Access Point con RADIUS, detras de PFsense

hgarcia

Hola a todos.

Antes que todo muy buen foro, he aprendido bastante.

tengo la siguiente duda, actualmente tengo pfsense funcionando con RADIUS ya que en mi organizacion tenemos un controlador de dominio el cual a resultado bastante bien la administracion ya que los usuarios ahora al momento de navegar por wifi deben ingresar con sus credenciales de red corporativas. Ahora adquirimos unos Access Point Cisco Small Bussines WAP4410N Wireless-N y soporta funcionalidad de RADIUS. El tema es que no se si al AP puedo hacer que se integre con RADIUS ya que son diferentes segmentos de red. GRafico topologia actual.

10.10.156.6 (SERVIDOR RADIUS)
10.10.156.36 WAN (SERVIDOR PFSENSE)
192.168.1.1 LAN (SERVIDOR PFSENSE)
192.168.1.8 (Access Point)

Que trate de hacer?, bueno en el pfsense Hize un NAT para que la 10.10.156.36 lo reenvie a la 192.168.1.8 puerto 1812, pero no me levante.
Ahora logicamente registre el AP en el DNS y en IAS (Servicio de Autentificacion de Internet) con la ip 10.10.156.36, pero con diferente nombre de host.

Pfsense esta como (pcbsd)
Access Point como (pcbsdap)

Es factible esa configuracion?, todo esto es para evitar que los clientes se conecten a al AP con clave Pre-shared, sino que sea utilizando sus credenciales de red para otorgar autonomia.

Cualquier ayuda me sirve. ;)

acriollo

Hola Pudieras decirnos como esta conectado fisicamente el servidor radius a tu red ?

De que lado esta el servidor radius ? esta en una interface OPT, por que si es asi lo unico que hay que hacer es crear las reglas en la interface del radius para que acepte los paquetes que van al servidor radius , desde la red , el puerto UDP y la direccion del radius correcta.

El PFsense se encargara de hacer el ruteo correspondiente.

Ojala pudieras enviar un diagrama.

Saludos

acriollo

Perdon, ya vi que se encuentra en la parte de afuera de tu red.

En teoria si el AP y el servidor radius tienen las puertas de enlace correctas deberias de poder contactar al servidor radios desde el AP.  Tienes manera de hacer un ping desde el ap a la direccion del servidor de radius?

Saludos

bellera

10.10.156.6 (SERVIDOR RADIUS)
10.10.156.36 WAN (SERVIDOR PFSENSE)
192.168.1.1 LAN (SERVIDOR PFSENSE)
192.168.1.8 (Access Point)

En [Interfaces] [WAN] desmarcar [Block Private Networks], pues tienes que poder acceder a la red privada WAN desde LAN.

En [Firewall] [Rules] [LAN], después de la Anti-Lockout Rule:

> * 	LAN net 	        * 	WAN net 	* 	WAN 	none

Bueno, de hecho, si tienes una única WAN seguramente no te hace falta la regla…

Si quieres, puedes ser más restrictivo con WAN net:

> TCP 	LAN net 	        * 	10.10.156.6	1812 	WAN 	none

bellera

Olvidé decirte que nada de NAT en este caso. Perderás la IP/puerto de origen y es liar el tema…

hgarcia

Super buenas la orientacion.
Ahora el "Block private networks", ya lo tenia desabilitado y la regla en la LAN lo que me faltaba corregir era la regla de apuntar al Gateway (TCP/UDP- Lan net -*-10.10.156.6-1812-WAGW-none)

Ahora lo que me complica es en el lado del Controlador de Domino AD (10.10.156.6), ahi esta configurado el DNS y el IAS, pero si registro el Host (el access point) con la ip 192.168.1.8 como va enrutar hacia la LAN que esta detras de PFSENSE?. Fue por ese motivo que trate de hacer NAT para que el AD se comunicará con el Pfsense en el mismo segmento (WAn) y que luego ahi, reenviarÁ la consulta mediante NAT a la ip 192.168.1.8 que es el Access Point.

Esta es la regla que tengo para el NAT
WAN UDP * * WAN address 1812 (RADIUS) 192.168.1.8 1812 (RADIUS)

Quedo atento y nuevamente gracias.

@bellera:

Olvidé decirte que nada de NAT en este caso. Perderás la IP/puerto de origen y es liar el tema…

bellera

No hay que definir rutas entre subredes de pfSense. Ya están hechas por defecto.

Por tanto, el problema se reduce a otra regla en LAN para ir al servidor DNS en WAN:

> TCP/UDP 	LAN net 	        * 	10.10.156.6	53 	WAN 	none

Y así para el resto de cosas que deban ser accesibles.

NAT sería otra solución pero entonces los equipos que estén en WAN verían todas las peticiones realizadas desde la interfase WAN. Y esto sólo suele interesar cuando hay que pasar del ámbito privado al público (internet) o al revés.

hgarcia

Gracias por tu explicacion, vere si logro habilitar ese servicio que me a dado bastante dolor de cabeza.

saludos!!!1

@bellera:

No hay que definir rutas entre subredes de pfSense. Ya están hechas por defecto.

Por tanto, el problema se reduce a otra regla en LAN para ir al servidor DNS en WAN:

> TCP/UDP 	LAN net 	        * 	10.10.156.6	53 	WAN 	none

Y así para el resto de cosas que deban ser accesibles.

NAT sería otra solución pero entonces los equipos que estén en WAN verían todas las peticiones realizadas desde la interfase WAN. Y esto sólo suele interesar cuando hay que pasar del ámbito privado al público (internet) o al revés.