{"id":1869,"date":"2020-12-28T13:23:19","date_gmt":"2020-12-28T12:23:19","guid":{"rendered":"http:\/\/blogperso.union31.fr\/?p=1869"},"modified":"2021-01-03T09:35:04","modified_gmt":"2021-01-03T08:35:04","slug":"gns3-radius-et-authentification-pc-windows-sous-domaine","status":"publish","type":"post","link":"https:\/\/blogperso.union31.fr\/?p=1869","title":{"rendered":"GNS3 : Radius et authentification PC Windows (sous domaine)"},"content":{"rendered":"\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sommaire<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#I_Objectifs\" >I Objectifs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#II_Presentation_infrastructure_utilisee\" >II Pr\u00e9sentation infrastructure utilis\u00e9e<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#III_Serveur_DHCP_Windows\" >III Serveur DHCP Windows<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#IV_Serveur_Radius\" >IV Serveur Radius<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#V_Configuration_routeur\" >V Configuration routeur<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#V1_Configuration_des_VLAN_et_de_la_redirection_des_requetes_DCHP\" >V.1 Configuration des VLAN et de la redirection des requ\u00eates DCHP<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#V2_Configuration_du_serveur_radius_et_interface_qui_doit_changer_de_Vlan\" >V.2 Configuration du serveur radius et interface qui doit changer de Vlan<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#V3_Configuration_des_interfaces\" >V.3 Configuration des interfaces<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#VI_Tests_de_bon_fonctionnement\" >VI Tests de bon fonctionnement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/blogperso.union31.fr\/?p=1869\/#VII_Conclusion\" >VII Conclusion<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"I_Objectifs\"><\/span>I Objectifs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L&rsquo;objectif est d&rsquo;ouvrir le r\u00e9seau d&rsquo;entreprise pour un personnel connu. <\/p>\n\n\n\n<p>Le personnel sera identifi\u00e9 par un compte et mot de passe utilisateur utilis\u00e9 lors de l&rsquo;ouverture de session. Il faudra \u00e9galement prendre en compte l&rsquo;authentification du compte ordinateur pour ouvrir un VLAN sp\u00e9cifique afin que l&rsquo;ordinateur puisse discuter avec le contr\u00f4leur de domaine et valider le compte utilisateur de domaine. Ce ne sera qu&rsquo;apr\u00e8s cette \u00e9tape que la demande d&rsquo;authentification Radius sera envoy\u00e9e.<\/p>\n\n\n\n<p>Pour cela il sera utilis\u00e9 :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>un serveur Free Radius sous Linux, non reli\u00e9 au contr\u00f4leur de domaine &#8211; les comptes seront renseign\u00e9s manuellement ;<\/li><li>un serveur Windows faisant office de contr\u00f4leur de domaine, de serveur DNS et de serveur DHCP ;<\/li><li>un PC sous Windows 10.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"II_Presentation_infrastructure_utilisee\"><\/span>II Pr\u00e9sentation infrastructure utilis\u00e9e<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L&rsquo;infrastructure sera la suivante :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"425\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/infrastructure_radius2-1024x425.png\" alt=\"\" class=\"wp-image-1875\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/infrastructure_radius2-1024x425.png 1024w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/infrastructure_radius2-300x124.png 300w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/infrastructure_radius2-768x318.png 768w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/infrastructure_radius2.png 1071w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Les PC1 et 2 sont pr\u00e9sents pour tester le DHCP dans le VLAN 10 et 20. Pour le VLAN 10 le r\u00e9seau sera 192.168.10.0 et la passerelle sera 192.168.10.254<\/p>\n\n\n\n<p>Le PC Windows 10 servira de test. Il sera dans le VLAN 20 en tant qu&rsquo;invit\u00e9. Et si l&rsquo;utilisateur sera authentifi\u00e9, le PC basculera dans le VLAN 10. Le VLAN 20 au pour r\u00e9seau 192.178.20.0 et pour adresse de passerelle 192.168.20.254.<\/p>\n\n\n\n<p>Les 2 serveurs, Free Radius et Windows, sont dans le VLAN 30 qui ont respectivement les @IP 192.168.30.100 et 192.168.30.101. L&rsquo;adresse IP de passerelle sera 192.168.0.254.<\/p>\n\n\n\n<p>L&rsquo;ordinateur aura comme nom \u00ab\u00a0PC1&Prime; et sera dans le domaine &lsquo;domaine.local\u00a0\u00bb<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"III_Serveur_DHCP_Windows\"><\/span>III Serveur DHCP Windows<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Apr\u00e8s avoir install\u00e9 le service DHCP sur le serveur, il faut d\u00e9finir les \u00e9tendues des VLAN 10 et 20.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"969\" height=\"351\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_DHCP.png\" alt=\"\" class=\"wp-image-1883\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_DHCP.png 969w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_DHCP-300x109.png 300w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_DHCP-768x278.png 768w\" sizes=\"auto, (max-width: 969px) 100vw, 969px\" \/><\/figure>\n\n\n\n<p>Pour chaque \u00e9tendue, ne pas oublier de renseigner la passerelle. Ici nomm\u00e9 \u00ab\u00a0Routeur\u00a0\u00bb qui contiendra la passerelle \u00e0 utiliser par le PC.<\/p>\n\n\n\n<p><span style=\"text-decoration: underline;\">Remarque :<\/span> <strong>ne pas regrouper ces \u00e9tendues dans une \u00e9tendue globale<\/strong>. Si regroup\u00e9, le serveur DHCP reverra la m\u00eame @ip quelque soit le VLAN source du PC demandeur.<\/p>\n\n\n\n<p>A ce stade, le serveur DHCP est pr\u00eat. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IV_Serveur_Radius\"><\/span>IV Serveur Radius<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Pour le serveur Radius, on va d\u00e9finir les comptes utilisateurs et ordinateurs \u00e0 authentifier. Pour cela nous allons ajouter les lignes suivantes dans le fichier <strong>\/etc\/freeradius\/3.0\/users<\/strong> :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"410\" height=\"208\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_users.png\" alt=\"\" class=\"wp-image-1884\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_users.png 410w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_users-300x152.png 300w\" sizes=\"auto, (max-width: 410px) 100vw, 410px\" \/><\/figure>\n\n\n\n<p>Ici nous autorisons :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>un compte local nomm\u00e9 \u00ab\u00a0Xavior\u00a0\u00bb qui pourra travailler dans le VLAN 10<\/li><li>le compte d&rsquo;ordinateur \u00ab\u00a0PC1\u00a0\u00bb qui pourra travailler dans le VLAN 20 :<ul><li>ne connaissant pas le mot de passe du compte d&rsquo;ordinateur, nous indiquons au serveur Radius de ne pas v\u00e9rifier le mot de passe et de retourner une authentification r\u00e9ussie (Auth-Type := Accept).<\/li><\/ul><\/li><\/ul>\n\n\n\n<p class=\"has-vivid-red-color has-text-color\"><strong><span style=\"text-decoration: underline;\">Attention :<\/span> pour MS-CHAP le fait de forcer l&rsquo;authentification cela ne marchera pas !<\/strong> &#8211;&gt; DONC d\u00e9finition d&rsquo;un vlan-invit\u00e9 \u00e0 faire sur le routeur. Ce sera le 20.<\/p>\n\n\n\n<p>Rappel si pas d\u00e9j\u00e0 fait :<\/p>\n\n\n\n<p>Pour que le param\u00e8tre VLAN soit renvoy\u00e9 il faut modifier le fichier \/etc\/freeradius\/3.0\/mods-avalaible\/<strong>eap.conf<\/strong>. Dans les rubriques peap et\/ou ttls il faut ces valeurs comme suivant (d\u00e9finie par d\u00e9faut \u00e0 \u00ab&nbsp;no&nbsp;\u00bb) :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>copy_request_to_tunnel = yes\nuse_tunneled_reply = yes<\/code><\/pre>\n\n\n\n<p>Pour visualiser les log de connexion il faut modifier les param\u00e8tres du serveur radius. Pour cela aller dans le fichier radiusd.conf et faire en sorte que les lignes ci-dessous apparaissent :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>auth = yes\nauth_badpass = yes\nauth_goodpass = yes<\/code><\/pre>\n\n\n\n<p>Une fois ces modifications effectu\u00e9es, il faut relancer le service freeradius :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>systemctl restart freeradius<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"V_Configuration_routeur\"><\/span>V Configuration routeur<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il va falloir configurer plusieurs domaines : les VLAN, les redirections DHCP, le serveur radius et les interfaces.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"V1_Configuration_des_VLAN_et_de_la_redirection_des_requetes_DCHP\"><\/span>V.1 Configuration des VLAN et de la redirection des requ\u00eates DCHP<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nous avons 3 vlan \u00e0 configurer :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>le VLAN 10 avec une redirection des requetes DHCP vers le serveur DHCP ;<\/li><li>le VLAN 20 avec une redirection des requ\u00eates DHCP vers le serveur DHCP ;<\/li><li>le VLAN 30.<\/li><\/ul>\n\n\n\n<p>Extrait running-config :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>interface Vlan10\n ip address 192.168.10.254 255.255.255.0\n ip helper-address 192.168.30.101\n!\ninterface Vlan20\n ip address 192.168.20.254 255.255.255.0\n ip helper-address 192.168.30.101\n!\ninterface Vlan30\n ip address 192.168.30.254 255.255.255.0\n<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"V2_Configuration_du_serveur_radius_et_interface_qui_doit_changer_de_Vlan\"><\/span>V.2 Configuration du serveur radius et interface qui doit changer de Vlan<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ici nous allons ajouter les mod\u00e8les pour les requetes RADIUS.<\/p>\n\n\n\n<p>Extrait Running-config :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>aaa new-model\n!\n!\naaa authentication dot1x default group radius\naaa authorization network default group radius \n<\/code><\/pre>\n\n\n\n<p>Puis activer le type d&rsquo;authentification Radius, l&rsquo;adresse ip du serveur RADIUS et le code secret associ\u00e9<\/p>\n\n\n\n<p>Extrait Running-config :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>dot1x system-auth-control\nradius-server host 192.168.30.100 auth-port 1812 acct-port 1813\nradius-server key test<\/code><\/pre>\n\n\n\n<p>Remarque : voir article pr\u00e9c\u00e9dent pour d\u00e9finir sur le serveur freeradius le mot de passe \u00ab\u00a0secret\u00a0\u00bb.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"V3_Configuration_des_interfaces\"><\/span>V.3 Configuration des interfaces<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Pour les interfaces 1,2 14 et 15 (PC1, PC2, serveur Linux et Windows) : on associe les interfaces au bon VLAN<\/p>\n\n\n\n<p>extrait running config :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\ninterface FastEthernet1\/1\n switchport access vlan 10\n!\ninterface FastEthernet1\/2\n switchport access vlan 20\n!\n\ninterface FastEthernet1\/14\n switchport access vlan 30\n!\ninterface FastEthernet1\/15\n switchport access vlan 30\n!\n<\/code><\/pre>\n\n\n\n<p>Il reste \u00e0 d\u00e9finir l&rsquo;interface 1\/3 sur lequel est connect\u00e9 Windows 10 :<\/p>\n\n\n\n<p>Extrait running-config<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>interface FastEthernet1\/3\n dot1x pae authenticator\n dot1x port-control auto\n dot1x auth-fail vlan 20\n dot1x guest-vlan 20\n<\/code><\/pre>\n\n\n\n<p>Ici on indique par d\u00e9faut que le port est ouvert et positionn\u00e9 sur le VLAN 20 (auth-fail et guest-vlan).<\/p>\n\n\n\n<p>Ce VLAN pourra contacter le contr\u00f4leur de domaine. C&rsquo;est obligatoire pour que Windows valide un compte de domaine.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"VI_Tests_de_bon_fonctionnement\"><\/span>VI Tests de bon fonctionnement<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Au d\u00e9marrage du PC, et avant l&rsquo;ouverture de session, le PC Windows envoie une trame radius avec comme identifiant le nom de l&rsquo;ordinateur :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"801\" height=\"46\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log1.png\" alt=\"\" class=\"wp-image-1907\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log1.png 801w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log1-300x17.png 300w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log1-768x44.png 768w\" sizes=\"auto, (max-width: 801px) 100vw, 801px\" \/><\/figure>\n\n\n\n<p>Le PC est dans le VLAN 20 :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>VLAN Name                             Status    Ports\n---- -------------------------------- --------- -------------------------------\n1    default                          active    Fa1\/0, Fa1\/4, Fa1\/5, Fa1\/6\n                                                Fa1\/7, Fa1\/8, Fa1\/9, Fa1\/10\n                                                Fa1\/11, Fa1\/12, Fa1\/13\n10   VLAN0010                         active    Fa1\/1\n20   VLAN0020                         active    Fa1\/2, Fa1\/3\n30   VLAN0030                         active    Fa1\/14, Fa1\/15 <\/code><\/pre>\n\n\n\n<p>Lors de l&rsquo;ouverture d&rsquo;une session, le compte et mot de passe est transmis au serveur Radius :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"801\" height=\"39\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log2.png\" alt=\"\" class=\"wp-image-1908\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log2.png 801w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log2-300x15.png 300w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log2-768x37.png 768w\" sizes=\"auto, (max-width: 801px) 100vw, 801px\" \/><\/figure>\n\n\n\n<p>Le VLAN est alors chang\u00e9 et passe du 20 au 10 :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>VLAN Name                             Status    Ports\n---- -------------------------------- --------- -------------------------------\n1    default                          active    Fa1\/0, Fa1\/4, Fa1\/5, Fa1\/6\n                                                Fa1\/7, Fa1\/8, Fa1\/9, Fa1\/10\n                                                Fa1\/11, Fa1\/12, Fa1\/13\n<span class=\"has-inline-color has-vivid-purple-color\">10   VLAN0010 <\/span>                        active    Fa1\/1, <span class=\"has-inline-color has-vivid-purple-color\">Fa1\/3<\/span>\n20   VLAN0020                         active    Fa1\/2\n30   VLAN0030                         active    Fa1\/14, Fa1\/15<\/code><\/pre>\n\n\n\n<p>Et l&rsquo;adresse IP est bien dans le bon r\u00e9seau :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"503\" height=\"187\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_1.png\" alt=\"\" class=\"wp-image-1909\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_1.png 503w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_1-300x112.png 300w\" sizes=\"auto, (max-width: 503px) 100vw, 503px\" \/><\/figure>\n\n\n\n<p>En revanche, si une connexion est effectu\u00e9e avec un autre compte non connu du serveur Radius :<\/p>\n\n\n\n<p>Les logs du serveurs Radius :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"799\" height=\"47\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log3.png\" alt=\"\" class=\"wp-image-1912\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log3.png 799w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log3-300x18.png 300w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/serveur_freeradius_log3-768x45.png 768w\" sizes=\"auto, (max-width: 799px) 100vw, 799px\" \/><\/figure>\n\n\n\n<p>Le Vlan 20 est s\u00e9lectionn\u00e9 :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>VLAN Name                             Status    Ports\n---- -------------------------------- --------- -------------------------------\n1    default                          active    Fa1\/0, Fa1\/4, Fa1\/5, Fa1\/6\n                                                Fa1\/7, Fa1\/8, Fa1\/9, Fa1\/10\n                                                Fa1\/11, Fa1\/12, Fa1\/13\n10   VLAN0010                         active    Fa1\/1\n<span class=\"has-inline-color has-vivid-purple-color\">20   VLAN0020 <\/span>                        active    Fa1\/2, <span class=\"has-inline-color has-vivid-purple-color\">Fa1\/3<\/span>\n30   VLAN0030                         active    Fa1\/14, Fa1\/15<\/code><\/pre>\n\n\n\n<p>Et l&rsquo;adresse IP a chang\u00e9e :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"473\" height=\"183\" src=\"http:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_2.png\" alt=\"\" class=\"wp-image-1913\" srcset=\"https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_2.png 473w, https:\/\/blogperso.union31.fr\/wp-content\/uploads\/2020\/12\/config_IP_win10_2-300x116.png 300w\" sizes=\"auto, (max-width: 473px) 100vw, 473px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"VII_Conclusion\"><\/span>VII Conclusion<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il a bien \u00e9t\u00e9 abord\u00e9 la changement de Vlan suivant le type d&rsquo;utilisateur. En terme de s\u00e9curit\u00e9 c&rsquo;est un peu l\u00e9ger et en terme d&rsquo;administration peu pratique. En effet il est n\u00e9cessaire de recr\u00e9er les comptes Windows dans la partie FreeRadius et cela n\u00e9cessite de conna\u00eetre les mots de passe des utilisateurs. Bref cela permet de voir le principe global de changement de Vlan mais ce type d&rsquo;impl\u00e9mentation en production est \u00e0 proscrire.<\/p>\n\n\n\n<p>Pour aller plus loin, et dans un premier temps il faudrait cr\u00e9er une ACL pour isoler le VLAN 20. Cette ACL ne permettrait de discuter qu&rsquo;avec le contr\u00f4leur de domaine.<\/p>\n\n\n\n<p>Dans l&rsquo;id\u00e9al, il faudrait cr\u00e9er 3 VLAN :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>le premier VLAN servant \u00e0 accueillir n&rsquo;importe quel PC. Ce Vlan ne devant avoir acc\u00e8s \u00e0 aucunes ressources (ACL totalement restrictive) :<ul><li>le soucis est que les PC dans ce VLAN se verraient : ce qui peut poser un probl\u00e8me de s\u00e9curit\u00e9 &#8230; (A \u00e9tudier)<\/li><li>n\u00e9anmoins on peut y mettre des \u00ab\u00a0pots de miel\u00a0\u00bb et commencer par ce biais \u00e0 d\u00e9tecter de futurs attaquants &#8230;.<\/li><\/ul><\/li><li>le deuxi\u00e8me VLAN servant \u00e0 autoriser un PC connu et pouvant discuter avec le contr\u00f4leur de domaine (ACL ne permettant de discuter qu&rsquo;avec le contr\u00f4leur de domaine) :<ul><li>2 m\u00e9thodes :<ul><li>soit en utilisant l&rsquo;adresse MAC du PC (moins s\u00fbr)<\/li><li>soit en v\u00e9rifiant les identifiants du compte d&rsquo;ordinateur avec l&rsquo;AD (plus s\u00fbr)<\/li><\/ul><\/li><\/ul><\/li><li>le troisi\u00e8me VLAN autorisant l&rsquo;acc\u00e8s aux ressources r\u00e9seaux apr\u00e8s une authentification utilisateur r\u00e9ussie. <\/li><\/ul>\n\n\n\n<p>Pour pouvoir impl\u00e9menter ces r\u00e8gles, le serveur Radius :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>est toujours un freeradius et doit \u00eatre connect\u00e9 avec le contr\u00f4leur de domaine pour valider les identifiants, il sera plac\u00e9 comme mandataire pour les comptes windows,<\/li><li>est un autre serveur Radius tel que celui de microsoft (NPS).<\/li><\/ul>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>I Objectifs L&rsquo;objectif est d&rsquo;ouvrir le r\u00e9seau d&rsquo;entreprise pour un personnel connu. Le personnel sera identifi\u00e9 par un compte et mot de passe utilisateur utilis\u00e9 lors de l&rsquo;ouverture de session. Il faudra \u00e9galement prendre en compte l&rsquo;authentification du compte ordinateur<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1869","post","type-post","status-publish","format-standard","hentry","category-_systeme"],"_links":{"self":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/1869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1869"}],"version-history":[{"count":28,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/1869\/revisions"}],"predecessor-version":[{"id":2040,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/1869\/revisions\/2040"}],"wp:attachment":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}