derrick3000
Aug 24, 2021, updated at 08:20:21 (UTC)
view2945
view5
0
Goto Top

PfSense als Authenticator - FreeRADIUS - 802.1x - 802.3

GermansolvedQuestionNetworks
Hallo Leute,

ich habe Schwierigkeiten mit der Konfiguration von pfSense und komme trotz umfangreicher Recherche einfach nicht weiter. Vielleicht habt Ihr ja einen Tipp für mich wie ich das lösen kann oder seht, wo ich "falsch abgebogen"bin.

Das Szenario

pfSense
2 Interfaces (WAN, LAN)
NetzID 192.168.1.0/24
pfSense WAN IF 192.168.1.50
Fritzbox 192.168.1.1
DNS (piHole) 192.168.1.222

LAN
NetzID 192.168.10.0/24
LAN IF 192.168.10.254
RADIUS Server 192.168.10.253 (Freeradius)
DHCP Server (Range 192.168.10.100 bis 192.168.10.200)

Der RADIUS Server wurde nach FreeRadius Wiki / "Getting started" eingerichtet und gibt nach Ausführung des "Initial Test" im Debugging Modus ein "Access-Accept" aus und ist somit wohl grundsätzlich funktionsfähig eingerichtet. Neben dem localhost als Client für der Funktionstest habe ich pfSense als Client in der clients.conf eingetragen. Außerdem existiert ein User mit Passwort in der users Datei.

wiki.freeradius.org/guide/Getting%20Started

Der RADIUS Server ist von pfSense aus erreichbar und ein Authentication Test über die pfSense Diagnostics Funktion (Authentifizierung per Name und Passwort) ist erfolgreich. Eine Firewallregel ist eingerichtet sodass ich vom LAN aus ins WAN komme. (LAN IF - TCP/UDP - any nach any)

Jetzt würde ich pfsense gerne als 802.1x Authenticator nutzen und nur denjenigen Clients eine Verbindung ins WAN gestatten, die sich zuvor erfolgreich per Benutzername und Passwort (und später eventuell noch per Zertifikat) authentifizieren konnten.

Und hier komme ich jetzt ins Straucheln. Wie bekomme ich es hin, dass die Verbindung ohne passende Zugangsdaten (Radius User Eintrag) nicht zustande kommt.

Ich denke ich muss das über eine Firewall Regel lösen aber habe keine Ahnung wie die aussehen soll. Vielleicht liege ich auch völlig daneben und ich habe einen Denkfehler.

Über konstruktive Einlassungen würde ich mich freuen.

VG face-smile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1189280087

Url: https://administrator.de/contentid/1189280087

Printed on: May 17, 2024 at 08:05 o'clock

5 Comments
Latest comment
Goto Top
Member: aqui
aqui Aug 24, 2021, updated at May 15, 2023 at 14:32:21 (UTC)
Goto Top
Wie bekomme ich es hin, dass die Verbindung ohne passende Zugangsdaten (Radius User Eintrag) nicht zustande kommt.
Den Satz muss man mehrmals lesen, versteht ihn aber auch dann nicht wirklich richtig... face-sad
WAS genau willst du denn jetzt machen ?:
  • Die pfSense selber soll Radius Server sein (Geht nur wenn du über die Package Verwaltung FreeRadius nachinstallierst und [=378188&token=202#comment-1454380 das_hier] umsetzt.)
  • Die pfSense soll eine Nutzer Authentisierung z.B. bei VPN Einwahl oder Administrator Authentisierung an den bestehenden Radius weitergeben.
Was die pfSense nicht kann ist das sie ihre eigenen LAN Segment Ports gegen 802.1x authentisieren kann. Nebenbei wäre das bei einer zentralen Firewall auch technischer Blödsinn.

Übrigens hat das mit Regeln nichts zu tun. Sofern die pfSense als Authentisierungs Requests an den Radius weitergeben soll muss man lediglich sicherstellen das das FW Absender Interface festgelegt wird und der Radius Server selber durch das FW Regelwerk für den Radius Traffic erreichbar ist.
Radius nutzt IP UDP 1812 und 1813 als Ports. Um dir genau sagen zu können wo welche Regel gelten muss müsste man dein Netzdesign besser kennen.

Ein umfassendes Tutorial findest du hier:
Freeradius Management mit WebGUI
Beispiele aus der Radius Praxis findest du im Forum 802.1x_Tutorial und seinen weiterführenden Links.
Für eine 802.1x WLAN Implementation mit dynamischer VLAN Zuweisung findest du ein Praxis Beispiel hier.
heart1
Member: Derrick3000
Derrick3000 Aug 24, 2021 updated at 09:19:43 (UTC)
Goto Top
Zitat von @aqui:

Wie bekomme ich es hin, dass die Verbindung ohne passende Zugangsdaten (Radius User Eintrag) nicht zustande kommt.
Den Satz muss man mehrmals lesen, versteht ihn aber auch dann nicht wirklich richtig... face-sad

Sollte heißen.. Wie bekomme ich es hin, dass sich Clients die sich im LAN befinden nur ins WAN kommen nachdem die Authentifizierung über den RADIUS Server erfolgreich war.

* Die pfSense selber soll Radius Server sein (Geht nur wenn du über die Package Verwaltung FreeRadius nachinstallierst..

Nein, deswegen habe ich ja einen extra Radius Server auf einer eigenen Maschine (VM) eingerichtet der sich im selben LAN befindet wie die Clients. (Siehe oben)

* Die pfSense soll eine Nutzer Authentisierung z.B. bei VPN Einwahl oder Administrator Authentisierung an den bestehenden Radius weitergeben.

Nein. Hab ich aber auch schon erfolgreich probiert und funktioniert.

Was die pfSense nicht kann ist das sie ihre eigenen LAN Segment Ports gegen 802.1x authentisieren kann. Nebenbei wäre das bei einer zentralen Firewall auch technischer Blödsinn.

Ich denke hier liegt mein Fehler. Bis jetzt dachte ich, dass ich pfSense oder ipFire quasi als Authenticator nutzen kann (in Ermangelung eines geeigneten, vorhandenen Switches / APs). Wie ein Switch mit 802.1x Funktion. So dass sich beispielsweise jedes Gerät dass am LAN angeschlossen ist und per DHCP eine Adresse zugewiesen bekommt, erst nach Eingabe von Benutzername und Kennwort (in der Radius users Datei hinterlegt) eine Verbindung "nach draußen" bekommt. Wenn ich Dich recht verstehe ist es genau das was nicht geht.

Dann muss ich das natürlich so hinnehmen. Aber warum wäre es technischer Blödsinn? (Frage natürlich für einen Freund)
Member: aqui
Solution aqui Aug 24, 2021 updated at 10:22:57 (UTC)
Goto Top
Wie bekomme ich es hin, dass sich Clients die sich im LAN befinden nur ins WAN kommen nachdem die Authentifizierung über den RADIUS Server erfolgreich war.
Da die Firewall keine Radius abhängigen FW Regeln und auch keine eigene .1x Port Authentisierung machen kann ist sowas über die Firewall NICHT möglich.
Auf der Firewall an sich gelten also einzig und allein nur das Regelwerk was du erstellst und vollkommen unabhängig jeglicher Radius Authentisierung ist. Das FW Regelwerk arbeitet auf Layer 3 und 4 Basis und nicht auf Layer 2 wie es die 802.1x Port Authentisierung tut.
Das eine hat also mit dem anderen in der Firewall nichts zu tun und sind 2 unterschiedliche Baustellen das solltest du auf dem Radar haben.

Die Firewall kann also mit dem zusätzlichen FreeRadius Package als Radius Server arbeiten und für externe Switches und externe WLAN APs eine Nutzer Authentisierung machen.
Für sich selber kann sie aber lediglich VPN User und GUI User für den lokalen Zugang per Radius authentisieren. Sie hat keine 802.1x Funktion an Bord was, wie bereits gesagt, für eine Firewall auch unsinnig ist.
Vereinfacht: Ja, sie ist Authenticator aber eben rein nur für die Funktionen die sie über einen Radius Request authentisieren kann und das sind die User Authentisierung für GUI Access usw. und die User Authentisierung für VPN Zugang auf die FW.
Mit dem Radius Package auf der FW ist es quasi nur so wie ein externer Radius Server der einfach statt extern nur als weiterer Prozess auf der Firewall "huckepack" werkelt.
heart1
Member: Derrick3000
Derrick3000 Aug 24, 2021 at 10:35:02 (UTC)
Goto Top
Vielen vielen Dank für die tolle Erklärung. Jetzt verstehe ich es endlich. Klar, dass ich mir da einen Wolf recherchiere. Aber, wieder was dazu gelernt. Mühsam ernährt sich das Eichhörnchen...
Member: aqui
aqui Aug 25, 2021 at 07:35:40 (UTC)
Goto Top
Vielen vielen Dank für die tolle Erklärung.
Danke für die 💐 und viel Erfolg mit der weiteren Konfig !
GermansolvedQuestionNetworks
Hotly discussed
LinuxeroEdgeRouter Lite 3 IPv6 configurationLinuxero - 15 CommentsfireflyWindows zero-day vulnerability CVE-2024-30051fireflyhempelVMware Desktop Hypervisor Pro Apps now available free for personal usehempel