LDAP-Verbindung über dediziertes Interface

[chess]

Hallo Zusammen

Aktuell versuche ich auf der OPNsense eine LDAP-Verbindung für einen VPN-Zugang zu hinterlegen.
Auf der OPNsense habe ich unter: "System: Access: Servers" eine Verbindung zum LDAP-Server konfiguriert.
Leider kann keine Verbindung zum LDAP-Server hergestellt werden, da automatisch das Default-Interface verwendet wird und dieses nicht mit dem LDAP-Server kommunizieren kann.

Meine Frage: Gibt es eine Möglichkeit zu definieren, über welches Interface die LDAP-Verbindung hergestellt werden soll?

Vielen Dank für Euren Input :)

[lfirewall1243]

Es wird nicht das Default Interface sondern das Default Gateway genommen.

Ich nehme an, der LDAP Server hängt in einem Subnetz, welches nicht direkt an der OPNsense angeschlossen ist.

Leg ein Gateway für das Subnetz an und hinterlegt eine Route dafür in der OPNsense

[chess]

Danke vielmals für die schnelle Antwort.

Für die Verbindung zum LDAP-Server wird ein IPsec-Tunnel verwenden. Ich habe ein neues Gateway hinzugefügt und im gleichen Netzwerk wie wie der LDAP-Server hinterlegt.
Beim Routing habe ich verschiedene Ansätze versucht. Zum einen habe ich unter: System: Routes: Configuration eine statische Route ins Netzwerk vom LDAP-Server konfiguriert.
Zum anderen habe ich unter: Firewall: NAT:.. eine Outbound Rule konfiguriert.

Leider konnte ich immer noch nicht den LDAP-Server erreichen. Wäre das Vorgehen prinzipiell richtig oder habt ihr einen anderen Vorschlag?

[lfirewall1243]

Kannst du ihn gernerell nicht erreichen ?

Geht ein Ping von der OPNsense durch?

[User123]

Hallo,

ich hole hier mal den alten Thread raus, da ich gerade vor dem selben Problem stehe.

Die LDAP Verbindung soll über einen IPsec Tunnel zwischen zwei OPNsensen aufgebaut werden.
Der Ping von der OPNsense zum LDAP Server funktioniert, wenn ich als Quelladresse eine Interface-IP der OPNsense angebe, für die auch ein IPsec Tunnel besteht.
Ohne Angabe einer Quelladresse geht der Ping nicht durch.
Einwandfrei hingegen funktioniert allerdings die DNS Auflösung von Unbound DNS, welche für die AD Domain per Query Forwarding den Windows DNS Server über den IPsec Tunnel abfrägt.
Das Routing aus den verschiedenen lokalen Netzen per IPsec in die Remote Netze und umgekehrt funktioniert ebenfalls wie gewünscht.

In der Firewall Diagnose ist auch zu sehen, dass die OPNsense die LDAP Verbindung über die WAN-IP am WAN Interface aufbauen möchte, statt über den IPsec Tunnel.
Eine statische Route habe ich testweise schon versucht, allerdings auch ohne Erfolg.

Wie kann ich erreichen, dass die OPNsense nicht das WAN Interface wählt, sondern die Verbindung über den IPsec Tunnel schickt?

Vielen Dank!

[Patrick M. Hausen]

Ich hab meine ganze Karriere lang immer nur Policy Based Tunnel aufgebaut mit IPsec und vermute mal, das ist jetzt bei dir auch der Fall. Dann hast du einfach kein Interface mit einer Adresse, die als Source benutzt werden kann, für eine Verbindung, die von der Firewall ausgehend in den Tunnel soll.

Die einleitenden Worte, um zu erklären, weshalb ich nicht weiß, ob das bei einem Route Based IPsec VPN anders ist.

Was ich dir vorschlagen kann: wenn beide Seiten OPNsense sind, dann nimm doch WireGuard. Leg ein Transfernetz auf den Tunnel selbst, und dann fluppt das problemlos - bei korrekter Konfiguration, natürlich.

[User123]

Ja genau, das scheint wohl das Problem zu sein.
Der Tunnel ist Policy Based.

Was allerdings verwunderlich ist, wieso dann die DNS Weiterleitung über den Tunnel an den AD DNS Server funktioniert, da Unbound auch auf der OPNsense läuft?

Falls ich tatsächlich nicht weiterkomme, werde ich mal einen WireGuard Tunnel testen.
Wenn als Source das LAN Interface benutzt würde, sollte es meiner Meinung nach aber klappen, zumindest verhält sich der Ping von der OPNsense aus so.

Gibt es evtl. eine Möglichkeit, die Source IP bzw. Interface am LDAP Client auszuwählen oder festzulegen?

[Patrick M. Hausen]

Unbound kennt ein Query Source Interface. Der LDAP-Client nicht.