PFSense 2.3.2 Freeradius

Mitglied: horstvogel

horstvogel (Level 2) - Jetzt verbinden

15.10.2016, aktualisiert 19:56 Uhr, 8453 Aufrufe, 7 Kommentare

Hallo,
ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann.

PFSense 2.3.2, Freeradius installiert, Proxy Server aktiv; Captive Portal installiert und läuft auch, für mein Gästelan

Was möchte ich machen:
Mein Produktivnetz 192.168.101.1 soll mit einem Radius Server gesichert werden, dass Produktiv Lan läuft im Vlan 3. Die physikalische Adresse der Lan Schnittstelle ist 192.168.1.1

Leider kann ich mit dem Vortrag von aqui keine Rückschlüsse auf die PFSense zielen, liegt bestimmt an mir.
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...

Bei Youtube und sonst (Suchbegriff PFSense und Freeradius) finde ich auch nur Anleitung die immer gleich ein Captive Portal mit ins Spiel bringen, dass irritiert mich

Habt Ihr einen Link für eine Anleitung auf einer PFSense?

Es geht schon los, welche IP nehme ich für das Interface? die 192.168.1.1 oder die 192.168.101.1? Oder darf/muss das eine IP sein, die nichts mit dem Gateway am Hut hat?
Was mache ich mit dem DHCP Server für die 192.168.101.0, deaktiviere ich den?
Ist der Radius dann gleich für alle Vlan und physikalischen Schnittstellen aktiv?

2016-10-15 18_36_17-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

Danke!! Der Horst
Mitglied: aqui
15.10.2016, aktualisiert um 19:45 Uhr
Was ist ein Capital Portal ? Hat das was mit Bank oder Sparkasse zu tun ?
Der Radius liegt ja immer im lokalen LAN folglich nimmst du das Interface.
Dann Zertifikat generieren und der Rest ist so wie im FreeRadius Tutorial oben beschrieben. Client Netzwerk oder Hostadressen definieren aus denen Radius Anfragen kommen dürfen, Passwort und das wars schon.
User natürlich nicht zu vergessen
Wichtig: Lad dir das Testtool NTRadPing runter ! https://www.novell.com/coolsolutions/tools/14377.html
Damit kannst du den Radius Server wasserdicht auf Funktion testen bevor du mit ihm was anderes machst.
Solange der Radius Server aus allen VLANs erreichbar ist (FW Regel beachten !!) kann er aus jedem VLAN auch für die Authentisierung jeglicher Endgeräte benutzt werden.
Generell ist der Server ja autark. Er rennt wenn du so willst eben nur Huckepack mit auf dem pfSense OS. Quasi so wie ein Server den du auch extern laufen lässt, nur virtuell an ein Interface "angeflanscht".
Ein paar zusätzliche Infos findest du auch noch hier:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: horstvogel
15.10.2016 um 20:59 Uhr
Hallo aqui,
danke für Deinen Hinweis, natürlich ist das keine Bank.
Leider kann ich Deinen Hinweisen nicht folgen.

Unter Interfaces, reicht das?

2016-10-15 20_48_26-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

Ich habe eine eigene CA und ein Server Zertifikat für den Radius erzeugt, aktiviere ist das, dann läuft der Radius nicht mehr.
Mit dem Certificates Reiter kann ich auch nichts anfangen.
Sorry, ich kann da leider nicht folgen.
Danke für Deine Hilfe.

2016-10-15 20_47_48-pfsense.localdomain - status_ services - internet explorer - Klicke auf das Bild, um es zu vergrößern

2016-10-15 20_53_54-pfsense.localdomain - package_ freeradius_ eap_ eap - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.10.2016 um 12:20 Uhr
dann läuft der Radius nicht mehr.
Woran siehst du das ? OK, am Prozess. Was sagt den das systemlog dazu ?? Was ist der Grund das der Radius Prozess gestoppt wird ?
Sonst lass den Radius erstmal ohne Zertifikat laufen. Zwingend für den Betrieb ist das erstmal nicht. Es dient ja lediglich dazu den Radius Server für die Clients zu authentisieren, damit denen nicht irgendein x-beliebiger untergeschoben werden kann.
Zum Testen kann man das aber erstmal ignorieren.
Ansonsten hast du erstmal alles richtig gemacht.
Bitte warten ..
Mitglied: aqui
19.10.2016, aktualisiert um 15:51 Uhr
So, ein kleiner Laboraufbau zum Test und es funktioniert auf Anhieb !!!
Hier sind deine ToDos:
1.)
Zuerst eine CA im pfSense Cert Manager anlegen denn wir nutzen NICHT den FreeRadius Cert Manager der wird NICHT mitgesichert bei einem pfSense Backup:
cert1 - Klicke auf das Bild, um es zu vergrößern

2.)
Mit der CA ein Zertifikat erstellen:
cert2 - Klicke auf das Bild, um es zu vergrößern

3.)
Im Setup Services -> FreeRadius einen User anlegen:
rad2 - Klicke auf das Bild, um es zu vergrößern

4.)
Jetzt das Gerät was die Zertifizierungsanfrage schickt (IP) eintragen mit Password. Dies ist testweise der NTRadping PC (.1.100) später dann Switch, AP oder was auch immer.
rad3 - Klicke auf das Bild, um es zu vergrößern

5.)
Interfaces Konfig erstmal den Default übernehmen. Achtung hier natürlich später den WAN Port ausnehmen und nur lokale Ports nehmen !
rad4 - Klicke auf das Bild, um es zu vergrößern

6.)
Unter EAP den Radius auf den pfSense Cert Manager umstellen:
rad5 - Klicke auf das Bild, um es zu vergrößern

7.)
Zum Testen nun NTRadPing öffen und einen Test hier loslassen auf den FreeRadius.
rad1 - Klicke auf das Bild, um es zu vergrößern

Erfolgreich und funktioniert. Auch das pfSense Log zeigt das an:
radlog - Klicke auf das Bild, um es zu vergrößern

Works as designed !!!
Bitte warten ..
Mitglied: horstvogel
30.10.2016 um 10:42 Uhr
Hallo aqui,
das habe ich hinbekommen.
Wie sage ich meinem 192.168.1.1 Lan nun das es nun nur noch auf über den Radius erlaubte Geräte benutzen darf?

2016-10-30 10_35_52-https___www.administrator.de_images_c_1_4_204123e68e7bccd741e7230c3ed31a51 - - Klicke auf das Bild, um es zu vergrößern
2016-10-30 10_41_27-pfsense.localdomain - package_ freeradius_ interfaces_ interfaces - internet exp - Klicke auf das Bild, um es zu vergrößern

danke der Horst
Bitte warten ..
Mitglied: aqui
30.10.2016 um 13:03 Uhr
Ist das ein WLAN oder LAN Segment ??
Dann machst du das ganz normal über 802.1x auf dem Switch oder AP dort im Netz.:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Oder soll das CP das abfragen ? Dann musst du den Radius entspr. im CP Setup eintragen statt der lokalen Datenbank.
Bitte warten ..
Mitglied: ruebenmaster
26.12.2016 um 11:34 Uhr
Hallo Leute,
Tolle Anleitung.
Allerdings möchte ich an dieser Stelle bemerken, dass es security mässig nicht ratsam ist, den CA Server, Radius und Firewall auf einer Maschine zu nutzen. Hier wären verschiedene Zonen sinnvoll. Zudem, beim Neuaufsetzen, immer freeradius >3.x verwenden.
Da funktioniert das erst mal von Haus aus ziemlich gut.

Viele Grüße
Ruebenmaster
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Die letzte Phase des Desktop Kriegs?
FrankInformationMicrosoft18 Kommentare

In seinem Blog vertritt Eric S. Raymond, bekannt auch unter seinem Hacker-Namen ESR, eine interessante Theorie um das Ende ...

LAN, WAN, Wireless
Allgemeiner Fehler
gelöst jensgebkenFrageLAN, WAN, Wireless16 Kommentare

Hallo Gemeinschaft, habe bei einem PC folgendes Ping Problem über ipconfig erhalte ich die IP 192.168.178.37 will ich diesen ...

Cloud-Dienste
Outlook.com down
LochkartenstanzerInformationCloud-Dienste13 Kommentare

Die Leute kommen nicht mal an Ihre Mails. Das ist der Grund, warum ich Kunden abrate Clouds zu nutzen. ...

Microsoft
Gespeichertes Eventlog per Powershell durchsuchen
gelöst DerWoWussteFrageMicrosoft12 Kommentare

Werte Kollegen! Ich archiviere die Securitylogs des Domänencontrollers jeden Tag. Wenn ich nun etwas im Log von z.B. vorgestern ...

Ubuntu
Server Bash Input Output error
gelöst DerEchteBoenFrageUbuntu12 Kommentare

Guten Tag Leute! Ich hab letztens einen älteren Hp Server mit 2x Intel Xeon mit jeweils 6 kernen und ...

Apache Server
Snipe IT error
Jannik2018FrageApache Server12 Kommentare

Weiß jemand von euch wie Ich das folgende Problem mit SNipe IT in den Griff bekommen kann ???

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Linux Netzwerk
FreeRadius Lokal
D1-aB-loFrageLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Firewall

PFSense 2.3.2 Captive Port, Administrator Zugriffsteuerung sperren

gelöst horstvogelFrageFirewall12 Kommentare

Hallo, ich habe auf meiner PFSense ein Captive Portal laufen. Nun möchte ich den Administrator Zugriff aus dem Gästelan ...

Linux Netzwerk

Freeradius mit ApacheDS

gelöst synex-mFrageLinux Netzwerk4 Kommentare

Hallo zusammen, ich brauche mal eure Expertise. Ich habe in meinem kleinen Netzwerk auf einem Raspberry Pi einen Freeradius ...

Debian

Debian FreeRadius LDAP (GSSAPI)

joe2017FrageDebian

Ich habe einen FreeRadius Server und habe ein Problem mit der LDAP Useranmeldung. Hier erhalte ich folgende Fehlermeldung: Hier ...

Firewall

PfSense: Freeradius, NUR EAP-TLS

mrserious73FrageFirewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT