Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Willow9

Pages1
#1
French - Français / Re: Problème de communication dans un VPN SSL Site-to-Site
August 09, 2024, 03:45:42 PM
L'ajout de la configuration suivante sur l'OPNsense Serveur :

Client Specific Overrides
General information   
Disabled : Unchek   

Servers : S2S (49152 / TCP4)
Common name : ClientB
Description :
Connection blocking  : Unchek   

Tunnel Settings
IPv4 Tunnel Network :
IPv6 Tunnel Network :   
IPv4 Local Network :   
IPv6 Local Network :
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  OK

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN
#2
French - Français / Problème de communication dans un VPN SSL Site-to-Site
August 08, 2024, 09:37:29 PM
Bonjour,

Je rencontre un problème de communication dans un VPN SSL Site-to-Site.
Le routeur OPNsense Client ping un poste côté serveur
Le PC côté client ne ping pas un poste côté serveur
Le routeur OPNsense Serveur ne ping pas un poste côté client
Le PC côté serveur ne ping pas un poste côté client

Ma configuration est la suivante

Réseau côté serveur :  192.168.101.0/24
Réseau côté client :  192.168.198.0/24

Serveur
General information
Disabled : Unchek
Description : S2S
Server Mode : Peer to peer (SSL/TLS)
Protocol : TCP4
Device Mode : tun
Interface : WAN
Local port : 49152

Cryptographic Settings
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA   
Peer Certificate Revocation List : None
Server Certificate : OPNsense-VPN-Cert (OPNsense-CA) *In Use
Encryption algorithm (deprecated) : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)
Certificate Depth : Do Not Check

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
Redirect Gateway : Unchek   
IPv4 Local Network : 192.168.101.0/24
IPv6 Local Network :   
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :   
Concurrent connections :
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Duplicate Connections : Unchek   

Client Settings
Dynamic IP : Unchek    
Topology : Unchek   
Client Management Port : Unchek
   
Advanced configuration
Advanced :   
Verbosity level : 3
Force CSO Login Matching : Unchek

Firewall: Rules: WAN
Protocol   Source Port Destination Port Gateway Schedule
IPv4 TCP/UDP * * This Firewall 49152 * *

---

Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Client
General information   
Disabled : Unchek   
Description : client
Server Mode : Peer to Peer ( SSL/TLS )
Protocol : TCP4
Device mode : tun
Interface : WAN
Remote server   
Host or address   Port
81.50.50.50 49152

Retry DNS resolution : Unchek
Proxy host or address   
Proxy port   
Proxy authentication extra options   Authentication method : none
Local port :
   
User Authentication Settings
User name/pass :   
Username :
Password :
Renegotiate time   

Cryptographic Settings   
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA
Client Certificate : altobog (CA: OPNsense-CA) *In Use
Encryption algorithm : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
IPv4 Remote Network : 192.168.101.0/24
IPv6 Remote Network :   
Limit outgoing bandwidth :   
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Don't pull routes : Unchek   
Don't add/remove routes   : Unchek

Advanced configuration
Advanced :   
Verbosity level : 3


Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Statut des connexions
VPN: OpenVPN: Connection Status

S2S TCP4:49152 Client connections
Common Name   Real Address   Virtual Address   Connected Since   Bytes Sent   Bytes Received   Status
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:52   4 KB   3 KB   

S2S TCP4:49152 Routing Table
Common Name   Real Address   Target Network   Last Used   
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:53

Les routes

System: Routes: Status (SERVEUR)    
ipv4   192.168.198.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.1   link#8   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.253.2   link#8   UH   NaN   1500   ovpns1   S2S   

System: Routes: Status (CLIENT)
ipv4   192.168.101.0/24   192.168.253.5   UGS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.1   192.168.253.5   UGHS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.5   link#12   UH   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.6   link#12   UHS   NaN   16384   lo0   Loopback   

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  DOWN

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN
#3
French - Français / Re: Configuration Freeradius avec Active directory W2019
June 15, 2023, 09:44:05 PM
A titre d'information
Le systèmes d'identité LDAP avec Freeradius  est compatible uniquement avec le protocole d'authentification PAP

Quotehttp://deployingradius.com/documents/protocols/oracles.html
https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/
#4
French - Français / Re: Configuration Freeradius avec Active directory W2019
June 15, 2023, 07:32:38 PM
Remarque  :
Les connexions TTLS/PAP fonctionnent.
Néanmoins  cette méthode n'est pas très sécurisée car elle  est vulnérable aux attaques Man-in-the-Middle.

Le protocole que je souhaite mettre en place est le PEAP/MSCHAPv2
#5
French - Français / Configuration Freeradius avec Active directory W2019
June 15, 2023, 05:22:40 PM
Bonjour,

J'ai le message d'erreur suivant lors des tentatives de connexion en WiFi avec l'authentification RADIUS et  un connecteur LDAP (Active directory) :

QuoteAuth: (1) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 cli AC-XX-XX-XX-XX-XX)   
Auth: (1) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 via TLS tunnel)

Pour Information:
Version OPNsense : OPNsense 23.1.9-amd64
Serveur LDAP : Windows Serveur 2019

Configuration du connecteur LDAP Freeradius

QuoteInner-Tunnel LDAP : check   
Protocol Type : LDAP
Server : 192.168.200.1
Server Port : 389
Certificate : none
Start TLS : uncheck
   
Bind User : CN=bind,CN=Users,DC=mondomaine,DC=local
Bind Password : •••••••••••
Base DN : DC=mondomaine,DC=local
User Filter : (sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})
Group Filter : empty

Le module Freeradius est il compatible avec les serveur LDAP Windows (Active directory), dans mon cas Window serveur 2019
Pages1