Ir al contenido
Avanet

Configurar un servidor RADIUS en Sophos Firewall

RADIUS es un puente importante entre Sophos Firewall y servicios de autenticación existentes. Ejemplos típicos son Microsoft NPS, una pasarela MFA, un Identity Provider con interfaz RADIUS o una plataforma central ya utilizada para VPN, Wi-Fi u otros servicios de red.

Este artículo explica cómo añadir un servidor RADIUS en Authentication > Servers, qué campos importan, cómo preparar Microsoft NPS como contraparte y cómo probar la configuración. Para consultas clásicas de usuarios y grupos desde un dominio Windows, suele encajar mejor conectar Active Directory con Sophos Firewall. Para escenarios modernos de Remote Access, también puede encajar Microsoft Entra ID SSO para Sophos Connect y VPN Portal.

Cuándo tiene sentido RADIUS

RADIUS es útil cuando Sophos Firewall no debe asumir toda la lógica de identidad. El firewall envía una solicitud al servidor RADIUS. El servidor RADIUS decide si usuario, contraseña, condición de grupo, MFA o policy coinciden.

Casos típicos:

  • Remote Access VPN con Microsoft NPS.
  • Solución MFA externa mediante RADIUS.
  • Autenticación central para VPN Portal, SSL VPN, IPsec Remote Access o Captive Portal.
  • Solución transitoria cuando AD/LDAP no debe conectarse directamente al firewall.
  • Entornos mixtos con varios dispositivos de red que usan el mismo servicio RADIUS.

RADIUS no sustituye reglas de acceso limpias. Después de la autenticación, reglas firewall, zonas VPN, grupos, pools IP y logging deben seguir encajando. Para Remote Access sirve configurar Sophos Firewall SSL VPN Remote Access; para diseños MFA, activar MFA para Sophos Firewall WebAdmin, VPN Portal y Remote Access.

Planificar antes de configurar

Antes de pulsar Add, debe estar claro qué papel cumple RADIUS. De lo contrario, el test de conexión puede funcionar, pero el login productivo fallar por servicio, grupo o timeout incorrecto.

Fuente de identidad y contraparte

En entornos Microsoft, RADIUS suele ser un servidor Microsoft NPS. NPS puede comprobar usuarios contra Active Directory, evaluar Network Policies y escribir accounting. En la práctica, Sophos Firewall es el RADIUS client y NPS es el RADIUS server.

Roles:

  • Sophos Firewall: envía la solicitud de autenticación.
  • Servidor RADIUS: comprueba usuario, contraseña, policy y opcionalmente MFA.
  • Active Directory o Identity Provider: proporciona usuarios y grupos en segundo plano.
  • Regla firewall o configuración VPN: decide a dónde puede acceder el usuario tras iniciar sesión.

Ruta de red y puertos

El servidor RADIUS debe ser alcanzable desde el firewall.

PropósitoPuerto estándarDirección
Authentication1812/UDPSophos Firewall hacia servidor RADIUS
Accounting1813/UDPSophos Firewall hacia servidor RADIUS

Entornos antiguos o algunos productos pueden usar todavía 1645/UDP y 1646/UDP. Solo deben usarse si la contraparte realmente los espera.

Shared secret y timeouts

El Shared secret es el secreto técnico compartido entre firewall y servidor RADIUS. No es una contraseña de usuario. Sophos indica un límite de 48 caracteres.

El timeout debe encajar con el caso de uso. Para una simple comprobación de contraseña suele bastar un valor corto. Con Push-MFA, llamada telefónica o challenge externo, un timeout demasiado corto puede cortar el login aunque usuario y contraseña sean correctos. Sophos permite valores Time-out de 1 a 60 segundos.

Añadir el servidor RADIUS en Sophos Firewall

Ruta:

Authentication > Servers

Procedimiento:

  1. Abrir Add.
  2. Elegir RADIUS server como Server type.
  3. Asignar un Server name claro, por ejemplo NPS-HQ-RADIUS o MFA-RADIUS.
  4. Introducir la IP del servidor RADIUS en Server IP.
  5. Comprobar Authentication port, normalmente 1812.
  6. Definir Time-out. Para logins simples 3 a 5 segundos pueden bastar; para MFA, usar un valor mayor según el proveedor.
  7. Activar Enable accounting solo si el servidor RADIUS debe procesar accounting.
  8. Si accounting está activo, comprobar Accounting port, normalmente 1813.
  9. Introducir el Shared secret exactamente como en el servidor RADIUS.
  10. Definir opcionalmente Domain name, especialmente si AD y RADIUS se usan en paralelo.
  11. Introducir opcionalmente Group name attribute si el servidor RADIUS devuelve información de grupos usable.
  12. Si es necesario, abrir Enable additional settings y definir NAS-identifier o NAS-port-type.
  13. Ejecutar Test connection con un usuario de prueba real.
  14. Guardar.

El test confirma la comunicación básica, pero no demuestra que VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal o WebAdmin funcionen en el flujo productivo. Esos servicios deben probarse por separado.

Definir Domain name conscientemente

El campo Domain name es importante en entornos mixtos. Si RADIUS funciona sin dominio y Active Directory crea usuarios con dominio, pueden aparecer usuarios locales duplicados.

Cuando AD y RADIUS se usan en paralelo, conviene definir un Domain name adecuado y revisar en Authentication > Users cómo aparecen los nuevos usuarios.

No adivinar Group name attribute

El Group name attribute debe corresponder a la contraparte. Con NPS o integraciones MFA depende de los atributos que el servidor RADIUS devuelve realmente y de cómo el firewall debe evaluarlos.

Si el grupo importa, probar el flujo completo:

  1. Iniciar sesión en el portal o VPN objetivo.
  2. Comprobar en Authentication > Users si el usuario aparece con el grupo esperado.
  3. En Log Viewer, comprobar qué regla firewall y qué usuario son visibles para el tráfico.
  4. Con NPS, revisar también Event Viewer y Network Policy.

Preparar Microsoft NPS como contraparte

Si se usa Microsoft NPS, Sophos Firewall debe añadirse en el servidor NPS como RADIUS client. En la consola NPS se usa RADIUS Clients and Servers > RADIUS Clients.

Flujo mínimo:

  1. Abrir Network Policy Server.
  2. Abrir RADIUS Clients and Servers > RADIUS Clients.
  3. Crear un New RADIUS Client.
  4. Introducir un Friendly name, por ejemplo Sophos-Firewall-HQ.
  5. En Address (IP or DNS) introducir la IP de Sophos Firewall que envía las solicitudes RADIUS.
  6. Usar normalmente RADIUS standard como Vendor.
  7. Introducir el mismo Shared secret que en Sophos Firewall.
  8. Crear o comprobar Connection Request Policy y Network Policy.
  9. Preparar Event Viewer y logs de NPS para las pruebas.

En clusters HA o con varios firewalls, hay que comprobar qué IP origen ve NPS. Si NPS ve otra IP que la configurada como RADIUS client, la solicitud se rechaza o no coincide con la policy prevista.

Activar RADIUS para los servicios firewall

Después de guardar, el servidor RADIUS no está activo automáticamente para todos los logins. La asignación se hace en:

Authentication > Services

Decidir por servicio:

  • Firewall authentication methods: autenticación general del firewall.
  • VPN portal authentication methods: login en VPN Portal.
  • SSL VPN authentication methods: login SSL VPN.
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: métodos Remote Access VPN relevantes.
  • Captive portal authentication methods: login Captive Portal.

El orden de servidores es importante. Si hay varios seleccionados, el firewall los consulta en el orden configurado. Puede ser intencionado, pero también puede hacer que usuarios se autentiquen por AD en lugar de RADIUS y que MFA no se aplique.

Validar después de guardar

Una buena prueba tiene varios niveles. Test connection no basta.

Test de conexión

Abrir el servidor RADIUS en Authentication > Servers y ejecutar Test connection con un usuario de prueba. Si falla, revisar primero ruta de red, IP origen, Shared Secret, cliente NPS, puerto y contraseña.

Test del servicio

Probar después el flujo real:

  1. Abrir VPN Portal con el usuario de prueba.
  2. Iniciar sesión por SSL VPN o Sophos Connect con un perfil de prueba.
  3. Probar Captive Portal si se usa.
  4. Para acceso administrativo, comprobar permisos locales, rol y autenticación.

Con RADIUS-MFA debe probarse el challenge o push completo con el cliente real. Un test de servidor correcto no prueba que Sophos Connect, VPN Portal o WebAdmin gestionen el challenge igual.

Revisar logs

Puntos relevantes:

  • Log Viewer en Sophos Firewall para decisiones de autenticación y tráfico.
  • Authentication > Users para usuarios creados automáticamente y grupos.
  • NPS Event Viewer en Windows para solicitudes aceptadas o rechazadas.
  • Logs del proveedor RADIUS o MFA si interviene un tercero.
  • Logs de reglas firewall si el login funciona pero el tráfico no pasa.

Si el usuario está autenticado pero no llega a ninguna aplicación, RADIUS normalmente ya no es la primera causa. Revisar zona VPN, pool IP, regla firewall, condición de grupo, NAT y routing. Para esa parte sirve Sophos Firewall: comprobar por qué una regla no coincide.

Errores típicos

Test connection falla

Causas frecuentes: IP origen incorrecta, Shared Secret erróneo, puerto UDP bloqueado, falta el RADIUS client en NPS o una policy NPS no permite el usuario de prueba. En Windows, Event Viewer muestra si la solicitud llega.

Test connection funciona, pero el login VPN no

El servidor RADIUS es alcanzable, pero el servicio probablemente no está configurado correctamente para RADIUS. En Authentication > Services, comprobar el servidor para VPN Portal, SSL VPN o IPsec Remote Access y su posición.

El push MFA llega tarde o no llega

Con MFA externa, los timeouts suelen ser críticos. Timeout de Sophos Firewall, policy NPS, gateway MFA y cliente deben encajar. Para Push-MFA o llamada, no empezar con tres segundos demasiado agresivos.

El usuario se crea dos veces

Suele ocurrir cuando AD y RADIUS se usan en paralelo y RADIUS funciona sin Domain name. Revisar Domain name, formato de login y orden de servidores.

El login funciona, pero la regla no coincide

Revisar matching de usuario y grupo: grupo importado, usuario local, posición de regla, source zone, pool IP VPN y tráfico real en Log Viewer.

Operación y seguridad

RADIUS debe operarse como servicio de identidad productivo. Si el servidor RADIUS falla, Remote Access o los portales pueden verse afectados.

Puntos importantes:

  • Documentar el Shared Secret de forma segura y rotarlo conscientemente tras cambios de personal o proveedor.
  • Conservar logs NPS o RADIUS el tiempo suficiente.
  • Monitorizar el servidor RADIUS, no solo el firewall.
  • Probar timeouts MFA por tipo de cliente y portal.
  • Definir acceso admin de fallback sin exponerlo ampliamente.
  • Tras cambios en AD, NPS, proveedor MFA o servicios firewall, probar un login real.

RADIUS es un buen componente si se opera limpiamente. Sin monitoring, asignación clara de servidores y pruebas reales de servicio, los problemas de login solo se trasladan del firewall a otro sistema.

FAQ

¿Cuál es la diferencia entre RADIUS y Active Directory en Sophos Firewall?

Active Directory se conecta directamente como fuente de usuarios y grupos. RADIUS es un protocolo de autenticación en el que el firewall envía una solicitud a un servidor RADIUS como Microsoft NPS o un sistema MFA. En muchos entornos, el servidor RADIUS sigue comprobando Active Directory en segundo plano.

¿Hay que activar RADIUS también en Authentication > Services?

Sí. Añadir el servidor en Authentication > Servers no basta. El servidor RADIUS debe asignarse al servicio correspondiente en Authentication > Services, por ejemplo VPN Portal, SSL VPN o Captive Portal.

¿Por qué Test connection funciona, pero falla el login VPN?

El test solo comprueba la comunicación básica con el servidor RADIUS. El login VPN real depende además de Authentication Services, configuración VPN, grupos, timeouts, comportamiento del cliente, reglas firewall y quizá MFA.

¿Puede usarse Microsoft Entra MFA mediante RADIUS?

Sí, normalmente mediante Microsoft NPS con la extensión Entra MFA o mediante otro sistema MFA compatible con RADIUS. Son importantes el matching UPN, policy NPS, timeout, registro de usuario y una prueba con el cliente VPN o portal real.

¿Qué puerto usa Sophos Firewall para RADIUS?

Authentication usa normalmente 1812/UDP, Accounting 1813/UDP. Los valores pueden cambiarse, pero deben coincidir exactamente con la contraparte y las reglas firewall entre Sophos Firewall y el servidor RADIUS.