pfSense设置Radius服务器

Radius为各种网络设备和服务提供了一个认证来源。 Radius认证常用于VPN、入网门户、交换机、路由器和防火墙。Radius认证比在网络上的不同设备跟踪各种本地帐户更容易管理。

为什么要使用pfSense作为radius服务器?

由于这种服务不需要太多的系统资源,pfSense防火墙为本身就可以胜任。Radius服务可以轻松处理数百个客户端的身份验证而不会影响性能。如果硬件性能良好,则可以轻松支持数千个客户端。pfSense允许Radius在专用网络接口上运行。如果已经在网络上运行pfSense,可以无需为Radius构建单独的服务器。

以下教程基于pfsense2.34汉化版完成。

一、安装插件

pfSense2.34插件管理器里包括FreeRadius2和FreeRadius3。 本着用新不用旧的原则,在本教程中,我们使用FreeRadius3。如果你以前安装了其他任何Radius插件,请先删除。

1.  导航到系统-插件管理,单击可用的插件。

2.  单击FreeRadius3旁边的加号开始安装。

3.  单击“确定”确认软件包的安装。

安装程序会自动下载并安装freeradius3及所有依赖项。 安装需要几分钟。完成后,系统服务菜单将会有FreeRadius这个新的菜单项。

二、配置接口

首先为radius服务器指定一个或多个接口进行监听。 导航到系统服务-FreeRadius菜单。选择将服务绑定到LAN接口。

  1. 单击设置页面的接口选项卡。
  2. 点击加号图标添加一个新接口。
  3. 在“interface IP Address(接口IP地址)”字段中输入LAN     IP地址。
  4. 单击保存设置.

其它设置可以保持默认设置。

三、添加客户端

下一步是添加客户端条目。使用radius服务器进行身份验证的每个设备都需要在设置中配置客户端条目。

1.  单击NAS / Clients选项卡。

2.  单击加号,添加新条目。

3.  在Client IP Address(客户端IP)字段中输入认证请求设备的IP地址。

4.  输入客户端的简称。 这通常是NAS的主机名。

5.  输入RADIUS客户端的共享密钥。 这是NAS(交换机,接入点等)需要与RADIUS服务器进行通信的共享密钥。

在Miscellaneous Configuration(杂项配置)部分,从下拉框中选择客户端类型。

四、创建用户帐户

最后创建用户帐户。 单击Users(用户)选项卡,然后单击加号创建新用户。这个页面上只有两个必填字段,用户名和密码。其他设置可根据需要进行设置。

五、添加设备

经过上述设置,radius服务器现在应该已经启动并准备好接受传入的身份验证请求。现在可以开始将客户端设备的认证服务指向服务器。

客户端设备需要配置以下项目。

  1. pfSense系统的LAN IP地址,或选择将radius服务器绑定到哪个接口。
  2. 输入在客户端选项卡上分配的radius 密码 。
  3. 认证端口设置为1812,或者你在接口选项卡上指定的其他端口。

故障排除

检查服务状态

如果遇到问题,首先应该做的是确保radius服务正在运行。

如果没有运行,尝试通过点击radiusd旁边的播放图标来启动它。

如果服务没有开始,请重新安装来解决问题。

重新安装时,要注意备份配置。

检查日志

系统日志可以提供查找问题的线索。 要查看日志,请单击系统状态菜单中的系统日志。

通过Radtest测试服务

Radius插件包括一个Radtest的实用程序,可用于测试认证服务是否正常工作。

运行测试步骤

  1. 添加IP地址为192.168.133.1的接口(仅限本教程)。
  2. 将接口类型设置为“Auth”,使用默认端口(1812)。
  3. 添加IP为192.168.133.1的客户端/ NAS,共享密钥为“test”。
  4. 在用户选项卡上创建一个测试用户帐户。
  5. 通过SSH登录pfSense或使用诊断菜单中的命令提示功能。
  6. 运行以下命令,使用您分配的凭据替换<username>和<password>。

radtest <username> <password>127.0.0.1:1812 0 test

如果测试成功,应该能看到 “Received Access-Accept…”这样的字符串。

 

Radius服务应用范围

如果你使用了radius身份验证后,可能不会再想回到用本地用户帐户来进行认证。 比如下面的一些服务就很适合使用radius服务器来进行认证。

  • 入网门户- 为家庭或企业设置无线热点,并使用radius作为入网门户的认证来源。
  • 远程 VPN - 配置pfSense作为VPN服务器,并为用户帐户使用集中式身份验证。
  • 网络交换机 –使用pfsesne来管理,而非本地用户帐户。

2017-7-10

时间: 2024-10-07 21:07:17

pfSense设置Radius服务器的相关文章

hostapd作为radius服务器

使用hostapd作为radius服务器,用于企业wifi加密认证. 参考链接: http://www.cnblogs.com/claruarius/p/5902141.html 去网上下载hostapd 源码,本文使用的是hostapd-2.4.操作系统ubuntu16.04. 1,tar -xvzf hostapd-2.4.tar.gz 2,cd hostapd-2.4/hostapd 3,cp defconfig .config 4,open options in .config #CON

使用pfSense和Viscosity设置OpenVPN服务器

虚拟专用网(VPN)可用于许多非常有用的应用.您可以安全地连接到任何公共WiFi热点.您可以克服自己喜爱的网站上的地理阻止限制,也可以连接到世界上任何地方的家庭或办公室网络.通过VPN连接发送的任何内容都将从您的设备加密,直到到达您的OpenVPN服务器. 本指南将引导您完成在pfSense上设置OpenVPN服务器所涉及的步骤,从而允许您从远程位置安全地访问家庭/办公室网络,并可选择通过它发送所有网络流量,以便您可以安全的访问互联网. 本指南不会处理与设置路由器有关的任何问题.运行pfSens

使用pfSense设置一个基本的入网门户

PfSense为网络设置门户网站提供了一种简单的方法. 使用门户可以让网络上的用户定向到特定网页,然后才能访问互联网. 这个网页可以是一个说明网页,也可以是一个包含了用户名或密码的验证页面. 门户网站最常用于无线热点,一般在酒店和机场等公共场所使用较多. 门户网站启用后,任何指向pfSense路由器的计算机都将自动重定向到门户网站登陆页面. 入网门户配置 本教程将基于pfsense2.34汉化版来展示如何在没有任何身份验证的情况下设置基本门户.设置完成后,连接到网络的客户端将被重定向到我们选择的

用Win2008R2做Radius服务器 -- Cisco设备篇

Win2008R2 做Radius 服务器 Cisco 设备篇 最近公司准备改用Radius作为cisco设备的验证服务器,出于好奇,自己先搭配一个Radius服务器做测试.最开始我用的是Tekradius这个服务器,做认证是没有问题,但是在做授权的时候,怎么都不能得到privilege15的权限,研究了好久都没有成功,暂时放一边.然后我改用Win2008R2的NPS来作为Radius服务器,认证和授权都成功了. 首先安装好Win2008R2,在"服务器管理器"添加新的角色,选&quo

[EAP]将hostapd作为radius服务器搭建EAP认证环境

文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接路由器设置 4.配置hostapd的user文件 5.运行命令 0.概念理解 (1)802.11i 是一个标准,这种安全标准为增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,标准范畴分为媒介层(MAC)与物理层(PHY).该标准为整个802.1

思科路由器配合域内Radius服务器完成VPN用户身份认证

背景介绍: 公司有一个域环境,路由器Wan地址为:a.b.c.d,Lan地址为:192.168.30.1,其余服务器地址如图所示,其中VPN服务器需要2块网卡,第2块网卡的地址为172.16.0.1使用NAT转换通过192.168.30.5访问外网,给使用VPN登陆的客户端指定IP地址为10.0.0.1-10.0.0.100,为了方便管理,实现账号的单一登陆,搭建了Radius服务器,下面就来介绍如何使用思科路由器配合域内Radius服务器完成VPN用户身份认证. 路由器设置: 登陆路由器,首先

[原创]CentOS下Radius服务器搭建

一.   实现环境: 1.系统:CentOS  release  6.6 (Final) 2.需要软件包: 1) freeradius-2.1.12-6.e16.x86_64 freeradius-mysql-2.1.12-6.e16.x86_64 2) ppp-2.4.5-5.e16.x86_64 3) rp-pppoe-3.10-11.e16.x86_64 4) mysql-5.1.73-3.e16_5.x86_64 mysql-devel-5.1.73-3.e16_5.x86_64 5)

配置Windows NPS作为FortiGate防火墙的RADIUS服务器

前一篇blog介绍了如何启用FortiGate防火墙的Explicit proxy功能,文章中没有介绍的如何配置Windows NPS作为RADIUS服务器帮助验证proxy客户端的. 今天的blog就介绍一下如何配置Windows NPS作为FortiGate使用的RADIUS服务的过程: 下面开始正文: 安装Windows NPS:安装过程非常简单,server manager->Add roles and Features->选择Windows Network policy服务即可: 启

思科路由器配合域内Radius服务器完成VPN用户身份认证(二)

背景介绍: 创建好VPN服务器后(创建步骤详见http://arkling.blog.51cto.com/2844506/1669855),需要用户在本地创建新的网络连接,并指定连接所采取的协议,此时的VPN用户虽然可以访问内网的服务器,但是却无法访问外网,是因为本地的默认路由会被VPN的连接路由所取代.为了让VPN用户能同时使用内外网,需要将VPN的连接设置上将"在远程网络上使用默认网关"去掉,并且在拨入VPN的本地计算机上新增一行路由条目,此时需要注意的是默认网关是VPN指定地址的