Messages

1

24.1 Legacy Series / Re: LDAP + Timebased OTP does not create user

« on: May 25, 2024, 12:22:15 pm »

Interesting approach.

The behaviour is slightly different. The prompt falls back to the empty login screen, no visible error to the user.

The log says, the user is authenticated, the user is not created.

2

24.1 Legacy Series / Re: LDAP + Timebased OTP does not create user

« on: May 23, 2024, 07:26:42 pm »

I can confirm, that it is working under the following condition:

System:Access:Servers:"User naming attribute" to [sAMAccountName]

Under the following condition it is not working:

System:Access:Servers:"User naming attribute" to [UserPrincipalName] (which is the eMail address)

It would be nice, if the user would be able to login everywhere whith the same login name.

3

24.1 Legacy Series / Re: Locate server mgmt. interface by mDNS/bonjour name

« on: May 20, 2024, 07:00:13 pm »

If you name it opensense.local and your computer is also on that same top level domain (TLD), like as computer1.local, that should make the trick. If you want to make it more solid, start configuring unbound DNS on the sense and wire the host names for statical IP boxes there.

4

German - Deutsch / Re: OpenVPN mit OTP als 2F

« on: May 20, 2024, 02:17:26 pm »

Hallo

Das würde mich auch interessieren. Bist Du schon weiter gekommen?

5

German - Deutsch / Re: Kein Internet auf LAN

« on: May 19, 2024, 02:50:54 pm »

Hallo

Wenn Du von der Firewall eine Public IP pingen kannst, weil der Upstream Gateway richtig gesetzt ist. Routen braucht es keine, die kannst Du löschen. Unter Firewall / NAT prüfen und auf Automatisch stellen, wenn nicht getan. Statische IP würde ich nicht empfehlen, dafür kannst Du einen DHCP Server konfigurieren unter Services (ISC oder KEA).

6

German - Deutsch / Re: mehrere (3) VLANs auf 1 Port möglich?

« on: May 19, 2024, 02:41:35 pm »

Hallo

Bei Untagged erhältst Du das VLAN, welches im Port interlegt ist, wenn Du einen Verbraucher verbindest, der nicht weiter konfiguriert ist. Ein Port kann nur 1x Untagged und mehrfach Tagged sein.

Beispiel: Port 1 UT VLAN1, T VLAN2, T VLAN3, T VLAN4

Verbinde mit einem PC ohne spezielle Konfiguration, erhält er VLAN1. Du kannst dann aber auch hingehen und in der NIC-Konfig VLAN2, 3 oder 4 wählen, dann ist der Client im entsprechenden VLAN.

Du kannst in der OPNSense opt1 mit VLAN2, VLAN3 und VLAN4 konfigurieren. Das gleiche machst Du auf der Unifi. Dort erfasst Du die Netzwerke mit VLAN2, 3, 4, erstellst SSID's und ordnest denen die VLAN's zu.

Den DHCP würde ich auf der Sense laufen lassen. Im Live View der Firewall siehst Du sofort, welche Rules noch zu erstellen sind.

7

24.1 Legacy Series / LDAP + Timebased OTP does not create user

« on: May 17, 2024, 04:48:27 pm »

Hi all

I have configured an Access Server with LDAP + Timebased OTP configuration. Logging into the portal ends up with the error: No page assigned to this user! Click here to logout.

The user name@domain is in the AD group "VPN" which I have created manually on the local user DB. The VPN group has assigned priviledges to "System: User Password Manager"

The user is not created as described and stated in the WiKi. It shows the same behaviour, when I import the user with the cloud icon.

The log says:
/index.php: Successful login for user 'name@domain' from: IP
user name@domain authenticated successfully for WebGui [using OPNsense\Auth\Services\WebGui + OPNsense\Auth\LDAP]

What else am I missing?

Any help appreciated.

Best,
rene

8

22.7 Legacy Series / OTP auto-enrollment

« on: November 21, 2022, 07:31:42 pm »

I have configured an access server profile for LDAP + Timebased One Time Password and I have now two issues:

- the first login to the portal ist not possible, when I use UserPrincipalName instead of sAMAccountName Attribute. So the user will not be created accordingly. When I change to sAMAccountName, it works as expected. User is being created and the user ends up, where ever I have defined in the security matrix. This is btw something which is perfectly working on pfSense

- I have not figured out how to implement an autoenrolment process. The user should be able to login to his portal shoot the QR to his Auth App and done. It is kind of a chicken and eggs question, so I have to provide the user with a QR to get it done but why . . .?

Do I miss somethings here?

Best, rene