pfSense IPSEC çalışan bir mimaride Active Directory ile authentication başarıyla tamamlayamama problemi

Selamlar,

Kendi yapımdan bahsetmem gerekirse; IPSEC ile bir birine bağlı A ve B noktasından oluşan iki veri merkezim bulunmaktadır.

B noktasından A noktasındaki Active Directory ile LDAP ile bağlanıp, pfSense üzerindeki OpenVPN servisinin authentication işlemlerinin DC tarafından yapılmasını istiyordum.

B noktasından birden fazla networküm, birden fazla IPSEC bağlantım var.

pfSense üzerinden DC erişim konusunda herhangi problem yok, içerideki istemcileriminde DC ulaşmasında, DNS ve LDAP sorgularının sorunsuz gerçekleştiğinin testini aldım.

İlk etapta kullandığım LDAP parametrelerinin hatalı olduğunu düşünerek, farklı LDAP parametreleri ile bir kaç deneme yaptıktan sonra, sorunun buradan kaynaklanmadığını düşünerek tekrar DNS ve IPSEC üzerine yoğunlaştım.

Varsayılan olarak pfSense üzerinde IPSEC yaptığında eğer Outbound NAT işleminiz Otomatik veya Hybrid seçiliyse herhangi bir işlem yapmamamıza gerek kalmıyor, IPSEC otomatik natları arka tarafta kendisi hallediyor.

Sorunda tam olarak burada ortaya çıkıyor, pfSense üzerinden LDAP Authentication olmaya çalışırken pfSense varsayılan olarak 1. LAN interface üzerinden LDAP Sunucusuna gitmeye çalışıyor, doğal olarak benim o networküm IPSEC üzerinde tanımlı bir faz olmadığı için LDAP authentication başarıyla gerçekleşmiyor.

Buradan sorun size basit geliyor olabilir ama, kafanızı karıştıracak eylemler şunlar;

pfSense üzerinden DC’ye DNS isteklerine cevap geliyor, ping var, ilgili servis portları çalışıyor.

Velhasıl kelam pfSense tarafında şöyle bir hata dönerse;

“could not connect to the ldap server. please check the ldap configuration. pfsense”

Çözüm ;

Öncelikle DC ile konuşan yani IPSEC’te ekli olan FAZ için bir Gateway eklemeniz gerekiyor;

Akabinde DC’nin bulunduğu network için aşağıdaki şekilde bir static route yazıyoruz.

Artık pfSense üzerinde LDAP Authentication yaparken eğer erişim hatası alırsanız veya buna benzer bir problem yaşarsanız bu şekilde route yazarak, pfSense kendi seçtiği interface yerine sizin route girdiniz devreye girerek bu erişim problemini ortadan kaldıracaktır.

pfSense tarafı bu konuyu ” Accessing Firewall Services over IPsec” olarak adlandırıyor.