static Port: NO

In meinem Log sehe ich nun auch, dass das WAN Interface mit der LAN IP versucht den Server zu erreichen, es wird also richtig genattet. Geht aber ja immer noch nicht, weil er nachwievor das WAN interface nutzt.

Wenn mit einem Port Probe mit der LAN Address den LDAP Server zu erreichen, funktioniert das, der VPN Tunnel ist korrekt installiert.

Also:
hat jemand eine Idee, wie ich Freeradius erzwingen kann, dass er das LAN Interface zu nutzen hat?
Danke!

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: mimugmail on February 03, 2020, 02:59:35 pm

Du kannst die WAN-IP mit /32 als zusätzliche IPSec SA mit aufnehmen, dann wird das in den Tunnel geschoben.

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?) *solved*
Post by: c-mu on February 04, 2020, 08:38:20 am

Danke,
das ist die Lösung! Auf die Idee wäre ich auch gar nicht gekommen, weil ich so auf NAT fixiert war. Wieder was gelernt!

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: markusd on February 05, 2020, 07:35:23 pm

Hallo zusammen,
darf ich hier noch mal nachhaken?
Des Rätsels Lösung war, nur die "eigene" WAN-IP mit /32 als zusätzliche IPSec SA bei der Tunneleinrichtung mit aufzunehmen?
Nur "Client-seitig"?
Oder benötigt man zusätzlich die besagten Nat-Regeln?
Sorry, aber ich konnte das hier nicht erfolgreich nachvollziehen...
(ähnliches Szenario: LDAP-Anfrage durch den Tunnel, allerdings clientseitig mit dynamischer IP)

Danke und Gruß!

Markus

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: mimugmail on February 05, 2020, 10:18:43 pm

Kein NAT, remote network ist dann das LAN vom LDAP server

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: markusd on February 06, 2020, 06:20:51 pm

Kein NAT, OK
heisst:
-das alles in den Tunnel geschoben wird?
-man noch irgendwelche FW-Regeln benötigt, die das dann erlauben?
-es mit ner dyn. IP aufwendig wird?

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: mimugmail on February 06, 2020, 07:19:44 pm

Dynamische IP sehe ich sehr schlechte Chancen. Dann nimmst du lieber OpenVPN, vielleicht gehts damit besser.

Title: Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
Post by: markusd on February 06, 2020, 07:40:31 pm

Jo, mal sehen...
Danke!