PfSense, openVPN und FreeRadius -Anfängerfrage
Moinsen,
ich stehe mal wieder auf dem Schlauch und habe eine für Euch Profis vermutlich wieder einfache Frage:
Aufbau ist Fritzbox mit Portfreigabe auf das WAN Interface der pfsense. Dort läuft ein OpenVPN Server, alles funktioniert soweit auch.
Ziel ist den OpenVPN Zugang per FreeRadius zu überwachen.
Und hier gleich meine Frage: unter "FreeRadius/Interfaces" muss ja die IP eingetragen werden. In den Anleitungen ist hier die 127.0.0.1 (localdomain) genannt, siehe hier: https://blog.vonhewitt.com/2017/08/pfsense-openvpn-setup-with-freeradius ...
Muss da nicht vielmehr meine pfSense WAN IP hin, denn da soll ja gelauscht werden? Oder denke ich wieder falsch?
Für eine Antwort, gerne mit Begründung, will ja lernen, bin ich wie immer sehr dankbar.
Grüßle
th30ther
ich stehe mal wieder auf dem Schlauch und habe eine für Euch Profis vermutlich wieder einfache Frage:
Aufbau ist Fritzbox mit Portfreigabe auf das WAN Interface der pfsense. Dort läuft ein OpenVPN Server, alles funktioniert soweit auch.
Ziel ist den OpenVPN Zugang per FreeRadius zu überwachen.
Und hier gleich meine Frage: unter "FreeRadius/Interfaces" muss ja die IP eingetragen werden. In den Anleitungen ist hier die 127.0.0.1 (localdomain) genannt, siehe hier: https://blog.vonhewitt.com/2017/08/pfsense-openvpn-setup-with-freeradius ...
Muss da nicht vielmehr meine pfSense WAN IP hin, denn da soll ja gelauscht werden? Oder denke ich wieder falsch?
Für eine Antwort, gerne mit Begründung, will ja lernen, bin ich wie immer sehr dankbar.
Grüßle
th30ther
Please also mark the comments that contributed to the solution of the article
Content-ID: 511507
Url: https://administrator.de/contentid/511507
Printed on: November 6, 2024 at 10:11 o'clock
7 Comments
Latest comment
Servus.
Hängt davon ab, auf welcher IP der Radius lauscht. Aus Sicherheitsgründen lauscht er hier wohl nur auf localhost... also die 127.0.0.1
Aus Deiner Anleitung:
Henere
Hängt davon ab, auf welcher IP der Radius lauscht. Aus Sicherheitsgründen lauscht er hier wohl nur auf localhost... also die 127.0.0.1
Aus Deiner Anleitung:
Interface IP Address: 127.0.0.1 – unless you plan on utilizing freeRADIUS authentication for other purposes outside of your pfSense installation you will want to limit this to localhost only.
Henere
vermutlich wieder einfache Frage:
Das erleichtert uns dann das Wochenende Aufbau ist Fritzbox mit Portfreigabe auf das WAN Interface der pfsense.
Also eine klassische Router/Firewall Kaskade wie sie HIER beschrieben ist, richtig ?IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Muss da nicht vielmehr meine pfSense WAN IP hin
Nein ! Denk mal selber etwas nach !! Wir gehen hier mal davon aus das du den FreeRadius Server direkt auch auf der pfSense betreibst über die Package Erweiterung, richtig ? Oder ist dein FreeRadius Server extern ?
Wenn er intern ist, sprich also auf der pfSense kommen die OVPN User Requests ja direkt an der pfSense an, die ist ja OVPN Server.
Und...du denkst komplett falsch, denn du verwechselst hier den eigentlichen VPN Prozess und den Radius Prozess indem du alles zusammenwürfelst. Denke in Schritten !
- Client startet VPN Session
- VPN Session terminiert am WAN Port der pfSense
- pfSense extrahiert Username und fragt selber als Radius Client einen Radius Server für die Authentisierung
- Da Radius Client udn Radius Server ein und dieselbe Maschien sind kann man hier ausnahmsweise die interne 127er IP nehmen da ja nix nach extern muss.
Das sagt einem doch aber auch der gesunde IT Verstand !
Aus Sicherheitsgründen lauscht er hier wohl nur auf localhost... also die 127.0.0.1
Letztlich ja, denn der pfSense Radius Server könnte natürlich auch noch Switch Port Authentisierung, dyn. VLAN Zuweisung usw. mit 802.1x machen:Freeradius Management mit WebGUI
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Oder das gleiche z.B. in einem WLAN:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Oder beides bzw. alles 3 zusammen.
Dann nimmt man aber immer logischerweise eine IP Adresse aus einem lokalen LAN und niemals eine eine "heissen" Interfaces vor der Firewall. Sicherheitstechnisch wäre das Unsinn.
Diese Frage stellt sich für den TO ja aber gar nicht wenn es rein nur um VPN Authorisierung geht.
Da diese interessante Konfig sicher auch andere interessiert könntest du sie ja hier mal (wenn das Franzbrötchen aufgegessen ist !) etwas detailierter schildern oder an das hiesige OpenVPN Tutorial anhängen !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router