Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
« previous
next »
Print
Pages: [
1
]
Author
Topic: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?) (Read 3023 times)
c-mu
Full Member
Posts: 210
Karma: 5
Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
on:
February 03, 2020, 01:14:24 pm »
Hallo,
ich möchte auf einer Remote OPNSense instanz einen Freeradius Server installieren, der seine LDAP Anfragen via VPN an meinen Standort stellt.
Bei FreeRadius gebe ich also meine IP vom LDAP Server ein. Der Dienst startet aber nicht, da sein Default inferface (WAN) die ZielIP nicht erreichen kann.
Ich habe dann versucht mit eine NAT Rule (outbound) zu bauen:
Interface: WAN
Source: WAN Address
Source Port: *
Destination: LDAP-IP/32
Destination Port: *
NAT Address: LAN
NAT Port: *
Static Port: NO
In meinem Log sehe ich nun auch, dass das WAN Interface mit der LAN IP versucht den Server zu erreichen, es wird also richtig genattet. Geht aber ja immer noch nicht, weil er nachwievor das WAN interface nutzt.
Wenn mit einem Port Probe mit der LAN Address den LDAP Server zu erreichen, funktioniert das, der VPN Tunnel ist korrekt installiert.
Also:
hat jemand eine Idee, wie ich Freeradius erzwingen kann, dass er das LAN Interface zu nutzen hat?
Danke!
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #1 on:
February 03, 2020, 02:59:35 pm »
Du kannst die WAN-IP mit /32 als zusätzliche IPSec SA mit aufnehmen, dann wird das in den Tunnel geschoben.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
c-mu
Full Member
Posts: 210
Karma: 5
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?) *solved*
«
Reply #2 on:
February 04, 2020, 08:38:20 am »
Danke,
das ist die Lösung! Auf die Idee wäre ich auch gar nicht gekommen, weil ich so auf NAT fixiert war. Wieder was gelernt!
Logged
markusd
Newbie
Posts: 27
Karma: 2
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #3 on:
February 05, 2020, 07:35:23 pm »
Hallo zusammen,
darf ich hier noch mal nachhaken?
Des Rätsels Lösung war, nur die "eigene" WAN-IP mit /32 als zusätzliche IPSec SA bei der Tunneleinrichtung mit aufzunehmen?
Nur "Client-seitig"?
Oder benötigt man zusätzlich die besagten Nat-Regeln?
Sorry, aber ich konnte das hier nicht erfolgreich nachvollziehen...
(ähnliches Szenario: LDAP-Anfrage durch den Tunnel, allerdings clientseitig mit dynamischer IP)
Danke und Gruß!
Markus
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #4 on:
February 05, 2020, 10:18:43 pm »
Kein NAT, remote network ist dann das LAN vom LDAP server
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #5 on:
February 06, 2020, 06:20:51 pm »
Kein NAT, OK
heisst:
-das alles in den Tunnel geschoben wird?
-man noch irgendwelche FW-Regeln benötigt, die das dann erlauben?
-es mit ner dyn. IP aufwendig wird?
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #6 on:
February 06, 2020, 07:19:44 pm »
Dynamische IP sehe ich sehr schlechte Chancen. Dann nimmst du lieber OpenVPN, vielleicht gehts damit besser.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #7 on:
February 06, 2020, 07:40:31 pm »
Jo, mal sehen...
Danke!
Logged
cdn
Newbie
Posts: 17
Karma: 0
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #8 on:
June 04, 2024, 01:49:52 pm »
Ich würde das Thema gerade nochmal aufgreifen, da ich vor einem ähnlichen Problem stehe:
Der LDAP-Server ist via openVPN angebunden. Die Anfragen gehen aber leider nicht über diese openVPN-Verbindung raus. Wie bringe ich dem Freeradius bei, dass dieser bitte über die VPN-Verbindung rausgeht? Routen sehen alle korrekt aus.
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #9 on:
June 04, 2024, 06:31:02 pm »
Bei OpenVPN ist das kein Problem,braucht auch kein NAT. Es muss nur die Route da sein
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
cdn
Newbie
Posts: 17
Karma: 0
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #10 on:
June 04, 2024, 10:31:58 pm »
Ja genau das hat aber leider nicht funktioniert, da die Absender IP dann die des Tunnelnetzwerkes ist, wodurch der Radius Server nicht den LDAP Server erreichen konnte. Habe jetzt aber eine Outbound NAT Regel erstellt, damit funktioniert es dann.
Zur Authentifizierung bei der WPA2 Enterprise Verschlüsselung auf den UniFi APs hat’s dann leider doch nicht gereicht. Das klappt einfach nicht und ich finde im Internet leider auch kein Tutorial, welche Einstellungen man am besten im Radiusserver wählt.
Die Werte hast du nicht zufällig? :-)
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #11 on:
June 05, 2024, 05:31:28 am »
Nein, einfach die NPS Rolle auf den DC oder sonst ein Server und dann macht Windows den Radius, dann geht's
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
cdn
Newbie
Posts: 17
Karma: 0
Re: Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)
«
Reply #12 on:
June 05, 2024, 09:40:43 am »
Alles klar, ich habs mir fast gedacht :-)
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Freeradius LDAP: LAN interfce anstatt WAN? (NAT?)