Zum Inhalt springen
  • 0

IP Fire als Authenticator mit Freeradius als Authentication Server (802.1x)


DTM

Frage

Liebe FI,

beim Versuch in IP-Fire die Zugriffskontrolle per 802.1x (RADIUS) zu konfigurieren, beiße ich mir die Zähne aus. Vielleicht habt Ihr ja eine Idee.

Das Szenario:

IP-Fire soll als Authenticator zum Einsatz kommen und nach Radius Abfrage den Zugang von Grün aus ins WAN freigeben. An den IP-Fire Grundeinstellungen wurde nur das Nötigste verändert. Es wurde lediglich die Konfiguration ausgewählt (Rot/Grün/Orange) und die jeweiligen Schnittstellen zugeordnet. Im orangen Netz gibt es einen Freeradius Server (Ubuntu Server). Im grünen Netz befinden sich diverse Clients (Ubuntu/W10). Diese erhalten ihre IP Adressen per DHCP. Das grüne Netz stellt seine Anfragen über den in IP-Fire integrierten Proxy Server. Der Proxy Server läuft nicht im transparenten Modus. Sowohl aus dem grünen als auch aus dem orangen Netz lassen sich von allen Stationen aus Adressen im WAN pingen. Die Clients können den Server anpingen und umgekehrt.

Der Radius Server funktioniert mit sich selbst als Client wie im Freeradius Wiki "Getting started" beschrieben. https://wiki.freeradius.org/guide/Getting-Started Der beschriebene Funktionstest ist erfolgreich und die Überprüfung des Kennworts klappt.

Der nächste Schritt wäre nun, IP-Fire als Authenticator zu konfigurieren. Dafür gibt es in der Benutzeroberfläche nur eine Hand voll Einstellungen.   

https://wiki.ipfire.org/configuration/network/proxy/wui_conf/auth/radius

Ich habe folgende Einstellungen festgelegt..

IP und Ports (1812/1813) des Radius Servers, das Shared Secret für die Anmeldung des Authenticators und den Hostnamen des Radius Servers. Außerdem benutzerbasierte Zugriffsbeschränkung aktiviert und in der entsprechenden Whitelist einen existierenden Benutzer eingetragen (der im Funktionstest mit 127.0.0.1 als Client auch funktioniert).

Die Clients verbinden sich allerdings nach wie vor direkt per DHCP und haben Zugang zum Internet.

An dieser Stelle weiß ich nicht weiter. Auf dem Radius/Ubuntu Server habe ich testweise die Firewall deaktiviert. 

Vielleicht habt Ihr eine Idee in welche richtung ich recherchieren könnte oder woran ich vielleicht noch nicht gedacht habe.

Leider findet man sehr wenig zu IPFire / Radius im Netz..

VG

Dennis

Link zu diesem Kommentar
Auf anderen Seiten teilen

4 Antworten auf diese Frage

Empfohlene Beiträge

  • 0

Hallo DTM,

ich kann dir leider zur Sache nicht helfen aber ein Tipp wo du noch Fragen/Diskutieren kannst.

Unter administrator.de sollte das gehen.
Aber Achtung, dort ist der Ton zum Teil unterirdisch.
Ist nicht so gut moderiert wie hier.

Aqui ist dort ein sehr guter Netzwerkspezialist aber sein Stil ist zum Teil sehr gewöhnungsbedürftig.

Eventuell bringt dich dieser Hinweis weiter.

Grüße
Epi 

Bearbeitet von Epigenom
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 1 Stunde schrieb Epigenom:

Hallo DTM,

..
Eventuell bringt dich dieser Hinweis weiter.

Vielen Dank für Deinen Hinweis. Werde ich mir auf jeden fall mal ansehen. Probiere es jetzt erst mal mit einem Switch der Radius kann (muss ich erst besorgen). Wenn das funktioniert bin ich auf jeden Fall schon mal einen Schritt weiter.

Prinzipiell sollte bei einem korrekt funktionierenden Radius Server in der Authenticator Konfiguration ja nur die IP/Port des Servers und das Shared Secret (allgemeine RADIUS Einstellungen) ausreichen um eine Reaktion im Radius Debugging zu sehen?

VG

DTM

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Ich habe dir hier noch ein Link zu einem Tutorial im Admin Forum.

Ist auch von Aqui. Wie gesagt schätze ich seine Fachlichkeit aber seine Art ist zum Teil unterirdisch.

Hier wird die LAN Authentifizierung beschrieben. Häufig geht es primär um WLAN Authentifizierung.

https://administrator.de/knowledge/netzwerk-zugangskontrolle-mit-802-1x-und-freeradius-am-lan-switch-154402.html

Grüße
Epi

 

Bearbeitet von Epigenom
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 13 Minuten schrieb Epigenom:

Ich habe dir hier noch ein Link zu einem Tutorial im Admin Forum...

Ist jetzt etwas dirty aber ich habe es inzwischen anders "gelöst". Für die Kombination pfSense und Freeradius gibt es eine ganze Menge an Informationen im Netz und ich habe es jetzt mit 

 Ubuntu Server 20.04.2 LTS / Freeradius 3.0.20 und pfSense CE 2.5.2 in Hyper-V 

zum Laufen gebracht. Eine große Unterstützung war mir dabei die Seite https://techexpert.tips/de/category/pfsense-de/

Das gute, und darauf war ich auch aus, ist dass bei allen Komponenten wirklich nur die Grundeinstellungen vorgenommen werden mussten. Lediglich die users Datei und die clients.conf Datei unter Debian/Ubuntu (/etc/Freeradius/3.0/) musste angepasst werden.

Ich muss drei Szenarien nachbauen, Client/Authenticator/Authentication Server mit Linux/LinuxServer VMs, mit Windows VMs und mit hardware. Primär geht es dabei um den Radius Server und dessen Konfiguration. Die Probleme mit IP Fire waren jetzt eher zweitrangig und hinderlich (Prioritätsmäßig). Nachdem ich mich jetzt mit der Radius Konfiguration beschäftigen kann lasse ich das Setup mit IP Fire erst mal außen vor und schaue es mir ggf. ein andermal wieder an. Notizen hab ich mir dazu gemacht.

Aber nochmal vielen Dank für Deine Mühe. Angemeldet hab ich mich jetzt auch bei Administrator.de. Würde den Thread jetzt auch auf ungelöst lassen und Ihn beizeiten ergänzen..

VG

DennisTM   

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2023 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...