PFSense 2.3.2 Freeradius

Mitglied: horstvogel

horstvogel (Level 2) - Jetzt verbinden

15.10.2016, aktualisiert 19:56 Uhr, 8601 Aufrufe, 7 Kommentare

Hallo,
ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann.

PFSense 2.3.2, Freeradius installiert, Proxy Server aktiv; Captive Portal installiert und läuft auch, für mein Gästelan

Was möchte ich machen:
Mein Produktivnetz 192.168.101.1 soll mit einem Radius Server gesichert werden, dass Produktiv Lan läuft im Vlan 3. Die physikalische Adresse der Lan Schnittstelle ist 192.168.1.1

Leider kann ich mit dem Vortrag von aqui keine Rückschlüsse auf die PFSense zielen, liegt bestimmt an mir.
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Bei Youtube und sonst (Suchbegriff PFSense und Freeradius) finde ich auch nur Anleitung die immer gleich ein Captive Portal mit ins Spiel bringen, dass irritiert mich

Habt Ihr einen Link für eine Anleitung auf einer PFSense?

Es geht schon los, welche IP nehme ich für das Interface? die 192.168.1.1 oder die 192.168.101.1? Oder darf/muss das eine IP sein, die nichts mit dem Gateway am Hut hat?
Was mache ich mit dem DHCP Server für die 192.168.101.0, deaktiviere ich den?
Ist der Radius dann gleich für alle Vlan und physikalischen Schnittstellen aktiv?

2016-10-15 18_36_17-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

Danke!! Der Horst
Mitglied: aqui
15.10.2016, aktualisiert um 19:45 Uhr
Was ist ein Capital Portal ? Hat das was mit Bank oder Sparkasse zu tun ?
Der Radius liegt ja immer im lokalen LAN folglich nimmst du das Interface.
Dann Zertifikat generieren und der Rest ist so wie im FreeRadius Tutorial oben beschrieben. Client Netzwerk oder Hostadressen definieren aus denen Radius Anfragen kommen dürfen, Passwort und das wars schon.
User natürlich nicht zu vergessen
Wichtig: Lad dir das Testtool NTRadPing runter ! https://www.novell.com/coolsolutions/tools/14377.html
Damit kannst du den Radius Server wasserdicht auf Funktion testen bevor du mit ihm was anderes machst.
Solange der Radius Server aus allen VLANs erreichbar ist (FW Regel beachten !!) kann er aus jedem VLAN auch für die Authentisierung jeglicher Endgeräte benutzt werden.
Generell ist der Server ja autark. Er rennt wenn du so willst eben nur Huckepack mit auf dem pfSense OS. Quasi so wie ein Server den du auch extern laufen lässt, nur virtuell an ein Interface "angeflanscht".
Ein paar zusätzliche Infos findest du auch noch hier:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: horstvogel
15.10.2016 um 20:59 Uhr
Hallo aqui,
danke für Deinen Hinweis, natürlich ist das keine Bank.
Leider kann ich Deinen Hinweisen nicht folgen.

Unter Interfaces, reicht das?

2016-10-15 20_48_26-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

Ich habe eine eigene CA und ein Server Zertifikat für den Radius erzeugt, aktiviere ist das, dann läuft der Radius nicht mehr.
Mit dem Certificates Reiter kann ich auch nichts anfangen.
Sorry, ich kann da leider nicht folgen.
Danke für Deine Hilfe.

2016-10-15 20_47_48-pfsense.localdomain - status_ services - internet explorer - Klicke auf das Bild, um es zu vergrößern

2016-10-15 20_53_54-pfsense.localdomain - package_ freeradius_ eap_ eap - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.10.2016 um 12:20 Uhr
dann läuft der Radius nicht mehr.
Woran siehst du das ? OK, am Prozess. Was sagt den das systemlog dazu ?? Was ist der Grund das der Radius Prozess gestoppt wird ?
Sonst lass den Radius erstmal ohne Zertifikat laufen. Zwingend für den Betrieb ist das erstmal nicht. Es dient ja lediglich dazu den Radius Server für die Clients zu authentisieren, damit denen nicht irgendein x-beliebiger untergeschoben werden kann.
Zum Testen kann man das aber erstmal ignorieren.
Ansonsten hast du erstmal alles richtig gemacht.
Bitte warten ..
Mitglied: aqui
19.10.2016, aktualisiert um 15:51 Uhr
So, ein kleiner Laboraufbau zum Test und es funktioniert auf Anhieb !!!
Hier sind deine ToDos:
1.)
Zuerst eine CA im pfSense Cert Manager anlegen denn wir nutzen NICHT den FreeRadius Cert Manager der wird NICHT mitgesichert bei einem pfSense Backup:
cert1 - Klicke auf das Bild, um es zu vergrößern

2.)
Mit der CA ein Zertifikat erstellen:
cert2 - Klicke auf das Bild, um es zu vergrößern

3.)
Im Setup Services -> FreeRadius einen User anlegen:
rad2 - Klicke auf das Bild, um es zu vergrößern

4.)
Jetzt das Gerät was die Zertifizierungsanfrage schickt (IP) eintragen mit Password. Dies ist testweise der NTRadping PC (.1.100) später dann Switch, AP oder was auch immer.
rad3 - Klicke auf das Bild, um es zu vergrößern

5.)
Interfaces Konfig erstmal den Default übernehmen. Achtung hier natürlich später den WAN Port ausnehmen und nur lokale Ports nehmen !
rad4 - Klicke auf das Bild, um es zu vergrößern

6.)
Unter EAP den Radius auf den pfSense Cert Manager umstellen:
rad5 - Klicke auf das Bild, um es zu vergrößern

7.)
Zum Testen nun NTRadPing öffen und einen Test hier loslassen auf den FreeRadius.
rad1 - Klicke auf das Bild, um es zu vergrößern

Erfolgreich und funktioniert. Auch das pfSense Log zeigt das an:
radlog - Klicke auf das Bild, um es zu vergrößern

Works as designed !!!
Bitte warten ..
Mitglied: horstvogel
30.10.2016 um 10:42 Uhr
Hallo aqui,
das habe ich hinbekommen.
Wie sage ich meinem 192.168.1.1 Lan nun das es nun nur noch auf über den Radius erlaubte Geräte benutzen darf?

2016-10-30 10_35_52-https___www.administrator.de_images_c_1_4_204123e68e7bccd741e7230c3ed31a51 - - Klicke auf das Bild, um es zu vergrößern
2016-10-30 10_41_27-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

danke der Horst
Bitte warten ..
Mitglied: aqui
30.10.2016 um 13:03 Uhr
Ist das ein WLAN oder LAN Segment ??
Dann machst du das ganz normal über 802.1x auf dem Switch oder AP dort im Netz.:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Oder soll das CP das abfragen ? Dann musst du den Radius entspr. im CP Setup eintragen statt der lokalen Datenbank.
Bitte warten ..
Mitglied: ruebenmaster
26.12.2016 um 11:34 Uhr
Hallo Leute,
Tolle Anleitung.
Allerdings möchte ich an dieser Stelle bemerken, dass es security mässig nicht ratsam ist, den CA Server, Radius und Firewall auf einer Maschine zu nutzen. Hier wären verschiedene Zonen sinnvoll. Zudem, beim Neuaufsetzen, immer freeradius >3.x verwenden.
Da funktioniert das erst mal von Haus aus ziemlich gut.

Viele Grüße
Ruebenmaster
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte23 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
kman123FrageVoice over IP14 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing12 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Datenbanken
MSsql Express - Daten befüllen
istbananeFrageDatenbanken8 Kommentare

Hallo zusammen, ich habe bisher nicht viel mit Datenbanken zu tun gehabt. Nun gibt es ein paar Access Datenbanken ...

Microsoft
Sharepoint Website für externe User
RoadmaxFrageMicrosoft8 Kommentare

Hallo Zusammen, ich möchte eine komplette Website für externe User (Gäste) freigeben, in der sie nur "lesen" können. Dabei ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Linux Netzwerk
FreeRadius Lokal
D1-aB-loFrageLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Linux Netzwerk
Freeradius mit ApacheDS
gelöst synex-mFrageLinux Netzwerk4 Kommentare

Hallo zusammen, ich brauche mal eure Expertise. Ich habe in meinem kleinen Netzwerk auf einem Raspberry Pi einen Freeradius ...

Debian
Debian FreeRadius LDAP (GSSAPI)
joe2017FrageDebian

Ich habe einen FreeRadius Server und habe ein Problem mit der LDAP Useranmeldung. Hier erhalte ich folgende Fehlermeldung: Hier ...

Firewall
PfSense: Freeradius, NUR EAP-TLS
mrserious73FrageFirewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Netzwerkgrundlagen
Freeradius 3.0 mit SQL einrichten
D1-aB-loFrageNetzwerkgrundlagen2 Kommentare

Guten Tag, ich versuche derzeit den Freeradius unter meinem Ubuntu zu installieren. Das Problem ist nur das ich bei ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT