IP Fire als Authenticator mit Freeradius als Authentication Server (802.1x)

[DTM]

Liebe FI,

beim Versuch in IP-Fire die Zugriffskontrolle per 802.1x (RADIUS) zu konfigurieren, beiße ich mir die Zähne aus. Vielleicht habt Ihr ja eine Idee.

Das Szenario:

IP-Fire soll als Authenticator zum Einsatz kommen und nach Radius Abfrage den Zugang von Grün aus ins WAN freigeben. An den IP-Fire Grundeinstellungen wurde nur das Nötigste verändert. Es wurde lediglich die Konfiguration ausgewählt (Rot/Grün/Orange) und die jeweiligen Schnittstellen zugeordnet. Im orangen Netz gibt es einen Freeradius Server (Ubuntu Server). Im grünen Netz befinden sich diverse Clients (Ubuntu/W10). Diese erhalten ihre IP Adressen per DHCP. Das grüne Netz stellt seine Anfragen über den in IP-Fire integrierten Proxy Server. Der Proxy Server läuft nicht im transparenten Modus. Sowohl aus dem grünen als auch aus dem orangen Netz lassen sich von allen Stationen aus Adressen im WAN pingen. Die Clients können den Server anpingen und umgekehrt.

Der Radius Server funktioniert mit sich selbst als Client wie im Freeradius Wiki "Getting started" beschrieben. https://wiki.freeradius.org/guide/Getting-Started Der beschriebene Funktionstest ist erfolgreich und die Überprüfung des Kennworts klappt.

Der nächste Schritt wäre nun, IP-Fire als Authenticator zu konfigurieren. Dafür gibt es in der Benutzeroberfläche nur eine Hand voll Einstellungen.   

https://wiki.ipfire.org/configuration/network/proxy/wui_conf/auth/radius

Ich habe folgende Einstellungen festgelegt..

IP und Ports (1812/1813) des Radius Servers, das Shared Secret für die Anmeldung des Authenticators und den Hostnamen des Radius Servers. Außerdem benutzerbasierte Zugriffsbeschränkung aktiviert und in der entsprechenden Whitelist einen existierenden Benutzer eingetragen (der im Funktionstest mit 127.0.0.1 als Client auch funktioniert).

Die Clients verbinden sich allerdings nach wie vor direkt per DHCP und haben Zugang zum Internet.

An dieser Stelle weiß ich nicht weiter. Auf dem Radius/Ubuntu Server habe ich testweise die Firewall deaktiviert. 

Vielleicht habt Ihr eine Idee in welche richtung ich recherchieren könnte oder woran ich vielleicht noch nicht gedacht habe.

Leider findet man sehr wenig zu IPFire / Radius im Netz..

VG

Dennis

[Epigenom]

Hallo DTM,

ich kann dir leider zur Sache nicht helfen aber ein Tipp wo du noch Fragen/Diskutieren kannst.

Unter administrator.de sollte das gehen.
Aber Achtung, dort ist der Ton zum Teil unterirdisch.
Ist nicht so gut moderiert wie hier.

Aqui ist dort ein sehr guter Netzwerkspezialist aber sein Stil ist zum Teil sehr gewöhnungsbedürftig.

Eventuell bringt dich dieser Hinweis weiter.

Grüße
Epi 

Bearbeitet 18. August 2021 von Epigenom

[DTM]

vor 1 Stunde schrieb Epigenom:

Hallo DTM,

..
Eventuell bringt dich dieser Hinweis weiter.

Vielen Dank für Deinen Hinweis. Werde ich mir auf jeden fall mal ansehen. Probiere es jetzt erst mal mit einem Switch der Radius kann (muss ich erst besorgen). Wenn das funktioniert bin ich auf jeden Fall schon mal einen Schritt weiter.

Prinzipiell sollte bei einem korrekt funktionierenden Radius Server in der Authenticator Konfiguration ja nur die IP/Port des Servers und das Shared Secret (allgemeine RADIUS Einstellungen) ausreichen um eine Reaktion im Radius Debugging zu sehen?

VG

DTM

[Epigenom]

Ich habe dir hier noch ein Link zu einem Tutorial im Admin Forum.

Ist auch von Aqui. Wie gesagt schätze ich seine Fachlichkeit aber seine Art ist zum Teil unterirdisch.

Hier wird die LAN Authentifizierung beschrieben. Häufig geht es primär um WLAN Authentifizierung.

https://administrator.de/knowledge/netzwerk-zugangskontrolle-mit-802-1x-und-freeradius-am-lan-switch-154402.html

Grüße
Epi

 

Bearbeitet 19. August 2021 von Epigenom

[DTM]

vor 13 Minuten schrieb Epigenom:

Ich habe dir hier noch ein Link zu einem Tutorial im Admin Forum...

Ist jetzt etwas dirty aber ich habe es inzwischen anders "gelöst". Für die Kombination pfSense und Freeradius gibt es eine ganze Menge an Informationen im Netz und ich habe es jetzt mit 

 Ubuntu Server 20.04.2 LTS / Freeradius 3.0.20 und pfSense CE 2.5.2 in Hyper-V 

zum Laufen gebracht. Eine große Unterstützung war mir dabei die Seite https://techexpert.tips/de/category/pfsense-de/

Das gute, und darauf war ich auch aus, ist dass bei allen Komponenten wirklich nur die Grundeinstellungen vorgenommen werden mussten. Lediglich die users Datei und die clients.conf Datei unter Debian/Ubuntu (/etc/Freeradius/3.0/) musste angepasst werden.

Ich muss drei Szenarien nachbauen, Client/Authenticator/Authentication Server mit Linux/LinuxServer VMs, mit Windows VMs und mit hardware. Primär geht es dabei um den Radius Server und dessen Konfiguration. Die Probleme mit IP Fire waren jetzt eher zweitrangig und hinderlich (Prioritätsmäßig). Nachdem ich mich jetzt mit der Radius Konfiguration beschäftigen kann lasse ich das Setup mit IP Fire erst mal außen vor und schaue es mir ggf. ein andermal wieder an. Notizen hab ich mir dazu gemacht.

Aber nochmal vielen Dank für Deine Mühe. Angemeldet hab ich mich jetzt auch bei Administrator.de. Würde den Thread jetzt auch auf ungelöst lassen und Ihn beizeiten ergänzen..

VG

DennisTM