Innehåll
- Varför använda pfSense som en radieserver?
- Installera paketet
- Konfigurera ett gränssnitt
- Lägga till klienter
- Skapa användarkonton
- Lägga till enheter
- Felsökning
- Kontrollera servicestatus
- Kontrollera loggarna
- Radius Syslog-meddelanden
- Testa tjänsten med Radtest
- Steg för att köra testet
- Bra sätt att använda din nya radieserver
Sam arbetar som nätverksanalytiker för ett algoritmiskt handelsföretag. Han tog sin kandidatexamen i informationsteknik från UMKC.
I den här artikeln ska jag gå igenom processen för att ställa in en radieserver på pfSense.
Radius tillhandahåller en central autentiseringskälla för olika nätverksenheter och tjänster. Några vanliga användningsområden för radieverifiering är VPN: er, fångportaler, switchar, routrar och brandväggar.
Central autentisering är mycket lättare att hantera än att hålla reda på olika lokala konton över separata enheter i ett nätverk.
Varför använda pfSense som en radieserver?
PfSense är en utmärkt värd för en radieserver eftersom tjänsten inte kräver mycket systemresurser. Tjänsten kan enkelt hantera autentisering för flera hundra kunder utan att påverka prestandan.
Med rätt hårdvara kan den enkelt skalas för att stödja tusentals kunder. Faktum är att pfSense tillåter till och med att radie körs på ett dedikerat nätverksgränssnitt.
Om du redan kör pfSense i ditt nätverk behöver du verkligen inte bygga en separat server bara för Radius.
Installera paketet
PfSense 2.X-pakethanteraren innehåller både FreeRadius och FreeRadius2 som installationsalternativ. För det här exemplet kommer jag att använda FreeRadius2 eftersom det har några ytterligare funktioner som inte hittades i den tidigare versionen.
Endast en version av radien kan installeras på pfSense åt gången. Om du tidigare installerat några radiepaket, ta bort dem först.
Paketinstallationen avbryter kort trafik som passerar routern när tjänsten startar, så var försiktig när du kör installationen i ett produktionssystem.
- Öppna pakethanteraren i systemmenyn i webbgränssnittet.
- Klicka på plussymbolen bredvid FreeRadius2 för att starta installationen.
- Klicka på "Ok" för att bekräfta paketinstallationen.
Installationsprocessen hämtar och installerar automatiskt radiepaketet tillsammans med alla dess beroenden. Installationen tar normalt några minuter att slutföra.
När det är klart kommer det att finnas ett nytt menyalternativ för paketet i servicemenyn.
Konfigurera ett gränssnitt
Det första du behöver göra är att ange ett eller flera gränssnitt för radieservern att lyssna på. Konfigurationsinställningarna för FreeRadius finns under servicemenyn.
I de flesta fall vill du binda tjänsten till LAN-gränssnittet.
- Klicka på fliken gränssnitt på inställningssidan.
- Klicka på plussymbolsikonen för att lägga till ett nytt gränssnitt.
- Ange LAN IP-adressen i fältet Interface IP-adress.
- Klicka på spara
Resten av inställningarna kan förbli på standardinställningarna.
Lägga till klienter
Nästa steg för att konfigurera autentiseringsservern är att lägga till klientposter. Varje enhet som använder radieservern för autentisering måste ha en klientpost konfigurerad i inställningarna.
- Klicka på fliken NAS / Clients.
- Ange IP-adressen till enheten där autentiseringsförfrågningar kommer ifrån i klientens IP-fält.
- Ange ett säkert lösenord i det klientdelade hemliga fältet. Detta måste också anges på klientenheten.
Under avsnittet om diverse konfigurationer bör du välja en klienttyp i listrutan. Om ingen av de listade typerna är lämpliga kan du välja annan.
Skapa användarkonton
Det sista steget är att skapa användarkonton. För att skapa konton, gå till fliken användare i paketinställningarna och klicka på plussymbolen för att öppna den nya användarskapssidan.
Det finns bara två obligatoriska fält på den här sidan, användarnamnet och lösenordet. Alla andra inställningar är valfria och gäller främst för fångna portalanvändare.
Lägga till enheter
Vid denna tidpunkt bör radieservern nu vara igång och redo att acceptera inkommande begäranden om autentisering. Du kan nu börja peka enheter till servern.
Enheter måste konfigureras med följande objekt.
- LAN-IP-adressen för pfSense-systemet eller vilket gränssnitt du väljer att binda radieservern till.
- Radietangenten som du tilldelade på klientfliken.
- Auth-porten ska vara 1812 eller den port du tilldelade på fliken gränssnitt.
Felsökning
Kontrollera servicestatus
Det första du bör göra om du har problem är att se till att radiestjänsten körs.
Om den inte körs, försök starta den genom att klicka på uppspelningsikonen bredvid radiusd.
Om tjänsten inte verkar starta, fortsätt och installera om paketet för att lösa problemet.
Du bör inte förlora någon av konfigurationen när du installerar om, men se till att allt ser ut direkt efter att det har tagits upp igen.
Jag har märkt att ibland klientkonfigurationer försvann när jag utförde en ominstallation.
Kontrollera loggarna
Systemloggarna kan ge en aning om varför ett problem uppstår. För att se loggarna, klicka på systemloggar i statusmenyn.
På systemfliken anger du "root: freeRADIUS" utan citat i rutan längst ner och klickar sedan på filter. Detta visar start- och avstängningsloggmeddelanden för tjänsten.
Autentiseringssucces och felmeddelanden visas inte i systemloggarna. För att kunna se dem måste du konfigurera en fjärrsyslog-server.
Radius Syslog-meddelanden
Testa tjänsten med Radtest
Radiepaketet innehåller ett verktyg som heter Radtest som kan användas för att testa tjänsten för att avgöra om den fungerar korrekt.
Radtest är praktiskt eftersom det låter dig avgöra om autentisering fungerar innan du konfigurerar om enheter i nätverket.
Steg för att köra testet
- Lägg till ett gränssnitt med IP-adressen 127.0.0.1.
- Ställ in gränssnitttypen till 'Auth', använd standardporten (1812).
- Lägg till en klient / NAS med IP-adressen 127.0.0.1 och det delade hemliga "testet".
- Skapa ett testanvändarkonto på fliken användare.
- Logga in på pfSense via SSH eller använd kommandotolken i diagnostikmenyn.
- Kör kommandot nedan och ersätt användarnamn> och lösenord> med de referenser du har tilldelat.
radtest användarnamn> lösenord> 127.0.0.1:1812 0 test
Om testet lyckas bör du se meddelandet "rad_recv: Access-Accept".
Bra sätt att använda din nya radieserver
När du har börjat använda centralradieautentisering vill du aldrig gå tillbaka till lokala användarkonton. Nedan har jag skapat en lista över några bra sätt att dra nytta av din nya radieserver.
- Captive Portal Authentication: Ställ in en trådlös hotspot för ditt hem eller företag och använd radie som autentiseringskälla för den fängda portalen.
- Fjärråtkomst VPN: Konfigurera pfSense så att den fungerar som en VPN-server och använder centraliserad autentisering för användarkontona.
- Nätverksbrytare: Istället för att använda lokala användarkonton, peka de hanterade växlarna till pfSense.
Den här artikeln är korrekt och sant så vitt författaren vet. Innehållet är endast av informations- eller underhållningssyfte och ersätter inte personlig rådgivning eller professionell rådgivning i affärsmässiga, ekonomiska, juridiska eller tekniska frågor.