horstvogel
Goto Top

PFSense 2.3.2 Freeradius

Hallo,
ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann.

PFSense 2.3.2, Freeradius installiert, Proxy Server aktiv; Captive Portal installiert und läuft auch, für mein Gästelan

Was möchte ich machen:
Mein Produktivnetz 192.168.101.1 soll mit einem Radius Server gesichert werden, dass Produktiv Lan läuft im Vlan 3. Die physikalische Adresse der Lan Schnittstelle ist 192.168.1.1

Leider kann ich mit dem Vortrag von aqui keine Rückschlüsse auf die PFSense zielen, liegt bestimmt an mir.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Bei Youtube und sonst (Suchbegriff PFSense und Freeradius) finde ich auch nur Anleitung die immer gleich ein Captive Portal mit ins Spiel bringen, dass irritiert mich

Habt Ihr einen Link für eine Anleitung auf einer PFSense?

Es geht schon los, welche IP nehme ich für das Interface? die 192.168.1.1 oder die 192.168.101.1? Oder darf/muss das eine IP sein, die nichts mit dem Gateway am Hut hat?
Was mache ich mit dem DHCP Server für die 192.168.101.0, deaktiviere ich den?
Ist der Radius dann gleich für alle Vlan und physikalischen Schnittstellen aktiv?

2016-10-15 18_36_17-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

Danke!! Der Horst

Content-Key: 317943

Url: https://administrator.de/contentid/317943

Printed on: June 19, 2024 at 09:06 o'clock

Member: aqui
aqui Oct 15, 2016, updated at May 15, 2023 at 14:41:06 (UTC)
Goto Top
Was ist ein Capital Portal ? Hat das was mit Bank oder Sparkasse zu tun ? face-wink
Spaß beiseite...
Der Radius liegt ja immer im lokalen LAN folglich nimmst du das Interface.
Dann Zertifikat generieren und der Rest ist so wie im FreeRadius Tutorial oben beschrieben. Client Netzwerk oder Hostadressen definieren aus denen Radius Anfragen kommen dürfen, Passwort und das wars schon.
User natürlich nicht zu vergessen face-wink
Wichtig: Lad dir HIER das Testtool NTRadPing runter !
ntradping
Damit kannst du den Radius Server wasserdicht auf Funktion testen bevor du mit ihm was anderes machst.
Solange der Radius Server aus allen VLANs erreichbar ist (FW Regel beachten !!) kann er aus jedem VLAN auch für die Authentisierung jeglicher Endgeräte benutzt werden.
Generell ist der Server ja autark. Er rennt wenn du so willst eben nur Huckepack mit auf dem pfSense OS. Quasi so wie ein Server den du auch extern laufen lässt, nur virtuell an ein Interface "angeflanscht".

Eine vollständige Lösungs Anleitung findest du hier:
Freeradius Management mit WebGUI
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN

Ein paar zusätzliche Infos findest du auch noch hier:
Netzwerk Management Server mit Raspberry Pi
Member: horstvogel
horstvogel Oct 15, 2016 at 18:59:24 (UTC)
Goto Top
Hallo aqui,
danke für Deinen Hinweis, natürlich ist das keine Bank.
Leider kann ich Deinen Hinweisen nicht folgen.

Unter Interfaces, reicht das?

2016-10-15 20_48_26-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

Ich habe eine eigene CA und ein Server Zertifikat für den Radius erzeugt, aktiviere ist das, dann läuft der Radius nicht mehr.
Mit dem Certificates Reiter kann ich auch nichts anfangen.
Sorry, ich kann da leider nicht folgen.
Danke für Deine Hilfe.

2016-10-15 20_47_48-pfsense.localdomain - status_ services - internet explorer

2016-10-15 20_53_54-pfsense.localdomain - package_ freeradius_ eap_ eap - internet explorer
Member: aqui
aqui Oct 16, 2016 at 10:20:16 (UTC)
Goto Top
dann läuft der Radius nicht mehr.
Woran siehst du das ? OK, am Prozess. Was sagt den das systemlog dazu ?? Was ist der Grund das der Radius Prozess gestoppt wird ?
Sonst lass den Radius erstmal ohne Zertifikat laufen. Zwingend für den Betrieb ist das erstmal nicht. Es dient ja lediglich dazu den Radius Server für die Clients zu authentisieren, damit denen nicht irgendein x-beliebiger untergeschoben werden kann.
Zum Testen kann man das aber erstmal ignorieren.
Ansonsten hast du erstmal alles richtig gemacht.
Member: aqui
aqui Oct 19, 2016 updated at 13:51:06 (UTC)
Goto Top
So, ein kleiner Laboraufbau zum Test und es funktioniert auf Anhieb !!!
Hier sind deine ToDos:
1.)
Zuerst eine CA im pfSense Cert Manager anlegen denn wir nutzen NICHT den FreeRadius Cert Manager der wird NICHT mitgesichert bei einem pfSense Backup:
cert1

2.)
Mit der CA ein Zertifikat erstellen:
cert2

3.)
Im Setup Services -> FreeRadius einen User anlegen:
rad2

4.)
Jetzt das Gerät was die Zertifizierungsanfrage schickt (IP) eintragen mit Password. Dies ist testweise der NTRadping PC (.1.100) später dann Switch, AP oder was auch immer.
rad3

5.)
Interfaces Konfig erstmal den Default übernehmen. Achtung hier natürlich später den WAN Port ausnehmen und nur lokale Ports nehmen !
rad4

6.)
Unter EAP den Radius auf den pfSense Cert Manager umstellen:
rad5

7.)
Zum Testen nun NTRadPing öffen und einen Test hier loslassen auf den FreeRadius.
rad1

Erfolgreich und funktioniert. Auch das pfSense Log zeigt das an:
radlog

Works as designed !!! face-big-smile
Member: horstvogel
horstvogel Oct 30, 2016 at 09:42:23 (UTC)
Goto Top
Hallo aqui,
das habe ich hinbekommen.
Wie sage ich meinem 192.168.1.1 Lan nun das es nun nur noch auf über den Radius erlaubte Geräte benutzen darf?

2016-10-30 10_35_52-https___www.administrator.de_images_c_1_4_204123e68e7bccd741e7230c3ed31a51 -
2016-10-30 10_41_27-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

danke der Horst
Member: aqui
aqui Oct 30, 2016, updated at May 14, 2021 at 12:36:19 (UTC)
Goto Top
Ist das ein WLAN oder LAN Segment ??
Dann machst du das ganz normal über 802.1x auf dem Switch oder AP dort im Netz.:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Oder soll das CP das abfragen ? Dann musst du den Radius entspr. im CP Setup eintragen statt der lokalen Datenbank.

Ein etwas aktualisierteres Setup des pfSense FreeRadius Paketes zeigt dieser Thread:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Member: ruebenmaster
ruebenmaster Dec 26, 2016 at 10:34:12 (UTC)
Goto Top
Hallo Leute,
Tolle Anleitung.
Allerdings möchte ich an dieser Stelle bemerken, dass es security mässig nicht ratsam ist, den CA Server, Radius und Firewall auf einer Maschine zu nutzen. Hier wären verschiedene Zonen sinnvoll. Zudem, beim Neuaufsetzen, immer freeradius >3.x verwenden.
Da funktioniert das erst mal von Haus aus ziemlich gut.

Viele Grüße
Ruebenmaster