Configurare un server RADIUS Sophos Firewall
RADIUS è un ponte importante tra Sophos Firewall e servizi di autenticazione esistenti, come Microsoft NPS, un gateway MFA, un Identity Provider con interfaccia RADIUS o una piattaforma centrale già usata per VPN, Wi-Fi o altri servizi di rete.
L’articolo spiega come aggiungere un server RADIUS in Authentication > Servers, quali campi sono importanti, come preparare Microsoft NPS come controparte e come testare la configurazione. Per query classiche di utenti e gruppi da un dominio Windows spesso è più adatto collegare Active Directory a Sophos Firewall. Per scenari Remote Access moderni può essere più adatto anche Microsoft Entra ID SSO per Sophos Connect e VPN Portal.
Quando RADIUS ha senso
RADIUS è utile quando Sophos Firewall non deve gestire tutta la logica di identità. Il firewall invia una richiesta al server RADIUS, che decide se utente, password, gruppo, MFA o policy corrispondono.
Esempi tipici:
- Remote Access VPN con Microsoft NPS.
- Soluzione MFA esterna tramite RADIUS.
- Autenticazione centrale per VPN Portal, SSL VPN, IPsec Remote Access o Captive Portal.
- Soluzione transitoria quando AD/LDAP non deve essere collegato direttamente al firewall.
- Ambienti misti con più dispositivi di rete che usano lo stesso servizio RADIUS.
RADIUS non sostituisce regole di accesso pulite. Dopo l’autenticazione, regole firewall, zone VPN, gruppi, pool IP e logging devono comunque combaciare. Per Remote Access è utile configurare Sophos Firewall SSL VPN Remote Access; per i design MFA, attivare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access.
Pianificare prima della configurazione
Prima di aprire Add, deve essere chiaro quale ruolo avrà RADIUS. Altrimenti il test di connessione può riuscire, ma il login produttivo fallire per servizio, gruppo o timeout errati.
Fonte identità e controparte
Negli ambienti Microsoft, RADIUS è spesso un server Microsoft NPS. NPS può verificare utenti contro Active Directory, valutare Network Policies e scrivere accounting. In pratica Sophos Firewall è il RADIUS client e il server NPS è il RADIUS server.
Ruoli:
- Sophos Firewall: invia la richiesta di autenticazione.
- Server RADIUS: verifica utente, password, policy ed eventualmente MFA.
- Active Directory o Identity Provider: fornisce utenti e gruppi in background.
- Regola firewall o configurazione VPN: decide dove l’utente può accedere dopo il login.
Percorso di rete e porte
Il server RADIUS deve essere raggiungibile dal firewall.
| Scopo | Porta standard | Direzione |
|---|---|---|
| Authentication | 1812/UDP | Sophos Firewall verso server RADIUS |
| Accounting | 1813/UDP | Sophos Firewall verso server RADIUS |
Ambienti più vecchi o singoli prodotti possono usare 1645/UDP e 1646/UDP. Usarli solo se la controparte li richiede davvero.
Shared secret e timeout
Il Shared secret è il segreto tecnico comune tra firewall e server RADIUS. Non è una password utente. Sophos indica un limite di 48 caratteri.
Il timeout deve adattarsi al caso d’uso. Per semplici password può bastare un valore breve. Con Push-MFA, chiamata o challenge esterna, un timeout troppo corto può interrompere il login anche con credenziali corrette. Sophos consente valori Time-out da 1 a 60 secondi.
Aggiungere il server RADIUS su Sophos Firewall
Percorso:
Authentication > Servers
Procedura:
- Aprire Add.
- Selezionare RADIUS server come Server type.
- Inserire un Server name chiaro, ad esempio
NPS-HQ-RADIUSoMFA-RADIUS. - Inserire l’IP del server RADIUS in Server IP.
- Controllare Authentication port, normalmente
1812. - Impostare Time-out. Per login semplici
3-5secondi possono bastare; per MFA meglio un valore più alto secondo il provider. - Attivare Enable accounting solo se il server RADIUS deve elaborare accounting.
- Se accounting è attivo, controllare Accounting port, normalmente
1813. - Inserire il Shared secret esattamente come sul server RADIUS.
- Impostare eventualmente Domain name, soprattutto se AD e RADIUS sono usati in parallelo.
- Inserire eventualmente Group name attribute se il server RADIUS restituisce gruppi utilizzabili.
- Se necessario, aprire Enable additional settings e impostare NAS-identifier o NAS-port-type.
- Eseguire Test connection con un vero utente di test.
- Salvare.
Il test conferma la comunicazione di base. Non prova che VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal o WebAdmin funzionino nel flusso produttivo. Questi servizi vanno testati separatamente.
Impostare Domain name consapevolmente
Il campo Domain name è importante negli ambienti misti. Se RADIUS lavora senza dominio mentre Active Directory crea utenti con dominio, sul firewall possono nascere utenti locali duplicati.
Quando AD e RADIUS sono usati insieme, conviene impostare un Domain name adatto e verificare in Authentication > Users come appaiono i nuovi utenti.
Non indovinare Group name attribute
Il Group name attribute deve corrispondere alla controparte. Con NPS o MFA dipende dagli attributi effettivamente restituiti dal server RADIUS. Un valore indovinato crea spesso problemi di gruppi difficili da capire.
Se il gruppo è importante, testare l’intero flusso:
- Effettuare login sul portale o VPN di destinazione.
- Verificare in Authentication > Users che l’utente appaia con il gruppo atteso.
- In Log Viewer, verificare quale regola firewall e quale utente sono visibili per il traffico.
- Con NPS, controllare anche Event Viewer e Network Policy.
Preparare Microsoft NPS come controparte
Con Microsoft NPS, Sophos Firewall deve essere registrato sul server NPS come RADIUS client. Nella console NPS si usa RADIUS Clients and Servers > RADIUS Clients.
Flusso minimo:
- Aprire Network Policy Server.
- Aprire RADIUS Clients and Servers > RADIUS Clients.
- Creare un New RADIUS Client.
- Inserire un Friendly name, ad esempio
Sophos-Firewall-HQ. - In Address (IP or DNS) inserire l’IP di Sophos Firewall da cui partono le richieste.
- Usare normalmente RADIUS standard come Vendor.
- Inserire lo stesso Shared secret configurato su Sophos Firewall.
- Creare o controllare Connection Request Policy e Network Policy.
- Preparare Event Viewer e log NPS per i test.
Con cluster HA o più firewall va verificato quale IP sorgente vede NPS. Se NPS vede un IP diverso da quello configurato come RADIUS client, la richiesta viene rifiutata o non corrisponde alla policy prevista.
Attivare RADIUS per i servizi firewall
Dopo il salvataggio, il server RADIUS non è automaticamente attivo per tutti i login. L’assegnazione avviene in:
Authentication > Services
Decidere per ogni servizio:
- Firewall authentication methods: autenticazione generale del firewall.
- VPN portal authentication methods: login VPN Portal.
- SSL VPN authentication methods: login SSL VPN.
- VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: metodi Remote Access VPN rilevanti.
- Captive portal authentication methods: login Captive Portal.
L’ordine dei server è importante. Se sono selezionati più server, il firewall li interroga nell’ordine configurato. Questo può essere voluto, ma può anche far autenticare gli utenti tramite AD invece che RADIUS, senza MFA.
Validare dopo il salvataggio
Un buon test ha più livelli. Test connection da solo non basta.
Test di connessione
Aprire il server RADIUS in Authentication > Servers ed eseguire Test connection con un utente di test. Se fallisce, controllare percorso di rete, IP sorgente, Shared Secret, client NPS, porta e password utente.
Test del servizio
Poi testare il flusso reale:
- Aprire VPN Portal con l’utente di test.
- Effettuare login tramite SSL VPN o Sophos Connect con un profilo di test.
- Testare Captive Portal se usato.
- Per accesso amministrativo, verificare permessi locali, ruolo e autenticazione.
Con RADIUS-MFA va testato il challenge o push completo con il client reale. Un test server riuscito non prova che Sophos Connect, VPN Portal o WebAdmin gestiscano il challenge allo stesso modo.
Controllare i log
Punti utili:
- Log Viewer su Sophos Firewall per decisioni di autenticazione e traffico.
- Authentication > Users per utenti creati automaticamente e gruppi.
- NPS Event Viewer su Windows per richieste accettate o respinte.
- Log del provider RADIUS o MFA se è coinvolto un terzo.
- Log delle regole firewall se il login funziona ma il traffico non passa.
Se l’utente è autenticato ma non raggiunge applicazioni, RADIUS di solito non è più la prima causa. Verificare zona VPN, pool IP, regola firewall, condizione di gruppo, NAT e routing. Per questa parte vedere Sophos Firewall: verificare perché una regola non corrisponde.
Errori tipici
Test connection fallisce
Cause frequenti sono IP sorgente errato, Shared Secret sbagliato, porta UDP bloccata, RADIUS client mancante su NPS o policy NPS che non consente l’utente di test. In Windows controllare Event Viewer.
Test connection funziona, ma il login VPN no
Il server RADIUS è raggiungibile, ma il servizio probabilmente non è impostato correttamente su RADIUS. In Authentication > Services verificare il server per VPN Portal, SSL VPN o IPsec Remote Access e la sua posizione.
Il push MFA arriva tardi o non arriva
Con MFA esterna, i timeout sono spesso il punto critico. Timeout Sophos Firewall, policy NPS, gateway MFA e client devono combaciare. Per Push-MFA o chiamata non iniziare con tre secondi troppo aggressivi.
L’utente viene creato due volte
Succede spesso quando AD e RADIUS sono usati in parallelo e RADIUS lavora senza Domain name. Controllare Domain name, formato di login e ordine dei server.
Il login funziona, ma la regola non corrisponde
Verificare matching di utente e gruppo: gruppo importato, utente locale, posizione regola, source zone, pool IP VPN e traffico reale in Log Viewer.
Operazioni e sicurezza
RADIUS va gestito come servizio identità produttivo. Se il server RADIUS non funziona, Remote Access o portali possono essere interessati.
Punti importanti:
- Documentare in modo sicuro lo Shared Secret e ruotarlo consapevolmente dopo cambi di personale o provider.
- Conservare i log NPS o RADIUS abbastanza a lungo.
- Monitorare il server RADIUS, non solo il firewall.
- Testare timeout MFA per tipo di client e portale.
- Definire un accesso admin di fallback senza esporlo ampiamente.
- Dopo modifiche ad AD, NPS, provider MFA o servizi firewall, testare un login reale.
RADIUS è un buon componente se gestito correttamente. Senza monitoring, assegnazione chiara dei server e veri test di servizio, i problemi di login vengono solo spostati dal firewall a un altro sistema.
FAQ
Qual è la differenza tra RADIUS e Active Directory su Sophos Firewall?
RADIUS deve essere attivato anche in Authentication > Services?
Perché Test connection funziona, ma il login VPN fallisce?
Microsoft Entra MFA può essere usato tramite RADIUS?
Quale porta usa Sophos Firewall per RADIUS?
1812/UDP, Accounting 1813/UDP. I valori possono essere cambiati, ma devono corrispondere esattamente alla controparte e alle regole firewall tra Sophos Firewall e server RADIUS.