Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)

Started by c-mu, February 03, 2020, 01:14:24 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 03, 2020, 01:14:24 PM
Hallo,
ich möchte auf einer Remote OPNSense instanz einen Freeradius Server installieren, der seine LDAP Anfragen via VPN an meinen Standort stellt.

Bei FreeRadius gebe ich also meine IP vom LDAP Server ein. Der Dienst startet aber nicht, da sein Default inferface (WAN) die ZielIP nicht erreichen kann.

Ich habe dann versucht mit eine NAT Rule (outbound) zu bauen:

Interface: WAN
Source: WAN Address
Source Port: *
Destination: LDAP-IP/32
Destination Port: *
NAT Address: LAN
NAT Port: *
Static Port: NO

In meinem Log sehe ich nun auch, dass das WAN Interface mit der LAN IP versucht den Server zu erreichen, es wird also richtig genattet. Geht aber ja immer noch nicht, weil er nachwievor das WAN interface nutzt.

Wenn mit einem Port Probe mit der LAN Address den LDAP Server zu erreichen, funktioniert das, der VPN Tunnel ist korrekt installiert.

Also:
hat jemand eine Idee, wie ich Freeradius erzwingen kann, dass er das LAN Interface zu nutzen hat?
Danke!
February 03, 2020, 02:59:35 PM #1
Du kannst die WAN-IP mit /32 als zusätzliche IPSec SA mit aufnehmen, dann wird das in den Tunnel geschoben.
February 04, 2020, 08:38:20 AM #2
Danke,
das ist die Lösung! Auf die Idee wäre ich auch gar nicht gekommen, weil ich so auf NAT fixiert war. Wieder was gelernt!
February 05, 2020, 07:35:23 PM #3
Hallo zusammen,
darf ich hier noch mal nachhaken?
Des Rätsels Lösung war, nur die "eigene" WAN-IP mit /32 als zusätzliche IPSec SA bei der Tunneleinrichtung mit aufzunehmen?
Nur "Client-seitig"?
Oder benötigt man zusätzlich die besagten Nat-Regeln?
Sorry, aber ich konnte das hier nicht erfolgreich nachvollziehen...
(ähnliches Szenario: LDAP-Anfrage durch den Tunnel, allerdings clientseitig mit dynamischer IP)

Danke und Gruß!

Markus
February 05, 2020, 10:18:43 PM #4
Kein NAT, remote network ist dann das LAN vom LDAP server
February 06, 2020, 06:20:51 PM #5
Kein NAT, OK
heisst:
-das alles in den Tunnel geschoben wird?
-man noch irgendwelche FW-Regeln benötigt, die das dann erlauben?
-es mit ner dyn. IP aufwendig wird?
February 06, 2020, 07:19:44 PM #6
Dynamische IP sehe ich sehr schlechte Chancen. Dann nimmst du lieber OpenVPN, vielleicht gehts damit besser.
February 06, 2020, 07:40:31 PM #7
Jo, mal sehen...
Danke!
June 04, 2024, 01:49:52 PM #8
Ich würde das Thema gerade nochmal aufgreifen, da ich vor einem ähnlichen Problem stehe:

Der LDAP-Server ist via openVPN angebunden. Die Anfragen gehen aber leider nicht über diese openVPN-Verbindung raus. Wie bringe ich dem Freeradius bei, dass dieser bitte über die VPN-Verbindung rausgeht? Routen sehen alle korrekt aus.
June 04, 2024, 06:31:02 PM #9
Bei OpenVPN ist das kein Problem,braucht auch kein NAT. Es muss nur die Route da sein
June 04, 2024, 10:31:58 PM #10
Ja genau das hat aber leider nicht funktioniert, da die Absender IP dann die des Tunnelnetzwerkes ist, wodurch der Radius Server nicht den LDAP Server erreichen konnte. Habe jetzt aber eine Outbound NAT Regel erstellt, damit funktioniert es dann.

Zur Authentifizierung bei der WPA2 Enterprise Verschlüsselung auf den UniFi APs hat's dann leider doch nicht gereicht. Das klappt einfach nicht und ich finde im Internet leider auch kein Tutorial, welche Einstellungen man am besten im Radiusserver wählt.
Die Werte hast du nicht zufällig? :-)
June 05, 2024, 05:31:28 AM #11
Nein, einfach die NPS Rolle auf den DC oder sonst ein Server und dann macht Windows den Radius, dann geht's
June 05, 2024, 09:40:43 AM #12
Alles klar, ich habs mir fast gedacht :-)
Print
Go Up Pages1
User actions