Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

PFSense 2.3.2 Freeradius

Mitglied: horstvogel
Hallo,
ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann.

PFSense 2.3.2, Freeradius installiert, Proxy Server aktiv; Captive Portal installiert und läuft auch, für mein Gästelan

Was möchte ich machen:
Mein Produktivnetz 192.168.101.1 soll mit einem Radius Server gesichert werden, dass Produktiv Lan läuft im Vlan 3. Die physikalische Adresse der Lan Schnittstelle ist 192.168.1.1

Leider kann ich mit dem Vortrag von aqui keine Rückschlüsse auf die PFSense zielen, liegt bestimmt an mir.
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Bei Youtube und sonst (Suchbegriff PFSense und Freeradius) finde ich auch nur Anleitung die immer gleich ein Captive Portal mit ins Spiel bringen, dass irritiert mich

Habt Ihr einen Link für eine Anleitung auf einer PFSense?

Es geht schon los, welche IP nehme ich für das Interface? die 192.168.1.1 oder die 192.168.101.1? Oder darf/muss das eine IP sein, die nichts mit dem Gateway am Hut hat?
Was mache ich mit dem DHCP Server für die 192.168.101.0, deaktiviere ich den?
Ist der Radius dann gleich für alle Vlan und physikalischen Schnittstellen aktiv?

2016-10-15 18_36_17-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

Danke!! Der Horst

Content-Key: 317943

Url: https://administrator.de/contentid/317943

Ausgedruckt am: 30.11.2021 um 16:11 Uhr

Mitglied: aqui
aqui 15.10.2016, aktualisiert am 22.09.2021 um 15:22:15 Uhr
Goto Top
Was ist ein Capital Portal ? Hat das was mit Bank oder Sparkasse zu tun ? ;-) face-wink
Spaß beiseite...
Der Radius liegt ja immer im lokalen LAN folglich nimmst du das Interface.
Dann Zertifikat generieren und der Rest ist so wie im FreeRadius Tutorial oben beschrieben. Client Netzwerk oder Hostadressen definieren aus denen Radius Anfragen kommen dürfen, Passwort und das wars schon.
User natürlich nicht zu vergessen ;-) face-wink
Wichtig: Lad dir HIER das Testtool NTRadPing runter !
ntradping
Damit kannst du den Radius Server wasserdicht auf Funktion testen bevor du mit ihm was anderes machst.
Solange der Radius Server aus allen VLANs erreichbar ist (FW Regel beachten !!) kann er aus jedem VLAN auch für die Authentisierung jeglicher Endgeräte benutzt werden.
Generell ist der Server ja autark. Er rennt wenn du so willst eben nur Huckepack mit auf dem pfSense OS. Quasi so wie ein Server den du auch extern laufen lässt, nur virtuell an ein Interface "angeflanscht".

Eine vollständige Lösungs Anleitung findest du hier:
https://administrator.de/content/detail.php?id=378188&token=202#comm ...

Ein paar zusätzliche Infos findest du auch noch hier:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Mitglied: horstvogel
horstvogel 15.10.2016 um 20:59:24 Uhr
Goto Top
Hallo aqui,
danke für Deinen Hinweis, natürlich ist das keine Bank.
Leider kann ich Deinen Hinweisen nicht folgen.

Unter Interfaces, reicht das?

2016-10-15 20_48_26-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

Ich habe eine eigene CA und ein Server Zertifikat für den Radius erzeugt, aktiviere ist das, dann läuft der Radius nicht mehr.
Mit dem Certificates Reiter kann ich auch nichts anfangen.
Sorry, ich kann da leider nicht folgen.
Danke für Deine Hilfe.

2016-10-15 20_47_48-pfsense.localdomain - status_ services - internet explorer

2016-10-15 20_53_54-pfsense.localdomain - package_ freeradius_ eap_ eap - internet explorer
Mitglied: aqui
aqui 16.10.2016 um 12:20:16 Uhr
Goto Top
dann läuft der Radius nicht mehr.
Woran siehst du das ? OK, am Prozess. Was sagt den das systemlog dazu ?? Was ist der Grund das der Radius Prozess gestoppt wird ?
Sonst lass den Radius erstmal ohne Zertifikat laufen. Zwingend für den Betrieb ist das erstmal nicht. Es dient ja lediglich dazu den Radius Server für die Clients zu authentisieren, damit denen nicht irgendein x-beliebiger untergeschoben werden kann.
Zum Testen kann man das aber erstmal ignorieren.
Ansonsten hast du erstmal alles richtig gemacht.
Mitglied: aqui
aqui 19.10.2016 aktualisiert um 15:51:06 Uhr
Goto Top
So, ein kleiner Laboraufbau zum Test und es funktioniert auf Anhieb !!!
Hier sind deine ToDos:
1.)
Zuerst eine CA im pfSense Cert Manager anlegen denn wir nutzen NICHT den FreeRadius Cert Manager der wird NICHT mitgesichert bei einem pfSense Backup:
cert1

2.)
Mit der CA ein Zertifikat erstellen:
cert2

3.)
Im Setup Services -> FreeRadius einen User anlegen:
rad2

4.)
Jetzt das Gerät was die Zertifizierungsanfrage schickt (IP) eintragen mit Password. Dies ist testweise der NTRadping PC (.1.100) später dann Switch, AP oder was auch immer.
rad3

5.)
Interfaces Konfig erstmal den Default übernehmen. Achtung hier natürlich später den WAN Port ausnehmen und nur lokale Ports nehmen !
rad4

6.)
Unter EAP den Radius auf den pfSense Cert Manager umstellen:
rad5

7.)
Zum Testen nun NTRadPing öffen und einen Test hier loslassen auf den FreeRadius.
rad1

Erfolgreich und funktioniert. Auch das pfSense Log zeigt das an:
radlog

Works as designed !!! :-D face-big-smile
Mitglied: horstvogel
horstvogel 30.10.2016 um 10:42:23 Uhr
Goto Top
Hallo aqui,
das habe ich hinbekommen.
Wie sage ich meinem 192.168.1.1 Lan nun das es nun nur noch auf über den Radius erlaubte Geräte benutzen darf?

2016-10-30 10_35_52-https___www.administrator.de_images_c_1_4_204123e68e7bccd741e7230c3ed31a51 -
2016-10-30 10_41_27-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp

danke der Horst
Mitglied: aqui
aqui 30.10.2016, aktualisiert am 14.05.2021 um 14:36:19 Uhr
Goto Top
Ist das ein WLAN oder LAN Segment ??
Dann machst du das ganz normal über 802.1x auf dem Switch oder AP dort im Netz.:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Oder soll das CP das abfragen ? Dann musst du den Radius entspr. im CP Setup eintragen statt der lokalen Datenbank.

Ein etwas aktualisierteres Setup des pfSense FreeRadius Paketes zeigt dieser Thread:
https://administrator.de/content/detail.php?id=378188&token=202#comm ...
Mitglied: ruebenmaster
ruebenmaster 26.12.2016 um 11:34:12 Uhr
Goto Top
Hallo Leute,
Tolle Anleitung.
Allerdings möchte ich an dieser Stelle bemerken, dass es security mässig nicht ratsam ist, den CA Server, Radius und Firewall auf einer Maschine zu nutzen. Hier wären verschiedene Zonen sinnvoll. Zudem, beim Neuaufsetzen, immer freeradius >3.x verwenden.
Da funktioniert das erst mal von Haus aus ziemlich gut.

Viele Grüße
Ruebenmaster
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...