Vai al contenuto
Avanet

Configurare un server RADIUS Sophos Firewall

RADIUS è un ponte importante tra Sophos Firewall e servizi di autenticazione esistenti, come Microsoft NPS, un gateway MFA, un Identity Provider con interfaccia RADIUS o una piattaforma centrale già usata per VPN, Wi-Fi o altri servizi di rete.

L’articolo spiega come aggiungere un server RADIUS in Authentication > Servers, quali campi sono importanti, come preparare Microsoft NPS come controparte e come testare la configurazione. Per query classiche di utenti e gruppi da un dominio Windows spesso è più adatto collegare Active Directory a Sophos Firewall. Per scenari Remote Access moderni può essere più adatto anche Microsoft Entra ID SSO per Sophos Connect e VPN Portal.

Quando RADIUS ha senso

RADIUS è utile quando Sophos Firewall non deve gestire tutta la logica di identità. Il firewall invia una richiesta al server RADIUS, che decide se utente, password, gruppo, MFA o policy corrispondono.

Esempi tipici:

  • Remote Access VPN con Microsoft NPS.
  • Soluzione MFA esterna tramite RADIUS.
  • Autenticazione centrale per VPN Portal, SSL VPN, IPsec Remote Access o Captive Portal.
  • Soluzione transitoria quando AD/LDAP non deve essere collegato direttamente al firewall.
  • Ambienti misti con più dispositivi di rete che usano lo stesso servizio RADIUS.

RADIUS non sostituisce regole di accesso pulite. Dopo l’autenticazione, regole firewall, zone VPN, gruppi, pool IP e logging devono comunque combaciare. Per Remote Access è utile configurare Sophos Firewall SSL VPN Remote Access; per i design MFA, attivare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access.

Pianificare prima della configurazione

Prima di aprire Add, deve essere chiaro quale ruolo avrà RADIUS. Altrimenti il test di connessione può riuscire, ma il login produttivo fallire per servizio, gruppo o timeout errati.

Fonte identità e controparte

Negli ambienti Microsoft, RADIUS è spesso un server Microsoft NPS. NPS può verificare utenti contro Active Directory, valutare Network Policies e scrivere accounting. In pratica Sophos Firewall è il RADIUS client e il server NPS è il RADIUS server.

Ruoli:

  • Sophos Firewall: invia la richiesta di autenticazione.
  • Server RADIUS: verifica utente, password, policy ed eventualmente MFA.
  • Active Directory o Identity Provider: fornisce utenti e gruppi in background.
  • Regola firewall o configurazione VPN: decide dove l’utente può accedere dopo il login.

Percorso di rete e porte

Il server RADIUS deve essere raggiungibile dal firewall.

ScopoPorta standardDirezione
Authentication1812/UDPSophos Firewall verso server RADIUS
Accounting1813/UDPSophos Firewall verso server RADIUS

Ambienti più vecchi o singoli prodotti possono usare 1645/UDP e 1646/UDP. Usarli solo se la controparte li richiede davvero.

Shared secret e timeout

Il Shared secret è il segreto tecnico comune tra firewall e server RADIUS. Non è una password utente. Sophos indica un limite di 48 caratteri.

Il timeout deve adattarsi al caso d’uso. Per semplici password può bastare un valore breve. Con Push-MFA, chiamata o challenge esterna, un timeout troppo corto può interrompere il login anche con credenziali corrette. Sophos consente valori Time-out da 1 a 60 secondi.

Aggiungere il server RADIUS su Sophos Firewall

Percorso:

Authentication > Servers

Procedura:

  1. Aprire Add.
  2. Selezionare RADIUS server come Server type.
  3. Inserire un Server name chiaro, ad esempio NPS-HQ-RADIUS o MFA-RADIUS.
  4. Inserire l’IP del server RADIUS in Server IP.
  5. Controllare Authentication port, normalmente 1812.
  6. Impostare Time-out. Per login semplici 3-5 secondi possono bastare; per MFA meglio un valore più alto secondo il provider.
  7. Attivare Enable accounting solo se il server RADIUS deve elaborare accounting.
  8. Se accounting è attivo, controllare Accounting port, normalmente 1813.
  9. Inserire il Shared secret esattamente come sul server RADIUS.
  10. Impostare eventualmente Domain name, soprattutto se AD e RADIUS sono usati in parallelo.
  11. Inserire eventualmente Group name attribute se il server RADIUS restituisce gruppi utilizzabili.
  12. Se necessario, aprire Enable additional settings e impostare NAS-identifier o NAS-port-type.
  13. Eseguire Test connection con un vero utente di test.
  14. Salvare.

Il test conferma la comunicazione di base. Non prova che VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal o WebAdmin funzionino nel flusso produttivo. Questi servizi vanno testati separatamente.

Impostare Domain name consapevolmente

Il campo Domain name è importante negli ambienti misti. Se RADIUS lavora senza dominio mentre Active Directory crea utenti con dominio, sul firewall possono nascere utenti locali duplicati.

Quando AD e RADIUS sono usati insieme, conviene impostare un Domain name adatto e verificare in Authentication > Users come appaiono i nuovi utenti.

Non indovinare Group name attribute

Il Group name attribute deve corrispondere alla controparte. Con NPS o MFA dipende dagli attributi effettivamente restituiti dal server RADIUS. Un valore indovinato crea spesso problemi di gruppi difficili da capire.

Se il gruppo è importante, testare l’intero flusso:

  1. Effettuare login sul portale o VPN di destinazione.
  2. Verificare in Authentication > Users che l’utente appaia con il gruppo atteso.
  3. In Log Viewer, verificare quale regola firewall e quale utente sono visibili per il traffico.
  4. Con NPS, controllare anche Event Viewer e Network Policy.

Preparare Microsoft NPS come controparte

Con Microsoft NPS, Sophos Firewall deve essere registrato sul server NPS come RADIUS client. Nella console NPS si usa RADIUS Clients and Servers > RADIUS Clients.

Flusso minimo:

  1. Aprire Network Policy Server.
  2. Aprire RADIUS Clients and Servers > RADIUS Clients.
  3. Creare un New RADIUS Client.
  4. Inserire un Friendly name, ad esempio Sophos-Firewall-HQ.
  5. In Address (IP or DNS) inserire l’IP di Sophos Firewall da cui partono le richieste.
  6. Usare normalmente RADIUS standard come Vendor.
  7. Inserire lo stesso Shared secret configurato su Sophos Firewall.
  8. Creare o controllare Connection Request Policy e Network Policy.
  9. Preparare Event Viewer e log NPS per i test.

Con cluster HA o più firewall va verificato quale IP sorgente vede NPS. Se NPS vede un IP diverso da quello configurato come RADIUS client, la richiesta viene rifiutata o non corrisponde alla policy prevista.

Attivare RADIUS per i servizi firewall

Dopo il salvataggio, il server RADIUS non è automaticamente attivo per tutti i login. L’assegnazione avviene in:

Authentication > Services

Decidere per ogni servizio:

  • Firewall authentication methods: autenticazione generale del firewall.
  • VPN portal authentication methods: login VPN Portal.
  • SSL VPN authentication methods: login SSL VPN.
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: metodi Remote Access VPN rilevanti.
  • Captive portal authentication methods: login Captive Portal.

L’ordine dei server è importante. Se sono selezionati più server, il firewall li interroga nell’ordine configurato. Questo può essere voluto, ma può anche far autenticare gli utenti tramite AD invece che RADIUS, senza MFA.

Validare dopo il salvataggio

Un buon test ha più livelli. Test connection da solo non basta.

Test di connessione

Aprire il server RADIUS in Authentication > Servers ed eseguire Test connection con un utente di test. Se fallisce, controllare percorso di rete, IP sorgente, Shared Secret, client NPS, porta e password utente.

Test del servizio

Poi testare il flusso reale:

  1. Aprire VPN Portal con l’utente di test.
  2. Effettuare login tramite SSL VPN o Sophos Connect con un profilo di test.
  3. Testare Captive Portal se usato.
  4. Per accesso amministrativo, verificare permessi locali, ruolo e autenticazione.

Con RADIUS-MFA va testato il challenge o push completo con il client reale. Un test server riuscito non prova che Sophos Connect, VPN Portal o WebAdmin gestiscano il challenge allo stesso modo.

Controllare i log

Punti utili:

  • Log Viewer su Sophos Firewall per decisioni di autenticazione e traffico.
  • Authentication > Users per utenti creati automaticamente e gruppi.
  • NPS Event Viewer su Windows per richieste accettate o respinte.
  • Log del provider RADIUS o MFA se è coinvolto un terzo.
  • Log delle regole firewall se il login funziona ma il traffico non passa.

Se l’utente è autenticato ma non raggiunge applicazioni, RADIUS di solito non è più la prima causa. Verificare zona VPN, pool IP, regola firewall, condizione di gruppo, NAT e routing. Per questa parte vedere Sophos Firewall: verificare perché una regola non corrisponde.

Errori tipici

Test connection fallisce

Cause frequenti sono IP sorgente errato, Shared Secret sbagliato, porta UDP bloccata, RADIUS client mancante su NPS o policy NPS che non consente l’utente di test. In Windows controllare Event Viewer.

Test connection funziona, ma il login VPN no

Il server RADIUS è raggiungibile, ma il servizio probabilmente non è impostato correttamente su RADIUS. In Authentication > Services verificare il server per VPN Portal, SSL VPN o IPsec Remote Access e la sua posizione.

Il push MFA arriva tardi o non arriva

Con MFA esterna, i timeout sono spesso il punto critico. Timeout Sophos Firewall, policy NPS, gateway MFA e client devono combaciare. Per Push-MFA o chiamata non iniziare con tre secondi troppo aggressivi.

L’utente viene creato due volte

Succede spesso quando AD e RADIUS sono usati in parallelo e RADIUS lavora senza Domain name. Controllare Domain name, formato di login e ordine dei server.

Il login funziona, ma la regola non corrisponde

Verificare matching di utente e gruppo: gruppo importato, utente locale, posizione regola, source zone, pool IP VPN e traffico reale in Log Viewer.

Operazioni e sicurezza

RADIUS va gestito come servizio identità produttivo. Se il server RADIUS non funziona, Remote Access o portali possono essere interessati.

Punti importanti:

  • Documentare in modo sicuro lo Shared Secret e ruotarlo consapevolmente dopo cambi di personale o provider.
  • Conservare i log NPS o RADIUS abbastanza a lungo.
  • Monitorare il server RADIUS, non solo il firewall.
  • Testare timeout MFA per tipo di client e portale.
  • Definire un accesso admin di fallback senza esporlo ampiamente.
  • Dopo modifiche ad AD, NPS, provider MFA o servizi firewall, testare un login reale.

RADIUS è un buon componente se gestito correttamente. Senza monitoring, assegnazione chiara dei server e veri test di servizio, i problemi di login vengono solo spostati dal firewall a un altro sistema.

FAQ

Qual è la differenza tra RADIUS e Active Directory su Sophos Firewall?

Active Directory viene collegato direttamente come fonte di utenti e gruppi. RADIUS è un protocollo di autenticazione in cui il firewall invia una richiesta a un server RADIUS come Microsoft NPS o un sistema MFA. In molti ambienti, il server RADIUS verifica comunque Active Directory in background.

RADIUS deve essere attivato anche in Authentication > Services?

Sì. Aggiungere il server in Authentication > Servers non basta. Il server RADIUS deve essere assegnato al servizio corretto in Authentication > Services, ad esempio VPN Portal, SSL VPN o Captive Portal.

Perché Test connection funziona, ma il login VPN fallisce?

Il test verifica solo la comunicazione di base con il server RADIUS. Il login VPN reale dipende anche da Authentication Services, configurazione VPN, gruppi, timeout, comportamento client, regole firewall ed eventualmente MFA.

Microsoft Entra MFA può essere usato tramite RADIUS?

Sì, tipicamente tramite Microsoft NPS con estensione Entra MFA o tramite un altro sistema MFA compatibile RADIUS. Sono importanti matching UPN, policy NPS, timeout, registrazione utente e test con il vero client VPN o portale.

Quale porta usa Sophos Firewall per RADIUS?

Authentication usa normalmente 1812/UDP, Accounting 1813/UDP. I valori possono essere cambiati, ma devono corrispondere esattamente alla controparte e alle regole firewall tra Sophos Firewall e server RADIUS.