Inhalt
- Warum pfSense als Radius-Server verwenden?
- Paket installieren
- Schnittstelle konfigurieren
- Clients hinzufügen
- Benutzerkonten erstellen
- Geräte hinzufügen
- Fehlerbehebung
- Überprüfen des Servicestatus
- Überprüfen Sie die Protokolle
- Radius-Syslog-Nachrichten
- Testen des Dienstes mit Radtest
- Schritte zum Ausführen des Tests
- Gute Möglichkeiten, Ihren neuen Radius-Server zu verwenden
Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.
In diesem Artikel werde ich den Prozess des Einrichtens eines Radius-Servers auf pfSense durchgehen.
Radius bietet eine zentrale Authentifizierungsquelle für verschiedene Netzwerkgeräte und -dienste. Einige häufige Anwendungen für die Radiusauthentifizierung sind VPNs, Captive-Portale, Switches, Router und Firewalls.
Die zentrale Authentifizierung ist viel einfacher zu verwalten, als verschiedene lokale Konten auf verschiedenen Geräten in einem Netzwerk zu verfolgen.
Warum pfSense als Radius-Server verwenden?
PfSense ist ein großartiger Host für einen Radius-Server, da der Dienst nicht viel Systemressourcen benötigt. Der Dienst kann problemlos die Authentifizierung für mehrere hundert Clients durchführen, ohne die Leistung zu beeinträchtigen.
Mit der entsprechenden Hardware kann es einfach skaliert werden, um Tausende von Clients zu unterstützen. Mit pfSense kann der Radius sogar auf einer dedizierten Netzwerkschnittstelle ausgeführt werden.
Wenn Sie pfSense bereits in Ihrem Netzwerk ausführen, müssen Sie keinen separaten Server nur für Radius erstellen.
Paket installieren
Der pfSense 2.X-Paketmanager enthält sowohl FreeRadius als auch FreeRadius2 als Installationsoptionen. In diesem Beispiel werde ich FreeRadius2 verwenden, da es einige zusätzliche Funktionen enthält, die in der vorherigen Version nicht enthalten waren.
Es kann jeweils nur eine Version von radius auf pfSense installiert werden. Wenn Sie zuvor Radius-Pakete installiert haben, entfernen Sie diese zuerst.
Die Paketinstallation unterbricht kurzzeitig den Datenverkehr, der durch den Router geleitet wird, wenn der Dienst gestartet wird. Seien Sie daher vorsichtig, wenn Sie die Installation auf einem Produktionssystem ausführen.
- Öffnen Sie den Paketmanager im Systemmenü der Weboberfläche.
- Klicken Sie auf das Pluszeichen neben FreeRadius2, um die Installation zu starten.
- Klicken Sie auf "OK", um die Paketinstallation zu bestätigen.
Der Setup-Vorgang lädt das Radius-Paket mit all seinen Abhängigkeiten automatisch herunter und installiert es. Die Installation dauert normalerweise einige Minuten.
Nach Abschluss des Vorgangs wird im Servicemenü ein neuer Menüpunkt für das Paket angezeigt.
Schnittstelle konfigurieren
Als erstes müssen Sie eine oder mehrere Schnittstellen angeben, die der Radius-Server abhören soll. Die Konfigurationseinstellungen für FreeRadius finden Sie im Menü Dienste.
In den meisten Fällen möchten Sie den Dienst an die LAN-Schnittstelle binden.
- Klicken Sie auf der Einstellungsseite auf die Registerkarte Schnittstellen.
- Klicken Sie auf das Pluszeichen, um eine neue Oberfläche hinzuzufügen.
- Geben Sie die LAN-IP-Adresse in das Feld Schnittstellen-IP-Adresse ein.
- Klicken Sie auf Speichern
Der Rest der Einstellungen kann auf den Standardeinstellungen bleiben.
Clients hinzufügen
Der nächste Schritt beim Konfigurieren des Authentifizierungsservers ist das Hinzufügen von Clienteinträgen. Für jedes Gerät, das den Radius-Server zur Authentifizierung verwendet, muss in den Einstellungen ein Client-Eintrag konfiguriert sein.
- Klicken Sie auf die Registerkarte NAS / Clients.
- Geben Sie die IP-Adresse des Geräts, von dem Authentifizierungsanforderungen kommen, in das Feld Client-IP ein.
- Geben Sie ein sicheres Passwort in das Feld Client Shared Secret ein. Dies muss auch auf dem Client-Gerät eingegeben werden.
Im Abschnitt "Verschiedene Konfigurationen" sollten Sie einen Client-Typ aus der Dropdown-Liste auswählen. Wenn keiner der aufgelisteten Typen geeignet ist, können Sie einen anderen auswählen.
Benutzerkonten erstellen
Der letzte Schritt ist das Erstellen von Benutzerkonten. Um die Konten zu erstellen, wechseln Sie in den Paketeinstellungen zur Registerkarte Benutzer und klicken Sie auf das Pluszeichen, um die Seite zur Erstellung neuer Benutzer zu öffnen.
Auf dieser Seite gibt es nur zwei Pflichtfelder, den Benutzernamen und das Passwort. Alle anderen Einstellungen sind optional und gelten hauptsächlich für Benutzer von Captive-Portalen.
Geräte hinzufügen
Zu diesem Zeitpunkt sollte der Radius-Server nun betriebsbereit sein und eingehende Authentifizierungsanforderungen annehmen können. Sie können jetzt damit beginnen, Geräte auf den Server zu verweisen.
Geräte müssen mit den folgenden Elementen konfiguriert werden.
- Die LAN-IP-Adresse des pfSense-Systems oder die Schnittstelle, an die Sie den Radius-Server gebunden haben.
- Der Radiusschlüssel, den Sie auf der Registerkarte Clients zugewiesen haben.
- Der Auth-Port sollte auf 1812 oder der Port eingestellt sein, den Sie auf der Registerkarte Schnittstellen zugewiesen haben.
Fehlerbehebung
Überprüfen des Servicestatus
Wenn Sie Probleme haben, sollten Sie zunächst sicherstellen, dass der Radiusdienst ausgeführt wird.
Wenn es nicht läuft, versuchen Sie es zu starten, indem Sie auf das Wiedergabesymbol neben radiusd klicken.
Wenn der Dienst nicht zu starten scheint, fahren Sie fort und Installieren Sie das Paket neu um das Problem zu beheben.
Sie sollten bei der Neuinstallation keine Konfiguration verlieren, sondern sicherstellen, dass nach dem erneuten Start alles richtig aussieht.
Ich habe festgestellt, dass Client-Konfigurationen manchmal verschwanden, wenn ich eine Neuinstallation durchführte.
Überprüfen Sie die Protokolle
Die Systemprotokolle geben möglicherweise einen Hinweis darauf, warum ein Problem auftritt. Um die Protokolle anzuzeigen, klicken Sie im Statusmenü auf Systemprotokolle.
Geben Sie auf der Registerkarte "System" "root: freeRADIUS" ohne die Anführungszeichen in das Feld unten ein und klicken Sie dann auf "Filter". Daraufhin werden die Protokollmeldungen zum Starten und Herunterfahren des Dienstes angezeigt.
Erfolgs- und Fehlermeldungen zur Authentifizierung sind in den Systemprotokollen nicht sichtbar. Um sie anzuzeigen, müssen Sie a konfigurieren Remote-Syslog-Server.
Radius-Syslog-Nachrichten
Testen des Dienstes mit Radtest
Das Radius-Paket enthält ein Dienstprogramm namens Radtest, mit dem der Dienst getestet werden kann, um festzustellen, ob er ordnungsgemäß funktioniert.
Radtest ist praktisch, da Sie feststellen können, ob die Authentifizierung funktioniert, bevor Sie Geräte im Netzwerk neu konfigurieren.
Schritte zum Ausführen des Tests
- Fügen Sie eine Schnittstelle mit der IP-Adresse 127.0.0.1 hinzu.
- Setzen Sie den Schnittstellentyp auf 'Auth' und verwenden Sie den Standardport (1812).
- Fügen Sie einen Client / NAS mit der IP-Adresse 127.0.0.1 und dem gemeinsamen geheimen 'Test' hinzu.
- Erstellen Sie auf der Registerkarte Benutzer ein Testbenutzerkonto.
- Melden Sie sich über SSH bei pfSense an oder verwenden Sie die Eingabeaufforderungsfunktion im Diagnosemenü.
- Führen Sie den folgenden Befehl aus und ersetzen Sie Benutzername> und Kennwort> durch die von Ihnen zugewiesenen Anmeldeinformationen.
radtest Benutzername> Passwort> 127.0.0.1:1812 0 Test
Wenn der Test erfolgreich ist, sollte die Meldung "rad_recv: Access-Accept" angezeigt werden.
Gute Möglichkeiten, Ihren neuen Radius-Server zu verwenden
Nachdem Sie die Authentifizierung mit zentralem Radius verwendet haben, möchten Sie nie mehr zu lokalen Benutzerkonten zurückkehren. Im Folgenden habe ich eine Liste mit großartigen Möglichkeiten erstellt, wie Sie Ihren neuen Radius-Server nutzen können.
- Captive Portal-Authentifizierung: Richten Sie einen drahtlosen Hotspot für Ihr Zuhause oder Ihr Unternehmen ein und verwenden Sie Radius als Authentifizierungsquelle für das Captive-Portal.
- RAS-VPN: Konfigurieren Sie pfSense als VPN-Server und verwenden Sie die zentralisierte Authentifizierung für die Benutzerkonten.
- Netzwerk-Switches: Zeigen Sie anstelle der Verwendung lokaler Benutzerkonten auf die verwalteten Switches auf pfSense.
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.