Internet

So richten Sie einen Radius-Server unter pfSense mit dem FreeRadius2-Paket ein

Autor: Laura McKinney
Erstelldatum: 1 April 2021
Aktualisierungsdatum: 17 November 2024
Anonim
OPNsense für Anwender - Wie Sie die Firewall richtig nutzen und absichern
Video: OPNsense für Anwender - Wie Sie die Firewall richtig nutzen und absichern

Inhalt

Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.

In diesem Artikel werde ich den Prozess des Einrichtens eines Radius-Servers auf pfSense durchgehen.

Radius bietet eine zentrale Authentifizierungsquelle für verschiedene Netzwerkgeräte und -dienste. Einige häufige Anwendungen für die Radiusauthentifizierung sind VPNs, Captive-Portale, Switches, Router und Firewalls.

Die zentrale Authentifizierung ist viel einfacher zu verwalten, als verschiedene lokale Konten auf verschiedenen Geräten in einem Netzwerk zu verfolgen.

Warum pfSense als Radius-Server verwenden?

PfSense ist ein großartiger Host für einen Radius-Server, da der Dienst nicht viel Systemressourcen benötigt. Der Dienst kann problemlos die Authentifizierung für mehrere hundert Clients durchführen, ohne die Leistung zu beeinträchtigen.

Mit der entsprechenden Hardware kann es einfach skaliert werden, um Tausende von Clients zu unterstützen. Mit pfSense kann der Radius sogar auf einer dedizierten Netzwerkschnittstelle ausgeführt werden.


Wenn Sie pfSense bereits in Ihrem Netzwerk ausführen, müssen Sie keinen separaten Server nur für Radius erstellen.

Paket installieren

Der pfSense 2.X-Paketmanager enthält sowohl FreeRadius als auch FreeRadius2 als Installationsoptionen. In diesem Beispiel werde ich FreeRadius2 verwenden, da es einige zusätzliche Funktionen enthält, die in der vorherigen Version nicht enthalten waren.

Es kann jeweils nur eine Version von radius auf pfSense installiert werden. Wenn Sie zuvor Radius-Pakete installiert haben, entfernen Sie diese zuerst.

Die Paketinstallation unterbricht kurzzeitig den Datenverkehr, der durch den Router geleitet wird, wenn der Dienst gestartet wird. Seien Sie daher vorsichtig, wenn Sie die Installation auf einem Produktionssystem ausführen.

  1. Öffnen Sie den Paketmanager im Systemmenü der Weboberfläche.
  2. Klicken Sie auf das Pluszeichen neben FreeRadius2, um die Installation zu starten.
  3. Klicken Sie auf "OK", um die Paketinstallation zu bestätigen.

Der Setup-Vorgang lädt das Radius-Paket mit all seinen Abhängigkeiten automatisch herunter und installiert es. Die Installation dauert normalerweise einige Minuten.


Nach Abschluss des Vorgangs wird im Servicemenü ein neuer Menüpunkt für das Paket angezeigt.

Schnittstelle konfigurieren

Als erstes müssen Sie eine oder mehrere Schnittstellen angeben, die der Radius-Server abhören soll. Die Konfigurationseinstellungen für FreeRadius finden Sie im Menü Dienste.

In den meisten Fällen möchten Sie den Dienst an die LAN-Schnittstelle binden.

  1. Klicken Sie auf der Einstellungsseite auf die Registerkarte Schnittstellen.
  2. Klicken Sie auf das Pluszeichen, um eine neue Oberfläche hinzuzufügen.
  3. Geben Sie die LAN-IP-Adresse in das Feld Schnittstellen-IP-Adresse ein.
  4. Klicken Sie auf Speichern

Der Rest der Einstellungen kann auf den Standardeinstellungen bleiben.

Clients hinzufügen

Der nächste Schritt beim Konfigurieren des Authentifizierungsservers ist das Hinzufügen von Clienteinträgen. Für jedes Gerät, das den Radius-Server zur Authentifizierung verwendet, muss in den Einstellungen ein Client-Eintrag konfiguriert sein.


  1. Klicken Sie auf die Registerkarte NAS / Clients.
  2. Geben Sie die IP-Adresse des Geräts, von dem Authentifizierungsanforderungen kommen, in das Feld Client-IP ein.
  3. Geben Sie ein sicheres Passwort in das Feld Client Shared Secret ein. Dies muss auch auf dem Client-Gerät eingegeben werden.

Im Abschnitt "Verschiedene Konfigurationen" sollten Sie einen Client-Typ aus der Dropdown-Liste auswählen. Wenn keiner der aufgelisteten Typen geeignet ist, können Sie einen anderen auswählen.

Benutzerkonten erstellen

Der letzte Schritt ist das Erstellen von Benutzerkonten. Um die Konten zu erstellen, wechseln Sie in den Paketeinstellungen zur Registerkarte Benutzer und klicken Sie auf das Pluszeichen, um die Seite zur Erstellung neuer Benutzer zu öffnen.

Auf dieser Seite gibt es nur zwei Pflichtfelder, den Benutzernamen und das Passwort. Alle anderen Einstellungen sind optional und gelten hauptsächlich für Benutzer von Captive-Portalen.

Geräte hinzufügen

Zu diesem Zeitpunkt sollte der Radius-Server nun betriebsbereit sein und eingehende Authentifizierungsanforderungen annehmen können. Sie können jetzt damit beginnen, Geräte auf den Server zu verweisen.

Geräte müssen mit den folgenden Elementen konfiguriert werden.

  1. Die LAN-IP-Adresse des pfSense-Systems oder die Schnittstelle, an die Sie den Radius-Server gebunden haben.
  2. Der Radiusschlüssel, den Sie auf der Registerkarte Clients zugewiesen haben.
  3. Der Auth-Port sollte auf 1812 oder der Port eingestellt sein, den Sie auf der Registerkarte Schnittstellen zugewiesen haben.

Fehlerbehebung

Überprüfen des Servicestatus

Wenn Sie Probleme haben, sollten Sie zunächst sicherstellen, dass der Radiusdienst ausgeführt wird.

Wenn es nicht läuft, versuchen Sie es zu starten, indem Sie auf das Wiedergabesymbol neben radiusd klicken.

Wenn der Dienst nicht zu starten scheint, fahren Sie fort und Installieren Sie das Paket neu um das Problem zu beheben.

Sie sollten bei der Neuinstallation keine Konfiguration verlieren, sondern sicherstellen, dass nach dem erneuten Start alles richtig aussieht.

Ich habe festgestellt, dass Client-Konfigurationen manchmal verschwanden, wenn ich eine Neuinstallation durchführte.

Überprüfen Sie die Protokolle

Die Systemprotokolle geben möglicherweise einen Hinweis darauf, warum ein Problem auftritt. Um die Protokolle anzuzeigen, klicken Sie im Statusmenü auf Systemprotokolle.

Geben Sie auf der Registerkarte "System" "root: freeRADIUS" ohne die Anführungszeichen in das Feld unten ein und klicken Sie dann auf "Filter". Daraufhin werden die Protokollmeldungen zum Starten und Herunterfahren des Dienstes angezeigt.

Erfolgs- und Fehlermeldungen zur Authentifizierung sind in den Systemprotokollen nicht sichtbar. Um sie anzuzeigen, müssen Sie a konfigurieren Remote-Syslog-Server.

Radius-Syslog-Nachrichten

Testen des Dienstes mit Radtest

Das Radius-Paket enthält ein Dienstprogramm namens Radtest, mit dem der Dienst getestet werden kann, um festzustellen, ob er ordnungsgemäß funktioniert.

Radtest ist praktisch, da Sie feststellen können, ob die Authentifizierung funktioniert, bevor Sie Geräte im Netzwerk neu konfigurieren.

Schritte zum Ausführen des Tests

  1. Fügen Sie eine Schnittstelle mit der IP-Adresse 127.0.0.1 hinzu.
  2. Setzen Sie den Schnittstellentyp auf 'Auth' und verwenden Sie den Standardport (1812).
  3. Fügen Sie einen Client / NAS mit der IP-Adresse 127.0.0.1 und dem gemeinsamen geheimen 'Test' hinzu.
  4. Erstellen Sie auf der Registerkarte Benutzer ein Testbenutzerkonto.
  5. Melden Sie sich über SSH bei pfSense an oder verwenden Sie die Eingabeaufforderungsfunktion im Diagnosemenü.
  6. Führen Sie den folgenden Befehl aus und ersetzen Sie Benutzername> und Kennwort> durch die von Ihnen zugewiesenen Anmeldeinformationen.

radtest Benutzername> Passwort> 127.0.0.1:1812 0 Test

Wenn der Test erfolgreich ist, sollte die Meldung "rad_recv: Access-Accept" angezeigt werden.

Gute Möglichkeiten, Ihren neuen Radius-Server zu verwenden

Nachdem Sie die Authentifizierung mit zentralem Radius verwendet haben, möchten Sie nie mehr zu lokalen Benutzerkonten zurückkehren. Im Folgenden habe ich eine Liste mit großartigen Möglichkeiten erstellt, wie Sie Ihren neuen Radius-Server nutzen können.

  • Captive Portal-Authentifizierung: Richten Sie einen drahtlosen Hotspot für Ihr Zuhause oder Ihr Unternehmen ein und verwenden Sie Radius als Authentifizierungsquelle für das Captive-Portal.
  • RAS-VPN: Konfigurieren Sie pfSense als VPN-Server und verwenden Sie die zentralisierte Authentifizierung für die Benutzerkonten.
  • Netzwerk-Switches: Zeigen Sie anstelle der Verwendung lokaler Benutzerkonten auf die verwalteten Switches auf pfSense.

Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.

Wir Empfehlen Ihnen

Wir Empfehlen

AskBorg ChargeCube 20.800 mAh Power Bank Bewertung
Computers

AskBorg ChargeCube 20.800 mAh Power Bank Bewertung

Theo i t ein Tech-Junkie, der tändig nach dem näch ten großen Ding ucht.Ich te te die A kBorg ChargeCube 20.800 mAh Power Bank eit fa t zwei Wochen. Der ChargeCube i t jetzt die neue te...
So verstecken Sie Kabel in Ihrem Medienraum
Computers

So verstecken Sie Kabel in Ihrem Medienraum

Linda i t praxi nah an Heimwerkerprojekten, Organi ation, Lagerung und Reinigung tipp und -ideen beteiligt.Ihr Medienraum i t etwa chöne - zuminde t in den Augen de an ä igen Technophilen. i...