OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Willow9 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Willow9

Pages: [1]
1
French - Français / Re: Problème de communication dans un VPN SSL Site-to-Site
« on: August 09, 2024, 03:45:42 pm »
L'ajout de la configuration suivante sur l'OPNsense Serveur :

Client Specific Overrides
General information   
Disabled : Unchek   

Servers : S2S (49152 / TCP4)
Common name : ClientB
Description :
Connection blocking  : Unchek   

Tunnel Settings
IPv4 Tunnel Network :
IPv6 Tunnel Network :   
IPv4 Local Network :   
IPv6 Local Network :
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  OK

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN

2
French - Français / Problème de communication dans un VPN SSL Site-to-Site
« on: August 08, 2024, 09:37:29 pm »
Bonjour,

Je rencontre un problème de communication dans un VPN SSL Site-to-Site.
Le routeur OPNsense Client ping un poste côté serveur
Le PC côté client ne ping pas un poste côté serveur
Le routeur OPNsense Serveur ne ping pas un poste côté client
Le PC côté serveur ne ping pas un poste côté client

Ma configuration est la suivante

Réseau côté serveur :  192.168.101.0/24
Réseau côté client :  192.168.198.0/24

Serveur
General information
Disabled : Unchek
Description : S2S
Server Mode : Peer to peer (SSL/TLS)
Protocol : TCP4
Device Mode : tun
Interface : WAN
Local port : 49152

Cryptographic Settings
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA   
Peer Certificate Revocation List : None
Server Certificate : OPNsense-VPN-Cert (OPNsense-CA) *In Use
Encryption algorithm (deprecated) : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)
Certificate Depth : Do Not Check

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
Redirect Gateway : Unchek   
IPv4 Local Network : 192.168.101.0/24
IPv6 Local Network :   
IPv4 Remote Network : 192.168.198.0/24
IPv6 Remote Network :   
Concurrent connections :
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Duplicate Connections : Unchek   

Client Settings
Dynamic IP : Unchek    
Topology : Unchek   
Client Management Port : Unchek
   
Advanced configuration
Advanced :   
Verbosity level : 3
Force CSO Login Matching : Unchek

Firewall: Rules: WAN
Protocol   Source Port Destination Port Gateway Schedule
IPv4 TCP/UDP * * This Firewall 49152 * *

---

Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Client
General information   
Disabled : Unchek   
Description : client
Server Mode : Peer to Peer ( SSL/TLS )
Protocol : TCP4
Device mode : tun
Interface : WAN
Remote server   
Host or address   Port
81.50.50.50 49152

Retry DNS resolution : Unchek
Proxy host or address   
Proxy port   
Proxy authentication extra options   Authentication method : none
Local port :
   
User Authentication Settings
User name/pass :   
Username :
Password :
Renegotiate time   

Cryptographic Settings   
TLS Authentication : Disabled
TLS Shared Key    Automatically generate a shared TLS authentication key.
Peer Certificate Authority : OPNsense-CA
Client Certificate : altobog (CA: OPNsense-CA) *In Use
Encryption algorithm : AES-256-CBC (256 bit key, 128 bit block)
Auth Digest Algorithm : SHA1 (160-bit)

Tunnel Settings
IPv4 Tunnel Network : 192.168.253.0/24
IPv6 Tunnel Network :   
IPv4 Remote Network : 192.168.101.0/24
IPv6 Remote Network :   
Limit outgoing bandwidth :   
Compression : Enabled - LZO algorithm (--compress lzo)
Type-of-Service   : Unchek
Don't pull routes : Unchek   
Don't add/remove routes   : Unchek

Advanced configuration
Advanced :   
Verbosity level : 3


Firewall: Rules: OpenVPN
Protocol   Source Port Destination Port Gateway Schedule
IPv4+6* * * * * *

Statut des connexions
VPN: OpenVPN: Connection Status

S2S TCP4:49152 Client connections
Common Name   Real Address   Virtual Address   Connected Since   Bytes Sent   Bytes Received   Status
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:52   4 KB   3 KB   

S2S TCP4:49152 Routing Table
Common Name   Real Address   Target Network   Last Used   
client   81.30.30.30:43580   192.168.253.6   2024-08-08 15:17:53

Les routes

System: Routes: Status (SERVEUR)    
ipv4   192.168.198.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.0/24   192.168.253.2   UGS   NaN   1500   ovpns1   S2S       
ipv4   192.168.253.1   link#8   UHS   NaN   16384   lo0   Loopback       
ipv4   192.168.253.2   link#8   UH   NaN   1500   ovpns1   S2S   

System: Routes: Status (CLIENT)
ipv4   192.168.101.0/24   192.168.253.5   UGS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.1   192.168.253.5   UGHS   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.5   link#12   UH   NaN   1500   ovpnc2   S2S       
ipv4   192.168.253.6   link#12   UHS   NaN   16384   lo0   Loopback   

Test
Test de ping depuis l'Opnsense Client
Ping vers le : 192.168.101.11  OK

Test de ping depuis un poste coté Client
Ping vers le : 192.168.101.11  DOWN

Test de ping depuis l'Opnsense Serveur
Ping vers le : 192.168.198.6  DOWN

Test de ping depuis un poste coté Serveur
Ping vers le : 192.168.101.11  DOWN

3
French - Français / Re: Configuration Freeradius avec Active directory W2019
« on: June 15, 2023, 09:44:05 pm »
A titre d'information
Le systèmes d'identité LDAP avec Freeradius  est compatible uniquement avec le protocole d'authentification PAP

Quote
http://deployingradius.com/documents/protocols/oracles.html
https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/

4
French - Français / Re: Configuration Freeradius avec Active directory W2019
« on: June 15, 2023, 07:32:38 pm »
Remarque  :
Les connexions TTLS/PAP fonctionnent.
Néanmoins  cette méthode n'est pas très sécurisée car elle  est vulnérable aux attaques Man-in-the-Middle.

Le protocole que je souhaite mettre en place est le PEAP/MSCHAPv2

5
French - Français / Configuration Freeradius avec Active directory W2019
« on: June 15, 2023, 05:22:40 pm »
Bonjour,

J'ai le message d'erreur suivant lors des tentatives de connexion en WiFi avec l'authentification RADIUS et  un connecteur LDAP (Active directory) :

Quote
Auth: (1) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 cli AC-XX-XX-XX-XX-XX)   
Auth: (1) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 via TLS tunnel)

Pour Information:
Version OPNsense : OPNsense 23.1.9-amd64
Serveur LDAP : Windows Serveur 2019

Configuration du connecteur LDAP Freeradius

Quote
Inner-Tunnel LDAP : check   
 Protocol Type : LDAP
 Server : 192.168.200.1
 Server Port : 389
 Certificate : none
 Start TLS : uncheck
   
 Bind User : CN=bind,CN=Users,DC=mondomaine,DC=local
 Bind Password : •••••••••••
 Base DN : DC=mondomaine,DC=local
 User Filter : (sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})
 Group Filter : empty

Le module Freeradius est il compatible avec les serveur LDAP Windows (Active directory), dans mon cas Window serveur 2019

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2